LE PORTAIL CAPTIF

Ameerudeen ABDUL AJEES – BTS SIO 2

Sommaire
Introduction..........................................................................................................................................3
I. PRINCIPE DE FONCTIONNEMENT D’UN PORTAIL CAPTIF..................................................3
A. Les éléments constitutifs de l’architecture.................................................................................3
B. Le modèle Catch and Release....................................................................................................4
II. LE PORTAIL CAPTIF DE PFSENSE.............................................................................................5
A. Configuration de Pfsense...........................................................................................................5
B. Mise en place du portail captif de Pfsense.................................................................................9
Conclusion..........................................................................................................................................12

2 sur 12
Introduction

Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau
afin de leur présenter une page web spéciale (par exemple : avertissement, charte d'utilisation,
demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer
la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. C’est un élément
matériel ou logiciel qui permet de définir le temps de connexion mais également les services
auxquels l’utilisateur peut accéder. Il est utilisable pour tout type de réseau, que ce soit filaire ou
sans fil. Néanmoins, il est principalement utilisé pour les réseaux WiFi pour mettre à disposition
d’invités, de clients ou encore de visiteur, l’accès au net de façon contrôlée. On peut se demander
comment fonctionne et comment mettre en place un portail captif. Pour répondre à cela, nous
allons, tout d’abord étudier le principe de fonctionnement des portails captifs puis voir comment
mettre en place un portail captif via Pfsense.

I. PRINCIPE DE FONCTIONNEMENT D’UN PORTAIL CAPTIF

A. Les éléments constitutifs de l’architecture

Les portails captifs reposent sur les identités suivantes :

• les clients : ils utilisent un navigateur Web pour accéder au portail,
• la passerelle/pare-feu : passerelle entre plusieurs réseaux - elle joue en même temps le rôle
de pare-feu,
• le serveur d’authentification (+Web) : portail Web d’authentification et gestion des
fonctionnalités d’authentification des utilisateurs et de leurs droits,
• un service DHCP, DNS : pour l'allocation dynamique des adresses IP aux clients et la
fourniture d'un service DNS d'infrastructure (le DNS peut être facultatif)
• et éventuellement un point d'accès WiFi (dans le cadre de réseaux sans fils).

Le portail captif, bien que souvent associé aux réseaux WiFi, peut tout à fait s'adapter aux
réseaux locaux filaires. Néanmoins, les problèmes de sécurité auxquels sont exposés les réseaux
WiFi justifient l'importance et l’orientation de telles solutions vers ce domaine.

3 sur 12
Voici une représentation de l’architecture :

B. Le modèle Catch and Release

Le portail captif fonctionne sur le modèle Catch and Release. En effet, lorsqu'un utilisateur souhaite
avoir accès à une ressource, il est aussitôt « capté » et redirigé vers le serveur Web d'authentification
qui ne le « libérera » qu'à partir du moment où son authentification se sera déroulée avec succès.

Le principe du portail
captif est décrit ci après.
Les numéros entre
parenthèses font
référence aux numéros
du schéma:

4 sur 12
Étape 1: Le client se connecte au réseau.

Étape 2: Il reçoit les paramètres de connexion par le DHCP. A ce stade, il n’a aucun droit car la
passerelle/pare-feu bloque l’accès réseau, sauf le port 80 qui est redirigé vers le portail Web.

Étape 3: Le client lance son navigateur Web, saisit et valide son URL.

Étape 4: Le serveur Web de l’architecture lui demande alors:

• d'approuver les conditions d'utilisation du réseau si le portail est en mode Open (il n'y a pas
de processus d'authentification dans ce cas). Dès l'acceptation des conditions d'utilisation,
l'utilisateur a accès aux ressources mises à sa disposition,
• de s’authentifier pour avoir accès à un réseau local sécurisé et/ou au réseau Internet par
exemple.

Étape 5: L'utilisateur doit s'authentifier, selon un quelconque moyen : nom d'utilisateur/mot de

passe… En cas de refus, le client verra ses droits conservés, sans possibilité aucune d’accès aux
ressources réseau.

Étape 6: Si le client s’identifie correctement, la passerelle/pare-feu modifie alors dynamiquement

ses paramètres.

Étape 7: La passerelle définit les paramètres de qualité (temps de connexion, services…) relatifs à
l’utilisateur authentifié.

Sa connexion est maintenue tant qu’il ne ferme pas une fenêtre du navigateur qui maintient sa
connexion en arrière-plan.

On parle de portail « intelligent » lorsque celui-ci enregistre l'URL saisie par l'utilisateur lors de
l'ouverture de son navigateur Web pour le renvoyer directement à cette URL dès que son
authentification s'est déroulée avec succès et que ses droits le lui permettent.

II. LE PORTAIL CAPTIF DE PFSENSE

A. Configuration de Pfsense

Pfsense est un logiciel gratuit, open source pour transformer un PC en pare-feu. La base du système
est FreeBSD. Il intègre beaucoup de fonctionnalités dont celle qui nous intéresse, le portail captif.

