Tutorial PfSense Francais 1v1.0

Institut Universitaire de Technologie de Blagnac
PROJET TUTEUR
Mise en oeuvre d'un Portail Captif sur un rseau WIFI
Juin 2006
Institut Universitaire de Technologie de Blagnac
PROJET TUTEUR
Mise en oeuvre d'un Portail Captif sur un rseau WIFI
Lylian Anthony Juin 2006
REMERCIEMENTS
Nous remercions lquipe pdagogique pour sa disponibilit, tout particulirement Fabrice Peyrard pour son avis critique sur lensemble du projet, ses conseils, et le temps quil nous consacr malgr un emploi du temps dj bien charg. Nous tenons aussi remercier tout particulirement Danielle Caballero pour son aide dans la forme et le fond rdactionnel dun projet tuteur. Enfin un grand merci aux innombrables internautes qui nous ont expliqus les diffrentes solutions de portails captifs et qui nous ont permis dapprhender au mieux les besoins du projet.
Mise en uvre d'un Portail Captif sur un Rseau WIFI Projet Tuteur Licence Pro RMS
SOMMAIRE
SOMMAIRE
ABSTRACT ....................................................................................................... 5 INTRODUCTION ............................................................................................... 6 Chapitre 1 : Cahier des charges..................................................................... 7

1.1 1.2 1.3 2.1 2.2 3.1 3.2 3.1 3.2 3.3 Avant propos : Quest ce quun portail captif ?.................................................. 7 Rsum de la proposition ................................................................................. 8 Analyse critique de la proposition...................................................................... 8 Tableau comparatif et analyse .......................................................................... 9 Orientation du choix ........................................................................................ 10 Architecture gnrale ...................................................................................... 11 Installation de PfSense ................................................................................... 12 Configuration de PfSense ............................................................................... 16
Les principaux paramtres................................................................................. 16 Paramtres gnraux ........................................................................................ 20 Lauthentification................................................................................................ 22 Laccs scuris au Web Gui............................................................................. 32 Lauthentification scurise de lutilisateur ......................................................... 32 Laprs authentification, une communication scurise ..................................... 34
Chapitre 2 : Etude des Solutions ................................................................... 9 Chapitre 3 : Mise en place de la maquette PfSense ................................... 11
3.1.1. 3.2.1. 3.2.2. 3.1.1. 3.3.2. 3.3.3.
Le portail captif................................................................................................ 20 Scurisation de PfSense................................................................................. 32
Chapitre 4 : Le client ..................................................................................... 37 CONCLUSION................................................................................................. 40 ANNEXES ....................................................................................................... 41
Juin 2006
Abstract
ABSTRACT
The personal project in our degree emphasizes real practical work for which the student plans his own protocol. The themes suggested require deeper study in the subjects learned in our training. We chose to work in networks; however some knowledge in telecommunications is also required: in one hand to explain data exchanges and in the other hand to explain wave activity. For some time wireless terminals in public places have given free access or not to the Internet. These wireless terminals `' WiFi' ', or Hotspots, whose commercial goal is to attract new "wandering" customers, must offer simple access, but also, especially because they are in a public place, be very protected. Today the IUT wishes to create a free WiFi Internet access for its students, lecturers, professors, etc... while regulating this very access. Thats why we were asked to implement a portal collecting any required service (HTTP, ftp...) and authorizing the passage of these services only if the people answers the criteria of safety asked. These requirements exceed the logic of a traditional firewall. To reach a technical solution we will thus analyze first the expectations of the IUT in order to target their needs correctly. In a second time we will present the main free solutions of captive portals and more particularly "PfSense" which may be today the solution the most adapted to the terms and conditions of the IUT. In a third and last time we will detail the technical implementation of PfSense for the IUT filtering and WiFi authentication. We will present a "real conditions" model which will enable us to fit with what already exists in the IUT.
Juin 2006
Introduction
INTRODUCTION
Le projet tuteur de licence RMS met l'accent sur une ralisation concrte pour laquelle l'tudiant met en place un protocole de travail dtermin. Les sujets proposs par l'quipe pdagogique impliquent une tude approfondie dans les domaines balays par la formation Rseaux Mobiles et Scurit. En l'occurrence, nous avons choisi un sujet dans le domaine des rseaux mais qui ncessite cependant des connaissances en tlcommunications. D'une part, pour expliquer l'change des donnes et d'autre part pour expliquer le comportement des ondes. Depuis quelque temps des bornes sans fil places dans des endroits publics donnent un accs gratuit ou non Internet. Ces bornes sans fil WiFi, ou Hotspots, dont le but commercial est dattirer une nouvelle clientle nomade doivent tre la fois simple daccs, et surtout par le fait quelles soient dans un endroit public, trs scurises. LIUT dsire aujourdhui crer un accs WiFi gratuit Internet pour ses tudiants, confrenciers, professeurs, etc tout en rglementant ce mme accs. Cest dans ce but quil nous a t demand de mettre en uvre un portail qui capte nimporte quel service demand (http, FTP, ) et nautorise le passage de ces services que si la personne rpond aux critres de scurit demand. Ces besoins dpassent aujourdhui la logique dun pare feu classique. Pour nous guider vers une solution technique nous analyserons donc dans un premier temps les attentes de lIUT afin de bien cibler les besoins. Dans un second temps nous vous prsenterons les principales solutions libres de portails captifs et plus particulirement PfSense qui vous le verrez est aujourdhui la solution la plus approprie au Cahier des Charges de lIUT. Dans un troisime et dernier temps nous dtaillerons la mise en uvre pratique et technique de PfSense pour le filtrage et lauthentification WiFi de lIUT. En effet une maquette conditions relles nous permettrait dtre le plus raliste avec lexistant de lIUT.
Juin 2006
Cahier des Charges
Chapitre 1 : Cahier des charges

1.1 Avant propos : Quest ce quun portail captif ?
Un portail captif est une structure permettant un accs rapide Internet. Lorsqu'un utilisateur cherche accder une page Web pour la premire fois, le portail captif capture la demande de connexion par un routage interne et propose l'utilisateur de s'identifier afin de pouvoir recevoir son accs. Cette demande d'authentification se fait via une page Web stocke localement sur le portail captif grce un serveur HTTP. Ceci permet tout ordinateur quip d'un navigateur HTML et d'un accs WiFi de se voir proposer un accs Internet. La connexion au serveur est scurise par SSL grce au protocole HTTPS, ce qui garanti l'inviolabilit de la transaction. Les identifiants de connexion (identifiant, mot de passe) de chaque utilisateur sont stocks dans une base de donnes qui est hberge localement ou sur un serveur distant. Une fois l'utilisateur authentifi, les rgles du Firewall le concernant sont modifies et celui-ci se voit alors autoris utiliser son accs pour une dure limite fixe par l'administrateur. A la fin de la dure dfinie, l'utilisateur se verra redemander ses identifiants de connexion afin d'ouvrir une nouvelle session. Fonction type dun portail captif : Client : http://www.iut-blagnac.fr (en passant par le portail)
Portail : redirection vers la page dauthentification locale Client : Login+MdP SI OK : client : http://www.iut-blagnac.fr Remarque : Maintenant il faut que cette redirection fonctionne avec tous les protocoles applicatifs.
Schma thorique dun portail captif Interprtation : Quoi que dsire faire le client, sil veut surfer sur le WEB il devra dabord passer par le portail captif afin de sauthentifier. La diffrence entre un simple FireWall et un portail captif rside dans le fait que le portail captif ne refuse pas une connexion, il la redirige vers une page dauthentification.
Juin 2006
Cahier des Charges
1.2
Rsum de la proposition
Rsum de la proposition :
Titre : Mise en uvre dun portail captif pour le filtrage et lauthentification WiFi
Rsum du travail attendu : Lobjectif est de mettre en uvre un filtrage IPTABLES dynamique en assurant lauthentification et la gestion de services partir de client WiFi.
La solution technique propose par lIUT doit rpondre 3 ides fondamentales qui sont : - Le filtrage IPTABLES dynamique - lauthentification et gestion de services (http, FTP, etc) - les clients sont WiFi
1.3
Analyse critique de la proposition
Dans la pratique nous avons du revoir la proposition initiale en concertation avec Mr Peyrard. En effet une analyse plus fine du sujet nous a permis de mieux comprendre que linitial ne serait pas impossible faire moyennant des contraintes dues au type de demande. Nous avons pens que ce ne serait plutt pas adapt aux besoins concrets de lIUT. Cest une solution qui fonctionne parfaitement, qui soit simple et oprationnelle pour les annes suivantes qui est la perspective voulue. Dautres contraintes importantes sont aussi prendre en compte : - Le portail captif de dpart sappuierait sur LA solution qui aujourdhui pourrait prtendre allier le filtrage IPTABLES dynamique, lauthentification et la gestion de services, nous parlons de SQUID. Malheureusement nous avons du abandonner cette piste prometteuse et cela pour plusieurs points essentiels : o Lutilisation du mode transparent de Squid est ncessaire pour faire fonctionner un portail captif o L'authentification ne fonctionne pas avec la configuration d'un Proxy transparent (Sources linux-France.org ; christian.Caleca.free.fr). - Iptables ne gre pas les ranges dadresses, obligeant dfinir une ou plusieurs rgles pour chaque adresse. CONCLUSION : Lorientation de notre choix doit passer par un balayage des principales solutions de portail captif libre.
Juin 2006
Chapitre 2 : Etude des Solutions

2.1 Tableau comparatif et analyse
Nous avons rcupr une liste des principaux portails captifs libres et comparer ces derniers.
Non disponible Plus ou moins disponible NoCatSplash Talweg Wifidog Chillispot Simplicit d'installation Infrastructure ncessaire Performances & consommation rseau (tests trouvs sur le net) Gestion utilisateurs Scurit authentification Scurit communications Protocoles supports Crdit temps Interface d'administration / Statistiques
Public IP
Monowall / Pfsense
via le net
IPSEC Port 80
via le net
Juin 2006
Analyse rapide
Avantages Inconvnients Les utilisateurs s'enregistrent eux-mmes Seul le port 80 passe Difficile mettre en place, trafic non scuris Trafic non scuris Administration en ligne, trafic non scuris Pour linstant PfSense est en version Bta, mme si dj trs stable !
NoCatSplas h -Sintgre bien comme solution rapide Talweg Simple, efficace Supporte tous les protocoles, scurit Wifidog
des authentifications
Chillispot Public IP Monowall / Pfsense
Spcialement conu pour le WiFi Accepte tout type de LAN (WiFi/filaire) Administration autonome en local, multi fonctionnalits, toujours en volution
2.2
Orientation du choix
Au vu de ce comparatif PfSense apparat comme le meilleur compromis entre portail captif Critres IUT. En effet cest cette solution qui rpond le mieux aux critres de Disponibilit (Base FreeBSD, load balancing, etc..) Confidentialit (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...) Auditabilit (Statistique trs nombreuses avec ntop, etc) Mise jour (systme upgradable sans rinstallation, packages tlchargeables depuis le Web GUI, etc). Simplicit dadministration, dinstallation Autonomie complte
directement
Juin 2006
10
Chapitre 3 : Mise en place de la maquette Pfsense
Chapitre 3 : Mise en place de la maquette PfSense

