Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
LGRT2009
Patango2000@yahoo.fr
03/02/2010
Dedicaces I
Remerciements II
Glossaire III
Avant Propos IV
Resume V
Abstract VI
Introduction Generale 3
Chapitre 1 : Presentation de
l,entreprise 5
Fiche signaletique 5
Historique 5
Domaines de competences 6
Etude de l'existant 8
Cahier de charge 9
Wifidog 12
ChilliSpot 14
Talweg 15
Nocat 16
Analyse rapide 18
Chapitre 4 : Implementation 22
Architecture generale 22
Installation de Pfsense 23
Configuration de PfSense 27
Chapitre LECLIENT 46
Conclusion 50
Bibliographie 52
WEBOGRAPHIE 53
INTRODUCTION GENERALE
Depuis quelques années, les bornes sans fils placées dans les lieux publics
donnent un accès gratuit ou non à Internet. Ces bornes sans fils, ou hotspots,
dont le but commerciale est d'attirer une nouvelle clientèle « nomade »
doivent être à la fois facile d'accès et surtout par le fait qu'elles soient dans
des endroits publics, très sécurisées.
C'est dans ce but qu'il nous a été demande de mettre en place un portail qui
capte n'importe qu'el service demande (HTTP, FTP...) et n'autorise le
passage de ce service que si la personne répond aux critères de sécurité
demandé. Ces besoins dépassent aujourd'hui les possibilités d'un Firewall
classique.
Pour nous guider vers notre solution technique, nous analyserons dans un
premier temps les attentes de ONE VOICE LINE afin de bien appréhender
son besoin.
CHAPITRE I : PRESENTATION
DE L'ENTREPRISE
I - Signalétique
SIGNALETIQUE
Raison sociale One Voice Line
Forme juridique Société à Responsabilité Limitée Pluripersonnelle
Capital 1.000.000 FCFA
Siège social 1er étage de l'Immeuble ISMA sis rue Sylvanie AKWA
Boîte Postale 9451 Douala
Téléphone +237 33 11 19 30
+237 76 10 02 42
Mobiles
+237 94 49 68 68
Courriel contact@1voiceline.com
Site internet www.1voiceline.com
Tableau 1 Fiche signalétique
II - Historique
o Hébergement de serveurs o Interconnexions
o Hébergement de serveurs o Interconnexions
o Equipement réseaux
o Informatique de bureau
o Equipement réseaux
o Informatique de bureau
I - Etude de l'existant
Actuellement, ce partage se fait via un point d'accès sans fil Linksys placé
dans un endroit de l'immeuble. La sécurité se fait au moyen d'une clé WEP.
Ce qui pose un problème dans la mesure où il faut toujours configurer les
machines des clients qui sont souvent sous des plateformes hétérogènes. S'il
arrive comme c'est très souvent le cas qu'une machine cliente « crache », il
faut à nouveau configurer la clé WEP.
Déplus, certains étudiants possèdent des logiciels qui une fois installer
permettent de retrouver la clé WEP et la donne à certains de leur camarade
dans un but lucratif ou non.
Plusieurs choses étaient primordiales pour avoir une ligne directrice du projet.
En voici quelques caractéristiques principales du réseau à implémenter :
Les utilisateurs doivent se connecter au réseau en Wifi.
Pour se connecter, les clients n'ont besoin que d'un navigateur Web d'un
Login et d'un Mot de passe.
Toutes les requêtes des clients doivent être automatiquement redirigées sur
la page d'authentification.
Le point d'accès doit être totalement transparent pour le client. Les clients ne
pourront qu'accéder au Web.
Figure 1
Le portail captif, grâce à divers mécanismes comme une fenêtre pop-up sur le
client rafraîchie à intervalles réguliers ou des requêtes Ping vers le client, est
en mesure de savoir si l'utilisateur est toujours connecté au réseau. Au bout
d'un délai d'absence sur le réseau, le portail captif va couper l'accès à cet
utilisateur.
III.2.1 WifiDog
Un serveur DHCP
Un serveur DNS
Un pare-feu netfilter
Tableau 1
III.2.2ChilliSpot
Sécurise le partage d'une connexion sans-fil, rediriger les utilisateurs vers une
page web : authentification via https solution retenue dans des gares et
aéroports
16
Tableau 2
III.2.3 Talweg
Crée par l'université Paul Verlaine de Metz, conçu pour les réseaux sans fil
s'exécutant sous Linux, garantie de l'identité des personnes utilisant le
réseau.
