BonessoJ Rapport PortailCaptif

HENALLUX
IESN – Institut Enseignement Supérieur de Namur

Rue Joseph Calozet, 19 – 5000 NAMUR – Belgique
Tel : + 32 (0) 81 46 86 10 Site Internet : http://www.iesn.be/
Nom : Bonesso
Prénom : Julien
Classe : 3 TI A
Enseignant : Mr Melchior Nicolas
Année 2018-2019
Flux Mobiles
Laboratoire
Mise en place d’un portail captif Pfsense
Ce document est mis à disposition selon les termes de la licence Creative Commons
« Attribution - Pas d'utilisation commerciale 4.0 International ».

Contenu
Schéma Réseau ............................................................................................................................................. 4
Configuration du Switch................................................................................................................................ 5
Configuration du Windows Server ................................................................................................................ 6
Vérification accès Internet ............................................................................................................................ 9
Configuration basique de PfSense .............................................................................................................. 10
Configuration du portail captif.................................................................................................................... 14
Connexion au portail captif ......................................................................................................................... 18
Configuration des vouchers sur le portail captif ......................................................................................... 19
Configuration de l’AP .................................................................................................................................. 22
Vérification avec Client Wi-Fi ...................................................................................................................... 27
Schéma Réseau avec Radius ....................................................................................................................... 28
Sur le Windows 2016 (Radius) .................................................................................................................... 29
Pourquoi dans NPS l’ordre des stratégies réseaux et/ou de connections est-il important ? ................. 35
Gérer les autorisations d’accès via Dial-In .............................................................................................. 35
Sur le nouveau serveur Pfsense .................................................................................................................. 37
Utiliser radtest comme client radius ........................................................................................................... 45
FreeRadius................................................................................................................................................... 46
Installation FreeRadius............................................................................................................................ 46
Création User (pour le test) .................................................................................................................... 47
Tests ........................................................................................................................................................ 48
Installation DaloRadius ........................................................................................................................... 49
Création DB SQL ...................................................................................................................................... 50
Configuration DaloRadius ....................................................................................................................... 51
Configuration FreeRadius ....................................................................................................................... 51
Test de DaloRadius.................................................................................................................................. 53
Sur le premier Pfsense ................................................................................................................................ 54
Bonus FreeRadius........................................................................................................................................ 62
Limites users (ajouter 2 limites : débit et durée) .................................................................................... 62
Proxy Radius ............................................................................................................................................ 62
A quoi pourraient servir les sections accounting{}, session{}, post-auth{} en plus de la section
authorize{} ? ............................................................................................................................................ 64
CHAP, PAP, MSCHAP et EAP-MD5 supportés par Freeradius ? .............................................................. 65
Julien Bonesso 3TIA 2018-2019

Réinitialiser le mot de passe admin dans PfSense ...................................................................................... 67
Analyse des protocoles (Wireshark) ........................................................................................................... 67
PAP / CHAP .............................................................................................................................................. 67
PAP ...................................................................................................................................................... 67
CHAP.................................................................................................................................................... 68
Radtest .................................................................................................................................................... 69
Wireshark ............................................................................................................................................ 69
Analyse 802.11 ........................................................................................................................................ 70
CSMA, RTS/CTS/ACK ............................................................................................................................... 71
Ici nous allons développer la méthode d’accès CSMA/CA .................................................................. 71
Analyse WEP/WPA .................................................................................................................................. 73
CAPTURE RÉSEAU PROTÉGÉ PAR WEP .................................................................................................... 74
CAPTURE RÉSEAU PROTÉGÉ PAR WPA ................................................................................................... 74

Schéma Réseau
- Le switch sera bien évidemment PoE (Power over Ethernet)

- Le client Windows 2016 et le serveur Windows 2016 seront sur la même carte réseau bridgée
(VLAN 10, port 10 du switch)
- Le client Pfsense et le Pfsense seront sur la même carte réseau bridgée (VLAN 20, port 20 du
switch)
- Le réseau de l’école sera accessible par une troisième carte réseau (Ici Wi-Fi des ordinateurs
portables) → DHCP
- L’AP Cisco aura 2 SSID, un sur chaque VLAN

