Académique Documents
Professionnel Documents
Culture Documents
**********
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE ET DE
L’INNOVATION
DIRECTION DE L’ENSEIGNEMENT SUPERIEUR
**********
INSTITUT SUPERIEUR DE TECHNOLOGIE INDUSTRIELLE
DEDICACES
Je dédie ce travail :
REMERCIEMENTS
Après avoir rendu grâce à Dieu, c’est avec un grand plaisir que je réserve ces lignes
pour exprimer ma gratitude à tous ceux qui ont contribué de près ou de loin à
l’élaboration et la réussite de mon travail.
A mon ami et sœur Aminata Maréga qui a donné beaucoup de son temps et
de son énergie dans l’élaboration de ce travail
DEDICACES ..........................................................................................................III
REMERCIEMENTS .............................................................................................. IV
TABLES DES MATIERES ..................................................................................... V
LISTE DES TABLEAUX ..................................................................................... VII
LISTE DES FIGURES......................................................................................... VIII
LISTE DES SIGLES ET ABREVIATIONS........................................................... IX
AVANT-PROPOS ................................................................................................. XI
INTRODUCTION GENERALE .............................................................................. 1
PREMIERE PARTIE : VUE D’ENSEMBLE ........................................................... 3
Chapitre 1 : Présentation de l’environnement de travail et du théme ......................... 4
1.1 Structure d'accueil et contexte .................................................................... 4
1.2 Présentation du thème ................................................................................ 6
1.3 Planning prévisionnel du projet (Diagramme de GANTT).......................... 7
DEUXIEME PARTIE : ETUDE DU SYSTEME INFORMATIQUE EXISTANT ...... 8
Chapitre 2 : Etude du système informatique existant ................................................ 9
2.1 Présentation ............................................................................................... 9
2.2 État des ressources du système informatique .............................................. 9
2.2.1 Les ressources matérielles ................................................................... 9
2.2.2 Les logiciels.......................................................................................11
2.2.3 Le réseau ...........................................................................................11
2.3 Analyse critique du système ......................................................................12
2.3.1 Aspects positifs du système ...............................................................12
2.3.2 Failles du système ..............................................................................13
2.4 Solutions envisageables ............................................................................14
TROISIEME PARTIE: GENERALITES SUR LES PORTAILS CAPTIFS ..............15
Chapitre 3 : Présentation des portails captifs ...........................................................16
3.1 Définition .................................................................................................16
3.2 Fonctionnement général des portails .........................................................17
3.3 Aperçu des principaux portails captifs .......................................................18
Tableau 3-1: récapitulatif des critères de comparaison des portails captifs ...............21
IP : Internet Protocol
AVANT-PROPOS
L’Institut Supérieur de Technologie Industrielle (I.S.T.I) est l'une des instituts que
compte le GROUPE IPG/ISTI l’école des ingénieurs et des gestionnaires par
excellence. Créée en 1994 dans le but d'accompagner le Sénégal dans son ambition
de s'approprier les Technologies de l'Information et de la Communication (TIC),
l’ISTI est l’une des écoles supérieures d'informatique privées du pays. Elle a mis en
place une large gamme de programmes de formation permettant à l’étudiant de
s’adapter à l’évolution perpétuelle de l’environnement dans lequel il évolue. Parmi
celles-ci on peut citer l’Administration des Réseaux et Maintenance (ARSM),
l’Informatique de gestion (Génie Logiciel), l’Informatique Electronique Industrielle,
Génie civile dans le Bâtiment dans plusieurs spécialités telle que la Géométrie –
Topographie, Projecteur-calculateur BTP etc….
INTRODUCTION GENERALE
C’est fort de ce constat que notre études de mémoire s’articule autour du thème <<
Etude et mise en place d’un portail captif pour la gestion de la sécurité de l’IPG/ISTI
à partir d’un outil libre : pfsense >>
Ce document synthétise nos travaux menés dans ce cadre et est organisé en quatre
parties.
L'étude générale des portails captifs fait l'objet de la troisième partie; ce qui nous
permettra de choisir la solution à implanter.
