Institut Universitaire de Technologie de Blagnac PROJET TUTEURE Mise en oeuvre d’un portail Captif sur un réseau WIFI Jilin 2006 Institut Universitaire de PROJET TUTEURÉ Mise en oeuvre d’un Captif sur un réseau Lylian Anthony REMERCIEMENTS echnologie de orn Sni* to View Nous remercions l’équipe pédagogique pour sa disponibilité, tout particulièrement Fabrice Peyrard pour son avis critique sur l’ensemble du projet, ses conseils, et le temps qu’il nous à consacré malgré un emploi du temps déjà bien chargé.
Nous tenons aussi à remercier tout particulièrement Chapitre 2 : Etude des Solutions . . 1 2. 2 Tableau comparatif et analyse Orientation du choix Chapitre 3 : Mise en place de la maquette PfSense — 11 3. 1 3. 2 Architecture générale Installation de Configuration de pfsense . 3. 1. 1. 3. 2. 1 3. 2. 2. 3. 3 Les principaux paramètres………. Le portail PfSense 12 33 9 . 10 16 sécurisée 34 Chapitre 4 : Le client . 37 CONCLUSION… 40 ANNEXES . 1 Juin 2006 4 Mise en Œuvre d’un Portail Captif sur un Réseau WIFI Abstract Projet Tuteuré – ABSTRACT Licence Pro RMS The personal project in our degree emphasizes real practical work for which the student plans his own
These uvireless terminals Wifi’ • or Hotspots, whose commercial goal is to attract new « wan 3 7 analyze first the expectations of the IUT in order to target their needs correctly. ln a second time we will present the main free solutions of aptive portals and more particularly « PfSense » which may be today the solution the most adapted to the terms and conditions of the IUT. ln a third and last time we Will detail the technical implementation of PfSense for the IUT filtering and Wifi authentication.
We will present a « real conditions » model which will enable us to fit With what already exists in the IUT. Introduction projet Tuteuré – Licence pro RMS INTRODUCTION Le projet tuteuré de licence RMS met l’accent sur une réalisation concrète pour laquelle l’étudiant met en place un protocole de travail déterminé. Les sujets roposés par l’équipe pédagogique impliquent une étude approfondie dans les domaines balayés par la formation Réseaux Mobiles et Sécurité.
En l’occurrence, nous avons choisi un sujet dans le domaine des réseaux mais qui nécessite cependant des connaissances en télécommunications. Dune part, pour expliquer l’échange des données et our expliquer le PAGF d 3 professeurs, etc… tout en réglementant ce même accès. C’est dans ce but qu’il nous a été demandé de mettre en œuvre un portail qui capte n’importe quel service demandé (http, FTP, et n’autorise le passage de ces services que si la personne épond aux critères de sécurité demandé.
Ces besoins dépassent aujourd’hui la logique d’un pare feu classique. Pour nous guider vers une solution technique nous analyserons donc dans un premier temps les attentes de FILJT afin de bien cibler les besoins. Dans un second temps nous vous présenterons les principales solutions libres de portalls captifs et plus particulièrement « PfSense » qui vous le verrez est aujourd’hui la solution la plus appropriée au Cahier des Charges de l’IUT. Dans un troisième et dernier temps nous détaillerons la mise en œuvre pratique et technique de
PfSense pour le filtrage et l’authentification Wifi de l’IUT. En effet une maquette « conditions réelles » nous permettrait d’être le plus réaliste avec l’existant de l’IUT. juin 2006 6 Cahier des Charges Chapitre 1 : Cahier des char es PAGF s 3 permet à tout ordinateur équipé d’un navigateur HTML et d’un accès WiFi de se voir proposer un accès à Internet. La connexion au serveur est sécurisée par SSL grâce au protocole HITPS, ce qui garanti l’inviolabilité de la transaction.
Les identifiants de connexion (identifiant, mot de passe) de chaque utilisateur sont stockés dans une base e données qui est hébergée localement ou sur un serveur distant. Une fois l’utilisateur authentifié, les règles du Firewall le concernant sont modifiées et celui-ci se voit alors autorisé à utiliser son accès pour une durée limitée fixée par l’administrateur. A la fin de la durée définie, l’utillsateur se verra redemander ses identifiants de connexion afin d’ouvrir une nouvelle session.
