Memoire Pfsense

REPUBLIQUE DU SENEGAL
Un Peuple – Un But – Une Foi
**********
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE ET DE
L’INNOVATION
DIRECTION DE L’ENSEIGNEMENT SUPERIEUR
**********
INSTITUT SUPERIEUR DE TECHNOLOGIE INDUSTRIELLE
Sicap Sacré-Cœur II BP : 10155 Tél : 33 825 41 66 - Fax : 33 824 80 32

Email:information@ipg-isti.com Site Web: http://www.ipg-isti.com
MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU

DIPLOME DE LA LICENCE PROFESSIONNELLE
Filière: Informatique de Gestion
OPTION : Administration système réseau et maintenance
THEME :
ETUDE ET MIS EN PLACE D’UN PORTAIL

CAPTIF POUR LA GESTION DE LA
SECURITE DU RESEAU DE L’IPG/ISTI A
Présenté par :
PARTIR D’UN OUTIL LIBRE : PFSENSE
Présenté par : Encadré par :
Yacine Diba Mr.Niasse

Spécialiste en Sécurité informatique
Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil III
libre: pfsense.
DEDICACES
Je dédie ce travail :
A mon très cher père Mamadou Diba

Pour son soutien moral et financier, pour son amour et pour les multiples
sacrifices consentis dans mes années d’étude et pour ses prières qui ont
toujours été exaucées.
A ma très chère mère Binetou Cissé

Qui a œuvré pour ma réussite, de par son amour, son soutien, tous ces
sacrifices consentis et ces précieux conseils, pour toute son assistance et sa
présence dans ma vie.
A mon frère Mama Diba ainsi que toute sa famille

Pour leur soutien moral et financier ainsi tout leur amour
A mes oncles Thierno Diba et Babacar Diba ……….

Pour leur brillante contribution à ma formation professionnelle
A mes frères et sœurs sans oublier tous les membres de ma famille.
Sans oublier mon très cher époux Mr Loum …..

Pour son soutien moral, financier ainsi que son amour inconditionnel

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil IV
libre: pfsense.
REMERCIEMENTS
Après avoir rendu grâce à Dieu, c’est avec un grand plaisir que je réserve ces lignes
pour exprimer ma gratitude à tous ceux qui ont contribué de près ou de loin à
l’élaboration et la réussite de mon travail.
Mes vifs remerciements vont conjointement à M. Niasse qui a fait l’honneur

d’accepter d’être mon encadrant pédagogique et qui m’a été d’une aide
précieuse. Je lui exprime ma profonde gratitude
A mon ami et sœur Aminata Maréga qui a donné beaucoup de son temps et
de son énergie dans l’élaboration de ce travail
Le corps professoral de l’institut supérieur de technologie industrielle pour

son enseignement de qualité, ainsi que l’ensemble du personnel.
Les membres du jury, pour avoir accepté d’évaluer mon travail

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil V
libre: pfsense.
TABLES DES MATIERES
DEDICACES ..........................................................................................................III
REMERCIEMENTS .............................................................................................. IV
TABLES DES MATIERES ..................................................................................... V
LISTE DES TABLEAUX ..................................................................................... VII
LISTE DES FIGURES......................................................................................... VIII
LISTE DES SIGLES ET ABREVIATIONS........................................................... IX
AVANT-PROPOS ................................................................................................. XI
INTRODUCTION GENERALE .............................................................................. 1
PREMIERE PARTIE : VUE D’ENSEMBLE ........................................................... 3
Chapitre 1 : Présentation de l’environnement de travail et du théme ......................... 4
1.1 Structure d'accueil et contexte .................................................................... 4
1.2 Présentation du thème ................................................................................ 6
1.3 Planning prévisionnel du projet (Diagramme de GANTT).......................... 7
DEUXIEME PARTIE : ETUDE DU SYSTEME INFORMATIQUE EXISTANT ...... 8
Chapitre 2 : Etude du système informatique existant ................................................ 9
2.1 Présentation ............................................................................................... 9
2.2 État des ressources du système informatique .............................................. 9
2.2.1 Les ressources matérielles ................................................................... 9
2.2.2 Les logiciels.......................................................................................11
2.2.3 Le réseau ...........................................................................................11
2.3 Analyse critique du système ......................................................................12
2.3.1 Aspects positifs du système ...............................................................12
2.3.2 Failles du système ..............................................................................13
2.4 Solutions envisageables ............................................................................14
TROISIEME PARTIE: GENERALITES SUR LES PORTAILS CAPTIFS ..............15
Chapitre 3 : Présentation des portails captifs ...........................................................16
3.1 Définition .................................................................................................16
3.2 Fonctionnement général des portails .........................................................17
3.3 Aperçu des principaux portails captifs .......................................................18

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil VI
libre: pfsense.
3.3.1 PFsense .............................................................................................18

3.3.2 Alcasar ..............................................................................................19
3.3.3 ZeroShell ...........................................................................................19
3.3.4 ChilliSpot ..........................................................................................20
3.4 Comparaison des portails captifs ...............................................................20
3.5 Choix d'une solution de portail captif ........................................................22
3.6 Etude détaillée de pfSense ........................................................................22
3.6.1 Qu’est-ce que pfSense .......................................................................22
3.6.2 Aperçu des fonctionnalités et services de pfSense ..............................23
QUATRIEME PARTIE: MIS EN PLACE ET CONFIGURATION DE PFSENSE ..25
Chapitre 4 : Mis en place et configuration de pfSsense ............................................26
4.1 Installation de pfSense ..............................................................................26
4.1.1 Matériel et architecture de notre réseau pilote ....................................26
4.1.2 Présentation de l’environnement de travail (VMware)........................27
4.1.3 Installation de pfSense .......................................................................29
4.1.4 Attribution des interfaces réseaux ......................................................32
4.2 Configuration de PFsense .........................................................................34
4.2.1 Configuration générale.......................................................................34
4.2.2 Configuration des interfaces...............................................................37
4.2.3 Configuration du serveur DHCP ........................................................38
4.2.4 Définition des règles du firewall ........................................................39
4.2.5 Configuration du portail captif ...........................................................40
4.2.6 Authentification et gestion des utilisateurs .........................................44
4.3 Test...........................................................................................................48
CONCLUSION GENERALE .................................................................................52
REFERENCES .......................................................................................................53
RESUME ................................................................................................................54
ABSTRACT ...........................................................................................................55

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil VII
libre: pfsense.
LISTE DES TABLEAUX
Tableau 3-1: récapitulatif des critères de comparaison des portails captifs ...............21

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil VIII
libre: pfsense.
LISTE DES FIGURES
Figure 1-1: organigramme de l'IPG/ISTI .................................................................. 4

Figure 1-2:Logo de l'Institut Privé de Gestion | Institut Supérieur de Technologies
Industrielles ............................................................................................................. 5
Figure 1-3: diagramme de gant ................................................................................. 7
Figure 2-1:architecture du réseau ............................................................................12
Figure 3-1: exemple de portail captif .......................................................................17
Figure 4-1: architecture du réseau pilote ..................................................................27
Figure 4-2:téléchargement de l’image de pfSsense .................................................28
Figure 4-3:création de la machine virtuelle..............................................................29
Figure 4-4:lancement de pfsense .............................................................................30
Figure 4-5: installation PFsense étape 1 ..................................................................30
Figure 4-6: installation PFsense étape 2 ..................................................................31
Figure 4-7: installation de PFsense étape 3 ..............................................................32
Figure 4-8: menu de configuration ..........................................................................32
Figure 4-9: configuration de l'adresse IP LAN ........................................................34
Figure 4-10: portail de connexion de pfSense ..........................................................35
Figure 4-11:configuration générale .........................................................................36
Figure 4-12: modification des paramètres d’accès ...................................................36
Figure 4-13: configuration de l'interface Wan .........................................................37
Figure 4-14: configuration de l'interface Lan ...........................................................38
Figure 4-15: activation du serveur DHCP ................................................................39
Figure 4-16: règles du pare-feu ...............................................................................39
Figure 4-17: fin de la configuration générale de pfSense .........................................40
Figure 4-18:activation du portail captif ...................................................................41
Figure 4-19:configuration du portail captif ..............................................................42
Figure 4-20: configuration de la redirection après authentification ..........................43
Figure 4-21: modification des paramètres de connexion pour les clients ..................43
Figure 4-22: activation du serveur d'authentification ...............................................44
Figure 4-23: activation des utilisteurs du portail ......................................................44
Figure 4-24: ajout du groupe utilisateur du portail ...................................................45
Figure 4-25:octroie du privilège d'utiliser le portail .................................................46
Figure 4-26: ajout de notre utilisateur du portail ......................................................47
Figure 4-27:création de notre utilisateur ..................................................................47
Figure 4-28: ajout du logo pour la personnalisation du portail .................................48
Figure 4-29: test de connexion ................................................................................49
Figure 4-30: page d'accueil du portail personnalisé .................................................50
Figure 4-31: connexion avec nos identifiants...........................................................50
Figure 4-32: page de redirection après authentification ...........................................51