L’institut privé de gestion (IPG) a été créé en 1981 et a été reconnu d’utilité publique
par décret présidentiel N° 88255 du 10 Mars 1988. Il fait partie des premiers
établissements d’enseignement supérieur dans le secteur privé au Sénégal et est
construit sur une superficie de plus de 6000m². Son expérience riche et variée dans la
formation professionnelle explique sa place de leader dans le secteur.
Le groupe IPG/ISTI compte plus d’une trentaine de salles de cours pouvant accueillir
plus de 40 étudiants et stagiaires , des salles spécialisées pour des séminaires, des
conférences, des salles de travaux pratique permettant aux étudiants de s’adapter aux
nouvelles Technologie de l’information et de la Communication (N.T.I.C), des
laboratoires et des salles de reproduction.
Le groupe IPG/ISTI est une école nationale qui a pour mission l'élaboration et la
transmission de la connaissance par la formation des hommes et des femmes afin de
répondre aux besoins de la Nation. Le Groupe IPG/ISTI se donne pour soucis
constants de développer l’intellect de ses étudiants tant en formation initiale que
permanente ,de perfectionner la formation des dirigeants, consultants, cadres
supérieurs des secteurs publics, parapublics et privés par le biais de séminaires Pour
y parvenir le groupe IPG/ISTI s'assigne les objectifs suivants:
Pour l'atteinte de ces objectifs l'utilisation des TIC est plus que nécessaire. Le groupe
IPG/ISTI met à la disposition du public, différents services informatiques tels l'accès
à Internet, l'accès à la documentation, etc. Vu le nombre et la diversité des
utilisateurs leur demande en ressources s'accroît et leur gestion se complique
davantage rendant en quelque sorte le réseau vulnérable. Ainsi c'est dans un objectif
d'amélioration des services réseaux de L’IPG/ISTI que s'inscrit ce travail.
Le réseau de l’ISTI, comme n'importe quel autre réseau n'est pas sans faille en
termes de sécurité car ses utilisateurs sont de diverses origines. En effet, bien que
moderne, l'accès au réseau sans fil de l’IPG/ISTI ne nécessite d’aucune
authentification dans certaine zone et celui au filaire par la détention d'un compte
valide (identifiant/mot de passe) sur les poste fixes.
Voilà autant de problèmes auxquels nous voulons apporter une solution grâce à cette
étude d’implémentation portail captif
durée
information sur la structure
DEUXIEME PARTIE :
ETUDE DU SYSTEME
INFORMATIQUE EXISTANT
2.1 Présentation
2.2.3 Le réseau
Le réseau de l’IPG/ISTI est subdivisé en deux (02) sous-réseaux.
Afin de mieux appréhender le système, il convient de savoir où réside ses forces pour
en déduire ses faiblesses. Ce qui permettra d'apporter des améliorations aux
éventuelles failles.
Au terme de cette analyse qui vient d'être faite, il ressort que l’IPG/ISTI est doté d'un
réseau informatique autonome. Cependant force est de reconnaître que des failles
existent et auxquelles il faut apporter des solutions. Vu les failles décrites plus haut,
nous préconisons les améliorations suivantes:
Ainsi il existe une panoplie de solutions mais le portail captif est la mieux indiquée
car il permet, en plus d'authentifier les utilisateurs, de gérer ces utilisateurs de
manière efficace.
TROISIEME PARTIE:
GENERALITES SUR LES
PORTAILS CAPTIFS
3.1 Définition
Un portail captif est une application qui permet de gérer l'authentification des
utilisateurs d'un réseau local qui souhaitent accéder à un réseau externe
(généralement Internet). Il oblige les utilisateurs du réseau local à s'authentifier avant
d'accéder au réseau externe.
Ceci permet à tout ordinateur équipé d'un navigateur web et d'un accès Wifi de se
voir proposer un accès à Internet. Au-delà de l'authentification, les portails captifs
permettent d'offrir différentes classes de services et tarifications associées pour
l'accès Internet (Par exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela
est obtenu en interceptant tous les paquets quelles que soient leurs destinations
jusqu'à ce que l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet.
Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et
celui-ci se voit autorisé à utiliser son accès Internet pour une durée fixée par
l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemander ses
identifiants de connexions afin d'ouvrir une nouvelle session.
Ce système offre donc une sécurité du réseau mis à disposition, il permet de respecter
la politique de filtrage web de la structure d’accueil grâce à un module proxy et
permet aussi grâce à un firewall intégré d'interdire l'accès aux protocoles souhaités.
Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login
et du mot de passe. Le système d'authentification va alors contacter une base de
données contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le
système d'authentification indique, plus ou moins directement selon les portails
captifs, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau.
Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le
réseau derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à
divers mécanismes comme une fenêtre pop-up sur le client rafraîchie à intervalles
réguliers ou des requêtes ping vers le client, est en mesure de savoir si l'utilisateur est
toujours connecté au réseau. Au bout d'un délai d'absence sur le réseau, le portail
captif va couper l'accès à cet utilisateur
Sur le marché, plusieurs éditeurs proposent une large gamme portails captifs
différenciée selon leurs fonctionnalités
Ainsi nous allons présenter quelques solutions qui sont toutes des solutions libres et
gratuites ce qui nous permet de réduire considérablement le coût de leur mise en
place.
3.3.1 PFsense
PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est
d'assurer les fonctions de pare-feu et de routeur mais l'engouement généré par cet
applicatif lui a permis d'étendre ses fonctionnalités et présente maintenant les
fonctions de portail captif, serveur proxy, DHCP ...
Son installation se fait facilement via une distribution dédiée et toutes les
configurations peuvent se faire soit en ligne de commande (SSH) ou via l'interface
web (HTTPS).
3.3.2 Alcasar
ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au
Réseau) est un projet indépendant, initié en 2008 par Richard REY (rexy), Franck
BOUIJOUX (3abtux) et Pascal LEVANT (angel95). ALCASAR est un portail libre
et gratuit de contrôle d'accès à Internet pour les réseaux ouverts de consultation. Il
authentifie, impute et protège les accès des usagers indépendamment des
équipements connectés (microordinateur, tablette Internet, console de jeux,
webphone, etc.). ALCASAR intègre des fonctions de filtrage permettant de répondre
aux divers besoins des organismes (entreprise, centres de loisirs, établissements
scolaires, etc.). ALCASAR s'appuie sur une vingtaine de logiciels libres afin de
constituer un portail captif authentifiant sécurisé. Cet applicatif s'installe via un script
supporté par la distribution Linux Mandriva, les configurations se font via une
interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement
sur le Serveur Mandriva.
Une sauvegarde de la configuration est prise en charge via la création d'un ghost
système (fichier système) dans le panneau d'administration, ce qui engendre tout de
même un fichier d'une certaine taille. Les mises à jour régulières assurent la
pérennité de la solution. L'authentification au portail est sécurisée par HTTPS et un
couple utilisateur / mot de passe. Une documentation assez complète est disponible
pour l'installation et la configuration et la communauté est active. Tout comme
PFsense, ALCASAR est compatible avec de nombreuses plates-formes, la
personnalisation des pages utilisateurs et la simplicité d'utilisation sont
3.3.3 ZeroShell
ZeroShell est une distribution Linux conçue pour mettre en place une sécurité
globale au sein d'un réseau (Pare-Feu, VPN, portail captif...). Son installation est
simple via une distribution dédiée. Elle présente une interface de gestion web simple
d'utilisation qui permet entre autres de sauvegarder la configuration du portail captif
ou encore de personnaliser les pages de connexion et déconnexion dans un éditeur
HTML intégré. Comme les deux autres solutions la page d'authentification est
sécurisée et la connexion se fait via un couple utilisateur / mot de passe.
