Académique Documents
Professionnel Documents
Culture Documents
13/03/2023 COURS – TUTORIELS COURS IT ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR
LESDÉBUTANTS
IT-Connect » Cours - Tutoriels » Administration Réseau » Pare-Feu » ZeroShell » Mise en place d’un portail captif sous ZeroShell
ZeroShell
Sommaire [-]
I. Présentation
II. Pré-requis et architecture
III. Mise en place
IV. Création des utilisateurs du portail captif
V. Gestion des connexions
VI. Gestion des authentifications
I. Présentation
La distribution Zeroshell propose la configuration d'un portail captif sur ses interfaces. Un portail captif
est une page qui s'affichera sur le navigateur des clients qui souhaiteront aller sur Internet. Newsletter : 1 e-mail par semaine !
Les portails captifs demandent généralement une authentification afin d'accéder à Internet, ils sont
Votre adresse e-mail*
utilisés dans des environnements de diffusion d'un réseau (WiFi notamment) publique comme des hôtels.
Les clients sont alors obligés de demander les identifiants au propriétaire de la connexion qui demande
souvent une monétisation en échange de l'accès à Internet. Le portail captif offre donc un contrôle et une
S'abonner
restriction de l'utilisation de l'accès Internet.
Le portail captif Zeroshell offre bon nombre de configurations et de possibilités qui ne seront pas toutes
détaillées dans ce tutoriel.
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 1/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
Annonce
COURS – TUTORIELS COURS IT ACTUALITÉS
Made-in-China.com - Fournisseur
BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
en gros en Chine
A la une
CONSULTER
Attention : Cette documentation a été réalisée avec la version RC2 de Zeroshell, considérez
Logiciel - OS Sécurité
ce détail lors de la lecture du tutoriel et de son application sur des versions plus récentes de Impliquée dans l’affaire
Zeroshell
LastPass, la CISA émet une
alerte pour cette
vulnérabilité dans Plex
II. Pré-requis et architecture 13/03/2023
commentaire
Florian Burnel
1 min read
Aucun
Pour qu'un portail captif puisse être mis en place, il faut qu'il soit la passerelle d'au moins un réseau. Ainsi La CISA a ajoutée à une vulnérabilité dans
les clients voulant sortir sur Internet devront passer par le Zeroshell et celui-ci affichera le portail captif Plex Media Server (CVE-2020-5741) à son
afin de demander une authentification aux clients. Seuls les clients ayant les identifiants pourront sortir catalogue des failles de sécurité exploitées
sur Internet. dans le cadre d’attaques.
Installer et configurer la
déduplication sous
Windows Server 2022
09/03/2023 3
Lorsqu'un portail captif est en place, les utilisateurs sont obligés de se loger sur celui-ci. Il est néanmoins
Commentaires 6 min read
possible de configurer des exceptions au niveau des accès. Nous pouvons autoriser la visite de certains
services ou autoriser certains utilisateurs à ne pas passer par l'authentification pour utiliser l'accès. Le ransomware IceFire
s’attaque aux serveurs
III. Mise en place Linux et Windows !
09/03/2023 1
Il faut tout d'abord se rendre sur l'interface graphique de notre Zeroshell par navigateur. Il faut ensuite se Commentaire 1 min read
loger et aller dans "Captive Portal". La première chose à faire est de déterminer sur quelle interface notre
portail captif fera effet. Par exemple si notre Zeroshell a son côté LAN sur l'interface ETH00, il faut CVE-2023-25610 : une
nouvelle faille critique
sélectionner ETH00 dans la liste en haut à droite puis cliquer sur "Save". Il est également possible de affecte les firewalls
mettre le portail captif sur plusieurs interfaces en cliquant sur "Multi" pour avoir cette fenêtre : Fortinet
09/03/2023 Aucun
Il faut alors passer les interfaces voulues dans "MULTI Interface" puis cliquer sur "Ok" pour valider. Pour
rendre enfin effectif le portail captif il faut cocher la case en haut à gauche "GW" puis cliquer sur "Save"
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 2/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
Le portail captif est alors actif, il faut maintenant s'occuper de la création des identifiants qui auront la
COURS – TUTORIELS
permission de se loger sur celui-ci.