3.1 Architecture gnrale
Ce sous chapitre est ddi lintgration de PfSense dans larchitecture de lIUT. Nous ne vous prsenterons que la thorie, puisque par manque de temps lintgration de PfSense au sein de lIUT a t dplace mi-juin. Matriel : Un PC avec 500Mo de disque dur, 64Mo de RAM (128 Mo conseill), PII 266 MHz minimum, au moins 2 cartes rseaux (on peut galement en mettre plus si l'on dsir crer des DMZ). Un serveur Microsoft 2003 entreprise Edition Un AP Un client avec carte WIFI Un autre PC pour ladministration vie le Web GUI Architecture cible :
INTERNET
Ct WAN VLAN
DMZ
FireWall IUT
.252
.252
Serveur DNS
.10
PfSense
SWITCH Niveau3
.254
Active Directory + Radius
LAN PfSense 192.168.77.0 /24
AP WiFi .250
NOMADE DHCP
NOMADE DHCP
Juin 2006
11
3.2
Installation de PfSense
Aprs avoir rcuprer votre matriel linstallation peut commencer. A noter quil est impossible d'installer Pfsense sur un disque contenant une partition Fat16/32, NTFS ou autres. Le disque dur devra tre format pendant linstallation. Nous avons effectu l'installation dcrite si dessous sur un logiciel appel VMware. Ce logiciel nous permet de crer des ordinateurs virtuels et de les relier par rseaux virtuels. Voici donc la configuration de notre "laboratoire" sous VMware :
Passons maintenant l'installation de PfSense. Il existe 2 faons de faire marcher le portail captif : Sur le disque dur Via un Live CD Cette dernire solution est trs rapide et efficace. Le chargement se fait automatiquement ainsi que sa configuration. Mais elle possde tout de mme des inconvnients : Chargement long Configuration stocke sur disquette (les disquettes sont peu fiables) Impossibilit d'ajouter des "packages" (logiciels), on ne peut pas toucher la structure du CD. Nous avons donc utilis le Live CD pour comparer les diffrents portails captifs, mais pour une implantation dans un rseau, il vaut mieux l'installer sur un disque dur. Installation sur le disque dur : Tout d'abord, vrifier que votre ordinateur possde les caractristiques requises, puis insrer le cd au dmarrage de votre machine.
Juin 2006
12
Vous allez ensuite avoir l'cran de dmarrage de FreeBSD. Vous avez plusieurs choix possibles. Vous allez ici mettre l'option 1 (dfaut) ou bien attendre que le compte rebours termine.
Ensuite vient la configuration des interfaces rseaux. Vous remarquerez ci-dessous que FreeBSD dtecte le nombre de carte rseau, et y attribue des noms (Valid interface are : lnc0 et lnc1 dans notre cas). Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN: lnc0, WAN: lnc1).
Juin 2006
13
Si vous voulez crer des DMZ, il faut les ajouter dans Optional interface juste aprs. Sinon ne mettez rien et appuyer sur entrer.
Nous avons ensuite un rcapitulatif de la configuration et devons la valider en tapant "y".
FreeBSD charge ensuite et nous entrons dans le menu. Nous allons donc passer l'installation sur le disque dur en tapant le choix "99". Note: Nous possdons ici la version Beta3 de Pfsense, la fin du projet nous avons fait la mise jour vers la Beta4. Cependant, l'installation reste exactement la mme.
Juin 2006
14
L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter toutes les demandes (formatage si ncessaire et cration de la partition). Cependant, vous trouverez en annexe le dtail tape par tape en cas de problme.
Une fois l'installation termin, retirer le cd et redmarrer la machine. Si tout c'est bien droul, vous devriez atteindre nouveau le menu de Pfsense sans le cd.
Juin 2006
15
Pfsense est en marche. Vous pouvez le configurer ici mme via le Shell (ligne de commande) ou bien via une interface graphique (http) en connectant un PC sur la carte associ au LAN.
3.1
Configuration de PfSense
Les principaux paramtres
3.1.1.
Nous allons maintenant configurer PfSense. Avant tout, nous vous conseillons de changer l'IP sur la machine de PfSense directement, pour plus de simplicit par la suite. Pour cela, dans le menu de PfSense, tapez le choix 2 Set LAN IP address. Entrer l'adresse IP correspondant votre LAN.
Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.
Juin 2006
16
Connectez une machine sur la carte rseau de Pfsense (cot LAN, tout est bloqu cot WAN par dfaut). N'oubliez pas de changer l'IP de votre machine. Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense. Dans notre cas, nous ferons http://192.168.77.252. Entrez ensuite le login (par dfaut admin, mot de passe : pfsense). Allez ensuite dans System, puis General Setup.
Ici se trouve la configuration gnrale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du DNS. Attention, il vous faut dcocher l'option se trouvant dessous (Allow DNS server list to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN. Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer l'accs ces pages, via une connexion scurise SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant SSL). Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour rgler votre horloge. Enfin, nous vous conseillons de changer le thme d'affichage de Pfsense. En effet, le thme par dfaut (metallic), comporte quelques bugs (problme d'affichage, lien disparaissant). Mettez donc le thme "Pfsense". Vous devriez donc avoir une interface comme ceci :
Juin 2006
17
Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer la connexion SSH afin de l'administrer distance sans passer par l'interface graphique (en effet, pour une configuration accrus, il vaut mieux passer par le Shell).
Nous allons maintenant configurer les interfaces LAN et WAN en dtail. Pour cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la carte rseau cot WAN, ainsi que l'adresse IP de la passerelle.
Juin 2006
18
Configurer ensuite la carte LAN (elle doit tre normalement bien configur, mais vous pouvez faire des modifications par la suite ici) :
Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette option va permettre Pfsense de transfrer et d'mettre les requtes DNS pour les clients.
Il ne reste plus qu' configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allez dans la section DHCP server. Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera attribue aux clients. Dans notre cas, notre plage d'IP sera 192.168.77.10 192.168.77.100. Il faut par la suite entrer l'IP du serveur DNS qui sera attribue aux clients. Ici, il vous faut entrer l'IP du portail captif. En effet, nous avons dfinie plus haut que Pfsense fera lui-mme les requtes DNS. Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 192.168.7.252. Voici donc ce que vous devriez avoir :
Juin 2006
19
Voila, Pfsense est correctement configur. Pour le moment il sert uniquement de Firewall et de routeur. Nous allons maintenant voir comment activer l'coute des requtes sur l'interface LAN et obliger les utilisateurs s'authentifier pour traverser le Firewall.
3.2
Le portail captif
Paramtres gnraux
3.2.1.
Nous allons dsormais voir la procdure afin de mettre en place le portail captif. Pour cela, allez dans la section Captive portail. Cochez la case Enable captive portail, puis choisissez l'interface sur laquelle le portail captif va couter (LAN dans notre cas). Dans les 2 options suivantes, nous allons dfinir les temps partir desquelles les clients seront dconnects. Idle Timeout dfinie le temps partir duquel un client inactif sera automatiquement dconnect. Hard Timeout dfinie le temps partir duquel un client sera dconnect quelque soit sont tat. Nous avons choisi de mettre 1h pour l'inactivit, et 12h pour les dconnexions brutales. Ensuite, nous pouvons activer ou pas un popup qui va servir au client de se dconnecter. Nous avons prfr ne pas mettre cette option, car de nombreux utilisateurs utilisent des anti-popup et donc ne verront pas ce message. Il est possible ensuite de rediriger un client authentifi vers une URL spcifique. Nous avons prfr de ne rien mettre afin de laisser la libert au client de grer leur page de dmarrage. Le paramtre suivant Concurrent user logins, permet d'viter les redondances de connexions. En effet, l'utilisateur pourra se connecter sur une seule machine la fois. Cela va donc limiter les usurpations d'identit pour se connecter.
Juin 2006
20
Enfin il est possible de filtrer les clients par adresse MAC.
Ensuite vient la mthode d'authentification. 3 possibilits s'offre nous : Sans authentification, les clients sont libres Via un fichier local Via un serveur RADIUS Pour des raisons de scurits, nous avons mis en place un serveur RADIUS. Pour plus de dtail sur l'installation de Radius, reportez-vous la partie consacre la scurisation du portail.
Il est possible par la suite de scuriser l'accs au portail captif. Cette mise en place est dcrite dans la partie consacre la scurisation du portail. Enfin, vous pouvez importer une page web qui servira de page d'accueil, ainsi qu'une autre page en cas d'chec d'authentification.
Juin 2006
21
Si vous avez des images insrer sur vos pages web, allez dans l'onglet File Manager et tlcharger vos images.
Les autres onglets ne sont pas utiliss dans notre cas, mais pour information, l'onglet Pass-through MAC sert dfinir les adresses MAC autoris traverser Pfsense. Allowed IP address sert dfinir les adresses IP autorises sortir. Et enfin l'onglet Users sert dans le cas o l'on a choisi l'option Local Manager vu plus haut, et est donc utilis pour stocker les comptes valides. Voila, le portail captif est en marche. Cependant, cette configuration comporte quelques failles, dans le sens l'accs aux pages web n'est pas crypt. Les donnes concernant le login passe donc en clair et peut tre visible de tous. Nous allons voir maintenant comment scuriser cet accs.
3.2.2.
Lauthentification
Lauthentification est un point nvralgique de PfSense puisque cette dernire dfinit lautorisation ou non daccs vers lextrieur dun utilisateur, une sorte de portail mcanique ferm dont il faut avoir la cl pour louvrir
Juin 2006
22
PfSense embarque plusieurs types dauthentification possibles : 1) Une base locale en XML local manager ou sont inscrits les utilisateurs. (annexe 5) 2) Un serveur embarqu FreeRadius (annexe 6) 3) Un serveur Radius externe de type Microsoft IAS (Internet Authentification Service)
Choix du protocole dauthentification RADIUS (Remote Authentification Dial-In User Service) est un protocole client-serveur permettant de centraliser des donnes d'authentification. Cest le standard utilis aujourdhui car trs mallable et trs scuris. PfSense intgre par dfaut un serveur radius libre (FreeRadius) coupl une base locale. Nous avons fait le test et il fonctionne bien (annexe 6). Cependant nous avons abandonn cette solution pour deux principales raisons : LIUT est dj dot dun annuaire Active Directory, il reste juste scuriser laccs cet annuaire en utilisant le protocole Radius intgr Microsoft Server 2003 (voir partie 3.2) Le serveur FreeRadius embarqu ne dispose pas de toutes les fonctionnalits que propose un Radius (spcification du media utilis, groupes, etc.)
Ajout de lauthentification Radius dIAS Microsoft Server2003 PfSense