Dépendances :
· Linux
· Un serveur de DNS
· Un serveur de DHCP
· Iptables
Tableau 3
III.2.4 NoCat
18
Se compose de :
· Perl et gmake
Tableau 4
ANALYSE RAPIDE
rapide
Simple, efficace Seul le port 80 passe Wifidog
Supporte tous les Difficile à mettre en place, trafic
protocoles, non sécurise
sécurité des
authentifications
2
Services proposés :
Tableau 6
23
CHAPITRE IV : IMPLEMENTATION
IV.1 Architecture générale
Figure 2
Figure 3
25
Figure ~
27
Figure 7
Figure 9
Nous allons configurer maintenant les interfaces LAN et WAN en détail.
Figure 10
La carte LAN quant à elle est déjà correctement configurée. Une fois
les interfaces configurer, allez dans la section « DNS forwarder ».
Cette option va permettre à PfSense de transférer et d'émettre des
requêtes DNS pour les clients.
Figure 11
31
Figure 12
Dans les 2 options suivantes, nous allons définir les temps à partir
desquelles le client sera déconnecte. Idle timeout determine le temps à
partir duquel un client inactif sera automatiquement déconnecté. Hard
timeout temps à partir duquel un client quelque soit son état sera
automatiquement déconnecté.
Nous avons choisi une (01) heure pour l'inactivité et douze (12) heures
pour les déconnexions brutales.
Il est ensuite possible de rediriger les clients authentifies vers une URL
spécifique. Nous avons choisi ne rien mettre afin de laisser le client
libre de définir sa page de démarrage.
Figure 13
34
Si vous avez des images à insérer sur vos pages web, allez à
l'onglet File Manager
Figure 15
Les autres onglets ne nous servent pas pour l'instant, mais pour
information, Pass-through Mac sert à définir les adresses MAC
autorisées à traverser Pfsense. Allowed IP adresses sert à définir les
adresses IP autorisées à sortir. Enfin l'onglet Users sert dans le cas ou
l'on a choisit l'option Local Manager plus haut de stocker les comptes
utilisateurs valides.
Figure 16 Résultat
Figure 17
Figure 18
IV.3.2 L'authentification sécurisée des utilisateurs
PfSense permet de gérer les accès sécurisé au portail captif via le protocole
SSL. L'accès se fera via une connexion HTTPS. Le client devra seulement
télécharger les certificats pour la mise en place du tunnel crypté.
Avant d'activer le HTTPS il faut créer les certificats. Pour cela Pfsense intègre
un module pour leur génération.
Allez à la section System puis Advanced.
Figure 19
Figure 20
38
Présenté et soutenu par Patrice Essomba
Revenez ensuite sur cette page, et récupérez les clés nous nous en servirons
pour l'accès sécurité au portail.
Figure 21
Pour pouvoir ajouter sa page personnalisée au portail captif nous irons dans
l'interface de configuration de PfSense dans « services » et « captive portal ».
A la ligne « Portal page contents » nous ajouterons la page HTML que nous
avons programmée
Figure 22
Plusieurs pistes ont étés explorées pour rendre le plus transparent possible
les manipulations à faire coté utilisateur. Il est par exemple difficile de
demander à chaque utilisateur de créer une connexion VPN, démarche assez
pénible et contraire à la simplicité d'utilisation d'un portail captif même si en
définitif c'est la meilleure solution de cryptage des données.
V1 PPTP
40
Cette solution, SSL explorer, comme son nom l'indique s'appuie sur le
protocole SSL qui permet un transport sécurisé d'une information.
Le problème est que nous nous sommes rendu compte que SSL Explorer
était intéressant pour l'accès à un intranet. En effet cette solution ne permet
que de définir des routes WEB une par une manuellement...pour un intranet
ce sera une solution très intéressante.
PPTP
Autre bémol, c'est qu'il faut créer un tunnel VPN manuellement donc nous
avons abandonné cette piste.