Configuration du Switch
- enable
- conf t
- hostname SwitchPCaptif
- interface FastEthernet0/2
- switchport mode access
- switchport access vlan 1
- exit
- exit
- exit
- switchport mode trunk
- switchport trunk allowed vlan 1,10,20
- exit
- interface Vlan10
- ip address 192.168.100.253 255.255.255.0
- exit
- interface Vlan20
- ip address 192.168.200.253 255.255.255.0

Configuration du Windows Server
o Deux cartes réseau en pont : une sur le réseau de l’école (Internet), l’autre sur le Switch (Port
10)
o Installer les rôles AD, DHCP, DNS et Remote Access
o Adresse IP DHCP sur le réseau de l’école et 192.168.100.254/24 (sans DG) sur le réseau local
o Configuration du DNS :
o Ajouter 8.8.8.8 en Forwarder

o Configuration du DHCP :
o Mettre 192.168.100.254 en Gateway et en DNS distribués
o Configuration du routage et du NAT

o Sélectionner la carte connectée en DHCP (adresse en 10.1.31… normalement)
o Si message erreur : OK et ça fonctionne

Vérification accès Internet
o Aller sur le client Windows 7 du réseau Windows 16
o Vérifier config IP DHCP
o Vérifier accès Internet

Configuration basique de PfSense
o Adresse WAN DHCP
o Assigner adresse LAN (192.168.200.254/24)
o Quand proposition activation DHCP sur LAN, accepter
o Test ping 8.8.8.8
o Ajouter 8.8.8.8 comme DNS distribué dans les options DHCP
o Autoriser les pings sur l’adresse LAN du Pfsense

o Configurer la NAT pour transmettre Internet sur les clients du PfSense

o Menu « Interfaces » → « LAN »
o Décocher les deux CheckBox dans la partie Reserved Networks

Configuration du portail captif
o Services → Captive Portal → Add Zone

o Créer user d’authentification
o System → User Manager → Groups
o Créer groupe « WIFI »
o Lui assigner les privilèges du login portail captif

o Créer user et l’ajouter au groupe

Connexion au portail captif
o Aller sur le client Windows 7 connecté au Pfsense
o Demander l’accès à une page web : http://google.be/ par exemple
o Après log successfull → Redirection sur page 1.1.1.1
Si on veut aller sur Google après identification : changer « After authentication Redirection URL »

Configuration des vouchers sur le portail captif
o Dans Pfsense, aller dans Services → Captive Portal, et modifier le portail captif existant
o Aller ensuite dans l’onglet « Vouchers », et cocher « Enable the creation… »
o Cliquer ensuite sur « Save » en bas de page
o Ensuite, remonter la page et créer les vouchers au-dessus (Add)

o Dans la page qui s’est ouverte, entrer un numéro de règle (1), choisir le nombre de minutes par
ticket (60) et le nombre de tickets à générer (ici disons 50)
o Une fois les vouchers créés, exporter le fichier les contenant sur la machine de notre choix
o Ouvrir ensuite le fichier téléchargé (avec WordPad)
Ces séquences sont toutes des numéros de vouchers

o Nous prenons un des numéros de vouchers et allons avec le client sur la page de login du portail,
dans le champ « Voucher Code », coller le numéro de voucher choisi
Il faut savoir qu’un numéro de voucher sera ici valable 60 minutes, passé ce délai, il faudra entrer un
nouveau numéro de voucher.
o Pour déconnecter un utilisateur qui est connecté, aller dans l’onglet « Status » puis « Captive
Portal » sur Pfsense, nous pouvons ensuite cliquer sur la « petite poubelle » à côté de
l’utilisateur que nous voulons déconnecter pour qu’il soit donc bien déconnecté

Configuration de l’AP
o Se connecter en console via Putty
o Essayer les logs par défaut : mdp enable : Cisco
o Pour reset hardware :
o Maintenir le bouton « mode » appuyé, pendant que vous débranchez le cordon
d'alimentation. Rebranchez ensuite ce cordon.
o Si vous êtes en même temps connecté en console au point d'accès, vous devriez avoir
une invite vous proposant de relâcher ce bouton. Sinon, vous pouvez considérer que
vous pouvez lâcher le bouton lorsque le voyant rouge reste allumé
o Si bon mot de passe : remettre à zéro la configuration

o erase startup-config
o delete flash :vlan.dat
o Configurer l’interface BVI
BVI : Une interface "Bridge Virtual Interface" ressemble à une interface SVI (crée par la commande
interface vlan).
Lorsque des interfaces sont regroupées en bridge (couche 2), la BVI est l'interface de couche 3 qui
peut recevoir une adresse IP.
Dans le cas d'un AP, les bridges servent à regrouper les interfaces Radios et Ethernet, sinon il
faudrait router entre les 2 et placer des IP's.