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil IX
libre: pfsense.
LISTE DES SIGLES ET ABREVIATIONS
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name Service
HTTP : HyperText Transfer Protocol
HTTPS : HyperText Transfer Protocol Security
HTML : HyperText Markup Language
IP : Internet Protocol
LAN: Local Area Network
LAGG :Link Aggregation
LDAP : Lihgtweight Directory Access Protocol
MAC : Medium Access Control
NAT: Network Address Translation
PPTP : Point-to-Point Tunneling Protocol
PHP : Hypertext Preprocessor
RADIUS: Remote Authentification Dual-In User Service
SSL : Secure Sockets layers
SSH : Secure Shell
TCP : Transfer Control Protocol
TLS : Transport Layer Security
VPN : Virtual Private Network

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil X
libre: pfsense.
VLAN : Wireless Local Area Network
WIFI : Wireless Fidelity
WAN : Wide Area Networ

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG-ISTI à partir d'un outil XI
libre: pfsense.
AVANT-PROPOS
L’Institut Supérieur de Technologie Industrielle (I.S.T.I) est l'une des instituts que
compte le GROUPE IPG/ISTI l’école des ingénieurs et des gestionnaires par
excellence. Créée en 1994 dans le but d'accompagner le Sénégal dans son ambition
de s'approprier les Technologies de l'Information et de la Communication (TIC),
l’ISTI est l’une des écoles supérieures d'informatique privées du pays. Elle a mis en
place une large gamme de programmes de formation permettant à l’étudiant de
s’adapter à l’évolution perpétuelle de l’environnement dans lequel il évolue. Parmi
celles-ci on peut citer l’Administration des Réseaux et Maintenance (ARSM),
l’Informatique de gestion (Génie Logiciel), l’Informatique Electronique Industrielle,
Génie civile dans le Bâtiment dans plusieurs spécialités telle que la Géométrie –
Topographie, Projecteur-calculateur BTP etc….
Les étudiants en fin de Cycle, pour l’obtention de leur diplôme de Technicien

Supérieur qui s’étend sur trois années, doivent effectuer une soutenance d’un
mémoire qui met l'accent sur un thème en conformité avec la filière de l’étudiant. Les
thèmes proposés impliquent une étude approfondie dans les domaines balayés par les
réseaux et maintenance informatiques pour notre cas. C’est ainsi que nous avons
effectué, au sein de l’IPG-ISTI, un projet de fin d'étude pour lequel le présent
document tient lieu de rapport.

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG/ISTI à partir d'un outil
libre: pfsense.
1
INTRODUCTION GENERALE
L'utilisation de l'internet au Sénégal est en pleine expansion. A en croire l'Agence

de régulation des télécommunications et des postes (ARTP), un total d'environ 9,6
millions de personnes l'utilise dans le pays, soit bien plus que la moyenne de la
population du pays estimée à 15,7 millions d'habitants. Cet engouement à
l'utilisation des TIC impose une augmentation de l'offre des services Internet. En
effet, bon nombre de cette population disposent aujourd'hui d'un appareil mobile
(portable, Smartphone, ...) et souhaitent pouvoir accéder à Internet dans la majorité
des lieux qu'ils fréquentent.
Néanmoins chaque réseau possède sa politique d'accès et ne souhaite pas laisser

n'importe qui accéder aux ressources réseaux. D’où l’importance et l’obligation de
l’élaboration d’un système de sécurité informatique afin d’identifier les sources de
menace et ses dégâts informationnels. Ainsi, il est nécessaire de mettre en place des
systèmes d'authentification sur ces réseaux qui doivent cumuler de multiples
avantages. Ces avantages sont entre autres : une compatibilité avec la majorité des
appareils mobiles du marché, une sécurité des échanges entre les clients et le reste du
réseau, une plus grande transparence offerte à l'utilisateur aussi bien lors de la phase
d'authentification que lors de l'utilisation du réseau, une réduction de l'impact au
niveau des ressources matérielles et de la bande passante, etc. Face à ces enjeux, le
portail captif s'est imposé comme une solution fréquemment utilisée dans les points
d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou
filaire) nécessitant un contrôle d'accès.
Le groupe IPG/ISTI a vu croitre le nombre de ses partenaires et étudiants révélant

ainsi un besoin grandissant d'échanges privés et professionnels. Ainsi
l’administration travail essentiellement avec l’outil informatique .Ces transmissions
de données entrainent une certaine dépendance vis-à-vis des services qu'offre
Internet. Chaque ordinateur connecté à Internet et d’une manière plus générale à
n’importe quel réseau informatique, est susceptible d’être victime d’une attaque d’un
pirate informatique d’où la nécessité de se protéger des attaques réseaux en installant
un dispositif de protection.

libre: pfsense.
2
C’est fort de ce constat que notre études de mémoire s’articule autour du thème <<
Etude et mise en place d’un portail captif pour la gestion de la sécurité de l’IPG/ISTI
à partir d’un outil libre : pfsense >>
Ce document synthétise nos travaux menés dans ce cadre et est organisé en quatre
parties.
La première partie de ce document présente la structure d'accueil, le thème d'étude

ainsi que le contexte dans lequel s'inscrit notre travail.
La deuxième partie est consacrée à l'analyse du système informatique de la structure

d'accueil ce qui permettra de l'évaluer afin de proposer une solution bien adaptée.
L'étude générale des portails captifs fait l'objet de la troisième partie; ce qui nous
permettra de choisir la solution à implanter.
Et enfin la quatrième partie est consacrée à l'étude technique et la mise en place de

l'outil PFsense.

libre: pfsense.
3
PREMIERE PARTIE : VUE

D’ENSEMBLE

Etude et mise en place d'un portail captif pour la gestion de la sécurité du réseau de l'IPG/ISTI à partir
4
d'un outil libre: pfsense.
Chapitre 1 : Présentation de l’environnement de travail et du théme
1.1 Structure d'accueil et contexte
La disposition de l’Institut Supérieur de Technologie Industrielle peut être présentée

comme suit
Figure 1-1: organigramme de l'IPG/ISTI
L’institut privé de gestion (IPG) a été créé en 1981 et a été reconnu d’utilité publique
par décret présidentiel N° 88255 du 10 Mars 1988. Il fait partie des premiers
établissements d’enseignement supérieur dans le secteur privé au Sénégal et est
construit sur une superficie de plus de 6000m². Son expérience riche et variée dans la
formation professionnelle explique sa place de leader dans le secteur.

