TP : Mise en place dun portail captif.

CARATY Laurent / MARTINAU Damien ASR 3/2

Mise en place dun portail captif

Partie 1. Emplacement gographique.

8.6M Bout de pice

Client

Zone WiFi Privilgi

Environ 5.5M

Point daccs

1 - Calcul de la distance entre le point daccs et lextrmit de la pice. Puisque la zone WiFi privilgi se termine avant cette extrmit nous obtiendrons une marge derreur. Utilisation de Pythagore ^^. D = 8.6 + 5.5 La distance du point daccs au bout de la pice est denviron 10 M.

2 Calcul de la perte par la propagation pour la distance D = 10M.

-1-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Longueur donde = (3 * 10^8) / 2.4Ghz = 0.12248 M ASR 3/2

Perte de propagation = 20 * log ( (4 * * 10) / 0.12248 ) Perte de propagation = 6 dB.

Matriel dmission :

Netgear WG102 (121.89) Choisi pour son faible cout, et pour sont option dalimentation par Ethenet PoE ( - cher a linstallation).
-compatible IEEE 802.11g, (2.4 GHz) -alimentation par Ethernet (PoE) norme IEEE 802.3af -Le support WPA et 802.1x autorise une authentification mutuelle sre, permettant de garantir que seuls les clients lgitimes se connectent aux serveurs d'entreprise RADIUS. -Manageable par protocole SNMP MIB I, MIB II, et 802.11 MIB - Supporte les protocoles d'authentification de port 802.1x les plus rpandus, y compris EAP, TLS, PEAP et TTLS.

sensibilit en rception classique -75 dBm (Rx) 54 Mbps puissance d'mission (Tx) de 19 dBm

-2-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Antenne Patch (28) Choisi puisque le point daccs se trouvera dans un coin de mur, il vos mieux donc emmtre des ondes que dun cot de lantenne, do le choix dune antenne directive type Patch. Frquence : 2.4 ~ 2.5 GHz Gain: 6dBi 2.45GHz Cble : 1M Polarisation : Linaire et verticale Connecteur : RP SMA

Gain dmission (point daccs):

Addition du gain de lmetteur 19dB + gain de lantenne 6dB perte dans le cble 1dB perte dans le connecteur 1dB. (La perte dans le cble et dans le connecteur ntant pas renseign nous avons pris le pire des cas pour chacun (1dB) , donc une marge supplmentaire). Total = 23dB

Gain de rception (point daccs):

Addition du gain du rcepteur -75dB + gain de lantenne 6dB perte dans le cble 1dB perte dans le connecteur 1dB. Total = -79dB

Prix total du point daccs : 149.89.

-3-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Matriel de rception :
Le cahier des charges nous indique une carte wifi type CMCIA Cisco Aironet. Modle choisi : Cisco Aironet AIR-CB21AG. Network Standard IEEE 802.11a/b/g Gain d emission a 54mbps 20 dBm Sensibilit de rception a 54mbps -72 dBm

Tableau rcapitulatif et bilan radio.

Puissances Point daccs, mission Point daccs, rception Client rception Client mission 23dB -79dB 6dB pour 10 mtres -72dB 20 dB 66dB 14dB
54mbps OK 54mbps OK

Perte de propagation

Total 17dB 73dB

Respect tolrances 54mbps OK 54mbps

OK

Conclusion sur le matriel et lemplacement gographique : Daprs lemplacement choisi ainsi que lquipement, la liaison WiFi sera de bonne qualit puisque nous restons dans la tolrance des 6dB thorique pour avoir un systme oprationnel.