Les bridges seront créés automatiquement lorsque les interfaces seront configurées via l'interface
web de l'AP.
o Vérifier la configuration du réseau
o Aller sur le PC « Client Management AP » qui a l’IP 192.168.0.1/24

o Aller sur la page 192.168.0.2 (cisco et Cisco)

o Configurer les interfaces Radio (à cocher comme ceci sur la 2.4 et la 5Ghz)
o Ne pas oublier de les allumer toutes les deux (Enable) et ensuite réactualiser
o Configurer les VLAN (10 et 20) et ne pas cocher « Native VLAN » (un sur chaque Radio 2.4 et 5-

o Configurer les SSID (un par radio (5Ghz et 2.4) pour qu’ils soient diffusés en même temps)

Ne pas mettre de network id, sinon l'AP ne fonctionnera comme prévu !
o Configuration des SSID Settings en bas

Vérification avec Client Wi-Fi
o Connexion au SSID n°1 (Bonboute_100)
o Vérifier que l’on a accès directement à internet et qu’on reçoit la bonne config DHCP
o Connexion au SSID n°2 (Bonboute_200)
o Vérifier que l’on a accès au portail captif (et qu’il fonctionne) et qu’on reçoit la bonne
config DHCP

Ajout de l’authentification Radius
Schéma Réseau avec Radius
o Le client Windows 2016 et le PfSense 2016 (nouveau Pfsense) seront sur la même carte réseau
bridgée (VLAN 10, port 10 du switch)
o Le client Pfsense et le Pfsense seront sur la même carte réseau bridgée (VLAN 20, port 20 du
switch)
o Les WAN des Pfsense seront sur le réseau physique (IP Statiques) (bridge)
o Nous ajouterons un Free Radius sur réseau physique (bridge) et le serveur 2016 n’aura plus
qu’une seule carte réseau vers le réseau physique (bridge)
o Le réseau de l’école sera accessible par une troisième carte réseau (Ici Wi-Fi des ordinateurs
portables) → DHCP
o L’AP Cisco aura 2 SSID, un sur chaque VLAN

Sur le Windows 2016 (Radius)
o Routing and Remote Access → Clic Droit → Disable Routing and Remote Access

o DHCP → Clic droit sur le Scope → Delete
o Attribuer IP Fixe Bridge : 172.16.7.101 (ou 10.1.31.101 → réseau école)

o Création AD
o Créer un groupe global de sécurité « CPortalUsers »
o Créer un utilisateur « Julien » (par exemple) avec password et l’ajouter à ce groupe
o Installer le rôle NPS
o Dans « Network Policy Server », ajouter un nouveau client Radius
o IP = IP réseau école Pfsense

o On doit générer (et copier dans le presse papier) ou créer un shared secret (au choix)

(IP : 10.1.31.100 à l’école)
o Ajouter une « Network Policies »

o Y ajouter le groupe « VPNUsers »

o Access granted
o « Authentification Methods »: cocher Unencrypted authentication (PAP, SPAP).
o Ensuite: Next, No, Next, Next, Finish

o Vérifier que Allow PfSense est bien premier dans la liste des règles

Pourquoi dans NPS l’ordre des stratégies réseaux et/ou de connections est-il important ?
Parce que les deux autres règles déjà créées servent à bloquer les connexions à d’autres serveurs. Les
premières règles sont les spécifications les plus spécifiques, puis plus larges.
Gérer les autorisations d’accès via Dial-In

o Clic Droit sur la Network Policy « Allow pfSense » → Properties
o Cocher la case « Ignore user account dial-in properties »

o Ensuite on modifie le compte utilisateur qui doit avoir oui/non l’accès
On peut maintenant gérer l’accès à chaque User indépendamment.

