Académique Documents
Professionnel Documents
Culture Documents
Nom : Bonesso
Prénom : Julien
Classe : 3 TI A
Enseignant : Mr Melchior Nicolas
Année 2018-2019
Flux Mobiles
Laboratoire
Mise en place d’un portail captif Pfsense
Ce document est mis à disposition selon les termes de la licence Creative Commons
Si on veut aller sur Google après identification : changer « After authentication Redirection URL »
o Une fois les vouchers créés, exporter le fichier les contenant sur la machine de notre choix
Il faut savoir qu’un numéro de voucher sera ici valable 60 minutes, passé ce délai, il faudra entrer un
nouveau numéro de voucher.
o Pour déconnecter un utilisateur qui est connecté, aller dans l’onglet « Status » puis « Captive
Portal » sur Pfsense, nous pouvons ensuite cliquer sur la « petite poubelle » à côté de
l’utilisateur que nous voulons déconnecter pour qu’il soit donc bien déconnecté
BVI : Une interface "Bridge Virtual Interface" ressemble à une interface SVI (crée par la commande
interface vlan).
Lorsque des interfaces sont regroupées en bridge (couche 2), la BVI est l'interface de couche 3 qui
peut recevoir une adresse IP.
Dans le cas d'un AP, les bridges servent à regrouper les interfaces Radios et Ethernet, sinon il
faudrait router entre les 2 et placer des IP's.
o Configurer les VLAN (10 et 20) et ne pas cocher « Native VLAN » (un sur chaque Radio 2.4 et 5-
o Le client Windows 2016 et le PfSense 2016 (nouveau Pfsense) seront sur la même carte réseau
bridgée (VLAN 10, port 10 du switch)
o Le client Pfsense et le Pfsense seront sur la même carte réseau bridgée (VLAN 20, port 20 du
switch)
o Les WAN des Pfsense seront sur le réseau physique (IP Statiques) (bridge)
o Nous ajouterons un Free Radius sur réseau physique (bridge) et le serveur 2016 n’aura plus
qu’une seule carte réseau vers le réseau physique (bridge)
o Le réseau de l’école sera accessible par une troisième carte réseau (Ici Wi-Fi des ordinateurs
portables) → DHCP
o L’AP Cisco aura 2 SSID, un sur chaque VLAN
o Test de connexion
o Diagnostics → Authentication → Se loguer avec l’user de l’AD
o Redémarrer la VM
o Mise à jour : apt-get upgrade et apt-get update
o Installer les paquets : apache2, php, libapache2-mod-php, mysql-server, mysql-client, php-
mysql, php-pear, php-gd, php-db phpMyAdmin
(bien installer les paquets un à un pour vérifier qu’ils s’installent bien)
o Installer ensuite les paquets freeradius, freeradius-mysql
o Nano /etc/freeradius/3.0/clients.conf
Normalement doit afficher : « Read to process requests. », ici j’ai une erreur mais cette erreur n’est
pas grave.
o En même temps (ouvrir une autre console (Alt+Flèche droite) : radtest <nom user> <password>
localhost 0 testing123(mdp par défaut sur le localhost)
rm /var/www/html/index.html
mv /var/www/daloradius-0.9-9/* /var/www/html/
Configuration FreeRadius
o Modifier les informations de connection
cd /etc/freeradius/3.0/mods-enabled
ln -s ../mods-available/sql sql
nano /etc/freeradius/3.0/mods-enabled/sql
o Une fois logué, aller dans “Management” puis cliquer sur “New User”
o Test de connexion
o Diagnostics → Authentication → Se loguer avec l’user créé sur DaloRadius
Bonus FreeRadius
Limites users (ajouter 2 limites : débit et durée)
Proxy Radius
o Modifier le fichier /etc/freeradius/3.0/proxy.conf
o Sur le client PfSense connecté au FreeRadius, essayer de se loguer avec des ID venant de la DB
NPS (un utilisateur n’existant que sur le NPS)
CHAP :
PAP :
MSCHAP :
A partir de ce menu, il faut saisir "3" pour l'option "Reset webConfigurator password". Néanmoins
attention, le clavier est par défaut en "QWERTY". PfSense nous préviens ensuite que le mot de passe et
les privilèges de l'utilisateur "admin" vont être réinitialisés à leurs valeurs par défaut (soit "pfsense" pour
le mot de passe. On saisi "y" pour confirmer:
PfSense nous conseil ensuite d'aller modifier ce mot de passe par défaut en allant de le
"webConfigurator" soit l'interface web.