5
Figure 1-2:Logo de l'Institut Privé de Gestion |

Institut Supérieur de Technologies Industrielles
Le souci de diversification de ses filières de formation, la collaboration avec les

instituts et universités canadiens et Ukrainiens (académie d’Etat d’Odessa) et
encouragé par les excellents résultats aux différents examens d’Etat, aboutissent à la
création en 1994 de l’Institut Supérieur de Technologie Industrielle (I.S.T.I) qui vise
une formation technique équilibrée en synergie avec le milieu industriel. Ainsi il
vient compléter IPG pour constituer, le GROUPE IPG/ISTI ayant en son sein
plusieurs départements ouvrant sur des spécialités diverses.
Le groupe IPG/ISTI compte plus d’une trentaine de salles de cours pouvant accueillir
plus de 40 étudiants et stagiaires , des salles spécialisées pour des séminaires, des
conférences, des salles de travaux pratique permettant aux étudiants de s’adapter aux
nouvelles Technologie de l’information et de la Communication (N.T.I.C), des
laboratoires et des salles de reproduction.
Le groupe IPG/ISTI est une école nationale qui a pour mission l'élaboration et la
transmission de la connaissance par la formation des hommes et des femmes afin de
répondre aux besoins de la Nation. Le Groupe IPG/ISTI se donne pour soucis
constants de développer l’intellect de ses étudiants tant en formation initiale que
permanente ,de perfectionner la formation des dirigeants, consultants, cadres
supérieurs des secteurs publics, parapublics et privés par le biais de séminaires Pour
y parvenir le groupe IPG/ISTI s'assigne les objectifs suivants:
 Transmettre des connaissances solides sur les plans techniques et

comportementaux aux étudiants

6
 Créer des situations de responsabilité pour permettre leurs étudiants d’être

des décideurs
 Favoriser la découverte et le dialogue
 Proposer des cas concrets pour confronter, expérimenter et aiguiser le sens
critique de l’étudiant par l’analyse et la synthèse, développer et soutenir ses
conclusions afin d’en faire un entrepreneur accompli.
Pour l'atteinte de ces objectifs l'utilisation des TIC est plus que nécessaire. Le groupe
IPG/ISTI met à la disposition du public, différents services informatiques tels l'accès
à Internet, l'accès à la documentation, etc. Vu le nombre et la diversité des
utilisateurs leur demande en ressources s'accroît et leur gestion se complique
davantage rendant en quelque sorte le réseau vulnérable. Ainsi c'est dans un objectif
d'amélioration des services réseaux de L’IPG/ISTI que s'inscrit ce travail.
1.2 Présentation du thème
Le réseau de l’ISTI, comme n'importe quel autre réseau n'est pas sans faille en
termes de sécurité car ses utilisateurs sont de diverses origines. En effet, bien que
moderne, l'accès au réseau sans fil de l’IPG/ISTI ne nécessite d’aucune
authentification dans certaine zone et celui au filaire par la détention d'un compte
valide (identifiant/mot de passe) sur les poste fixes.
En outre, l'authentification par la filaire autorise la connexion des machines externes

à la structure; c'est-à-dire qu'un utilisateur qui venait brancher sa machine
personnelle à partir d'un câble du réseau, pouvait se connecter sans qu'il ne lui soit
demandé de s'authentifier. Ce qui n'est pas sans risque car un utilisateur mal
intentionné pourrait contourner facilement l'authentification d'où une remise en cause
de la politique d'accès.
Ainsi l'évolution du nombre croissant d'utilisateurs Wi-Fi et le contrôle d'accès de

tous les utilisateurs font apparaître l'impératif de mise en place d'un système
d'authentification transparent et simple d'utilisation.
Voilà autant de problèmes auxquels nous voulons apporter une solution grâce à cette
étude d’implémentation portail captif

7
1.3 Planning prévisionnel du projet (Diagramme de

GANTT)
proposition de théme de mémoire
discussion des étapes à suivre avec

l'encadreur
durée
information sur la structure
reherche et rédaction du mémoire
mis en place de notre solution
Figure 1-3: diagramme de gant

8
DEUXIEME PARTIE :
ETUDE DU SYSTEME
INFORMATIQUE EXISTANT

9
Chapitre 2 : Etude du système informatique existant
2.1 Présentation
Toute révision, modification ou action visant à apporter des améliorations au système

informatique de l’IPG/ISTI doit passer par une connaissance préalable de l'ensemble
des différents éléments constituant l'architecture de son système informatique
existant. L'analyse de l'existant a pour but à la fois d'évaluer le niveau de
performance et de disponibilité de l'infrastructure réseau, et de déterminer quelles
améliorations peuvent être apportées afin de la rendre plus performante tout en
facilitant sa gestion.
2.2 État des ressources du système informatique
2.2.1 Les ressources matérielles

Le matériel qui constitue actuellement le système informatique du l’IPG/ISTI peut se
présenter comme suit:
 des postes de travail: Ce sont les ordinateurs fixes du réseau à partir

desquels les utilisateurs accèdent à leurs sessions. Ils sont listés ci-dessous en
fonction des salles où l’on se trouve
 21 postes au niveau de la salle info2
 6 postes à la bibliothèque
 16 postes dans la salle Cisco
 25 postes dans la salle S.Alexandre
 25 postes dans la salle info1
 des serveurs: Les serveurs matériels sont généralement des ordinateurs de

plus grande capacité que les stations de travail ordinaires et disposent de
mémoire importante pour traiter simultanément les nombreuses tâches
actives ou résidantes en mémoire. En résumé ce sont des ordinateurs qui
ont une grande puissance de traitement et qui sont très robustes afin
d'assurer la disponibilité des services réseau. L’IPG-ISTI dispose de :

10
 1 serveur qui fait office de contrôleur de domaine

 1 serveur qui sert de passerelle
 des imprimantes et scanners: Outils bureautiques par excellence, les

imprimantes peuvent constituées aussi des nœuds d'un réseau.
 les équipements d'interconnexions: Ce sont les éléments du réseau qui
relient plusieurs nœuds.
 Un modem routeur
 Un switch pour les deux serveurs du réseau
 Un switch relié au switch de la salle serveur et aux autres
switch du reste du réseau
 Un switch dans la salle info1
 Un switch dans la salle info2
 Un switch dans la salle Cisco
 Un switch dans la bibliothèque
 Un switch dans la salle S Alexandre
 Un switch dans le labo Lurgue
 Un switch dans plusieurs salles de Travaux Pratiques pour les
relier les équipements qui s’y trouvent
 Un modem wifi au rez de chaussée
 Un modem wifi dans la salle info 2
 Un modem wifi au premier étage
 Un modem wifi au deuxième étage
 Un modem wifi au troisième
 Un modem wifi dans la salle de conférence
 le câblage: Le câblage constitue le support physique de transmission du

réseau.
 Des vidéos projecteurs

11
2.2.2 Les logiciels

Il s'agit ici de faire l'inventaire des logiciels ainsi que les différents services installés :
 Le système d’exploitation installé sur le serveur est UBUNTU16 version

serveur
 Le système d'exploitation installé sur toutes les machines clientes est le
Windows dont la version varie d’un poste à un autre
 Les services: Les serveurs matériels définis un peu plus haut sont des
machines conçues pour recevoir des applications (logiciels) appelées
applications serveur qui permettent aux autres postes du réseau (machines
clientes) d'accéder à des ressources (imprimantes, fichiers
Partagés...) ou à des applications clientes. C'est donc par le terme de services
qu'on désigne les applications installées.
 DHCP
 DNS
 IP Messenger
2.2.3 Le réseau
Le réseau de l’IPG/ISTI est subdivisé en deux (02) sous-réseaux.
 L’une dédiée exclusivement aux personnels de l’institut

 l’autre pour les étudiants.
Ce type de répartition est fréquent dans de nombreux réseaux et présente plusieurs

avantages.
L’architecture du réseau peut être présentée comme suit

12
Figure 2-1:architecture du réseau
2.3 Analyse critique du système
Afin de mieux appréhender le système, il convient de savoir où réside ses forces pour
en déduire ses faiblesses. Ce qui permettra d'apporter des améliorations aux
éventuelles failles.
2.3.1 Aspects positifs du système

Sur le plan physique nous avons apprécié positivement le système informatique de
l’IPG/ISTI sur les points suivants:
 existence d'une charte d'utilisation des outils informatiques : Cela permet

d'informer l'utilisateur sur ses marges de manœuvre, le dissuade de toute
tentative d'outrepasser ses droits d'utilisateur et l'observation des règles
élémentaires de sécurité car ne dit-on pas que 90% des risques sont le fait des
utilisateurs internes;
 installation électrique : des prises de terre et des onduleurs permettent la
protection de l'équipement informatique contre les pics de courant, les
surtensions et la sauvegarde de données après une interruption électrique.