Fonction type d’un portail captif Client : http://www. iut-blagnac. fr (en passant par le portail… ) Portail : redirection vers la page d’authentification locale Client : Logn+MdP SI OK . client : http://www. iut-blagnac. r Remarque : Maintenant il faut que cette redirection fonctionne avec tous les protocoles applicatifs. Schéma théorique d’un portail captif Interprétation : Quoi que désire faire le client, s’il veut surfer sur le WEB il devra d’abord passer par le portail captif afin de s’authentifier.
La différence entre un simple firewall et un portail captif réside dans le fait que le portail captif ne refuse pas une connexion, il la redirige vers une page d’authentification. 3 pour le filtrage et l’authentification WiFi Résumé du travail attendu : L’objectif est de mettre en œuvre un filtrage IP TABLES dynamique n assurant [‘authentification et la gestion de services à partir de client WiFi. La solution technique proposée par l’IUT doit répondre à 3 idées fondamentales qui sont : – Le filtrage IPTABLES dynamique – l’authentification et gestion de services (http, FTP, etc… – les clients sont Wifi . 3 Analyse critique de la proposition Dans la pratique nous avons du revoir la proposition initiale en concertation avec Mr Peyrard. En effet une analyse plus fine du sujet nous a permis de mieux comprendre que l’initial ne serait pas impossible ? faire moyennant des contraintes dues au type de demande. Nous vons pensé que ce ne serait plutôt pas adapté aux besoins concrets de l’IUT. C’est une solution qui fonctionne parfaitement, qui soit simple et opérationnelle pour les années suivantes qui est la perspective voulue.
D’autres contraintes importantes sont aussi à prendre en compte Le portail captif de départ s’appuierait sur LA solution qui aujourd’hui pourrait prétendre à allier le filtrage IPTABLES dynamique, l’authentification et la gestion de services, nous parlons de SQUID. Malheureusement nous avons du abandonner cette piste prometteuse et cela pour plusieurs points essentiels o L’utilisation du mode tra PAGF 7 OF quid est nécessaire pour une ou plusieurs règles pour chaque adresse.
CONCLUSION : L’orientation de notre choix doit passer par un balayage des principales solutions de portail captif libre. 8 Chapitre 2 : Etude des Solutions Tableau comparatif et analyse Nous avons récupéré une liste des principaux portails captifs libres et comparer ces derniers. Non disponible Plus ou moins disponible NoCatSplash Talweg Wifidog Chillispot Simplicité d’installation Infrastructure necessalre Performances & consommation réseau (tests B3 stable ! Orientation du choix Au vu de ce comparatif PfSense apparaît comme le meilleur ompromis entre portail captif critères IUT.
En effet c’est cette solution qui répond le mieux aux critères de Disponibilité (Base FreeBSD, load balancing, etc.. ) Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, ppTpr etc… ) Auditabilité (Statistique très nombreuses avec ntop, etc… ) Mise à jour (système upgradable sans réinstallation, packages téléchargeables depuis le Web GUI, etc… ). Simplicité d’administration, d’installation Autonomie complète directement 10 Chapitre 3 : Mise en place de la maquette pfsense Chapitre 3 : Mise en place de la ma uette PfSense
PAGF 37 en place de la maquette Pfsense Installation de PfSense Après avoir récupérer votre matériel l’installation peut commencer. A noter qu’il est impossible d’installer Pfsense sur un disque contenant une partition Fat 1 6/32, NTFS ou autres. Le disque dur devra être formaté pendant l’installation. Nous avons effectué l’installation décrite si dessous sur un logiciel appelé VMware. Ce logiciel nous permet de créer des ordinateurs virtuels et de les relier par réseaux virtuels. Voici donc la configuration de notre « laboratoire » sous VMware Passons maintenant à l’installation de PfSense.
Il existe 2 façons de falre marcher le portail captif : Sur le disque dur Via un Live CD Cette dernière solution est très rapide et efficace. Le chargement se fait automatiquement ainsi que sa configuration. Mais elle possède tout de même des inconvénients : Chargement long Configuration stockée sur disquette (les disquettes sont peu fiables) Impossibilité d’ajouter des « packages » (logiciels), on ne peut pas toucher à la structure du CD. Nous avons donc utilisé le Live CD pour comparer les différents portails captifs, mais pour une implantation dans un rése ux l’installer sur un disque
