Académique Documents
Professionnel Documents
Culture Documents
2 sur 12
Introduction
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau
afin de leur présenter une page web spéciale (par exemple : avertissement, charte d'utilisation,
demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer
la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. C’est un élément
matériel ou logiciel qui permet de définir le temps de connexion mais également les services
auxquels l’utilisateur peut accéder. Il est utilisable pour tout type de réseau, que ce soit filaire ou
sans fil. Néanmoins, il est principalement utilisé pour les réseaux WiFi pour mettre à disposition
d’invités, de clients ou encore de visiteur, l’accès au net de façon contrôlée. On peut se demander
comment fonctionne et comment mettre en place un portail captif. Pour répondre à cela, nous
allons, tout d’abord étudier le principe de fonctionnement des portails captifs puis voir comment
mettre en place un portail captif via Pfsense.
Le portail captif, bien que souvent associé aux réseaux WiFi, peut tout à fait s'adapter aux
réseaux locaux filaires. Néanmoins, les problèmes de sécurité auxquels sont exposés les réseaux
WiFi justifient l'importance et l’orientation de telles solutions vers ce domaine.
3 sur 12
Voici une représentation de l’architecture :
Le portail captif fonctionne sur le modèle Catch and Release. En effet, lorsqu'un utilisateur souhaite
avoir accès à une ressource, il est aussitôt « capté » et redirigé vers le serveur Web d'authentification
qui ne le « libérera » qu'à partir du moment où son authentification se sera déroulée avec succès.
Le principe du portail
captif est décrit ci après.
Les numéros entre
parenthèses font
référence aux numéros
du schéma:
4 sur 12
Étape 1: Le client se connecte au réseau.
Étape 2: Il reçoit les paramètres de connexion par le DHCP. A ce stade, il n’a aucun droit car la
passerelle/pare-feu bloque l’accès réseau, sauf le port 80 qui est redirigé vers le portail Web.
Étape 3: Le client lance son navigateur Web, saisit et valide son URL.
Étape 7: La passerelle définit les paramètres de qualité (temps de connexion, services…) relatifs à
l’utilisateur authentifié.
Sa connexion est maintenue tant qu’il ne ferme pas une fenêtre du navigateur qui maintient sa
connexion en arrière-plan.
On parle de portail « intelligent » lorsque celui-ci enregistre l'URL saisie par l'utilisateur lors de
l'ouverture de son navigateur Web pour le renvoyer directement à cette URL dès que son
authentification s'est déroulée avec succès et que ses droits le lui permettent.
A. Configuration de Pfsense
Pfsense est un logiciel gratuit, open source pour transformer un PC en pare-feu. La base du système
est FreeBSD. Il intègre beaucoup de fonctionnalités dont celle qui nous intéresse, le portail captif.
5 sur 12
Considérons cette architecture comme exemple :
Étape 0 : Avant la configuration, il faut, tout d’abord, installer Pfsense sur une machine qui possède
au minimum deux cartes réseaux : une pour le WAN et une autre pour le LAN. On grave Pfsense
sur un CD puis on boote dessus. L’installation va se lancer et un premier menu va apparaître : il
suffit d’appuyer sur la touche « 1 » pour passer sur Boot pfSense [default].
6 sur 12
Étape 2 : Puis, la fenêtre suivante va s’afficher. On attribue les deux interfaces manuellement au
WAN et au LAN.
Étape 3 : A la suite de cela, la configuration se met en place jusqu'à un nouveau menu. On choisit
l’option 2 pour poursuivre notre installation.
7 sur 12
Étape 4 : Nous arrivons sur la fenêtre suivante. On entre l’adresse IP correspondant à notre LAN.
Ceci va nous simplifier la configuration de PfSense car nous pourrons accéder à une interface Web
pour la suite. Nous allons entrer aussi une plage d’adresse pour les machines clientes. Pfsense est en
marche !
Étape 5 : On connecte une machine sur la carte réseau de Pfsense (côté LAN, tout est bloqué côté
WAN pa défaut). Il ne faut pas oublier de changer l’IP de notre machine. On ouvre ensuite notre
navigateur Web, puis on entre : http://192.168.1.1. On entre nos identifiants : par défaut, le login est
admin et le mot de passe est pfsense). L’interface Web reprend les configurations que nous avons
rentré en ligne de commande.
8 sur 12
B. Mise en place du portail captif de Pfsense
Étape 1 : Pfsense est correctement configuré. Pour le moment, il sert uniquement de pare-feu et de
routeur. Nous allons maintenant activer l'écoute des requêtes sur l'interface LAN et obliger les
utilisateurs à s'authentifier pour traverser le pare-feu. Pour cela, allez dans la section Captive portal.
Cochez la case Enable captive portal, puis choisissez l'interface sur laquelle le portail captif va
écouter (LAN dans notre cas). Dans les 2 options suivantes, nous allons définir les temps à partir
desquelles les clients seront déconnectés. Idle Timeout définie le temps à partir duquel un client
inactif sera automatiquement déconnecté. Hard Timeout définie le temps à partir duquel un client
sera déconnecté quelque soit sont état. Ensuite, nous pouvons activer ou pas un popup qui va servir
au client de se déconnecter. Il faut éviter de mettre cette option, car de nombreux utilisateurs
utilisent des anti-popup et ne verront donc pas ce message. Il est possible ensuite de rediriger un
client authentifié vers une URL spécifique. Le paramètre suivant Concurrent user logins permet
d'éviter les redondances de connexions. En effet, l'utilisateur pourra se connecter sur une seule
machine à la fois. Cela va donc limiter les usurpations d'identité pour se connecter. Enfin, il est
possible de filtrer les clients par adresses MAC.
9 sur 12
*RADIUS :(Remote Authentication Dial-In User Service) est un protocole qui permet de centraliser
des données d'authentification. Le protocole RADIUS repose principalement sur un serveur (le
serveur RADIUS), relié à une base d'identification (base de données) et un client RADIUS,
appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le
serveur.
Étape 2 : Nous allons prendre le cas du serveur RADIUS. On rentre l’adresse IP du serveur
RADIUS, le port qui est par défaut 1812 et le secret partagé (un code qui sera partagé par les clients
RADIUS et le serveur RADIUS).
Étape 3 : Enfin, on peut importer une page web qui servira de page d'accueil, ainsi qu'une autre
page en cas d'échec d'authentification et une page pour la déconnexion. S’il y a des images insérées
sur ces pages web, aller dans l'onglet File Manager et télécharger ces images.
10 sur 12
Le portail captif est en marche. Voici des exemples de page d’accueil de portails captifs qu’on peut
mettre en place.
11 sur 12
Conclusion
On peut en conclure que le portail captif est adapté à des accès réseaux pour de nombreuses
personnes, généralement de passage. Mais le portail captif sans outils de sécurité est soumis à
certaines menaces comme l’usurpation de DHCP ou l’usurpation de la passerelle. C’est pour cela
qu’il faut mettre en place des systèmes de sécurité tel que le SSL. Pfsense fournit ces types d’option
afin de sécuriser l’architecture.
12 sur 12