COURS IT ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
Il est temps de tester notre portail captif, depuis un poste utilisateur qui se situe dans le côté LAN de Introduction au
votre Zeroshell, il faut ouvrir un navigateur et tenter d’accéder à une page web :
routage OSPF
Z P O RTA I L 0 3
Notions de base de
l’Active Directory
Administrer l’Active
Directory avec
PowerShell
Vous verrez alors cette page web apparaitre, il faudra ici entrer les identifiants de l'utilisateur
précédemment créé. Si l'authentification se passe correctement, la page suivante apparaitra et tentera de
vous rediriger :
La redirection s'effectuera soit vers une URL indiquée soit vers l'URL à laquelle le client voulait accéder à
la base. Ce paramètre ce gère dans un menu que nous détaillerons plus tard. Une fenêtre pop-up va
également apparaitre, celle-ci est présente pour maintenir la connexion ouverte pour le client authentifié,
il est préférable de ne pas la fermer ou le client sera automatiquement déconnecté. Il est néanmoins
possible de configurer le délai de la déconnexion après fermeture de cette fenêtre :
Z P O RTA I L 0 5
Nous voyons également qu'il est possible de mettre en place un système de monétisation de l'accès
Internet.
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 3/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
V.
Gestion des connexions
COURS – TUTORIELS COURS IT ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
Dans le menu "Gateway" du portail captif, nous pouvons gérer les paramètres de base de l'authentification
des clients. Le panneau de gauche permet de voir les utilisateurs connectés à notre portail captif :
Il est possible de voir l'IP et l'adresse de l'utilisateur et les identifiants qu'il a utilisés. Nous pouvons
depuis ce panneau déconnecter l'utilisateur en cliquant sur "Disconnect". Le panneau en haut à droite de
la fenêtre du portail captif permet de voir et de modifier les paramètres principaux.
Il nous est par exemple possible de paramétré si nous souhaitons identifier les clients par leur IP et leur
MAC ou alors juste par leur IP. Nous pouvons aussi déterminer si vous souhaitons autoriser l'utilisation
simultanée d'un identifiant de connexion ou non. L'autorisation de cette connexion multiple est par
exemple utile dans un Hotel ou un espace public où il serait complexe de créer un utilisateur pour chaque
demande de connexion.
L'Authenticator Validity est le paramètre qui déterminera combien de temps la connexion va rester active
après la fermeture de la fenêtre de connexion du côté du client. Il est déterminé en minute et peut être
paramétré en "infinie" si l'authentification du client doit toujours rester active. Une fois les paramètres
modifiés, il faut cliquer sur "Save" pour les valider.
Le troisième panneau sert à déterminer les exceptions de l'utilisation du portail captif. Nous pouvons par
exemple y mettre une IP qui sera celle d'un poste à IP fixe, cette IP n'aura alors pas besoin de
s'authentifier pour accéder à Internet. Il faut pour cela sélectionner "Clients" à droite de "Free Authorized"
puis cliquer sur le " + " et enfin entrer l'IP et le masque de ce client.
Il faut enfin cliquer sur "Save" pour valider l'ajout de l'exception. Nous pouvons aussi y mettre un service
en sélectionnant "Services" puis en cliquant sur le "+", il faut alors entrer le nom du service, l'IP source de
ce service et le port qu'il utilise puis cliquer sur "Save".
Il est également possible de modifier directement le code HTML de la page en cliquant sur "Template"
puis en sélectionner "View Source" plutôt que "Preview". Veillez cependant à ne pas modifier la page par
défaut.
Nous voyons qu'il est possible de changer les titres de cette page ainsi que d'importer une image pour
remplacer celle par défaut . Voici un exemple de page personnalisée :
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 4/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
COURS – TUTORIELS COURS IT ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
Le second panneau "Page redirection" nous permet de forcer la redirection vers une page donnée une fois
que le client est identifié ou alors de le rediriger vers la requête qu'il avait demandé à la base. Il faut dans
le premier cas sélectionner "Redirect to target URL" puis remplir l'URL voulue en dessous ou alors
sélectionner " Redirect original user to requested URL".
Il est possible de mettre en place une authentification Sibboleth qui est un système d'authentification
SSO mais nous ne le ferons pas dans ce tutoriel.
Nous allons pour le tutoriel enlever ce type d'authentification pour mettre en place une authentification
gérée par le service Kerberos 5 de Zeroshell. Il faut commencer par supprimer le domaine autorisé en le
sélectionnant comme l'image ci-dessus puis en cliquant sur le "-". Il faut ensuite cliquer sur le "+" pour
ajouter un nouveau domaine et sélectionner "Local Kerberos 5 Realm" qui est le royaume sur lequel règne
Kerberos. Cliquer enfin sur "Save" pour valider :
Le domaine devrait donc apparaitre dans la fenêtre "Authorized Domains" à droite et être défini comme le
domaine par défaut, si ce n'est pas le cas, vous pourrez le sélectionner et cliquer sur "D". Cette
manipulation est aussi utile dans le cas ou plusieurs domaines existent.