VLAN sécurisé et VLAN non sécurisé pour l'authentification
Nous avons passé beaucoup de temps à tester cette solution car elle
paraissait transparente pour l'utilisateur. La démarche est simple :
2) Le client lorsqu'il arrive la première fois sur le Portail Captif n'a accès qu'au
SSID « connexion libre ». Ce SSID désigne un canal de communication qui
est non sécurisé.
- Authentifier l'utilisateur
- Lui donner ensuite la clé WPA pour que l'utilisateur utilise le SSID «
connexion sécurisée »
Figure 23
compte que des paramètres de sécurité, ces alternatives sont en tout points
supérieurs à un portail captif. Cependant, il convient de ne pas perdre l'aspect
pratique du portail captif.
C'est une contrainte significative, et dans certains cas, elle est même
inacceptable, comme dans le cas des Hotspots.
Le point d'accès Wifi sera configuré de façon très classique. En effet, suivant
notre architecture, l'AP (Acces Point) servira uniquement à se connecter sur le
LAN via le Wifi, sans aucune restriction ni authentification. Tout sera géré sur
Pfsense. L'AP est ici passif.
En effet, pour des raisons de sécurité nous avons décidé segmenter le réseau
portail captif de celui du reste de l'entreprise.
Ainsi nous allons configurer les Switch (Cisco 2950 séries)
Figure 24
44
Figure 25
Apres s'être loguer en mode « enable » puis « configure terminal », Entrez les
commandes suivantes pour créer et nommer deux VLAN:
Switch_A#vlan database
CHAPITRE V : LE CLIENT
Pour regrouper les autres ports afin qu'ils appartiennent au réseau local de
l'Entreprise, entrez les commandes suivantes pour chaque interfaces devant
etre assigné au VLAN.
Nous allons donc voir maintenant la procédure de connexion d'un client Wifi.
Tout d'abord, le client choisira le SSID du Wifi de notre Entreprise dans notre
cas « Kobra », et se connectera à ce réseau.
Figure 2
47
Figure 27
Figure 28
49
Figure 29
Si l'identifiant et le mot de passe sont valides alors il pourra surfer sur Internet
Une fois connecté une fenêtre sous forme de pop-up s'ouvre.
Figure 31
51
CONCLUSION
La mise en place de cette solution ne s'est pas faite sans embuche. En effet
pour pouvoir réaliser ce projet de bout en bout, nous avons dû faire preuve
d'un auto-apprentissage acharné en ce qui concerne le monde
UNIX/FreeBSD. Nous avons testez une multitude de solutions de portails
captifs et tous sont ciblés pour une utilisation particulière. Nous avons
également vu que l'on peut choisir un portail qui se paramètre via le site web
du constructeur, un autre qui est intégré au point d'accès, etc. ... ce qui fait
autant de possibilités que de solutions.
Sécuriser Pfsense fût, et est encore aujourd'hui la partie ou nous avons passé
le plus de temps.
Mettre en place un portail captif est une chose, mais il faut en assurer la
sécurité. Alors que les problèmes de sécurité deviennent de plus en plus
importants dans les réseaux, et notamment sur Internet, il convient d'être
conscient des forces et des limites du portail captif, et des autres solutions
existantes afin d'assurer le meilleur rapport praticabilité/sécurité.
Dans le cadre d'un accès plus restreint et plus sécurisé à Internet, nous
pourront nous retourner sur les VPN ou le cryptage du réseau WiFi, mais ces
méthodes requièrent un support sur les machines clientes; voir des mises à
jour fréquente de Pfsense car ces solutions doivent évoluer en permanence
pour rester sûres.
BIBLIOGRAPHIE
Linux magazine France n°8 : Introduction à la sécurité réseau
BOUCHAUDY, Abdelmadjid
WEBOGRAPHIE
http://fr.wikipedia.org/wiki
http://www.iut-blagnac.fr
http://www.memoireonline.com/09/09/2713/m_Mise-en-place-
dun-reseau-Wi-Fi-avec-authentification-basee-sur-des-
certificats0.html
http://forum.pfsense.org/index.php?topic=1452.new
http://www.pfsense.org/index.php?option=com_content&task
=view&id=50&Itemid=78
http://doc.pfsense.org/index.php/Main_Page
http://www.commentcamarche.net/forum/affich-15520459-
portail-captif?#1
http://www.brest-wireless.net/wiki/softs/portail_captif