5 sur 12
Considérons cette architecture comme exemple :

Étape 0 : Avant la configuration, il faut, tout d’abord, installer Pfsense sur une machine qui possède
au minimum deux cartes réseaux : une pour le WAN et une autre pour le LAN. On grave Pfsense
sur un CD puis on boote dessus. L’installation va se lancer et un premier menu va apparaître : il
suffit d’appuyer sur la touche « 1 » pour passer sur Boot pfSense [default].

6 sur 12
Étape 2 : Puis, la fenêtre suivante va s’afficher. On attribue les deux interfaces manuellement au
WAN et au LAN.

Étape 3 : A la suite de cela, la configuration se met en place jusqu'à un nouveau menu. On choisit
l’option 2 pour poursuivre notre installation.

7 sur 12
Étape 4 : Nous arrivons sur la fenêtre suivante. On entre l’adresse IP correspondant à notre LAN.
Ceci va nous simplifier la configuration de PfSense car nous pourrons accéder à une interface Web
pour la suite. Nous allons entrer aussi une plage d’adresse pour les machines clientes. Pfsense est en
marche !

Étape 5 : On connecte une machine sur la carte réseau de Pfsense (côté LAN, tout est bloqué côté
WAN pa défaut). Il ne faut pas oublier de changer l’IP de notre machine. On ouvre ensuite notre
navigateur Web, puis on entre : http://192.168.1.1. On entre nos identifiants : par défaut, le login est
admin et le mot de passe est pfsense). L’interface Web reprend les configurations que nous avons
rentré en ligne de commande.

8 sur 12
 B. Mise en place du portail captif de Pfsense

Étape 1 : Pfsense est correctement configuré. Pour le moment, il sert uniquement de pare-feu et de
routeur. Nous allons maintenant activer l'écoute des requêtes sur l'interface LAN et obliger les
utilisateurs à s'authentifier pour traverser le pare-feu. Pour cela, allez dans la section Captive portal.
Cochez la case Enable captive portal, puis choisissez l'interface sur laquelle le portail captif va
écouter (LAN dans notre cas). Dans les 2 options suivantes, nous allons définir les temps à partir
desquelles les clients seront déconnectés. Idle Timeout définie le temps à partir duquel un client
inactif sera automatiquement déconnecté. Hard Timeout définie le temps à partir duquel un client
sera déconnecté quelque soit sont état. Ensuite, nous pouvons activer ou pas un popup qui va servir
au client de se déconnecter. Il faut éviter de mettre cette option, car de nombreux utilisateurs
utilisent des anti-popup et ne verront donc pas ce message. Il est possible ensuite de rediriger un
client authentifié vers une URL spécifique. Le paramètre suivant Concurrent user logins permet
d'éviter les redondances de connexions. En effet, l'utilisateur pourra se connecter sur une seule
machine à la fois. Cela va donc limiter les usurpations d'identité pour se connecter. Enfin, il est
possible de filtrer les clients par adresses MAC.

Ensuite vient la méthode d'authentification. 3 possibilités s'offre à nous :

• Sans authentification, les clients sont libres
• Via un fichier local
• Via un serveur RADIUS*

9 sur 12
*RADIUS :(Remote Authentication Dial-In User Service) est un protocole qui permet de centraliser
des données d'authentification. Le protocole RADIUS repose principalement sur un serveur (le
serveur RADIUS), relié à une base d'identification (base de données) et un client RADIUS,
appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le
serveur.

Étape 2 : Nous allons prendre le cas du serveur RADIUS. On rentre l’adresse IP du serveur
RADIUS, le port qui est par défaut 1812 et le secret partagé (un code qui sera partagé par les clients
RADIUS et le serveur RADIUS).

Étape 3 : Enfin, on peut importer une page web qui servira de page d'accueil, ainsi qu'une autre
page en cas d'échec d'authentification et une page pour la déconnexion. S’il y a des images insérées
sur ces pages web, aller dans l'onglet File Manager et télécharger ces images.

10 sur 12
Le portail captif est en marche. Voici des exemples de page d’accueil de portails captifs qu’on peut
mettre en place.

Exemple du portail captif (avec authentification) de l’Université Pierre et Marie Curie :

Exemple du portail captif (avec validation de CGU) de l’Aéroport de Paris :

11 sur 12
Conclusion

On peut en conclure que le portail captif est adapté à des accès réseaux pour de nombreuses
personnes, généralement de passage. Mais le portail captif sans outils de sécurité est soumis à
certaines menaces comme l’usurpation de DHCP ou l’usurpation de la passerelle. C’est pour cela
qu’il faut mettre en place des systèmes de sécurité tel que le SSL. Pfsense fournit ces types d’option
afin de sécuriser l’architecture.

12 sur 12