FONCTIONNEMENT
Une table de noms d’utilisateurs et de mots de passe est stockée sur un serveur. Le principe du
protocole PAP est le suivant : lorsqu’un utilisateur s’identifie, son nom et son mot de passe sont
transmis au serveur pour une vérification. Une authentification avec le protocole PAP se fait en quatre
étapes :
Cette requête acquittement peut contenir du texte visant à informer l’utilisateur de l’état de la
connexion.
PAP est certainement le plus simple des protocoles d’authentification que le protocole PPP permet
d’utiliser.
ILLUSTRATION
CHAP
Le protocole CHAP (Challenge Handshake Authentification Protocol – protocole d'authentification à
échanges confirmés) négocie une forme sécurisée d’authentification cryptée à l’aide de MD5 (Message
Digest 5). MD5 est un modèle de hachage normalisé, c'est-à-dire une méthode de transformation des
données en un résultat unique qui ne peut plus retrouver sa forme d’origine. Cette méthode permet
donc de s’authentifier auprès d’un serveur en lui montrant que l’on connaît le mot de passe sans
réellement l’envoyer par le réseau. Grâce au protocole CHAP, les connexions réseaux et d’accès à
distance peuvent se connecter à pratiquement tous les autres serveurs PPP de manière sécurisée.
FONCTIONNEMENT
Le protocole CHAP utilise un système un système de défi-réponse qui consiste de la part du serveur à
envoyer au client une clé destinée à chiffrer le non d’utilisateur et le mot de passe dés lors que le client
fait sa demande d’accès. Grâce au système défi-réponse, le serveur d’authentification envoie un
identifiant au hasard, c’est le défi, le client va le crypter avec son mot de passe puis le renvoyer au
serveur, c’est ce qu’on appelle la réponse. Avec le protocole CHAP, l’authentification se fait en cinq
étapes :
ILLUSTRATION
Radtest
radtest {username} {password} {hostname} 10
{radius_secret}
frobinet@debian:~$ radtest freeradius freeradius 127.0.0.1 10 testing123
Sending Access-Request of id 201 to 127.0.0.1 port 1812
User-Name = "freeradius"
User-Password = "freeradius"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000 rad_recv:
Access-Accept packet from host 127.0.0.1 port 1812, id=201, length=20
frobinet@debian:~$ radtest freeradius wrong 127.0.0.1 10 testing123
Sending Access-Request of id 18 to 127.0.0.1 port 1812
User-Name = "freeradius"
User-Password = "wrong"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000 rad_recv:
Access-Reject packet from host 127.0.0.1 port 1812, id=18, length=20
Wireshark
Dans le standard IEEE 802.11, une trame beacon est une trame de diffusion émise par le point d'accès
(AP) à destination de toutes les stations (STA). Le rôle de ces beacons est de fournir les caractéristiques
de la cellule Wi-Fi : l'identifiant SSID, la liste des débits disponibles ainsi que les modes et méthodes
d’authentification.
CSMA, RTS/CTS/ACK
La couche Liaison de données de la norme 802.11 est composée de deux souscouches : la couche de
contrôle de la liaison logique (Logical Link Control, notée LLC) et la couche de contrôle d'accès au
support (Media Access Control, ou MAC). La couche MAC définit deux méthodes d'accès différentes :
Le récepteur (généralement un point d'accès) répond un Clear To Send (CTS, signifiant Le champ est
libre pour émettre).
A réception de toutes les données émises par la station, le récepteur envoie un accusé de réception
(ACK). Toutes les stations avoisinantes patientent alors pendant un temps qu'elle considère être celui
nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée.