Académique Documents
Professionnel Documents
Culture Documents
Rapport Portail Captif Final - Compress
Rapport Portail Captif Final - Compress
Élaboré par :
Bocar Seydou Mangara
Mohamed Mahmoud Sidi Mohamed Jiyid
Cheikh Mohamed Mahmoud Cheikh
Ahmed
Encadré par :
Dr. Mamadou Tourad Diallo
2019-2020
Sommaire
SOMMAIRE 2
DEDICACE 3
INTRODUCTION : 4
1. UN PARE-FEU OU FIREWALL (EN ANGLAIS) : 4
2. UN PROXY OU SERVEUR PROXY : 4
3. DIFFERENCE ENTRE PARE-FEU ET PROXY : 5
PROCEDURE D’INSTALLATION : 5
4. OUTILS UTILISES : 5
5. INSTALLATION : 6
5.1. Installation de pfsense 6
CONFIGURATION GENERAL : 12
6. CONFIGURATION DU WAN : 14
7. CONFIGURATION DU LAN : 16
8. LE RESOLVEUR DNS : 17
9. LE DNS FORWARDER : 18
10. LE SERVEUR DHCP : 20
11. SECURISATION DE L’INTERFACE WEB : AVEC SSL 21
12. CREATION DES AUTORITES DE CERTIFICATION : 22
12.1. Autorité de certification 1 : 24
12.2. Autorité de certification 2 : 24
13. CREATION DU CERTIFICAT : 24
14. EXPORTATION DES AUTORITES DE CERTIFICATIONS 27
15. CHANGEMENT DU PROTOCOLE DE HTTP VERS HTTPS 27
MISE EN PLACE DU PORTAIL CAPTIF : 29
16. C’EST QUOI UN PORTAIL CAPTIF ? : 29
17. CREATION DU PORTAIL CAPTIF : 29
17.1. Paramètres importants : à ne pas négliger. 32
18. CREATION DES UTILISATEURS DU PORTAIL CAPTIF : 33
19. GESTION DU PORTAIL CAPTIF : SUIVI DES UTILISATEURS, TRAÇAGE ETC…GESTION D’UTILISATEURS : 36
FILTRAGES DES CONTENUS/ADRESSES WEB INDESIRABLES 37
CONFIGURATIONS : 38
20. CONFIGURATION DE : SQUID 38
21. CONFIGURATION DE : SQUIDGUARD 42
22. CONFIGURATION DE : LIGHTSQUID 46
22.1. Accès à l’interface LightSquid : 48
INSTALLATION ET CONFIGURATION DE SNORT POUR LA MISE EN PLACE LE FILTRAGE APPLICATIFS ET LA
SECURISATION DU RESEAU : 49
OPTIMISATION DE LA BANDE PASSANTE : 57
CONCLUSION : 66
2
Dédicace
3
Introduction :
Définition de quelques termes pour bien comprendre la suite :
4
NB : Ne pas confondre pare-feu et proxy.
Procédure d’installation :
4. Outils utilisés :
Windows 10 comme machine hôte i3 500gb 8gb ram
5
Virtualbox
ISO pfsense
ISO kali linux
5. Installation :
5.1. Installation de pfsense
On Commence par monter l’image de pfsense dans Virtualbox puis on configure les paramètres
suivants.
Réseau :
Comme que pfsense est comme un routeur il a 2 adresses IP un pour le WAN (connecté à internet)
l’autre pour le LAN (réseau interne local)
On doit donc activer 2 interfaces sur Virtualbox :
Interface 1 : Pour le WAN. Interface 2 : Pour le LAN
Mode d’accès : accès par pont. Mode d’accès : Réseau interne
6
Figure 5 : Configuration interface 2 Reseau
Ensuite on monte l’ISO de pfsense dans la partie stockage.
Figure 6 : Installation
Là on débute l’installation de pfsense
7
On continue avec les options
8
Figure 8 : Interface Console
Après l’installation on voit la console pfsense avec les deux différents adresses IP. A partir d’ici on
peut avec ces différentes options configurer pfsense.
Mais pour plus de facilité pfsense dispose d’une interface graphique accessible à partir de son
adresse LAN :192.168.1.1 qui on peut modifier s’il Ya confusion avec l’adresse de votre box
A partir du navigateur web on peut y accéder mais pour cela il faut la machine soit connecté au
même réseau que le LAN de pfsense. Pour cela on va devoir installer une l'autre machine sur la Virtualbox
on prendra ici l’ISO kali linux avec les configurations suivantes
Interface 1 :
9
Figure 9 : Installation sur une seconde machine
Après installation de la Machine kali on voit qu’elle est sur le même réseau que le LAN de pfsense
On voit le réseau. : 192.168.1.X
On peut faire un ping vers l'adresse 192.168.1.1(LAN pfsense) depuis la machine kali pour
tester Figure 10 : ping vers le routeur
1
Figure 11 : ping reussi
Depuis la machine kali on accède à l’interface web de pfsense avec l'adresse http://192.168.1.1
1
Les identifiants par défaut son nom « admin » et mot de passe « pfsense ».