3.3.4 ChilliSpot
ChilliSpot est un applicatif dédié à la gestion de l'authentification sur les réseaux, son
installation est assez simple via un package applicatif disponible sur les distributions
Red Hat et Fedora. La sauvegarde de la configuration est disponible mais elle
implique de copier les fichiers de configuration et donc de les connaître. La page de
connexion est disponible en HTTPS à condition d'avoir configuré le serveur web
(Apache) au préalable en écoute sur le port 443. On retrouve une documentation
complète et une communauté assez active, mais le projet est en régression, la
dernière version stable date d'octobre 2006 et le projet est mis en suspens depuis le
départ du développeur principal L'utilisation est la même que les autres solutions
proposées, page de connexion avec champs utilisateur et mot de passe.
Au vu de toutes ces solutions disponibles, nous allons faire un petit comparatif afin
de décider de la meilleure option pour répondre au besoin de notre sujet d’étude.
Ainsi dans l'étude comparative des solutions nous avons mis en évidence plusieurs
critères importants que doivent prendre en compte les différentes solutions:
Critères Solutions
Documentation
Personnalisation
Pérennité de solution
Multiplateformes
Restauration de
configuration et
sauvegarde
Simplicité d’utilisation
Légende :
Disponibilité élevée
Moyennement disponible
Moins disponible
Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer,
l'étude théorique permet de retenir les deux premières solutions à savoir PFsense et
ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent
s'installer sur un serveur comme sur un poste de travail, authentification des
utilisateurs par login et mot de passe, contrôle de la bande passante, facilité
d'administration, d'installation et de configuration, facilité d'utilisation,
documentation très détaillée et disponible, disponibilité de mises à jour.
Au final notre choix s’est porté sur l’utilisation du logiciel PFsense car au vu de notre
étude comparative, il répond parfaitement aux besoins exprimés lors de la deuxième
partie
pfSense est basé sur PF (packet filter), comme IP tables sur GNU/Linux et il est
réputé pour sa fiabilité. C'est une distribution dédiée qui peut être installée sur un
simple poste de travail, un serveur ou même sur un boîtier en version embarquée. Ce
qui séduit chez pfSense est sa facilité d'installation et de configuration des outils
d'administration réseau. En effet, après une installation en mode console, il
s'administre ensuite simplement depuis une interface web et gère nativement les
VLAN.
Etant en phase de test notre solution ne peut évidemment pas être directement
implémentée au niveau de l’école. Néanmoins nous avons déployé un réseau pilote
afin de voir en gros ce que peut faire notre portail captif.
Comme que nous n’avons pu avoir le matériel physique requis pour notre réseau
pilote nous avons décidé de le virtualisé.
Etant en phase de test, notre solution ne peut directement être implémentée au niveau
de l’école. Néanmoins nous avons choisi VMware comme outil de virtualisation qui
nous permettra de voir en gros ce que peut faire notre portail captif. Ainsi : VMware
est une société informatique américaine fondée en 1998, filiale d'EMC Corporation
depuis 2004 (racheté par Dell le 7 septembre 20163,4), qui propose plusieurs
produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par
extension le nom d'une gamme de logiciels de virtualisation.
Pour notre cas nous avons choisi la version 2.4.4 avec comme architecture AMD64
(64bit). Puisque nous sommes en environnement virtuel nous avons choisi l’option
CD Image(ISO). Ainsi notre image téléchargée est représentée par la figure suivante
Apres avoir téléchargé pfsense notre prochaine étape consiste à créer la machine
virtuelle pfsense dans Workstation, nous sommes d’abord :
Allés au File...New Virtual MachineChoisis I will install the operating system
later Le système d'exploitation invité est Other puis dans le menu déroulant, on a
selectioné FreeBSD 11 64-bit.
Nous avons ensuite choisit le nom de notre machine virtuelle qui est pfsense-1 pour
notre cas et avons sélectionné notre emplacement
Maintenant, nous devons répondre à une série de questions pour pouvoir changer les
interfaces WAN et LAN qui sont détaillées comme suit :
Il est conseillé de changer l'adresse IP LAN de PFsense pour plus de simplicité par la
suite; son adresse IP LAN par défaut étant le 192.168.1.1. Elle sera par la suite
modifiée pour être dans notre réseau local. Pour se faire nous avons sélectionné le
numéro 2 “.
