SlideShare une entreprise Scribd logo
1  sur  94
Télécharger pour lire hors ligne
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 1 -
Introduction générale
L’informatique a été depuis plusieurs décennie utilisé pour faciliter les taches souvent difficile
pour les humaines. Dans les entreprise, son utilisation est devenue indispensable non seulement
pour son bon déroulement de ses activités mais aussi pour rester en contact avec ses partenaires
distants. Ainsi naquit internet qui a fini par s’intégré à tous les domaines cependant Tout
ordinateur connecté à l’internet est potentiellement vulnérable à une attaque. Une attaque est
l'exploitation d'une faille d'un système informatique à des fins non connues par l'exploitant du
système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur
chaque machine connectée. Afin de contrer ces attaques il est indispensable de sécuriser son
accès internet avec des dispositions préventives.
Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces réseaux qui
doivent cumuler de multiples avantages. Ces avantages sont entre autres : une compatibilité
avec la majorité des appareils mobiles du marché, une sécurité des échanges entre les clients et il
reste du réseau, une plus grande transparence offerte à l'utilisateur aussi bien lors de la phase
d'authentification que lors de l'utilisation du réseau, une réduction de l'impact au niveau des
ressources matérielles et de la bande passante, etc.
Face à ces enjeux, le portail captif s'est imposé comme une solution fréquemment utilisée
dans les points d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou
filaire) nécessitant un contrôle d'accès.
L’hôtel PALMCLUB dispose d'un réseau informatique dont la gestion se complique avec la diversité
et le nombre croissant des utilisateurs d'où la nécessité de mettre en place un portail captif. C’est
dans ce cadre que le thème : « Étude et implémentation d'une solution de sécurité d'accès
internet par portail captif : cas de l’Hôtel PALMCLUB » nous a été confié.
Ce document synthétise nos travaux menés dans ce cadre et est organisé en trois (3) parties.
La première partie intitulée : Approche méthodologique de ce document présente la structure
d'accueil, le thème d'étude, le contexte dans lequel s'inscrit le stage et l'analyse du système
informatique de la structure d'accueil; ce qui permettra de l'évaluer afin de proposer une solution
bien adaptée. La deuxième partie qui est l’étude technique est consacrée à l'étude générale des
portails captifs, du choix de la solution à implanter ainsi que l’étude technique de l’outil pfsense.
En fin la troisième partie, la partie réalisation détaille l’installation, la mise en œuvre pratique et
technique de l’implémentation du portail captif pfsense et la mise en place de son pare feu ainsi
que le paramétrage de sécurité et test des package de Pfsense.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 2 -
CHAPITRE I : PRESENTATION DU CADRE
DU STAGE ET DU PROJET
PARTIE I : APPROCHE METHODOLOGIQUE
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 3 -
I.1- Structure d’accueil
I.1-1- Organisation
Depuis 30 ans, le Fonds de Prévoyance Militaire (FPM) cherche à améliorer les conditions de vie
de ses adhérents à travers deux produits (militaires, gendarmes et leurs familles) :
- La couverture maladie (MMD)
- L’épargne retraite (EFC), devenue actuellement PERM (Plan Epargne Retraite Mutualiste).
Mais au fil du temps les charges occasionnées par le coût des soins de santé et
l’augmentation du nombre des départs à la retraite nécessitent que le FPM se tourne vers des
investissements plus porteurs et plus rémunérateurs afin d’assurer la pérennité des prestations.
Le FPM a donc fait plusieurs investissements, en notamment l’achat du complexe Palm Club
en 2005 et d’un laboratoire d’analyse médicale (CESAM).
I.1-2- Historique
• Le Palm Club est un réceptif hôtelier situé à Cocody, quartier lycée technique sur un
terrain de 16 000 m2, desservi par le Boulevard Latrille et la rue du Lycée Technique.
• Sa situation géographique stratégique se prête à la réalisation d’un complexe hôtelier de
plus grande capacité et d’un immeuble abritant des bureaux et une galerie marchande.
• Le FPM a diligenté des études architecturales auprès du cabinet CAURIS.
• La rentabilité du projet a été confirmée par un business plan réalisé par le Cabinet
DELOITE.
• La BIAO a accepté de financer le projet par un emprunt de 4.2 milliards en complément
des fonds propres apportés par le FPM.