Une fois connecté on est dans l’interface web. A partir d’ici on commence les configurations de
bases du pare-feu pfsense
Configuration Général :
On peut soit utiliser l’assistant de configuration qui nous guide pour certains paramètres :
1
Secondary DNS Server : 8.8.8.8
(Google) Décocher la case Override
DNS
N'oublier pas de bien changer les identifiants par défaut pour plus de sécurité :
Ensuite pour les autres étapes/paramètres on laisse par défaut puis fini la configuration assistée
1
On voit apparaître des paramètres presque similaires au précédent avec l'assistant de configuration
6. Configuration du WAN :
Figure 17 : interface
IPv4 à statique
1
Figure 18 : Configuration Interface WAN
Adresse IPv4 on saisit l’adresse du WAN de pfsense ici 192.168.8.102 et comme passerelle l'adresse
du routeur wifi 192.168.8.1 et comme masque /24
1
7. Configuration du LAN :
IPv4 à statique
Interface de suivie
Pour l’adresse IPv4 ont saisi l’adresse LAN de pfsense 192.168.1.1 et /24
1
Figure 22 : Configuration Interface LAN-2
8. Le Résolveur DNS :
1
Figure 24 : Résolveur DNS-2
Ensuite on Enregistre.
9. Le DNS Forwarder :
1
Puis on Enregistre.
On Coche/Activé le DNS Forwarder
1
Figure 26 : DNS Forwarder-3
Après on Enregistre.
2
Figure 28 : Serveur DHCP-1
Autres paramètres
Serveur DNS : 192.168.1.1 (adresse LAN
pfsense) Passerelle : 192.168.1.1
Puis on Enregistre
Maintenant la Configuration Général a été faite pfsense fonctionne comme un pare-feu normal
2
Figure 28 : Interface non sécurisée
C’est-à-dire n'utilise pas le protocole HTTPS (SSL)
Et cela risque d’être compris raison pour laquelle on doit la sécuriser.
Pour cela on doit créer ce qu’on appelle des autorités de certification et des certificats pour l’adapter
à notre réseau
Une Autorité de Certification (AC ou CA pour Certificate Authority en anglais) est un tiers de
confiance permettant d'authentifier l'identité des correspondants.
A partir de pfsense on en crée puis les exporter vers les navigateurs web de toutes les machines du
réseau LAN de pfsense
2
On va créer ici deux autorités de certifications et un certificat
2
12.1. Autorité de certification 1 :
Nom descriptif : AC1
Méthode : Créer une autorité de certification interne
Les quatre autres on laisse par défaut
Nom Commun : pfsense-interne
Et les autres derniers paramètres on remplis avec les informations correspondantes comme le code
du pays, ville etc…
2
Figure 33 : Liste des Certificats
2
Nom Commun : pfSense.localdomain
Options supplémentaires
Ces options sont très importantes pour bien faire fonctionner la transmission des données
Type de certificats : Server certicate (on choisit l’option serveur pour la transmission)
Nom alternatifs 1 : Adresse IP, Puis 192.168.1.1 (adresse LAN pfsense)
Nom alternatifs 2 : FQDN, Puis pfSense.localdomain
Après on enregistre
2
14. Exportation des autorités de certifications
Après la création des certificats on doit les exporter pour ensuite les installer
Sur les navigateurs web des machines Local (LAN)
On les exporte avec la petite étoile bleue.
2
Figure 38 : Accès administrateur
Dans la partie Certificats SSL/TLS choisir le certificat crée pfSense.localdomain
Puis on Enregistre.
Et après quelques secondes on voit le changement de protocole et le chiffrement mise en place
2
Mise en place du portail captif :
16. C’est quoi un portail captif ? :
Le portail captif est une technique consistant à forcer les clients HTTP d'un réseau de consultation
à afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet
normalement. Certains l’appellent également « page de connexion » ou « portail d’authentification de
l’utilisateur ». L’objectif principal d’un portail captif est de permettre d’authentifier un utilisateur afin de
lui donner accès à un réseau Wi-Fi.
Cela permet à toute utilisateur du LAN de s'authentifier avant de pouvoir naviguer sur Internet.
Grâce au pare-feu pfsense on mettre en place le portail Captif avec d’autre services
supplémentaires tels que :
Le filtrage des contenus web.