13
 topologie du réseau: la topologie étoilée du réseau facilite la gestion du

réseau et les interventions physiques sur le réseau.
Sur le plan logique nous avons pu relever:
 existence d'un outil d'authentification : La connexion à un poste du réseau est
conditionnée par la détention d'un compte utilisateur valide;
 le système : les serveurs tournent sur linux dont les distributions sont
quasiment invulnérables aux virus;
 le sous réseautage qui permet de séparer le réseau des étudiants et celui du
personnel de l’école
 présence de plusieurs répéteurs sans fil permettant une plus grande mobilité
des utilisateurs et du réseau global en général
2.3.2 Failles du système

Partant du fait qu'aucun système informatique n'est parfait, c'est-à-dire que le risque
zéro n'existe pas et que tout système est vulnérable en matière de sécurité
informatique, alors nous avons pu relever les failles suivantes:
 les accès non autorisés: l'authentification par la filaire autorise la connexion

des machines externes à la structure; c'est-à-dire qu'un utilisateur qui venait
brancher sa machine personnelle à partir d'un câble du réseau, pouvait se
connecter sans qu'il ne lui soit demandé de s'authentifier.
 l’absence de pare feu : à ce jour l’IPG/ISTI ne dispose d’aucun pare-feu
pour le protéger des intrusions
 le manque de traçabilité et de contrôle d'accès: l'authentification par adresse
MAC ne permet pas la gestion efficace des utilisateurs, hormis l'autorisation
d'accès au réseau, on ne peut savoir qui est réellement connecté, et quel est la
durée d'abonnement de l'utilisateur d'où une remise en cause même de la
politique d'authentification (utilisateur et mot de passe) déjà existant;
 la conformité à la réglementation interne et externe : une charte existe,
malheureusement elle n'est pas connue de tous les utilisateurs, car les
utilisateurs ne pensent pas souvent à lire les affiches.

14
2.4 Solutions envisageables
Au terme de cette analyse qui vient d'être faite, il ressort que l’IPG/ISTI est doté d'un
réseau informatique autonome. Cependant force est de reconnaître que des failles
existent et auxquelles il faut apporter des solutions. Vu les failles décrites plus haut,
nous préconisons les améliorations suivantes:
 insistance sur la sensibilisation du personnel au respect des règles de sécurité;

 revoir la politique d'accès au réseau d'où la nécessité d'un portail captif;
 uniformisation de la méthode d'authentification aussi bien pour les clients
WI-FI que pour les utilisateurs du réseau filaire; ici s'impose la nécessité d'un
portail captif;
 gestion efficace des utilisateurs après authentification du point de vue
traçabilité, détermination d'une durée de connexion, transparence vis-à-vis de
l'utilisateur, compatibilité avec plusieurs plates-formes. Ici aussi s'impose
l'impératif d'utiliser un portail captif.
Ainsi il existe une panoplie de solutions mais le portail captif est la mieux indiquée
car il permet, en plus d'authentifier les utilisateurs, de gérer ces utilisateurs de
manière efficace.

15
TROISIEME PARTIE:
GENERALITES SUR LES
PORTAILS CAPTIFS

16
Chapitre 3 : Présentation des portails captifs
3.1 Définition
Un portail captif est une application qui permet de gérer l'authentification des
utilisateurs d'un réseau local qui souhaitent accéder à un réseau externe
(généralement Internet). Il oblige les utilisateurs du réseau local à s'authentifier avant
d'accéder au réseau externe.
Lorsqu'un utilisateur cherche à accéder à Internet pour la première fois, le portail

capte sa demande de connexion grâce à un routage interne et lui propose de
s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se
fait via une page web stockée localement sur le portail captif grâce au serveur HTTP.
Ceci permet à tout ordinateur équipé d'un navigateur web et d'un accès Wifi de se
voir proposer un accès à Internet. Au-delà de l'authentification, les portails captifs
permettent d'offrir différentes classes de services et tarifications associées pour
l'accès Internet (Par exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela
est obtenu en interceptant tous les paquets quelles que soient leurs destinations
jusqu'à ce que l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet.
Lors de l'établissement de la connexion, aucune sécurité n'est activée. Cette sécurité

ne sera active que lorsque l'ordinateur connecté tentera d'accéder à Internet avec son
navigateur web. Le portail captif va, dès la première requête HTTP, rediriger le
navigateur web afin d'authentifier l'utilisateur, sans quoi aucune demande ne passera
au-delà du serveur captif.
Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et
celui-ci se voit autorisé à utiliser son accès Internet pour une durée fixée par
l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemander ses
identifiants de connexions afin d'ouvrir une nouvelle session.
Ce système offre donc une sécurité du réseau mis à disposition, il permet de respecter
la politique de filtrage web de la structure d’accueil grâce à un module proxy et
permet aussi grâce à un firewall intégré d'interdire l'accès aux protocoles souhaités.

17
3.2 Fonctionnement général des portails
Figure 3-1: exemple de portail captif
La technique du portail captif consiste à forcer un client souhaitant accéder à un

service en http ou https sur un réseau à passer par une page web servant à
l'authentifier sur ce réseau.
Après authentification, la passerelle peut le laisser passer; le client a accès au réseau

de façon classique. En effet le client se connecte au réseau par l'intermédiaire d'une
connexion filaire ou au point d'accès sans fil pour du wifi. Ensuite un serveur DHCP
lui fournit une adresse IP ainsi que les paramètres de la configuration du réseau. A ce
moment-là, le client a juste accès au réseau en lui et la passerelle, cette dernière lui
interdisant, pour l'instant, l'accès au reste du réseau.
Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS,

la passerelle le redirige vers une page web d'authentification qui lui permet de
s'authentifier grâce à un login et un mot de passe.
Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login
et du mot de passe. Le système d'authentification va alors contacter une base de
données contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le
système d'authentification indique, plus ou moins directement selon les portails
captifs, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau.
Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le

18
réseau derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à
divers mécanismes comme une fenêtre pop-up sur le client rafraîchie à intervalles
réguliers ou des requêtes ping vers le client, est en mesure de savoir si l'utilisateur est
toujours connecté au réseau. Au bout d'un délai d'absence sur le réseau, le portail
captif va couper l'accès à cet utilisateur
3.3 Aperçu des principaux portails captifs
Sur le marché, plusieurs éditeurs proposent une large gamme portails captifs
différenciée selon leurs fonctionnalités
Ainsi nous allons présenter quelques solutions qui sont toutes des solutions libres et
gratuites ce qui nous permet de réduire considérablement le coût de leur mise en
place.
3.3.1 PFsense
PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est
d'assurer les fonctions de pare-feu et de routeur mais l'engouement généré par cet
applicatif lui a permis d'étendre ses fonctionnalités et présente maintenant les
fonctions de portail captif, serveur proxy, DHCP ...
Son installation se fait facilement via une distribution dédiée et toutes les
configurations peuvent se faire soit en ligne de commande (SSH) ou via l'interface
web (HTTPS).
La sauvegarde et la restauration de configuration est disponible à travers l'interface

web et permet de générer un simple fichier d'une taille raisonnable. Le portail assure
une évolution constante grâce à des mises à jour régulières dont l'installation est
gérée automatiquement dans une partie du panneau d'administration. Cette solution
permet une authentification sécurisée via le protocole HTTPS et un couple utilisateur
/ mot de passe. Une documentation très complète est disponible sur Internet, un
support commercial est désormais présent en cas de gros incident. PFsense dispose
aussi d'une communauté très active. PFsense assure une compatibilité multi-plates-
formes, une personnalisation complète des pages accessibles aux utilisateurs ainsi
qu'une simplicité d'utilisation grâce à une page de connexion succincte où on ne
retrouve que deux champs (utilisateur / mot de passe)