2 parties considrer a. Configuration de PfSense b. Configuration de Server 2003
a. Configuration de lauthentification sous PfSense

a. System | General Setup
Nom
Domaine de lIUT Attention Le DNS devient l@IP du Serveur Radius Ne pas cocher
Juin 2006
23
Services | Captive portal
@IP Serveur Radius N de port pour lauthentification Le secret partag
Il y ensuite la possibilit de crer des statistiques pour Radius : lAccounting
Puis Option intressante, la r-authentification de lutilisateur toutes les minutes. Nous avons choisi cette option car elle vite le Man In The Middle . En effet si un pirate pas gentil venait sinterposer entre 2 stations alors le laps de temps que pourrait jouir le mchant pirate serait au maximum gal la prochaine authentification (Une minute), donc seules les 2 stations connaissent le secret partag+ MdP crypt (le login ne lest pas) =>attaque finie.
b. RADIUS sous Windows Server 2003 Enterprise Edition

Ne pas oublier de joindre le domaine iut-blagnac.fr sur le serveur Radius. Si ce nest pas le cas une rinstallation dActive Directory est ncessaire. Le fait de joindre le Radius dans le domaine vite lutilisateur lors son authentification de faire user@autre_domaine.fr mais seulement user Ne pas oublier que le serveur Radius sera dsormais le DNS de PfSense Une configuration par dfaut comme celle-ci utilise les ports o 1812 pour lauthentification
Juin 2006
24
1813 pour laccounting ( stats pour Radius )
Installation du serveur radius Pour installer le service Radius appel aussi Service dauthentification Internet, chez Microsoft, il faut aller dans : Dmarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en rseau | Service dauthentification Internet.
Cliquer sur OK, linstallation seffectue en slectionnant les paramtres par dfaut.
Crer un compte utilisateur dans Active Directory Pour crer un compte utilisateur dans lActive Directory, cliquer sur Dmarrer | Outils dadministration | Utilisateurs et ordinateurs Active Directory Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur Crer lutilisateur nomm lefrancois ainsi :
Remarque : Si vous avez lerreur suivante reportez vous annexe 4
Juin 2006
25
Editer les proprits de lefrancois, pour autoriser laccs distant :
Slectionner Autoriser laccs dans la section Autorisation daccs distant (appel entrant ou VPN)
Crer un groupe de scurit global dans Active Directory

Pour crer un groupe de scurit global dans lActive Directory, cliquer sur : Dmarrer | Outils dadministration | Utilisateurs et ordinateurs Active Directory Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe
Juin 2006
26
Nous allons crer un groupe PfSenseInternetUsers puis ajouter lutilisateur ce groupe.
Renseigner PfSense dans le DNS du Serveur Radius

En effet lorsque PfSense utilise un serveur Radius externe ce dernier devient le serveur DNS de PfSense. Il faut donc indiquer dans le serveur Radius le chemin LUI---PfSense. Dmarrer | programmes | outils dadministration | DNS En premier renseigner le service authentification dans Active Directory
Dans le dossier IUT-BLAGNAC.FR crer un nouvel hte ( A )
Juin 2006
27
Hostname du portail captif
L@IP du portail captif
Permet une rsolution inverse ( champ PoinTeR )
Paramtrer le service IAS

Dans linterface dadministration du Service dauthentification Internet, Ajouter un client Radius :
Renseigner le nom de PfSense, son adresse IP et Dfinir le secret partag entre PfSense et le serveur Radius, dans notre exemple nous choisirons PfSense comme secret partag. Remarque : Les secrets partags sont utiliss pour vrifier que les messages RADIUS, l'exception du message de requte d'accs, sont envoys par un priphrique compatible RADIUS configur avec le mme secret partag. Les secrets partags vrifient aussi que le message RADIUS n'a pas t modifi en transit (intgrit du message). Le secret partag est galement utilis pour crypter certains attributs RADIUS, tels que User-Password et Tunnel-Password.
Juin 2006
28
Rsolution DNS OK
Ajoutons une nouvelle stratgie daccs distant personnalise:
Cration dune nouvelle stratgie dfinissant comment le serveur Radius doit fonctionner (avec quels paramtres)
Le NAS (Network Access Identifier) est la machine qui reoit la demande dauthentification du client WiFi (ici la machine Pfsense)
Juin 2006
29
On spcifie ici le medium utilis pour la connexion au Radius
Ne pas oublier dajouter le groupe dutilisateurs dont Radius gre lauthentification
On autorise laccs distant puis dans la fentre suivante loption proprit | authentification est ici PAP, CHAP
Juin 2006
30
Pas obligatoire
Avec un analyseur de rseau.test fait sur le serveur Radius
Trames radius Utilisateur Mot de passe crypt
Juin 2006
31
3.3
Scurisation de PfSense
PfSense, son installation, est dnu de toute scurit. Cest assez embtant dans la mesure o par exemple un mot de passe en clair serait facilement interceptable. Plusieurs tapes sont prendre en compte : - Laccs au Web Gui (linterface dadministration) - Lauthentification de lutilisateur - Laprs authentification, Une communication crypte
3.3.1. Laccs scuris au Web Gui