-4-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Nous avons pris des marges de tolrance sur : - La distance - Et la qualit mdiocre du cble et des connecteurs Cependant nous navons pas pris en compte : - Les obstacles potentiels aux ondes (personnes dans la pice). - Le bruit dans lenvironnement. Mais si lon considre que les marges que lon a accords sont suprieures ou gale aux paramtres non pris en compte le rseau wifi sera oprationnel a 54mbps, sinon moins mais toujours possible. ASR 3/2

-5-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Partie 2. Configuration matriel. Choix du matriel (serveurs):

Nous avons choisi de travailler avec le matriel propos savoir : Pour le portail captif, un serveur Pfsense car il sagit dune solution relativement complte, facile a mtre en place, configuration simple par interface web pour le futur administrateur et gratuite. Pour la gestion daccs, bien que Pf sense fasse office de serveur radius, nous avons dcid de grer les droits daccs sur une autre machine afin de ne pas tout centraliser. Nous avons opt pour un serveur 2003. Le systme est payant mais puisquil est dot dune interface graphique nous avons trouv que a serai plus simple a gr pour le futur administrateur quune configuration sur un systme Linux ou il faut davantage de connaissance quand a la manipulation de fichiers de configuration.

Topographie utilise :

-6-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Configuration du matriel :
Configuration des principaux paramtres de Pfsense :

192.168.51.1 192.168.1.70

La premire tape dans Pfsense fut de configurer ladressage IP. Pour cela nous agissons sur linterface ligne de commande. Nous avons choisi comme adresse ip de notre rseau 192.168.51.1/24 et pour ladresse Wan nous avons rcupr une adresse dlivre par le serveur DHCP que nous avons mis par la suite en dur.

Tests : A partir de linterface ligne de com : - ping de la passerelle (192.168.1.1) - ping du serveur DNS (192.168.1.254) - ping www.google.fr - ping sur les clients de notre rseau Lan

Les connexions rseau correctement tablies nous pouvons passer a la configuration du portail captif proprement dite, c'est--dire que nous utiliserons linterface de configuration web de Pfsense a partir dun pc connect au Lan dont voici un exemple daffichage :

-7-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

@ip rentr dans le navigateur : 192.168.51.1 (Pfsense). Login : admin Pwd : pfsense

Systme Gnral Setup :

-8-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Config : Hostname : Pfsense Domain : DMLC DNS server : 192.198.1.254 Dcocher la case Allow DNS afin que les clients utilisent pfsense comme DNS. Activation du SSL pour pour de scurit afin dobtenir les pages de config en HTTPS (nous utilisons le port par dfaut 443) ASR 3/2

Interfaces : Ce menu nous permet la configuration des interfaces (elles sont dj configur puisque nous lavons fait en ligne de com. Services DNS Forwarder :

Activez ensuite l'option Enable DNS forwarder. Cette option va permettre Pfsense de transfrer et d'mettre les requtes DNS pour les clients. Services DHCP server : Pfsense peut faire serveur DHCP ce qui nest pas une option ngligeable tant donn quil va tre implant dans une structure ou les clients serons mobile. Et cela nous permettra denvoyer au clients toutes les info indispensables pour tablir la connexion (DNS/Passerelle..).

Enable DHCP server Plage dadresse nous avons choisi 192.168.51.10 a 192.168.51.15 DNS 192.168.1.254 Gateway 192.168.1.1

-9-

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Test : Nous mettons dans un premier temps un client en mode dadressage dynamique pour verrifier que le service DHCP de pfsense fonctionne et nous dlivre bien des adresses correcte.

Captive portail :

Il faut bien entendu activer loption enbable , nous avons dans un premier temps laisser les paramtres de time out par dfaut, une modification de ces paramtres serai plus judicieux une fois le systme mis en place afin de juger des rels problmes. Mthode dauthentification :

Nous avons donc opt pour une authentification par rapport a lactive directory de notre serveur 2003.

- 10 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Radius Authentifiaction : Enabled IP address : 192.168.51.2 (notre 2003 serveur) Shared secret : secret

Gnration des certificats SSL pour le HTTPS :

!!! Ne pas oubli de les copier sur la page : webGUI SSL certificate key !!!