19
3.3.2 Alcasar
ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au
Réseau) est un projet indépendant, initié en 2008 par Richard REY (rexy), Franck
BOUIJOUX (3abtux) et Pascal LEVANT (angel95). ALCASAR est un portail libre
et gratuit de contrôle d'accès à Internet pour les réseaux ouverts de consultation. Il
authentifie, impute et protège les accès des usagers indépendamment des
équipements connectés (microordinateur, tablette Internet, console de jeux,
webphone, etc.). ALCASAR intègre des fonctions de filtrage permettant de répondre
aux divers besoins des organismes (entreprise, centres de loisirs, établissements
scolaires, etc.). ALCASAR s'appuie sur une vingtaine de logiciels libres afin de
constituer un portail captif authentifiant sécurisé. Cet applicatif s'installe via un script
supporté par la distribution Linux Mandriva, les configurations se font via une
interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement
sur le Serveur Mandriva.
Une sauvegarde de la configuration est prise en charge via la création d'un ghost
système (fichier système) dans le panneau d'administration, ce qui engendre tout de
même un fichier d'une certaine taille. Les mises à jour régulières assurent la
pérennité de la solution. L'authentification au portail est sécurisée par HTTPS et un
couple utilisateur / mot de passe. Une documentation assez complète est disponible
pour l'installation et la configuration et la communauté est active. Tout comme
PFsense, ALCASAR est compatible avec de nombreuses plates-formes, la
personnalisation des pages utilisateurs et la simplicité d'utilisation sont
3.3.3 ZeroShell
ZeroShell est une distribution Linux conçue pour mettre en place une sécurité
globale au sein d'un réseau (Pare-Feu, VPN, portail captif...). Son installation est
simple via une distribution dédiée. Elle présente une interface de gestion web simple
d'utilisation qui permet entre autres de sauvegarder la configuration du portail captif
ou encore de personnaliser les pages de connexion et déconnexion dans un éditeur
HTML intégré. Comme les deux autres solutions la page d'authentification est
sécurisée et la connexion se fait via un couple utilisateur / mot de passe.

20
On retrouve assez peu de documentation pour la gestion du système mais la

communauté à l'air tout de même bien présente. Son utilisation reste identique aux
autres solutions présentées.
3.3.4 ChilliSpot
ChilliSpot est un applicatif dédié à la gestion de l'authentification sur les réseaux, son
installation est assez simple via un package applicatif disponible sur les distributions
Red Hat et Fedora. La sauvegarde de la configuration est disponible mais elle
implique de copier les fichiers de configuration et donc de les connaître. La page de
connexion est disponible en HTTPS à condition d'avoir configuré le serveur web
(Apache) au préalable en écoute sur le port 443. On retrouve une documentation
complète et une communauté assez active, mais le projet est en régression, la
dernière version stable date d'octobre 2006 et le projet est mis en suspens depuis le
départ du développeur principal L'utilisation est la même que les autres solutions
proposées, page de connexion avec champs utilisateur et mot de passe.
3.4 Comparaison des portails captifs
Au vu de toutes ces solutions disponibles, nous allons faire un petit comparatif afin
de décider de la meilleure option pour répondre au besoin de notre sujet d’étude.
Ainsi dans l'étude comparative des solutions nous avons mis en évidence plusieurs
critères importants que doivent prendre en compte les différentes solutions:
 Sécurité des échanges lors de l'authentification: pour éviter la récupération

de mot de passe sur le réseau ;
 Présence d'une documentation complète: pour assurer la rapidité de mise en
place de la solution;
 Simplicité d'administration: pour permettre à différentes personnes
d'administrer le logiciel;
 Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou
non) de se connecter au réseau Wi-Fi ou filaire;
 Compatibilité multiplateformes : pour permettre la connexion depuis les
Smartphones, différents navigateurs web et différents système d'exploitation.
 Présence de sauvegarde et restauration de configuration : pour permettre un
redémarrage du système très rapidement en cas de problèmes;

21
 Pérennité de la solution : pour pallier les failles de sécurité et augmenter les

fonctionnalités de la solution via des mises à jour ;
 Possibilité de personnaliser la page de connexion : pour adapter le logiciel à
la charte graphique de l'entreprise et ainsi le rendre plus convivial
Le tableau suivant fait un récapitulatif des critères de comparaison.
Tableau 3-1: récapitulatif des critères de comparaison des portails captifs
Critères Solutions
PFsense Alcasar Zeroshell chilliSpot
Sécurité lors de HTTPS HTTPS HTTPS HTTPS

l’authentification
Documentation
Simplicité Installation Installation Installation Installation

d’administration via une via un script via une via sur Red
distribution automatisé distribution Hat et Fedora
dédiée dédiée
Personnalisation
Pérennité de solution
Multiplateformes
Restauration de
configuration et
sauvegarde
Simplicité d’utilisation

22
Légende :
Disponibilité élevée
Moyennement disponible
Moins disponible
3.5 Choix d'une solution de portail captif
Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer,
l'étude théorique permet de retenir les deux premières solutions à savoir PFsense et
ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent
s'installer sur un serveur comme sur un poste de travail, authentification des
utilisateurs par login et mot de passe, contrôle de la bande passante, facilité
d'administration, d'installation et de configuration, facilité d'utilisation,
documentation très détaillée et disponible, disponibilité de mises à jour.
Au final notre choix s’est porté sur l’utilisation du logiciel PFsense car au vu de notre
étude comparative, il répond parfaitement aux besoins exprimés lors de la deuxième
partie
3.6 Etude détaillée de pfSense
3.6.1 Qu’est-ce que pfSense

Développé par Chris Buechler et Scott UlIrich, PFsense ou « Packet Filter Sense »
est un applicatif qui fait office de routeur/firewall open source basé sur le système
d'exploitation FreeBSD et Monowall. Il est une reprise du projet Monowall auquel il
rajoute ses propres fonctionnalités.
pfSense est basé sur PF (packet filter), comme IP tables sur GNU/Linux et il est
réputé pour sa fiabilité. C'est une distribution dédiée qui peut être installée sur un
simple poste de travail, un serveur ou même sur un boîtier en version embarquée. Ce
qui séduit chez pfSense est sa facilité d'installation et de configuration des outils
d'administration réseau. En effet, après une installation en mode console, il
s'administre ensuite simplement depuis une interface web et gère nativement les
VLAN.

23
La distribution pfSense met ainsi à la disposition de l'administrateur réseau une

multitude d'outils open source et de services permettant d'optimiser ses tâches. Parmi
ces services, figure Captive Portail (portail captif) qui fait l'objet de notre travail.
3.6.2 Aperçu des fonctionnalités et services de pfSense

pfSense est un outil qui ne joue pas seulement le rôle d’un firewall, il offre toute une
panoplie de services réseaux. En fonction de la version du logiciel, le nombre de
services et/ou de fonctionnalités peut varier. Nous allons vous en présenter une
partie, du moins la plus intéressantes.
 Pare-feu : indispensable pour une distribution "firewall".

 Table d'état: La table d'état contient les informations sur les connexions
réseaux.
 Traduction d'adresses réseaux (NAT)
 Proxy Caching Transparent
 Serveur DHCP.
 Serveur DNS et DNS dynamiques.
 Portail captif;
 Contrôle d'accès par adresses MAC ou authentification RADIUS
 etc
Néanmoins en fonction de la version du logiciel, le nombre de services et/ou de

fonctionnalités peut varier. Pour notre test, la version 2.4.4 est utilisée. Ainsi sur
cette version les améliorations suivantes ont été réalisées:
 Mise à niveau du système d'exploitation: Système d'exploitation de base mis

à niveau vers FreeBSD 11.2-RELEASE-p3. Dans le cadre de la migration
vers FreeBSD 11.2, un support est inclus pour le matériel basé sur C3000.
 PHP 7.2 : PHP a été mis à niveau vers la version 7.2, ce qui a nécessité de
nombreuses modifications de la syntaxe dans le code source et les packages.
 Groupe de passerelles par défaut : la passerelle par défaut peut maintenant
être configurée à l'aide d'une configuration de groupe de passerelles pour le
basculement, qui remplace le basculement de passerelle par défaut.