La protection contre toute tentative d’accès au réseau par un intrus.
Et d’autres services que nous verrons ensuite.
2
Figure 40 : Services Portail Captif
Puis avec le bouton Ajouter en crée un nouveau.
3
Figure 42 : Configuration du Portail Captif
Ces paramètres servent à mieux gérer le portail Captif comme la durée de connexion d’un utilisateur, sa
déconnexion après un temps d’inactivité etc… sans oublier l’interface sur laquelle on doit activer le portail
Captif qui sera bien sûr le LAN.
Il y a plusieurs paramètres plus ou moins importants qu’on peut remplir ou non selon nos besoins.
3
17.1. Paramètres importants : à ne pas négliger.
La manière dont les utilisateurs se connectent au portail et le stockage des données
On a plusieurs moyens de le faire :
3
Figure 43 : Captive Login Page
Puis on Enregistre.
3
Figure 45 : Liste des
Utilisateurs On complète les
informations Puis on Enregistre.
Ensuite on clique modifier (le petit crayon bleu) sur l’utilisateur qu’on vient de créer pour lui assigner des
privilèges comme admin, surveillant du portail captif
3
Mais ici on choisit l'option Utilisateurs-services : Connexion au portail captif
Car l’utilisateur crée sert uniquement à se connecter au portail captif
On Clique sur « Open Network Login Page » pour ouvrir la page d’authentification.
Là on voit la page d’authentification apparaître et on s'authentifie avec les identifiants de l'utilisateur qu’on
a créé puis on pourra accéder à Internet
3
Figure 50 : Page d’authentification
On peut cependant créer autant d’utilisateurs qu’on le veut pour le portail Captif.
Figure 51 : Etat
Là on a une sorte de tableau de bord du portail captif on peut voir les utilisateurs.
3
Figure 51 : Etat portail
On voit l’adresse IP, mac, le nom d’utilisateur, le début de session…etc…
Squid : Un serveur Squid est un serveur mandataire et un mandataire inverse conçu pour relayer les
protocoles FTP, HTTP, Gopher, et HTTPS. Contrairement aux serveurs proxy classiques, un
serveur Squid gère toutes les requêtes en un seul processus d'entrée/sortie asynchrone
SquidGuard : SquidGuard est un logiciel de redirection d'URL, qui peut être utilisé pour contrôler
le contenu des sites Web auxquels les utilisateurs peuvent accéder. Il est écrit en tant que plug-in
pour Squid et utilise des listes noires pour définir les sites pour lesquels l'accès est redirigé.
LightSquid : LightSquid est un analyseur de logs pour le proxy/cache Squid Il permet de garder la
traçabilité des utilisateurs.
Pour cela pfsense dispose d’un gestionnaire de paquets qui nous permettra de télécharger les outils
qu’il nous faut.
Aller dans Système/Gestionnaire de paquets
Et aller dans la partie Paquets disponibles puis rechercher squid
3
Figure 52 : Installation de Squid
Une fois recherché appuyer sur Install pour installer le paquet Une fois installé vous verrez dans
Paquets installés la liste des paquets que vous avez installé.
Configurations :
20. Configuration de : Squid
On va d’abord configurer l’outil squid pour cela aller dans Services et sélectionner Squid proxy server.
3
Figure 55 : Configuration du serveur proxy 2
3
Figure 57 : Configuration du serveur proxy 4
4
Option importante ici : AC (autorité de certification) choisir le certificat intermédiaire crée
précédemment.
Ceci permet d'avoir accès aux logs.
4
La seule option qui nous intéressera ici c’est Hard Disk Cache Size qui nous permet de définir la taille de
cache.
Mettez par exemple 1000 puis Enregistrer.
4
Figure 61 : Configuration de Squidguard 1
On active les logs
Dans la section Blacklist options on Coche la case.
Ensuite on met l’URL http://dsl.ut-capitole.fr/blacklists/download/blacklists_for_pfsense.tar
Ceci nous permettra de télécharger une liste noire des éléments à filtrer.
Ensuite aller dans la section Blacklist pour télécharger la liste
4
Figure 63 : Configuration de la blackliste 2
Pour ainsi filtrer parmi une liste noire.
4
Figure 65 : Blocage des contenus 1
Il suffit d’aller sur une et choisir parmi trois options possibles : Whitelist, deny, allow
Parce exemple ici on va filtrer tout ce qui réseau social comme Facebook, twitter
etc… On va dans [blk_blacklists_social_networks] et on met deny
NB : ne faut pas oublier de mettre Default Access [All] a allow afin d’éviter que toute page que vous souhaitez
visiter soit filtrer ou inaccessible
4
Figure 67 : Page bloqué
Figure 68 : Application
On voit que c’est inaccessible.