- 11 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Pourquoi ? Lors de la connexion au wifi les clients devrons saisir login et mdp sur une page web, il est donc judicieux que lorsque les informations saisies dans les champs serons envoys au serveur, elles soient crypts.

Config radius cot Pfsense : System General setup :

Hostname : pfsense Domain : DMLC DNS servers : 192.168.1.254 Dcocher Allow DNS

Option de Scurit

Puis Option intressante, la r-authentification de lutilisateur toutes les minutes. Nous avons choisi cette option car elle vite le Man In The Middle . En effet si un pirate pas gentil venait sinterposer entre 2 stations alors le laps de temps que pourrait jouir le mchant pirate serait au maximum gal la prochaine authentification (Une minute), donc seules les 2 stations connaissent le secret partag+ MdP crypt (le login ne lest pas) =>attaque finie.

Source : Web dun projet tutor

- 12 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Config radius cot 2003 serveur : On suppose une configuration 2003 serveur : DNS install avec comme nom : DMLC Active directory install sur ce domaine (DMLC) !!!ATTENTION !!! ce serveur deviendra le serveur DNS de Pfsense.

Activation de radius : Dans : Demarrer / Panneau de conf / Ajout suppr de programmes / Ajouter ou supprimer des composant de windows / Services de mise en rseau. Cocher Service dauthentification internet.

Crer un compte dans lactive directory : 1 - Dmarrer | Outils dadministration | Utilisateurs et ordinateurs Active Directory 2 Dans le dossier Users : clique droit et nouvel utilisateur 3 Editer les proprits du compte pour autoriser laccs distant.

- 13 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Cration dun groupe de scurit globale dans lactive directory : 1 Dmarrer / Outils dadministration / Utilisateurs et ordinateurs Active Directory 2 - Dossier Users : clidroit puis nouveau groupe.

Cration dun groupe PfsenseInternetUsers puis on ajoute lutilisateur prcdemment crer a ce groupe.

- 14 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Ajouter Pfsense dans le notre serveur DNS ( 2003 serveur) : 1 Dmarrer / programme / outils dadministration / DNS 2 Renseigner le service authentification dans lactive directory ASR 3/2

Dans DMLC.com crer un nouvel hote A.

Hostname de pfsense

Domaine de ratachement : DMLC.com

@ip psfsense : 192.168.51.1

A cocher pour activer la rsolution de noms

- 15 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Paramtrer le service IAS : Dans service dauthentification Internet on ajoute un client radius. ASR 3/2

Rappel des paramtres de pfsense : hostname = pfsense | @ip = 192.168.51.1 | secret = secret

- 16 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Ajout dune nouvelle stratgie dfinissant les paramtres du systme radius. ASR 3/2

Le NAS identifier correspond au serveur pfsense puisque cest lui qui reoit la requte dauthentification. Donc on indiquera pfsense.DMLC.com

- 17 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Puis lon configure pas quel moyen les infos sont transmises. Dans notre cas : de lEthernet.

On ajoute notre groupe qui sera identifi par notre mode radius. Pour rappel : PFSenseInternetUsers.

- 18 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

On autorise laccs distant puis dans la fentre suivante loption proprit | authentification est ici PAP, CHAP Fentre finale :

Configuration de la borne WiFi (point dacces). Le point daccs ne ncessite pas daction particulire mis part, configurer ladressage pour le rseau ainsi quun nom SSID, dans notre cas : DMLC En effet les requtes de connexion seront interceptes par pfsense.

- 19 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien Test : Un client wifi se connecte a notre point daccs, sil ouvre son navigateur il obtient la page suivante, cest le portail de connexion qui lui donnera le droit daccder au web. Notez que nous somme bien en Https. ASR 3/2

Aprs authentification nous pouvons accder au web. Je rappel quil faut utiliser le login de lutilisateur crer dans lactive directory de win 2003 serveur, auquel nous avons ajout a un groupe de scurit qui lui-mme a des rgles radius en rapport avec le serveur Pfsense.