24
 Planificateurs AQM / Queue Limiter : les limiteurs incluent désormais la

prise en charge de plusieurs méthodes AQM (Active Queue Management) et
de configurations de planificateur de file d'attente telles que FQ_CODEL.
 Conditions requises pour les certificats : L'assistant de gestion de certificats
et l'assistant OpenVPN ne nécessitent désormais que le nom commun, et tous
les autres champs sont facultatifs.
 DNS sur TLS : le résolveur DNS inclut désormais la prise en charge de DNS
sur TLS en tant que client et serveur, y compris pour les substitutions de
domaine.
 Authentification du portail captif : l'authentification du portail captif est
maintenant intégrée au système User Manager. Les instances de portail captif
peuvent désormais utiliser RADIUS, LDAP ou l'authentification locale, à
l'instar d'autres services intégrés.
 Conception et utilisation HTML du portail captif : La page du portail captif
par défaut a été repensée. Des contrôles ont également été ajoutés, permettant
de personnaliser le logo et les images d'arrière-plan, ainsi que le texte relatif
aux conditions d'utilisation, sans modifier ni télécharger de code HTML
personnalisé.
 Améliorations des commutateurs intégrés : les périphériques Netgate avec
des commutateurs intégrés tels que le SG-3100 et le XG-7100 peuvent
maintenant configurer les paramètres de vitesse et de duplex par port, les
interfaces de configuration de ports discrets peuvent désormais être liées aux
ports de commutateur pour le statut haut / bas et la prise en charge de LAGG
est également disponible (mode Load Balance uniquement)

25
QUATRIEME PARTIE: MIS EN

PLACE ET CONFIGURATION
DE PFSENSE

26
Chapitre 4 : Mis en place et configuration de pfSsense
Comme cité plus haut nos objectifs sont :
 Faire en sorte que les étudiants s’authentifient avant d’accéder à un

quelconque service aussi bien par la voix filaire que par le WIFI
 Paramétrer le pare-feu pour protéger le réseau de l’école
 Garder une certaine traçabilité des utilisateurs
Etant en phase de test notre solution ne peut évidemment pas être directement
implémentée au niveau de l’école. Néanmoins nous avons déployé un réseau pilote
afin de voir en gros ce que peut faire notre portail captif.
4.1 Installation de pfSense
4.1.1 Matériel et architecture de notre réseau pilote

Les matériels qui constituent notre réseau pilote sont être listés ci-dessous :
 Un serveur où sera installé notre logiciel PFsense

 Un switch
 Un routeur pour l’accès internet
 Un ordinateur utilisé comme machine administrateur
 Un ordinateur connecté sur le réseau sans-fil comme client
L'architecture du réseau est représentée par la figure ci-dessous :

27
Figure 4-1: architecture du réseau pilote
Comme que nous n’avons pu avoir le matériel physique requis pour notre réseau
pilote nous avons décidé de le virtualisé.
4.1.2 Présentation de l’environnement de travail

(VMware)
Etant en phase de test, notre solution ne peut directement être implémentée au niveau
de l’école. Néanmoins nous avons choisi VMware comme outil de virtualisation qui
nous permettra de voir en gros ce que peut faire notre portail captif. Ainsi : VMware
est une société informatique américaine fondée en 1998, filiale d'EMC Corporation
depuis 2004 (racheté par Dell le 7 septembre 20163,4), qui propose plusieurs
produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par
extension le nom d'une gamme de logiciels de virtualisation.

28
4.1.2.1 Création de la machine virtuelle pour notre

logiciel
Avant de commencer l’installation nous avons téléchargé l’image de pfSense sur le

site officiel de pfSsense.
Pour notre cas nous avons choisi la version 2.4.4 avec comme architecture AMD64
(64bit). Puisque nous sommes en environnement virtuel nous avons choisi l’option
CD Image(ISO). Ainsi notre image téléchargée est représentée par la figure suivante
Figure 4-2:téléchargement de l’image de pfSsense
Apres avoir téléchargé pfsense notre prochaine étape consiste à créer la machine
virtuelle pfsense dans Workstation, nous sommes d’abord :
Allés au File...New Virtual MachineChoisis I will install the operating system
later Le système d'exploitation invité est Other puis dans le menu déroulant, on a
selectioné FreeBSD 11 64-bit.

29
Nous avons ensuite choisit le nom de notre machine virtuelle qui est pfsense-1 pour
notre cas et avons sélectionné notre emplacement
Figure 4-3:création de la machine virtuelle
Pour terminer on a dimensionné la taille de notre disque. Dans les propriétés de la

machine virtuelle, on a fait les réglages suivants :
 Alloué la mémoire à 3Gb.

 Choisi le nombre de processeur virtuel
 Dans la section nouveau CD/DVD, on a sélectionné l'option image ISO,
avons clické sur "Browse", et avons navigué jusqu'à l'image que nous avons
téléchargé précédemment. Nous avons supprimé le lecteur de disquette et
avons ajouté le nombre de carte réseau requise par notre installation (deux
pour notre cas).
 On a fait un Clic sur "Finish" pour achever votre installation. Notre nouvelle
machine virtuelle est désormais disponible.
4.1.3 Installation de pfSense

Une fois notre installation de notre machine virtuelle terminée, on a démarré avec la
toucher Power on This Virtual machine.
A partir de là on accède ensuite à l'écran de démarrage de FreeBSD

30
Figure 4-4:lancement de pfsense
Une fois le compte à rebours terminé et le démarrage réussi, l’écran de bienvenue

de PFsense apparaît. Cela est représenté par la figure suivante :
Figure 4-5: installation PFsense étape 1

31
Dans la boîte de dialogue suivante, nous pouvons définir la disposition du

clavier. Pour le partitionnement, nous avons choisi d'utiliser « Auto (UFS) » pour
plus de faciliter. Enfin on a confirmé à nouveau avec Entrée.
Figure 4-6: installation PFsense étape 2
Ensuite, l'installation automatique commence. Lorsque l'installation est terminée

nous avons redémarré le système (“ Reboot “).

32
Figure 4-7: installation de PFsense étape 3
4.1.4 Attribution des interfaces réseaux

Ensuite vient la configuration des interfaces réseaux. Pendant le redémarrage,
PFsense essaie automatiquement de configurer l’interface WAN. On remarque ici
que FreeBSD détecte le nombre de cartes réseau et leur attribue des noms.
Figure 4-8: menu de configuration

Pour changer les interfaces WAN et LAN, nous avons sélectionné le numéro 1
“Assign Interfaces”.
Maintenant, nous devons répondre à une série de questions pour pouvoir changer les
interfaces WAN et LAN qui sont détaillées comme suit :

33
 Les VLAN doivent-ils être configurés maintenant? → n (non)

 Entrez le nom de l'interface WAN ou “a” pour la détection automatique →
On doit saisir ici le nom de la carte réseau WAN. Les adresses MAC sont
affichées au début de la boîte de dialogue. Dans notre cas, cela s'appelle em0.
 Entrez le nom de l'interface LAN ou “a” pour la détection automatique →
On doit saisir ici le nom de la carte réseau LAN. Dans notre cas, il
s’appelle em1.
 Voulez-vous continuer → y (Oui).
Voilà un bref résumé de la mission qui sera affiché au préalable.
Il est conseillé de changer l'adresse IP LAN de PFsense pour plus de simplicité par la
suite; son adresse IP LAN par défaut étant le 192.168.1.1. Elle sera par la suite
modifiée pour être dans notre réseau local. Pour se faire nous avons sélectionné le
numéro 2 “.
Pour définir l'adresse IP de l'interface LAN et nous avons :
 Entré le numéro de l'interface que nous souhaitons configurer → 2 pour

l'interface LAN
 Entré la nouvelle adresse IPv4 du réseau local → puisque notre réseau locale
est 10.10.10.0/24 nous avons choisi 10.10.10.2/24
 Dans la question suivante, une passerelle doit être définie. Ceci n'est pas
nécessaire pour une interface LAN, mais uniquement pour une interface
WAN. → Nous avons simplement appuyé sur ENTRER (pour aucun).
 Entré la nouvelle adresse IPv6 du réseau local. → ENTER (pour aucun)
 Voulez-vous activer le serveur DHCP sur le réseau local? → y (Oui), sauf s'il
existe déjà un serveur DHCP sur le réseau local.
 Entré l'adresse de début de la plage d'adresses du client IPv4 → 10.10.10.3 (la
première adresse IP qu'un client peut obtenir sur le réseau local).
 Entré l'adresse de fin de la plage d'adresses du client IPv4 → 10.10.10.200
(dernière adresse IP qu'un client peut obtenir sur le réseau local).
 Voulez-vous revenir à HTTP en tant que protocole webConfigurator? → n
(non, HTTPS devrait rester)