Sur le nouveau serveur Pfsense
o Adresse WAN 172.16.7.100 (ou 10.1.31.100 si School)
o Test ping 8.8.8.8




o System → User Manager → Authentification Servers
o Ajouter le serveur Radius
o Test de connexion
o Diagnostics → Authentication → Se loguer avec l’user de l’AD

o Services → Captive Portal → Add Zone

o Se loguer avec les ID Radius
Redirection vers 1.1.1.1 OK et accès à Internet !
Utiliser radtest comme client radius

➔ Pour vérifier que NPS fonctionne correctement. Consulter les logs systématiquement!

FreeRadius
Installation FreeRadius
o Attribuer une IP à la Debian (10.1.31.201 si école)
o Redémarrer la VM
o Mise à jour : apt-get upgrade et apt-get update
o Installer les paquets : apache2, php, libapache2-mod-php, mysql-server, mysql-client, php-
mysql, php-pear, php-gd, php-db phpMyAdmin
(bien installer les paquets un à un pour vérifier qu’ils s’installent bien)
o Installer ensuite les paquets freeradius, freeradius-mysql
o Nano /etc/freeradius/3.0/clients.conf
IP : 10.1.31.200 si réseau école

Création User (pour le test)
o Créer un utilisateur dans le fichier /etc/freeradius/3.0/users
o Service freeradius restart

Tests
o Entrer en mode debug : freeradius -X (Si freeradius vous affiche : « Read to process requests. »,
alors freeradius fonctionne et est prêt à utilisation)
Normalement doit afficher : « Read to process requests. », ici j’ai une erreur mais cette erreur n’est
pas grave.
NE PAS QUITTER LE MODE DEBUG
o En même temps (ouvrir une autre console (Alt+Flèche droite) : radtest <nom user> <password>
localhost 0 testing123(mdp par défaut sur le localhost)
Accept-accept → on peut passer à la suite

Installation DaloRadius
o Naviguer à la racine : cd /
wget http://downloads.sourceforge.net/project/daloradius/daloradius/daloradius0.9-
9/daloradius-0.9-9.tar.gz
tar xvfz daloradius-0.9-9.tar.gz -C /var/www
rm /var/www/html/index.html
mv /var/www/daloradius-0.9-9/* /var/www/html/

Création DB SQL
o Créer une DB MySQL s’appelant Radius :
mysql -u root -p
CREATE DATABASE radius;
o Importer le schéma de DB par défaut de freeradius

mysql -u root -p radius < /var/www/html/contrib/db/fr2-mysql-daloradius-and-freeradius.sql
o Créer un utilisateur « radius » dans mysql

mysql -u root -p
CREATE USER radius@localhost;
SET PASSWORD FOR radius@localhost = PASSWORD("Qq8qgtnusq");
GRANT ALL ON radius.* TO radius@localhost;
quit

Configuration DaloRadius
o Modifier les informations de connexion
nano /var/www/html/library/daloradius.conf.php
o Modifier le mode de connexion

nano /var/www/html/library/opendb.php
o Ajouter à la fin du fichier :
$dbSocket->query("SET SESSION sql_mode = ‘ ‘;");
Configuration FreeRadius
o Modifier les informations de connection
cd /etc/freeradius/3.0/mods-enabled
ln -s ../mods-available/sql sql
nano /etc/freeradius/3.0/mods-enabled/sql
Changer password et décommenter
Après cette configuration, redémarrer la VM

o Configurer FreeRadius pour utiliser SQL : nano /etc/freeradius/3.0/mods-enabled/sql
o Editer le fichier /etc/freeradius/3.0/sites-enabled/default et supprimer le tiret devant sql dans la

catégorie authorize :
o Editer le fichier /etc/freeradius/3.0/sites-enabled/inner-tunnel et supprimer le tiret devant sql

dans la catégorie authorize :