Pour cette scurisation, vous aurez besoin d'un certificat. Une connexion HTTPS sera tablie. Si vous n'avez pas de certificat, reporter vous plus haut afin d'un crer un. Si le certificat est prsent dans la section Advanced (vu prcdemment), allez dans le menu General Setup. Slectionnez HTTPS dans WebGUI protocol et mettez le port 443 (SSL) dans WebGUI port.
Voila, l'accs Pfsense est entirement scuris !
3.3.2. Lauthentification scurise de lutilisateur

Pfsense permet des grer un accs scuris au portail captif via SSL. L'accs se fera donc via une connexion HTTPS. Le client devra simplement tlcharger un certificat pour la mise en place du tunnel crypt.
Configuration de Pfsense.
Avant d'activer l'HTTPS, il faut tout d'abord crer un certificat. Pour cela, Pfsense intgre un module pour leur gnration. Allez sur la section System, Advanced. Descendez ensuite la partie webGUI SSL. Ici vous pourrez crer votre certificat, cliquer sur Create
Juin 2006
32
Entrer ensuite les informations demandes, et cliquer sur Save.
Vous avez maintenant votre certificat de cre. Cliquer sur Save afin de garder ce certificat.
Juin 2006
33
Revenez ensuite sur cette page, et rcuprez les cls. Nous nous en servirons pour l'accs scuris au portail. Allez ensuite dans la section Captive Portail. Activer le HTTPS, donner le nom de la machine et coller les cls cres plus haut.
Cliquer sur Save. Voila, l'authentification est maintenant scuris. Nous allons voir maintenant comment scuris l'accs Pfsense pour l'administrateur.
3.3.3. Laprs authentification, une communication scurise

Plusieurs pistes ont ts explores pour rendre le plus transparent possible les manipulations faire cot utilisateur. Il est par exemple difficile de demander chaque utilisateur de crer une connexion VPN, dmarche assez pnible et contraire la simplicit dutilisation dun port ail captif mme si en dfinitif cest la meilleure solution de cryptage des donnes. Nous sommes nanmoins partis sur plusieurs pistes - VPN SSL ou IPSEC - PPTP - VLAN scuris et VLAN non scuris pour lauthentification
VPN SSL ou IPSEC

Le serveur VPN IPSEC de PfSense fonctionne mais ncssite chez le client un logiciel compatible VPN IPSEC pour la connexion. Nous sommes donc partis sur une autre solution qui serait base de certificats+SSL. Cette solution, SSL explorer, comme son nom lindique sappuie sur le protocole SSL qui permet un transport scuris dune information.
Juin 2006
34
Le cheminement est assez simple : lutilisateur se connecte en http://nom_serveur_SSLExplorer On lui demande daccepter un certificat+authentification+client Java Si tout est bon sa session est crypte donc OK !
Le problme est que nous nous sommes rendus compte que SSL Explorer tait intressant pour laccs un intranet. En effet cette solution ne permet que de dfinir des routes WEB une par une manuellementpour un intranet ce sera une solution trs intressante !pas pour nous
PPTP
Autre solution de tunnelisation de linformation, lutilisation de PPTP, technologie propritaire de Microsoft.Cette solution couple PfSense peut tre embarque sur le serveur Radius externe ou sur PfSense lui mme. PPTP nest pas trs scurise (normal cest du Microsoft) par rapport a son concurrent direct L2TP. Ce dernier sera normalement intgr dans la prochaine release de PfSense. Autre bmol, cest quil faut crer un tunnel VPN manuellement donc nous avons abandonn cette piste.
VLAN scuris et VLAN non scuris pour lauthentification Nous avons pass beaucoup de temps tester cette solution car elle paraissait transparente pour lutilisateur. La dmarche est simple : 1- on cre 2 VLAN avec 2 SSID diffrents. Un VLAN sera scuris et lautre Libre 2- Le client lorsquil arrive la premire fois sur le Portail Captif na accs quau SSID connexion libre . Ce SSID dsigne un canal de communication qui est non scuris. Son rle est de : - Authentifier lutilisateur - Lui donner ensuite la cl WPA pour que lutilisateur utilise le SSID connexion scurise Remarque : cet AP ne donne en aucun cas un accs vers lextrieur 3- Dans un deuxime temps on imaginera le client qui se connecte toujours lAP scuris ( il dtient dsormais la cl WPA fournie aprs lauthentification via lAP libre).
Cration de 2 VLANs : VLAN 1 = SSID 1 = connexion libre VLAN 2 = SSID 2 = Connexion scurise
Juin 2006
35
CONCLUSION sur les pistes explores