Ainsi prend fin l'installation et on peut dès maintenant commencer à configurer soit
en mode console, soit à partir de l'interface web. Nous avons choisi ici la
configuration via l'interface web car cela offre plus de convivialité
Pour le paramétrage général, nous sommes allés dans l'onglet System, puis Setup
Wizard pour voir la configuration générale de PFsense. Nous avons entré ici le nom
de la machine, le domaine et l'adresse IP du serveur DNS (dans notre cas le nom:
pfsense, le domaine l'ipg-isti.com
Pour affecter une adresse IP à une interface Wan on peut sélectionner le type
d'adressage Static ou DHCP. Ici nous avons assigné une adresse Static. Pour affecter
une adresse IP statique à une interface Wan on clique sur le menu déroulant
« Selected Type » en tant que valeur statique. On fait défiler jusqu’ à la section
configuration IP statique. Ensuite on peut préciser son adresse MAC au format
indiqué, son adresse IP public et sa passerelle dans les cases prévues à cet effet.
Puis on a laissé les autres paramètres par défaut
Il faut maintenant activer l'interface LAN de la même manière qu'on l'a fait avec le
WAN mais cette interface doit être nécessairement en Static pour le type d'adressage
car, étant celle sur laquelle sera activée le serveur DHCP, il faut que son adresse soit
fixée. Puis on peut assigner son adresse MAC au format indiqué, son adresse IP étant
déjà définie plus haut, sa passerelle est laissée par défaut, c'est-à-dire son propre
adresse IP car celle-ci constitue la passerelle des clients.
Pour activer le portail captif sur l'interface LAN de pfSense, il faut aller dans l'onglet
Service puis dans la section Captive portal. Ensuite il faut cocher la case « Enable
Captive portal », puis on choisit l'interface sur laquelle le portail captif va écouter. Ici
nous avons choisi LAN puisque nous voulons que les utilisateurs de notre réseau
local passent par le portail captif pour aller sur Internet.
Dans les options suivantes, il faut d'abord définir le nombre de clients demandant la
page d'authentification à la fois, ensuite le temps au bout duquel le client sera
automatiquement déconnecté s'il est inactif et le temps au bout duquel il sera
déconnecté quel que soit son état puis se voir redemander les paramètres
d'authentification. Ainsi Maximum concurrent connections défini le nombre de
clients demandant la page captive à la fois; Idle Timeout défini le temps au bout
duquel un client inactif sera automatiquement déconnecté et Hard Timeout défini le
temps au bout duquel il sera déconnecté quel que soit son état. Nous avons choisi de
mettre 10 pour le nombre de connexions simultanées, 10mn pour l'inactivité et 24
heures pour les déconnections brutales.
Ensuite il est possible d'activer ou non une fenêtre popup qui va servir aux clients de
se déconnecter. Il est ensuite possible de rediriger un client authentifié vers une URL
spécifiée, sinon il est redirigé vers la page demandée initialement. Nous avons choisi
de rediriger le client vers l'URL suivante: http: //www.ipg-isti.com.
Ensuite nous avons activé “Disable Concurrent user logins” qui seule la connexion la
plus récente par nom d’utilisateur sera active. Il est aussi possible de filtrer les clients
par adresse MAC en activant “Disable MAC filtering” nécessaire lorsque l’adresse
MAC du client ne peut pas être déterminée
Une fois cette configuration sauvegardée, le portail captif devrait être fonctionnel.
sans authentification (No authentification) : les clients sont libres ; ils verront
le portail mais il ne leur sera pas demandé de s'authentifier;
authentification via un fichier local (Local User manager) : les paramètres des
comptes utilisateur sont stockés dans une base de données locale ;
4.2.6.1 Authentification
Nous avons retenu l'authentification via un fichier local vu que nous sommes en
phase de test donc nous avons décidé de créer nos propres utilisateurs pour le
portail, mais pour des soucis de confidentialité nous n’avons accès à la base de
données de l’IPG/ISTI.