Voyons pour twitter.
4
On peut changer le port et les identifiants ou les laisser par défaut. Ce sont les mêmes identifiants que
pfsense « admin »et « pfsense »
4
Figure 73 : Configuration de lightSquid-3
4
Figure 75 : liste visités
Snort servira de complément pour pfsense afin de rendre le réseau plus sécurisé.
Une fois qu’on a installé Snort on va dans Services puis Snort.
4
Figure 76 : menu snort
On Coche les cases comme sur l’image pour ensuite obtenir les règles qui permettront à Snort de filtrer,
bloquer etc…
5
Figure 78 : Configuration de snort-2
Option importante ici c’est OpenAppID Detectors permet de détecter l’identité d’une application qui est
utilisé.
Ici on peut mettre l’intervalle de temps dans lequel Snort mettra à jour de nouvelles règles.
Une autre option importante c’est le temps de blocage d’un adresse IP suspect.
Ensuite on se rendra dans la partie Update/Mis à jour pour télécharger/mettre à jour de nouvelles règles
5
Figure 80 : Configuration de snort-3
Une fois fait. On part vers Snort Interfaces pour créer une nouvelle sur les interfaces.
Ici on est sur l’interface LAN mettre aussi sur le WAN et les deux en même temps.
5
On va permettre à Snort d’envoyer Des alerte au Système pfsense.
5
Figure 83 : Configuration de snort-6
Cette partie nous permet de définir comment les règles vont être utilisées. Et quelles règles vont
être utilisées.
Une Règle est une manière de dire comment on fait pour filtrer, bloqué ou laisser passer un paquet,
une application, ou tout simplement un élément sur un réseau.
5
Ensuite on se rend dans LAN Preprocs.
Cette partie permet d’approfondir la prévention et la détection. En choisissant les catégories de
protocoles ou Services.
5
Figure 88 : Configuration de snort-11
5
Figure 89 : Activation de snort
On Clique sur la flèche bleue pour démarrer le service Snort
Une fois fait on passe vers la partie Alerts à partir de là on verra toute activité.
5
Figure 92 : Regulateur de flux
5
Figure 94 : Régulateur de flux configuration 2
5
Figure 96 : optimisation de la bande selon le service
Ici il s’agit de prioriser Voix par IP si on en dispose. Sinon on laisse ce paramètre puis on passe la suivante.
Ici ça concerne le Peer to Peer Comme que ce dernier consomme beaucoup alors on va diminuer sa priorité
6
Figure 99 : Service Peer to Peer
On peut même activer/désactiver certains des protocoles des applications utilisant le Peer to Peer.
Ensuite on passe aux Réseaux de jeux vidéo ici on laisse par défaut on ne va pas prioriser.
6
Figure 100 : Service gaming
Ici nous permet de prioriser des services comme le service mail, la connexion à distance, la
messagerie, les appels par conférence etc…
Et d’autres services encore.
Même le http.
6
Figure 102 : Service web
6
Ensuite on charge les configurations.
Une fois l’optimisation a été mis en place on peut voir tout le trafic du réseau la bande passante etc…
Dans État / graphique du Traffic.
6
On peut même voir les adresses IP et leur consommation en bande passante.
6
Conclusion :
Pfsense est une distribution libre et gratuite fondée sur FreeBSD. Installée sur un équipement doté de
plusieurs cartes réseau, elle permet d'optimiser et de sécuriser le réseau local.
Un système a été mis en place pour filtrer tout le trafic réseau dans le Réseau local (ou WLAN), cela bloque
les pages qui ont été définies à l'aide des listes noires.
Grace à cette mise en place on peut maintenant mieux gérer les connexions et ainsi contrôler tout le Traffic
entrant et sortant, comme ça toute activité malveillante et indésirable sera évitée.
Avec cette solution du portail captif on peut éviter tout accès non autorisé au réseau seul l’authentification
nous permet d’y accéder.
6
Références :
HTTPS://TECHEXPERT.TIPS/FR/PFSENSE-FR/PFSENSE-CONFIGURATION-DU-PORTAIL-CAPTIF/
HTTPS://PIXELABS.FR/INSTALLATION-CONFIGURATION-PFSENSE-VIRTUALBOX/
HTTPS://WWW.PC2S.FR/PFSENSE-PORTAIL-CAPTIF-AVEC-AUTHENTIFICATION-UTILISATEUR/
HTTPS://COMPUTERZ.SOLUTIONS/PFSENSE-PORTAIL-CAPTIF/
HTTPS://WWW.SERDARBAYRAM.NET/PFSENSE-CAPTIVE-PORTAL-AND-FREERADIUS-
ENTEGRATION.HTML