On voit bien que des solutions comme VPN, WPA, WPA2 ne sont pas des complments dun portail captif, mais des alternatives. Si lon ne prend en compte que des paramtres de scurit, ces alternatives sont en tout points suprieurs un portail captif. Cependant, il convient de ne pas perdre laspect pratique du portail captif. Toutes ces mthodes ont un norme dsavantage : elle demandent un paramtrage particulier de la machine client, qui bien souvent ne peut tre effectu qu'au minimum par un technicien qualifi. Parfois des problmes propres la machine cliente viennent se greffer et la mise en place des mthodes d'authentification pose problme. Ces mthodes prennent donc du temps mettre en place, une configuration que l'utilisateur peut perdre pour raisons diverses et tre dans l'incapacit de la rtablir. C'est une contrainte significative, et dans certains cas, elle est mme inacceptable, comme dans le cas des Hotspots. En fait, le choix de la mthode demande la personne responsable du projet de savoir mesurer le ratio scurit/simplicit de l'application qu'il souhaite mettre en place. Pour un environnement contrl, et si possible avec des machines dont la configuration est contrle, donc pour une application petit/moyen public , le VPN ou le cryptage des donnes est la meilleure solution. En revanche, pour un environnement libre, et une facilit d'utilisation par le client, donc pour une application moyen/grand public, un portail captif est certainement la meilleure solution.
Juin 2006
36
Chapitre 4 : Le client
La solution installe a t faite de sorte ce que la mise en place du portail captif soit la plus transparente possible pour les utilisateurs. Nous allons donc voir maintenant la procdure de connexion d'un client WiFi. Tout d'abord, le client choisira le SSID du WiFi de l'IUT (WiFi_IUT dans notre cas), et se connectera ce rseau.
Le client devra se mettre en IP automatique. C'est--dire que l'adresse IP sera fourni par Pfsense. On voit bien ci-dessous que l'IP a bien t transmise de faon automatique.
L'utilisateur devra ensuite, tout simplement, ouvrir un navigateur web (comme s'il voulait surfer sur le web). Il aura ensuite la charge de tlcharger le certificat fourni automatiquement. Il aura donc une fentre comme celle-ci apparatre :
Juin 2006
37
Dans certains cas, il aura le message suivant :
Il suffit de mettre "OK" et de passer la suite. Le client sera automatiquement redirig vers la page html d'authentification. Il devra alors entrer ici son login et mot de passe.
Juin 2006
38
Si le login est bon, il pourra alors surfer sur Internet !
Juin 2006
39
ANNEXES
CONCLUSION
Nous avons test une multitude de portails captifs et tous sont cibls pour une utilisation particulire. Nous avons galement vu que lon peut choisir un portail qui se paramtre via le site web du constructeur, un autre portail qui sintgre dans un point daccs, etc ce qui fait autant de possibilits que de solutions. Pour lIUT de Blagnac il nous a fallu pondrer prcisment la demande. Pfsense aprs comparatif et tests est le meilleur compromis. Cette solution de portail captif est stable, simple dutilisation, modulable, volutive et scurise. Scuriser Pfsense ft, et est encore aujourdhui la partie ou nous avons pass le plus de temps. Mettre en place un portail captif est une chose, mais il faut en assurer la scurit. Alors que les problmes de scurit deviennent de plus en plus importants dans les rseaux, et notamment sur Internet, il convient d'tre conscient des forces et des limites du portail captif, et des autres solutions existantes afin d'assurer le meilleur rapport praticabilit/scurit. Le portail captif est particulirement adapt des accs rseaux pour de nombreuses personnes, gnralement de passage : il garantit une facilit d'utilisation par le client, qui a priori n'aura besoin d'aucun support de la part de l'quipe technique qui sera responsable du portail. Dans le cadre d'un accs plus restreint et plus scuris Internet, nous pourront nous retourner sur les VPN ou le cryptage du rseau WiFi, mais ces mthodes requirent un support sur les machines clientes; voir des mises jour frquente de Pfsense car ces solutions doivent voluer en permanence pour rester sres. A titre indicatif, nous rappelons que les mises jour frquentes de Pfsense sont frquentes, le rythme tant dune release par mois. Les futures fonctionnalits comme par exemple L2TP au niveau scurit ou une simple amlioration de Pfsense ncessite une attention constante de la part de lquipe responsable du portail. Si lheure actuelle le portail captif fonctionne correctement, il nen est pas de mme pour la scurit. En effet un travail sur la scurit du portail est ncessaire. Nous avons explicit brivement les principales solutions possibles pour crypter la communication. Cependant par manque de temps ou de problme de simplicit pour lutilisateur cette partie reste approfondir et peut faire lobjet dun futur projet tuteur
Juin 2006
40
ANNEXES
ANNEXES
Juin 2006
41
ANNEXES
ANNEXES
ANNEXE 1 : Gnralits sur le WiFi............................................................. 43 ANNEXE 2 : Installation dtaille de PfSense............................................. 46 ANNEXE 3 : Configuration de lAP Cisco 1100 ........................................... 53 ANNEXE 4 : Erreur longueur mot de passe Server 2003 ........................... 55 ANNEXE 5 : Authentification local manager ......................................... 56 ANNEXE 6 : Authentification FreeRadius .................................................. 57
Juin 2006
42
ANNEXES
ANNEXE 1 : Gnralits sur le WiFi

La norme 802.11 est issue des travaux de normalisation de lorganisme IEEE (IEEE) .Cette norme dcrit les caractristiques dun rseau local sans-fil que lon appelle WLAN (Wireless Local Area Network).Cest par la suite que le nom WiFi (contraction de Wireless Fidelity, aussi not Wi-Fi) fait son apparition par lorganisme de certification Wi-Fi Alliance (anciennement Wireless Ethernet Compatibility Alliance - WECA).Il en rsulte que, par abus de langage et de marketing, le nom de certification et le nom de la norme sont confondus sous la mme appellation : Wi-Fi.
Utilit : La technologie Wi-Fi nous permet de connecter entre eux et sans fils, tous les quipements informatiques classiques tels que les ordinateurs de bureau, les ordinateurs portables, les modems, les assistants personnels (PDA) et, plus rcemment les imprimantes,la Hi-Fi Porte : Ce type de rseau fonctionne dans lordre de la dizaine de mtres en intrieur et une centaine de mtres en extrieur. En effet, comme tout rseau radio, la distance de connexion est assez alatoire du fait des obstacles et de leur nature. Il faut savoir galement quen extrieur le temps quil fait agit sur la porte. Bandes de frquence : La norme 802.11 utilise en France uniquement la plage des 2,4 GHz pour fonctionner, ce qui est aussi la frquence utilise par les fours micro-ondes : attention aux interfrences qui sont non ngligeables ! En effet, il existe deux bandes de fonctionnement : 2,400 2,4835 GHz et 5,725 5,850 GHz. En ce qui concerne la France, la plage 5,725 5,850 GHz est en cours de ngociation avec le ministre de la dfense car elle est dj occupe par les armes. Les normalisations europennes tendent la librer. Cette bande 2,400 2,4835 GHz est dcoupe en 13 canaux afin dassurer un fonctionnement correct (expliqu par la suite).Toujours en France, seuls les canaux 10 13 peuvent tre utiliss.
Juin 2006
43
ANNEXES
Juin 2006
44
ANNEXES
Les normes 802.11 physiques et leurs dbits :
Norme
Nom
Description
La norme 802.11a (baptis Wi-Fi 5) permet d'obtenir un haut dbit (54 Mbps thoriques, 30 Mbps rels). La norme 802.11a spcifie 8 canaux radio dans la bande de frquence des 5 GHz. La norme 802.11b est la norme la plus rpandue actuellement. Elle propose un dbit thorique de 11 Mbps (6 Mbps rels) avec une porte pouvant aller jusqu' 300 mtres dans un environnement dgag. La plage de frquence utilise est la bande des 2.4 GHz.
802.11a Wifi5
802.11b WiFi
802.11c
Pontage 802.11 La norme 802.11c n'a pas d'intrt pour le grand public. Il s'agit uniquement d'une modification de la norme 802.1d afin de pouvoir vers 802.1d tablir un pont avec les trames 802.11 (niveau liaison de donnes).
La norme 802.11d est un supplment la norme 802.11 dont le but est de permettre une utilisation internationale des rseaux locaux 802.11. Elle consiste permettre aux diffrents quipements d'changer des informations sur les plages de frquence et les puissances autorises dans le pays d'origine du matriel. La norme 802.11e vise donner des possibilits en matire de qualit de service au niveau de la couche liaison de donnes. Ainsi cette norme a pour but de dfinir les besoins des diffrents paquets en terme de bande passante et de dlai de transmission de telle manire permettre notamment une meilleure transmission de la voix et de la vido. La norme 802.11f est une recommandation l'intention des vendeurs de point d'accs pour une meilleure interoprabilit des produits. Elle propose le protocole Inter-Access point roaming protocol permettant un utilisateur itinrant de changer de point d'accs de faon transparente lors d'un dplacement, quelles que soient les marques des points d'accs prsentes dans l'infrastructure rseau. Cette possibilit est appele itinrance (ou roaming en anglais) La norme 802.11g offre un haut dbit (54 Mbps thoriques, 30 Mbps rels) sur la bande de frquence des 2.4 GHz. La norme 802.11g a une compatibilit ascendante avec la norme 802.11b, ce qui signifie que des matriels conformes la norme 802.11g peuvent fonctionner en 802.11b La norme 802.11h vise rapprocher la norme 802.11 du standard Europen (HiperLAN 2, do le h de 802.11h) et tre en conformit avec la rglementation europenne en matire de frquence et d'conomie d'nergie. La norme 802.11i a pour but d'amliorer la scurit des transmissions (gestion et distribution des cls, chiffrement et authentification). Cette norme s'appuie sur l'AES (Advanced Encryption Standard) et propose un chiffrement des communications pour les transmissions utilisant les technologies 802.11a, 802.11b et 802.11g. La norme 802.11r a t labore de telle manire utiliser des signaux infrarouges. Cette norme est dsormais dpasse techniquement. La norme 802.11j est la rglementation japonaise ce que le 802.11h est la rglementation europenne.
802.11d Internationalisation
802.11e
Amlioration de la qualit de service
802.11f Itinrance (roaming)
802.11g
802.11h
802.11i
802.11Ir 802.11j
Juin 2006
45
ANNEXES
ANNEXE 2 : Installation dtaille de PfSense