Le portail captif est maintenant en place et la gestion des utilisateurs et de l'authentification est
opérationnelle. Nous pouvons ajouter plusieurs autres fonctionnalités à notre portail captif comme la
monétisation de l'accès, la gestion de la langue d'affichage ou la supervision réseau de l'accès
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 5/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
COURS – TUTORIELS COURS IT ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
Mickael Dorigny
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
mickael has 520 posts and counting.
See all posts by mickael
Drag0vich
06/01/2014 à 15:23
Permalink
Cependant petite précision sur Zeroshell, je déconseille l’utilisation de cette solution car vulnérable.
Les fichiers de conf etc… sont accessible grâce à un simple Local file disclosure, donc les mot de passes
d’administration facilement retrouvables.
Répondre
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 6/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
COURS
Merci pour ces –précisions
TUTORIELS! C’ COURS
est vrai queITZeroshell
ACTUALITÉS BONS
est rarement
mis àPLANS
jour, les TESTS #LINKSOFTHEWEEK
vulnérabilités trouvées TUTOS POUR LES DÉBUTANTS
(il y en a toujours) ne sont donc pas forcément corrigées… Néanmoins Zeroshell reste un très bon outil
pour les plateforme de test où nous avons besoin de routeur facilement manageable ou encore pour
comprendre rapidement le fonctionnement d’un service donné.
Répondre
Drag0vich
09/01/2014 à 11:04
Permalink
Oui c’est sûr que Zeroshell reste un bon outil pour les plateforme de test, mais justement ils
viennent de sortir une version 3.0 qui résout ces problèmes de vulnérabilités . 😀
Répondre
francis
18/11/2014 à 09:43
Permalink
Répondre
Gatien
08/01/2017 à 18:02
Permalink
Répondre
Kevin
14/02/2017 à 17:34
Permalink
Bonjour,
Zeroshell et Zerotruth sont pour moi de très bonne solutions surtout pour les personnes ayant pour
objectif de mettre en place un hot-spot Wifi gratuitement tout en respectant la législation des réseau wifi
public,
La configuration n’est pas trop complexe avec l’aide des documentations que l’on trouve sur le site,
De plus les créateurs proposent des mises à jour régulière permettant de corriger certaines failles !
Répondre
Nesrine
15/03/2017 à 10:51
Permalink
salut
c’est possible d’intégrer ce portal captive pour mon serveur web ?
Répondre
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 7/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
Michel
COURS – TUTORIELS COURS IT
15/08/2017 à 04:20
ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
Permalink
Salut,
J’ai quelque difficulté avec mes employés dans mon cyber, il n’y a pas des possibilités pour créer les
comptes d’utilisateurs de façon pour vendre des heures aux clients mais qu’ils n’ont pas accès à modifier
la configuration faite par l’administrateur dans zeroshell?
Répondre
Paulin Kamdoum
09/09/2017 à 17:06
Permalink
Merci beaucoup pour ce tutoriel car sa ma permi de bien comprendre la technologie zeroshell et qui ma
permi de le préférer a un autre pour pour mon theme de stage…………………
du courage pour la suite………..
Répondre
Paulin Kamdoum
09/09/2017 à 17:09
Permalink
Répondre
christian
01/03/2018 à 13:58
Permalink
Répondre
fo0_
09/11/2020 à 09:41
Permalink
Petit warning concernant l’utilisation d’un portail captif Wifi payant ou non en France, on se doit de
garder 1 an de log de connexions.
Tout ceci vous incombe et vous rend responsable car vous êtes considéré comme Fournisseurs d’Accès
Internet, en cas d’utilisation malveillante de votre point d’accès.
Répondre
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 8/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
Ahmed
COURS – TUTORIELS COURS IT
16/06/2021 à 15:16
ACTUALITÉS BONS PLANS TESTS #LINKSOFTHEWEEK TUTOS POUR LES DÉBUTANTS
Permalink
Bonjour la structure,bon j’ai un petit souci et je vous un petit coup d main …je veux mettre en place un
FAI communautaire….et je crois je suis tombé sur l bon site où ces idées Cole bien à ma recherche
Répondre
Laisser un commentaire
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *
Commentaire *
Nom *
E-mail *
Site web
Enregistrer mon nom, mon e-mail et mon site dans le navigateur pour mon prochain commentaire.
Laisser un commentaire
Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos
commentaires sont utilisées.
L’Equipe
Offres d’emploi
Politique de confidentialité
Soutenir IT-Connect
report this ad
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 10/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 11/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 12/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 13/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 14/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 15/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 16/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 17/18
13/03/2023 12:00 Mise en place d’un portail captif sous ZeroShell | ZeroShell | IT-Connect
https://www.it-connect.fr/mise-en-place-dun-portail-captif-sous-zeroshell/ 18/18