34
Figure 4-9: configuration de l'adresse IP LAN
Ainsi prend fin l'installation et on peut dès maintenant commencer à configurer soit
en mode console, soit à partir de l'interface web. Nous avons choisi ici la
configuration via l'interface web car cela offre plus de convivialité
4.2 Configuration de PFsense
4.2.1 Configuration générale

Pour la configuration via l'interface web, il faut connecter un PC à l'interface LAN de
pfSense. Commencer par ouvrir un navigateur web et entrer l'adresse IP LAN de
notre serveur (pfSense) dans la barre d'adresse: https://ip-pfsense. Dans notre cas,
nous ferons https://10.10.10.2 pour accéder à l'interface de connexion où il est
demandé d'entrer un nom d'utilisateur et un mot de passe. Nous avons ensuite entré le
nom d'utilisateur par défaut (admin) et le mot de passe (pfsense) pour se connecter en
tant qu’administrateur.

35
Figure 4-10: portail de connexion de pfSense
Pour le paramétrage général, nous sommes allés dans l'onglet System, puis Setup
Wizard pour voir la configuration générale de PFsense. Nous avons entré ici le nom
de la machine, le domaine et l'adresse IP du serveur DNS (dans notre cas le nom:
pfsense, le domaine l'ipg-isti.com

36
Figure 4-11:configuration générale
Ensuite, on peut modifier le nom et le mot de passe permettant de se connecter à

PFsense.
Figure 4-12: modification des paramètres d’accès

37
4.2.2 Configuration des interfaces
4.2.2.1 Interface Wan
Pour affecter une adresse IP à une interface Wan on peut sélectionner le type
d'adressage Static ou DHCP. Ici nous avons assigné une adresse Static. Pour affecter
une adresse IP statique à une interface Wan on clique sur le menu déroulant
« Selected Type » en tant que valeur statique. On fait défiler jusqu’ à la section
configuration IP statique. Ensuite on peut préciser son adresse MAC au format
indiqué, son adresse IP public et sa passerelle dans les cases prévues à cet effet.
Puis on a laissé les autres paramètres par défaut
Figure 4-13: configuration de l'interface Wan
4.2.2.2 Interface Lan
Il faut maintenant activer l'interface LAN de la même manière qu'on l'a fait avec le
WAN mais cette interface doit être nécessairement en Static pour le type d'adressage
car, étant celle sur laquelle sera activée le serveur DHCP, il faut que son adresse soit
fixée. Puis on peut assigner son adresse MAC au format indiqué, son adresse IP étant
déjà définie plus haut, sa passerelle est laissée par défaut, c'est-à-dire son propre
adresse IP car celle-ci constitue la passerelle des clients.

38
Figure 4-14: configuration de l'interface Lan
4.2.3 Configuration du serveur DHCP

Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la
connexion des clients. Pour cela, nous sommes allés dans l'onglet Service, puis dans
la section DHCP serveur. On a coché la case Enable DHCP serveur on LAN
interface. Nous avons entreé ensuite la plage d'adresses IP qui sera attribuée aux
clients. Avant d'activer le service DHCP de PFsense, il faut s'assurer qu'aucun autre
serveur DHCP n'est activé sur le réseau afin d'éviter les conflits d'adresse. Il faut par
la suite entrer l'adresse IP du serveur DNS et le nom de domaine qui sera attribué aux
dients. Nous avons entré ensuite l'adresse de la passerelle pour les clients. Celle-ci
sera l'adresse du portail captif, puis les autres paramètres peuvent être laissés par
défaut

39
Figure 4-15: activation du serveur DHCP
4.2.4 Définition des règles du firewall

PFsense étant aussi un firewall, il faut définir certaines règles élémentaires sur les
interfaces pour leur permettre de communiquer entre elles, et avec l'extérieur. Pour
cela, nous sommes allés dans l'onglet Firewall puis dans la section Rules, puis avons
sélectionné une interface sur laquelle on veut définir des règles. Ainsi sur l'interface
LAN, il faut laisser les règles par défaut car elles autorisent tous les paquets IP de
source LAN à n'importe quelle destination. Pour le WAN, il faut modifier car tout est
bloqué par défaut, ce qui empêche les deux interfaces de se communiquer .
Figure 4-16: règles du pare-feu

Ainsi PFsense est correctement configuré, mais pour le moment il sert uniquement de
firewall et de routeur. Il reste à activer l'écoute des requêtes sur l'interface LAN et
contraindre les utilisateurs à s'authentifier pour traverser le firewall.

40
Figure 4-17: fin de la configuration générale de pfSense
4.2.5 Configuration du portail captif
Pour activer le portail captif sur l'interface LAN de pfSense, il faut aller dans l'onglet
Service puis dans la section Captive portal. Ensuite il faut cocher la case « Enable
Captive portal », puis on choisit l'interface sur laquelle le portail captif va écouter. Ici
nous avons choisi LAN puisque nous voulons que les utilisateurs de notre réseau
local passent par le portail captif pour aller sur Internet.

41
Figure 4-18:activation du portail captif
Dans les options suivantes, il faut d'abord définir le nombre de clients demandant la
page d'authentification à la fois, ensuite le temps au bout duquel le client sera
automatiquement déconnecté s'il est inactif et le temps au bout duquel il sera
déconnecté quel que soit son état puis se voir redemander les paramètres
d'authentification. Ainsi Maximum concurrent connections défini le nombre de
clients demandant la page captive à la fois; Idle Timeout défini le temps au bout
duquel un client inactif sera automatiquement déconnecté et Hard Timeout défini le
temps au bout duquel il sera déconnecté quel que soit son état. Nous avons choisi de
mettre 10 pour le nombre de connexions simultanées, 10mn pour l'inactivité et 24
heures pour les déconnections brutales.

42
Figure 4-19:configuration du portail captif
Ensuite il est possible d'activer ou non une fenêtre popup qui va servir aux clients de
se déconnecter. Il est ensuite possible de rediriger un client authentifié vers une URL
spécifiée, sinon il est redirigé vers la page demandée initialement. Nous avons choisi
de rediriger le client vers l'URL suivante: http: //www.ipg-isti.com.

43
Figure 4-20: configuration de la redirection après authentification
Ensuite nous avons activé “Disable Concurrent user logins” qui seule la connexion la
plus récente par nom d’utilisateur sera active. Il est aussi possible de filtrer les clients
par adresse MAC en activant “Disable MAC filtering” nécessaire lorsque l’adresse
MAC du client ne peut pas être déterminée
Figure 4-21: modification des paramètres de connexion pour les clients
Mais il faudra aussi spécifier le serveur pour l’authentification

44
Figure 4-22: activation du serveur d'authentification
Figure 4-23: activation des utilisteurs du portail
Une fois cette configuration sauvegardée, le portail captif devrait être fonctionnel.
4.2.6 Authentification et gestion des utilisateurs

L'authentification est un point essentiel de PFsense puisqu'elle définit l'autorisation
d'accès vers l'extérieur; une sorte de portail physique fermé accessible par clé. Ainsi
trois méthodes d'authentification sont offertes:
 sans authentification (No authentification) : les clients sont libres ; ils verront
le portail mais il ne leur sera pas demandé de s'authentifier;
 authentification via un fichier local (Local User manager) : les paramètres des
comptes utilisateur sont stockés dans une base de données locale ;