Test de DaloRadius
o Aller sur la page 172.16.7.201 avec la machine réelle par exemple
Le mot de passe est “radius”
o Une fois logué, aller dans “Management” puis cliquer sur “New User”

o Créer un utilisateur “julien” avec comme pseudo et “Qq8qgtnusq” comme mot de passe
Sur le premier Pfsense

o Adresse WAN 172.16.7.200 (ou 10.1.31.200 si School)
o Test ping 8.8.8.8



o System → User Manager → Authentification Servers
o Ajouter le serveur Radius
o Test de connexion
o Diagnostics → Authentication → Se loguer avec l’user créé sur DaloRadius

o Services → Captive Portal → Edit Zone

o Se loguer avec les ID Radius
Redirection vers 1.1.1.1 OK et accès à Internet !
Bonus FreeRadius
Limites users (ajouter 2 limites : débit et durée)
Proxy Radius
o Modifier le fichier /etc/freeradius/3.0/proxy.conf

o Ajouter le client freeRadius dans le serveur NPS
o Modifier le fichier /etc/freeradius/3.0/sites-enabled/default et décommenter la ligne -ldap dans

la section authorize
o Redémarrer le service FreeRadius
o Sur le client PfSense connecté au FreeRadius, essayer de se loguer avec des ID venant de la DB
NPS (un utilisateur n’existant que sur le NPS)

Si problème : ne pas oublier que si la machine FreeRadius a été redémarrée il faut démarrer le service en
faisant : freeradius -R ou voir la page https://wiki.freeradius.org/upgrading/version4/proxy
A quoi pourraient servir les sections accounting{}, session{}, post-auth{} en plus de la

section authorize{} ?
o Accounting{} :
Accounting permet de logger des informations sur les connexions, permettant
notamment la facturation en fonction de l’utilisation.
o Session{} :
Session permet de logger les requêtes SQL
o Post-auth{}
Post-auth permet d’appliquer des règles en fonction du status de l’authentification.

CHAP, PAP, MSCHAP et EAP-MD5 supportés par Freeradius ?
Oui :
CHAP :
PAP :
MSCHAP :

EAP-MD5 :

Réinitialiser le mot de passe admin dans PfSense
Le seul moyen de réinitialiser le mot de passe administrateur est en effet d'accéder au shell de la
machine, soit en terminal direct, soit en SSH. On arrivera donc directement sur ce menu:
A partir de ce menu, il faut saisir "3" pour l'option "Reset webConfigurator password". Néanmoins
attention, le clavier est par défaut en "QWERTY". PfSense nous préviens ensuite que le mot de passe et
les privilèges de l'utilisateur "admin" vont être réinitialisés à leurs valeurs par défaut (soit "pfsense" pour
le mot de passe. On saisi "y" pour confirmer:
PfSense nous conseil ensuite d'aller modifier ce mot de passe par défaut en allant de le
"webConfigurator" soit l'interface web.
Analyse des protocoles (Wireshark)

PAP / CHAP
PAP
Le protocole PAP( Password Authentication Protocol - protocole d'authentification du mot de passe) est
un protocole d’authentification qui permet d’identifier un utilisateur lors de sa connexion à un serveur
Internet. Lors de cette authentification, le mot de passe est transmis en clair, c'est-à- dire qu’il n’est
paschiffré. Le protocole PAP est utilisé avec le protocole PPP et il s’agit d’un protocole d’autorisation
d’accès pour l’ouverture d’une session sur le réseau.
FONCTIONNEMENT
Une table de noms d’utilisateurs et de mots de passe est stockée sur un serveur. Le principe du
protocole PAP est le suivant : lorsqu’un utilisateur s’identifie, son nom et son mot de passe sont
transmis au serveur pour une vérification. Une authentification avec le protocole PAP se fait en quatre
étapes :
- Le processus serveur pppd envoie une requête d’authentification spécifiant l’utilisation du

protocole PAP.
- Puis le client accepte de s’authentifier.

- Il répond alors avec son nom PAP qui très souvent correspond au nom d’utilisateur ainsi qu’avec
son mot de passe.
- Le serveur valide ou rejette la tentative de connexion avec un acquittement positif ou négatif.
Cette requête acquittement peut contenir du texte visant à informer l’utilisateur de l’état de la
connexion.
PAP est certainement le plus simple des protocoles d’authentification que le protocole PPP permet
d’utiliser.
ILLUSTRATION
CHAP
Le protocole CHAP (Challenge Handshake Authentification Protocol – protocole d'authentification à
échanges confirmés) négocie une forme sécurisée d’authentification cryptée à l’aide de MD5 (Message
Digest 5). MD5 est un modèle de hachage normalisé, c'est-à-dire une méthode de transformation des
données en un résultat unique qui ne peut plus retrouver sa forme d’origine. Cette méthode permet
donc de s’authentifier auprès d’un serveur en lui montrant que l’on connaît le mot de passe sans
réellement l’envoyer par le réseau. Grâce au protocole CHAP, les connexions réseaux et d’accès à
distance peuvent se connecter à pratiquement tous les autres serveurs PPP de manière sécurisée.
FONCTIONNEMENT
Le protocole CHAP utilise un système un système de défi-réponse qui consiste de la part du serveur à
envoyer au client une clé destinée à chiffrer le non d’utilisateur et le mot de passe dés lors que le client
fait sa demande d’accès. Grâce au système défi-réponse, le serveur d’authentification envoie un
identifiant au hasard, c’est le défi, le client va le crypter avec son mot de passe puis le renvoyer au
serveur, c’est ce qu’on appelle la réponse. Avec le protocole CHAP, l’authentification se fait en cinq
étapes :
• Le serveur envoie une requête contenant son nom : c’est le défi.

• Le client transforme ce défi avec sa clé et l’algorithme MD5
• Le client envoie son résultat au serveur: c’est la réponse
• Le serveur applique le même algorithme avec la clé du client, puis compare son résultat avec
celui du client
• Le serveur accorde ou rejette la connexion

Ce processus de défi-réponse peut être répété à n’importe quel moment de la phase de
communication.
ILLUSTRATION
Radtest
radtest {username} {password} {hostname} 10
{radius_secret}
frobinet@debian:~$ radtest freeradius freeradius 127.0.0.1 10 testing123
Sending Access-Request of id 201 to 127.0.0.1 port 1812
User-Name = "freeradius"
User-Password = "freeradius"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000 rad_recv:
Access-Accept packet from host 127.0.0.1 port 1812, id=201, length=20
frobinet@debian:~$ radtest freeradius wrong 127.0.0.1 10 testing123
Sending Access-Request of id 18 to 127.0.0.1 port 1812
User-Name = "freeradius"
User-Password = "wrong"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000 rad_recv:
Access-Reject packet from host 127.0.0.1 port 1812, id=18, length=20
Wireshark

Analyse 802.11
Association avec l’AP
Dans le standard IEEE 802.11, une trame beacon est une trame de diffusion émise par le point d'accès
(AP) à destination de toutes les stations (STA). Le rôle de ces beacons est de fournir les caractéristiques
de la cellule Wi-Fi : l'identifiant SSID, la liste des débits disponibles ainsi que les modes et méthodes
d’authentification.

Le client voulant s’y connecter (ici Apple….) répond positivement:
CSMA, RTS/CTS/ACK
La couche Liaison de données de la norme 802.11 est composée de deux souscouches : la couche de
contrôle de la liaison logique (Logical Link Control, notée LLC) et la couche de contrôle d'accès au
support (Media Access Control, ou MAC). La couche MAC définit deux méthodes d'accès différentes :
o La méthode CSMA/CA utilisant la Distributed Coordination Function (DCF)

o La Point Coordination Function (PCF)
Ici nous allons développer la méthode d’accès CSMA/CA

Dans un réseau local Ethernet classique, la méthode d'accès utilisée par les machines est le CSMA/CD
(Carrier Sense Multiple Access with Collision Detect), pour lequel chaque machine est libre de
communiquer à n'importe quel moment. Chaque machine envoyant un message vérifie qu'aucun autre
message n'a été envoyé en même temps par une autre machine. Si c'est le cas, les deux machines
patientent pendant un temps aléatoire avant de recommencer à émettre. Dans un environnement sans
fil ce procédé n'est pas possible dans la mesure où deux stations communiquant avec un récepteur ne
s'entendent pas forcément mutuellement en raison de leur rayon de portée. Ainsi la norme 802.11
propose un protocole similaire appelé CSMA/CA (Carrier Sense Multiple Access with Collision
Avoidance). Le protocole CSMA/CA utilise un mécanisme d'esquive de collision basé sur un principe
d'accusé de réception réciproques entre l'émetteur et le récepteur :