- 20 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Rgles de firewall Pfsense :

Pfsense peu aussi faire office de FireWall au niveau de longlet Firewall /rules. Pour se conform au cahier des charge nous ne laissons ouvert que les ports suivant.

HTTP HTTPS FTP

80 443
20 & 21

Log de connexions :
Pour obtenir les logs de connexion il sagit dinstaller un proxy. Or une solution est possible sur le serveur pfsense, en effet il sagit dun systme Unix. On peut donc installer un proxy transparent plutt connu qui est squid , commande apt-get install squid. Chaque pas visit sera donc filtr par squid et galement crite dans les logs. Ces logs se trouvent dans /var/log/squid

- 21 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Partie 3. Rapport du Projet.

Ce projet a t bas sur le fait quil existait dj un rseau informatique dans la bibliothque par accord oral avec Mr Dellelis. Cependant nous navons aucun rapport sur lexistant. Nous sommes donc partis sur les bases suivantes : Cblage Ethernet dj tabli. Commutateur Ethernet dj prsent avec des ports de libres. Accs a internet dj rout. Pas de serveur de type active directory ou LDAP. Adressage classique sans Vlan.

La solution apport pour tre en conformit avec le cahier des charges et le matriel mis a disposition (voir annexe1) est donc un portail captif bas sur un serveur Pfsense avec une authentification radius en lien avec lactive directory dun Windows serveur 2003. La faisabilit est tout fait possible puisque nous lavons effectu et test. La configuration totale et oprationnelle, tests compris, est de lordre de la demi-journe.

Le cout a t mesur de 2 manires. Cas n1 : On ne considre pas quil faille acheter de nouvelles machines pour les serveurs Pfsense et serveur 2003. Cas n2 : On considre quil faille acheter du matriel pour les serveurs Pfsense et 2003 serveur. Dans ce cas nous fixons le prix de la machine 478 qui correspond au Dell inspiron 530 qui a des performances suffisantes pour un petit rseau.

Cas n1 Systme WiFi Systme de portail captif Point daccs + Antenne

Serveur Pfsense (systme)
Serveur Pfsense (hardware)

Cas n2 149.89 libre 478

149.89 libre

2003 Serveur
2003 Serveur (hardware)

1339

1339 478

Cout Total TTC en

1488.89

2444.89

Ne sont pas prix en compte les frais de prestation de mise en place du systme et de couts supplmentaires type cordons de brassage.

- 22 -

TP : Mise en place dun portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

Inconvnient du projet : Le cout lev pour une association essentiellement du a la licence de 2003 serveur. Avantage : Systme de portail scuris via le contrle daccs radius, en relation avec un active directory. Systme de Login pour le client ergonomique via une page web gnr par Pfsence. Administration de Pfsence galement ergonomique via une interface web. Administration de lactive directory, et radius plus simple sous Windows 2003 serveur.

Lamlioration sur systme de connexion peu tre amlior par des options a activs du type : - Time Out de connexion. - Ne pas autoriser de sessions multiple (afin davoir un accs, pour une personne). - Proxy qui empcherait laffichage de certaines pages type Porno et illgal (intervention dans squid, rajouter des rgles de filtrage).

Annexe 1 Cahier des charges et matriel mis a dispo Cahier des charges : Lutilisation du portail captif Pfsense est indispensable. Les utilisateurs doivent pouvoir se connecter avec leur compte de bibliothque (Active Directory). Les authentifications utilisateurs et de ladministrateur doit tre scurises. Du fait de la responsabilit de la bibliothque, une gestion des sites consults doit tre faite. Les clients ne pourront accder quau web. Le budget est assez restreint pour cette bibliothque, car elle fait partie dune association.

Equipement mis disposition : Un serveur Pfsense. Un commutateur Ethernet de niveau 2. Une connexion internet. Possibilit davoir un serveur Debian et un serveur 2003. Un point daccs. Un client WiFi

- 23 -