A ce stade, le portail est déjà accessible c'est-à-dire que pour un utilisateur qui se
connecte au réseau local et à partir de son navigateur, demande une page web, il sera
redirigé vers la page captive qui lui demandera de s'authentifier avant d'avoir accès à
la page demandée initialement.
Dans notre cas nous allons simplement crée un groupe où nous allons ajouter un ou
plusieurs utilisateurs qui auront seulement le droit d’utiliser le Portail Captif. Pour se
faire nous allons d’abord dans l’onglet “Groups”, puis avons ajouté le groupe
« membre portail » en cliquant sur “+ Add”.
Par la suite nous avons modifié le groupe pour lui octroyer les droits d’utilisation du
portail. Pour se faire nous avons cliqué sur “+ Add” dans la rubrique “Assigned
Privileges“.
Nous avons sélectionné dans la liste “User – Services: Captive Portal login”
(Autorisé seulement à se connecter au Portail Captif)
Ensuite nous nous sommes rendu dans l’onglet “Users“, avons cliqué sur “+ Add”
pour ajouter le nom d’utilisateur ” et son mot de passe. Enfin nous l’avons assigné
dans le groupe “membre portail” précédemment créé.
Pour des fins plus pratique nous avons décidé de personnalisé notre portail en y
insérant le logo de l’IPG/ISTI.
Pour se faire il suffira juste de charger notre logo dans les paramètres de
configurations du portail
Maintenant que notre portail est fin prêt ainsi que notre petite base de données locale
nous allons procéder à la phase test.
4.3 Test
Tout d’abord nous avons choisi une machine cliente qu’on a mise sur le même réseau
que notre pfsense afin de faire notre test. Ensuite nous avons ouvert notre navigateur
web et tenté d’accéder à un site.
Et enfin nous avons entré le nom de notre utilisateur ainsi que son mot de passe
Et tout de suite nous avons été redirigés vers le site de l’IPG/ISTI que nous avons
tapé précédemment dans le navigateur.
CONCLUSION GENERALE
Après une présentation de la structure d'accueil, la démarche suivie pour cette étude
a permis d'analyser d'abord son système informatique pour connaître ses forces et
faiblesses. Ensuite une étude comparative de portail captif a permis de choisir une
solution à implanter. C'est ainsi que la solution PFsense a été retenue. Cet applicatif
libre a été ensuite étudié de façon technique et sa fonction captive pourrait être
implantée de façon effective démontrer grâce à notre réseau pilote.
Il est important de noter que la réalisation de ce travail nous a été bénéfique sur tous
les plans.
Sur le plan technique, nous pensons que notre but est atteint car, il nous aura permis
de savoir d'abord l'existence de solutions libres de portail captif, ensuite de mener
une étude comparative et de faire enfin l'implémentation de la solution libre PFsense
bien que virtuellement et nous avons eu une bonne occasion d’approfondir et de
mettre en œuvre toutes nos connaissances théoriques.
Sur le plan humain, ce projet a été une véritable occasion de côtoyer un vrai
spécialiste de la sécurité nous permettant d’améliorer nos connaissances dans ce
domaine et de savoir les difficultés auxquelles on aurait pu être confronté sur le plan
de la réalisation concrète du projet.
REFERENCES
Webographie
https://fr.wikipedia.org/
https://www.google.com/
www.memoireonline.com
https://www.pfsense.org
https://www.ipg-isti.com
RESUME
Chaque réseau possède sa politique d'accès et ne souhaite pas laisser n'importe qui
accéder aux ressources réseaux.
Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces
réseaux qui doivent cumuler de multiples avantages
D’où notre étude sur la mise en place d’un portail qui consiste à obliger nos
utilisateurs à s’authentifier avant d’accéder au réseau.
ABSTRACT
Each network has its access policy and does not want to let anyone access network
resources.
Hence the importance and the obligation of developing a computer security system to
identify sources of threat and its information damage.
Hence our study on the establishment of a portal that requires our users to
authenticate before accessing the network.