La station voulant émettre écoute le réseau. Si le réseau est encombré, la transmission est différée.
Dans le cas contraire, si le média est libre pendant un temps donné (appelé DIFS pour Distributed
Inter Frame Space), alors la station peut émettre. La station transmet un message appelé Request To
Send (noté RTS signifiant Demande pour émettre) contenant des informations sur le volume des
données qu'elle souhaite émettre et sa vitesse de transmission.
Le récepteur (généralement un point d'accès) répond un Clear To Send (CTS, signifiant Le champ est
libre pour émettre).
Puis la station commence l'émission des données.
A réception de toutes les données émises par la station, le récepteur envoie un accusé de réception
(ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elle considère être celui
nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée.

Analyse WEP/WPA
Le protocole WEP est une des premières méthodes de protection pour réseaux sans fil. Aujourd’hui
cette méthode est devenue obsolète. Toute personne disposant de connaissances approfondies peut
craquer la clé en peu de temps. Protection optimisée : le protocole WPA2, Wi-Fi Protected Access (IEEE
802.11i) ou WPA, a pour objectif de remplacer le protocole WEP. Le protocole WPA était une étape
intermédiaire permettant de résoudre rapidement les problèmes des périphériques WEP et prenait en
charge une partie de la norme 802.11i. Le protocole WPA2 met en application la norme dans son
intégralité. Le protocole WPA2 est pris en charge par tous les nouveaux périphériques WiFi. Les anciens
périphériques WEP sont parfois en mesure de prendre en charge le protocole WPA après une mise à
niveau du micrologiciel. Les périphériques WPA peuvent également souvent prendre en charge le
protocole WPA2 via une mise à niveau.
L’utilisation de WPA est donc recommandée.

CAPTURE RÉSEAU PROTÉGÉ PAR WEP
CAPTURE RÉSEAU PROTÉGÉ PAR WPA

BonessoJ Rapport PortailCaptif

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

BonessoJ Rapport PortailCaptif

Transféré par

Droits d'auteur :

Formats disponibles

HENALLUX

IESN – Institut Enseignement Supérieur de Namur

« Attribution - Pas d'utilisation commerciale 4.0 International ».

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

- Le switch sera bien évidemment PoE (Power over Ethernet)

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

o Ajouter 8.8.8.8 en Forwarder

Julien Bonesso 3TIA 2018-2019

o Mettre 192.168.100.254 en Gateway et en DNS distribués

o Configuration du routage et du NAT

Julien Bonesso 3TIA 2018-2019

o Si message erreur : OK et ça fonctionne

Julien Bonesso 3TIA 2018-2019

o Vérifier accès Internet

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

o Après log successfull → Redirection sur page 1.1.1.1

Julien Bonesso 3TIA 2018-2019

o Aller ensuite dans l’onglet « Vouchers », et cocher « Enable the creation… »

o Cliquer ensuite sur « Save » en bas de page

o Ensuite, remonter la page et créer les vouchers au-dessus (Add)

Julien Bonesso 3TIA 2018-2019

o Ouvrir ensuite le fichier téléchargé (avec WordPad)

Ces séquences sont toutes des numéros de vouchers

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

o Si bon mot de passe : remettre à zéro la configuration

Julien Bonesso 3TIA 2018-2019

o Vérifier la configuration du réseau

o Aller sur le PC « Client Management AP » qui a l’IP 192.168.0.1/24

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

o Configuration des SSID Settings en bas

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

o Attribuer IP Fixe Bridge : 172.16.7.101 (ou 10.1.31.101 → réseau école)

o IP = IP réseau école Pfsense

Julien Bonesso 3TIA 2018-2019

o Ajouter une « Network Policies »

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

o « Authentification Methods »: cocher Unencrypted authentication (PAP, SPAP).

o Ensuite: Next, No, Next, Next, Finish

Julien Bonesso 3TIA 2018-2019

Gérer les autorisations d’accès via Dial-In

Julien Bonesso 3TIA 2018-2019

On peut maintenant gérer l’accès à chaque User indépendamment.

Julien Bonesso 3TIA 2018-2019

o Test ping 8.8.8.8

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019

Julien Bonesso 3TIA 2018-2019