Nous allons voir en dtail comment se dcompose l'installation de Pfsense. Vous devriez normalement atteindre le menu ci-dessous :
Ici vous accepter la configuration sans rien toucher. En effet, Pfsense tant dans sa version Beta, seule la configuration par dfaut est possible dans les rglages vido et clavier. Il est prvu bien entendu plus d'options dans la version finale, mais ceci ne gne en rien au bon fonctionnement de Pfsense.
On choisi ensuite d'installer Pfsense.
Juin 2006
46
ANNEXES
On slectionne le disque dur dans lequel sera installer Pfsense.
Si ncessaire, nous allons voir comment formater le disque dur, pour cela allez sur Format this Disk, sinon vous pouvez sauter l'tape en allant sur Skip this step. Attention, vous allez perdre toutes vos donnes si vous formatez le disque !
Ici on peut modifier la gomtrie du disque dur. Cette tape n'est en principe pas ncessaire. En effet, FreeBSD reconnat quasiment tous les disques durs existants. A ne changer donc uniquement si le disque est trop rcent et donc pas reconnu. Allez donc directement Use this geometry.
Juin 2006
47
ANNEXES
Choisissez Format xxx. (xxx correspond la lettre associe au disque dur et peut donc varier).
Nous allons maintenant crer les partitions sur le disque dur. Nous pouvons crer autant de partition de nous le souhaitons dans le cas o plusieurs systmes d'exploitations seront mis en place. Si vous possder dj les partitions pour Pfsense (si vous l'aviez dj install prcdemment), vous pouvez sauter cette tape).
Juin 2006
48
ANNEXES
Vous pouvez ici soit garder la taille de la partition (par dfaut il utilisera tout le disque dur), ou bien lui dfinir une taille. Allez ensuite sur Accept and Create.
Faites Yes, partition ad0 si ce message survient.
Voila, la partition est cre !
Juin 2006
49
ANNEXES
Nous allons maintenant crer le "BOOT" du disque dur. Cela va permettre de dmarrer la machine directement sur Pfsense. Faites Accept and install Bootblocks. Si vous avez plusieurs systmes d'exploitation ainsi qu'un logiciel de gestion de boot, vous pouvez sauter cette tape et configurer votre autre logiciel afin de lui faire reconnatre la partition de Pfsense.
Boot cr !
Slectionner la partition sur laquelle installer Pfsense.
Juin 2006
50
ANNEXES
Le programme d'installation va formater la partition sur laquelle vous souhaiter mettre Pfsense. Faites OK. Attention, vous perdrez toutes les donnes existantes sur cette partition (et uniquement celle-la).
Formatage ok !
Nous allons ici crer le swap. Le swap sert de partition d'change pour FreeBSD. Elle utilis comme une mmoire RAM, mais sur le disque dur.
Juin 2006
51
ANNEXES
Faites Accept and Create.
Si tout c'est bien pass, Pfsense s'installe.
Si Pfsense s'est install correctement, vous pouvez retirer le cd et redmarrer la machine en allant sur reboot. Mission accomplie !
Juin 2006
52
ANNEXES
ANNEXE 3 : Configuration de lAP Cisco 1100

Le point d'accs WiFi sera configur de faon trs classique. En effet, suivant notre architecture, l'AP (Acces Point) servira uniquement se connecter sur le LAN via le WiFi, sans aucune restriction ni authentification. Tout sera gr sur Pfsense. L'AP est ici passif. Configuration de l'AP : Avant tout, il vaut mieux restaurer la configuration par dfaut, via le bouton reset sur l'AP. En effet, cela vitera tout conflit avec une quelconque autre configuration dj implment. Par dfaut, le point d'accs possdera l'adresse IP 10.0.0.1 et le login : cisco, et mot de passe : Cisco. Attention, si aucune modification de la configuration n'a t effectue dans les 5 min aprs le dmarrage de l'AP, le point d'accs devient indisponible. Il faut donc redmarrer l'AP et le configurer dans les 5 min pour dsactiver cette protection. Nous allons pour commencer, configurer l'adresse IP de l'AP afin qu'il corresponde avec le rseau LAN. Branchez votre PC sur le l'AP via un cble Ethernet (par dfaut, l'interface WiFi est dsactiv). N'oubliez pas de changer l'IP de la carte rseau (10.0.0.10 par exemple). Ouvrez un navigateur web, et entrez : http://10.0.0.1 Vous devriez atteindre le menu du point d'accs (ici Aironet 1100 de Cisco). Allez dans Express Set-up et configurez le nom et l'adresse IP de l'AP. N'oubliez pas de sauver aprs chaque modification de la configuration.
Juin 2006
53
ANNEXES
Nous allons maintenant configurer le rseau WiFi. Pour cela, allez dans Express Security. Entrez un nom de rseau WiFi (SSID). Une option se trouve cot : Broadcast SSID in Beacon. Cette option sert activer ou non, la diffusion du SSID. Dans notre cas, le rseau WiFi doit tre le plus simple possible pour les clients. Nous allons donc activer la diffusion afin que les clients reconnaissent rapidement notre rseau. Enfin, nous avons le choix de scuriser le WiFi via un cryptage WEP/WPA, ou encore une authentification pour y accder. Dans notre cas, Pfsense grera cette authentification. Nous n'allons donc activer aucune scurit sur le WiFi.
Comme nous l'avons vu prcdemment, l'interface WiFi n'est active par dfaut sur les point d'accs Cisco. Nous allons donc activer cette interface. Pour cela, allez dans Network Interfaces, puis dans Radio0-802.11g et enfin dans l'onglet Setting. Dans l'option Enable Radio, mettez Enable.
Juin 2006
54
ANNEXES
Voila, le point d'accs est paramtr. Il ne reste plus qu' le brancher via un cble Ethernet sur l'interface LAN de Pfsense.
ANNEXE 4 : Erreur longueur mot de passe Server 2003