45
 authentification via un serveur RADUIS (RADIUS Authentification) : à ce

niveau, nous avons le choix entre utiliser un serveur embarqué FreeRADIUS
et utiliser un serveur RADIUS distant du serveur PFsense.
4.2.6.1 Authentification
Nous avons retenu l'authentification via un fichier local vu que nous sommes en
phase de test donc nous avons décidé de créer nos propres utilisateurs pour le
portail, mais pour des soucis de confidentialité nous n’avons accès à la base de
données de l’IPG/ISTI.
A ce stade, le portail est déjà accessible c'est-à-dire que pour un utilisateur qui se
connecte au réseau local et à partir de son navigateur, demande une page web, il sera
redirigé vers la page captive qui lui demandera de s'authentifier avant d'avoir accès à
la page demandée initialement.
4.2.6.2 Gestion des utilisateurs
Dans notre cas nous allons simplement crée un groupe où nous allons ajouter un ou
plusieurs utilisateurs qui auront seulement le droit d’utiliser le Portail Captif. Pour se
faire nous allons d’abord dans l’onglet “Groups”, puis avons ajouté le groupe
« membre portail » en cliquant sur “+ Add”.
Figure 4-24: ajout du groupe utilisateur du portail

46
Par la suite nous avons modifié le groupe pour lui octroyer les droits d’utilisation du
portail. Pour se faire nous avons cliqué sur “+ Add” dans la rubrique “Assigned
Privileges“.
Nous avons sélectionné dans la liste “User – Services: Captive Portal login”
(Autorisé seulement à se connecter au Portail Captif)
Figure 4-25:octroie du privilège d'utiliser le portail
Ensuite nous nous sommes rendu dans l’onglet “Users“, avons cliqué sur “+ Add”
pour ajouter le nom d’utilisateur ” et son mot de passe. Enfin nous l’avons assigné
dans le groupe “membre portail” précédemment créé.

47
Figure 4-26: ajout de notre utilisateur du portail
Figure 4-27:création de notre utilisateur
Pour des fins plus pratique nous avons décidé de personnalisé notre portail en y
insérant le logo de l’IPG/ISTI.
Pour se faire il suffira juste de charger notre logo dans les paramètres de
configurations du portail

48
Figure 4-28: ajout du logo pour la personnalisation du portail
Maintenant que notre portail est fin prêt ainsi que notre petite base de données locale
nous allons procéder à la phase test.
4.3 Test
Tout d’abord nous avons choisi une machine cliente qu’on a mise sur le même réseau
que notre pfsense afin de faire notre test. Ensuite nous avons ouvert notre navigateur
web et tenté d’accéder à un site.

49
Figure 4-29: test de connexion
Maintenant l’utilisateur sera redirigé automatiquement vers le portail

50
Figure 4-30: page d'accueil du portail personnalisé
Et enfin nous avons entré le nom de notre utilisateur ainsi que son mot de passe
Figure 4-31: connexion avec nos identifiants

51
Et tout de suite nous avons été redirigés vers le site de l’IPG/ISTI que nous avons
tapé précédemment dans le navigateur.
Figure 4-32: page de redirection après authentification

52
CONCLUSION GENERALE
Pour authentifier les utilisateurs du réseau de l’IPG/ISTI afin de partager la

connexion Internet de façon sécurisée, on s'est orientée vers une solution de portail
captif.
Après une présentation de la structure d'accueil, la démarche suivie pour cette étude
a permis d'analyser d'abord son système informatique pour connaître ses forces et
faiblesses. Ensuite une étude comparative de portail captif a permis de choisir une
solution à implanter. C'est ainsi que la solution PFsense a été retenue. Cet applicatif
libre a été ensuite étudié de façon technique et sa fonction captive pourrait être
implantée de façon effective démontrer grâce à notre réseau pilote.
Il est important de noter que la réalisation de ce travail nous a été bénéfique sur tous
les plans.
Sur le plan technique, nous pensons que notre but est atteint car, il nous aura permis
de savoir d'abord l'existence de solutions libres de portail captif, ensuite de mener
une étude comparative et de faire enfin l'implémentation de la solution libre PFsense
bien que virtuellement et nous avons eu une bonne occasion d’approfondir et de
mettre en œuvre toutes nos connaissances théoriques.
Sur le plan humain, ce projet a été une véritable occasion de côtoyer un vrai
spécialiste de la sécurité nous permettant d’améliorer nos connaissances dans ce
domaine et de savoir les difficultés auxquelles on aurait pu être confronté sur le plan
de la réalisation concrète du projet.

53
REFERENCES
 Webographie
https://fr.wikipedia.org/
https://www.google.com/
www.memoireonline.com
https://www.pfsense.org
https://www.ipg-isti.com

54
RESUME
Chaque réseau possède sa politique d'accès et ne souhaite pas laisser n'importe qui
accéder aux ressources réseaux.
D’où l’importance et l’obligation de l’élaboration d’un système de sécurité

informatique afin d’identifier les sources de menace et ses dégâts informationnels.
Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces
réseaux qui doivent cumuler de multiples avantages
D’où notre étude sur la mise en place d’un portail qui consiste à obliger nos
utilisateurs à s’authentifier avant d’accéder au réseau.

55
ABSTRACT
Each network has its access policy and does not want to let anyone access network
resources.
Hence the importance and the obligation of developing a computer security system to
identify sources of threat and its information damage.
Thus, it is necessary to set up authentication systems on these networks that must

have multiple benefits
Hence our study on the establishment of a portal that requires our users to
authenticate before accessing the network.

Memoire Pfsense

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Pfsense

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU SENEGAL

Un Peuple – Un But – Une Foi

Sicap Sacré-Cœur II BP : 10155 Tél : 33 825 41 66 - Fax : 33 824 80 32

MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU

ETUDE ET MIS EN PLACE D’UN PORTAIL

Présenté par : Encadré par :

Yacine Diba Mr.Niasse

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

A mon très cher père Mamadou Diba

A ma très chère mère Binetou Cissé

A mon frère Mama Diba ainsi que toute sa famille

A mes oncles Thierno Diba et Babacar Diba ……….

A mes frères et sœurs sans oublier tous les membres de ma famille.

Sans oublier mon très cher époux Mr Loum …..

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

Mes vifs remerciements vont conjointement à M. Niasse qui a fait l’honneur

Le corps professoral de l’institut supérieur de technologie industrielle pour

Les membres du jury, pour avoir accepté d’évaluer mon travail

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

TABLES DES MATIERES

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

3.3.1 PFsense .............................................................................................18

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

LISTE DES TABLEAUX

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

LISTE DES FIGURES

Figure 1-1: organigramme de l'IPG/ISTI .................................................................. 4

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

LISTE DES SIGLES ET ABREVIATIONS

DHCP : Dynamic Host Configuration Protocol

DNS : Domain Name Service

HTTP : HyperText Transfer Protocol

HTTPS : HyperText Transfer Protocol Security

HTML : HyperText Markup Language

LAN: Local Area Network

LAGG :Link Aggregation

LDAP : Lihgtweight Directory Access Protocol

MAC : Medium Access Control

NAT: Network Address Translation

PPTP : Point-to-Point Tunneling Protocol

PHP : Hypertext Preprocessor

RADIUS: Remote Authentification Dual-In User Service

SSL : Secure Sockets layers

SSH : Secure Shell

TCP : Transfer Control Protocol

TLS : Transport Layer Security

VPN : Virtual Private Network

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

VLAN : Wireless Local Area Network

WIFI : Wireless Fidelity

WAN : Wide Area Networ

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

Les étudiants en fin de Cycle, pour l’obtention de leur diplôme de Technicien

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

L'utilisation de l'internet au Sénégal est en pleine expansion. A en croire l'Agence

Néanmoins chaque réseau possède sa politique d'accès et ne souhaite pas laisser

Le groupe IPG/ISTI a vu croitre le nombre de ses partenaires et étudiants révélant

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

La première partie de ce document présente la structure d'accueil, le thème d'étude

La deuxième partie est consacrée à l'analyse du système informatique de la structure

Et enfin la quatrième partie est consacrée à l'étude technique et la mise en place de

Yacine Diba LICENCE ANNEE ACADEMIQUE 2018-2019

PREMIERE PARTIE : VUE