Dans le cas ou vous auriez lerreur suivante (comme nous) vous avez le choix entre : choisir un mot de passe complexe ( dur retenir mais trs sr ) Changer la stratgie de mot de passe en faisant comme ci-dessous
Erreur
Solution :
Dmarrer | Outils dadministration | Paramtres de scurit du domaine par dfaut
Juin 2006
55
ANNEXES
Cest ici que lon paramtre notre convenance la stratgie de mot de passe
ANNEXE 5 : Authentification local manager

PfSense intgre en local une base utilisateurs, la locale User manager Services | Captive Portal On prcise le type dauthentificateur que lon dsire
Onglet suivant, Users Cration dun utilisateur dans la base locale
Juin 2006
56
ANNEXES
Login Mot de passe Nom entier, facultatif Expiration du compte Rsultat
Le compte ainsi cre est stock dans le fichier XML de configuration de PfSense ( Et oui un seul fichier de configuration pour tous les services cest plus simple pour la recherche) Nous pouvons rcuprer un bout de ce fichier en le tlchargeant depuis : Diagnostics | Backup/Restore On slectionne la partie qui nous intresse, ici Captive Portal On tlcharge la config ( .XML )
ANNEXE 6 : Authentification FreeRadius

Installation de FreeRadius System | Package Manager Choisir dinstaller le package FreeRadius dans longlet packages avalable
Juin 2006
57
ANNEXES
Onglet Package installer, linstallation se droule
Une fois fini FreeRadius apparat dans longlet Packages installed . Voici les trop peu paramtres que lon peut manier avec cette fine bauche de FreeRadius. Services | FreeRadius Onglet Users, cration dun utilisateur Onglet Clients
Onglet settings
Une fois ces paramtrages finis il faut voir si le service Radius est lancnous vous parions que NON !...alala mais cest quoi a !...cest de la faute de PfSense
Status | Services
Juin 2006
58
ANNEXES
Mme si le service parait lanc il nen est rien Il faut pass par de la commande en ligneattention grande respiration : - Se connecter en SSH sur PfSense (voir installation de PfSense pour activation du SSH) - rentrer en Shell (numro 8) - suivre la procdure suivante cd /usr/local/etc/raddb ls *.sample // on se place dans le dossier correspondant FreeRadius // on repre les fichiers .sample, ce sont eux les fautifs, par dfaut ils sont dsactivs par lextension .sample
Vous voyez maintenant un liste de fichiers avec lextension enlever. La dmarche est simple, vous devez enlever un par un les extensions .sample aux fichiers qui vous intressent. mv acct_users.sample acct_users mv clients.conf.sample clients.conf //acct_users.sample deviant acct_users
Une fois cette partie finie vous devez modifier le fichier radiusd.conf afin quil pointe vers le bon processus de lancement ( ici radiusd.pid)
ee radiusd.conf Cherchez
//on dite le fichier
pidfile =
Une fois la ligne repre vous ajoutez => pidfile = /var/run/radiusd.pid
Enregistrez puis rebootez PfSense, normalement le service sest lanc, si ce nest pas le cas faites manuellement a fonctionne dsormais.
Juin 2006
59

Tutorial PfSense Francais 1v1.0

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tutorial PfSense Francais 1v1.0

Uploaded by

Copyright:

Available Formats

Institut Universitaire de Technologie de Blagnac

Mise en oeuvre d'un Portail Captif sur un rseau WIFI

Institut Universitaire de Technologie de Blagnac

Mise en oeuvre d'un Portail Captif sur un rseau WIFI

Lylian Anthony Juin 2006

3.1.1. 3.2.1. 3.2.2. 3.1.1. 3.3.2. 3.3.3.

Le portail captif................................................................................................ 20 Scurisation de PfSense................................................................................. 32

Cahier des Charges

Chapitre 1 : Cahier des charges

Cahier des Charges

Analyse critique de la proposition

Chapitre 2 : Etude des Solutions

Chapitre 2 : Etude des Solutions

Chapitre 2 : Etude des Solutions

Chillispot Public IP Monowall / Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette PfSense

Active Directory + Radius

LAN PfSense 192.168.77.0 /24

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Nous avons ensuite un rcapitulatif de la configuration et devons la valider en tapant "y".

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Enfin il est possible de filtrer les clients par adresse MAC.

Chapitre 3 : Mise en place de la maquette Pfsense

Chapitre 3 : Mise en place de la maquette Pfsense

Ajout de lauthentification Radius dIAS Microsoft Server2003 PfSense

a. Configuration de lauthentification sous PfSense

Chapitre 3 : Mise en place de la maquette Pfsense

Services | Captive portal

@IP Serveur Radius N de port pour lauthentification Le secret partag

Il y ensuite la possibilit de crer des statistiques pour Radius : lAccounting

b. RADIUS sous Windows Server 2003 Enterprise Edition

Chapitre 3 : Mise en place de la maquette Pfsense

1813 pour laccounting ( stats pour Radius )

Remarque : Si vous avez lerreur suivante reportez vous annexe 4

Chapitre 3 : Mise en place de la maquette Pfsense

Editer les proprits de lefrancois, pour autoriser laccs distant :

Crer un groupe de scurit global dans Active Directory

Chapitre 3 : Mise en place de la maquette Pfsense

Nous allons crer un groupe PfSenseInternetUsers puis ajouter lutilisateur ce groupe.

Renseigner PfSense dans le DNS du Serveur Radius

Dans le dossier IUT-BLAGNAC.FR crer un nouvel hte ( A )

Chapitre 3 : Mise en place de la maquette Pfsense

Hostname du portail captif

L@IP du portail captif

Permet une rsolution inverse ( champ PoinTeR )

Paramtrer le service IAS

Chapitre 3 : Mise en place de la maquette Pfsense

Ajoutons une nouvelle stratgie daccs distant personnalise:

Chapitre 3 : Mise en place de la maquette Pfsense

On spcifie ici le medium utilis pour la connexion au Radius

Ne pas oublier dajouter le groupe dutilisateurs dont Radius gre lauthentification

Chapitre 3 : Mise en place de la maquette Pfsense

Avec un analyseur de rseau.test fait sur le serveur Radius

Trames radius Utilisateur Mot de passe crypt