La SOGETHO (Société Gestion Touristique et Hôtelière), filiale à 100% du FPM est créée en 2009.
• Après un appel d’offres, les travaux ont débuté en février 2010.Ils ont été interrompus en
aout 2010 à cause d’une crise interne au FPM.
• Les travaux n’ont pu reprendre qu'en juin 2011 après la crise électorale.
I.1-3- Montage juridique
• Le FPM bénéficie d’une ouverture de crédit auprès de la BIAO.
• Le FPM propriétaire foncier met à la disposition de la SOGETHO le terrain via un bail à
construction.
• Une convention de compte courant est passée entre le FPM et la SOGETHO qui porte le
projet.
• Le FPM passe, suit l’exécution des marchés et paye les factures pour le compte de la
SOGETHO.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 4 -
• La SOGETHO bénéficie d’un régime d’agrément à l’investissement accordant des
réductions de droits de douane, des exonérations fiscales et la récupération de la TVA sur
le projet.
• Les plus-values dégagées par l’exploitation du complexe serviront à rembourser le
compte courant du FPM.
• Dans un délai de 7 ans, le FPM aura remboursé l’emprunt et sera propriétaire d’un
investissement foncier et immobilier conséquent.
I.1-4- Descriptif de l’hôtel
Le complexe hôtelier comprend:
• Un bâtiment commercial abritant une galerie marchande de treize (13) boutiques au rez
de chaussée et 2400 m2 de bureaux sur deux étages.
• Un hôtel trois etoiles (3*) plus offrant :
 84 chambres et 04 suites sur deux étages
 Une salle de conférence de 200m2
 Une salle de banquet de 175m2
 Un espace réceptions de 200m2
 Un restaurant-grill
 Un coffee shop
 Un lobby bar
 05 boutiques
I.1-5- Mode de gestion
• Le complexe sera géré par :
 AGEMA (Agence immobilière agréée) pour le Bâtiment abritant la galerie marchande et
les bureaux.
 SOGETHO (Société d’Exploitation) pour le complexe hôtelier avec l’appui d’une assistance
technique hôtelière.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 5 -
I.1-6- organigramme
FIGURE I.1.2 ORGANIGRAMME DU PERSONNEL DE LA SOGETHO (HOTEL PALM CLUB)
I.2 - Le Service Informatique
I.2-1-Mission et organisation
Le service informatique de l’hôtel PALMCLUB est dirigé par M. Aimé Kouakou. Il est responsable de la
mise en œuvre des projets, des mises à jour, de l’administration des réseaux, de la maintenance des
systèmes, du choix du matériel informatique ainsi que des composants internes permettant le
fonctionnement du réseau de la structure hôtelière sans interruption.
Le parc informatique comprend près de 50 ordinateurs fixes et 3 serveurs et plus de 100
équipements clients (Pc, tablettes, laptots et smartphone, console de jeux etc..) qui varient en
fonction des jours.
I.3- présentation du thème
Le projet de portail d'accès captif est de créer une passerelle entre un réseau interne et le
réseau Internet. La finalité est de pouvoir déployer la solution dans toutes les structures de
de l’hôtel. Le portail sera doté de fonctionnalités d'authentification qui permettent d'identifier
les usagers du service à des fins de traçabilité. Il sera équipé d'un système de filtrage d'adresses
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 6 -
internet, ce qui permettra ainsi d'éviter l'utilisation des sites indésirables. Un filtrage applicatif
sera également mis en place afin de limiter l'utilisation de certains logiciels.
Le dernier aspect important réside dans l'utilisation optimale de la bande passante, la
sécurisation des connexions et la centralisation des données d'authentification.
I.3.1- Problématique
Le réseau de l’hôtel PALMCLUB, comme n'importe quel autre réseau n'est pas sans faille en
termes de sécurité car ses utilisateurs sont de diverses origines.
En effet, bien que moderne, l'accès au réseau sans fil du PALMCLUB se fait par authentification par
clé de sécurité, et celui au filaire par la détention d'un mot de passe sur les poste fixes. Cela reste
insuffisant quand on sait qu'il existe de nos jours des logiciels qui arrivent à contourner
l'authentification par clé de sécurité. Ce type d'authentification a aussi cette particularité de ne
pas permettre une gestion efficace des utilisateurs car, hormis l'autorisation d'accès au réseau, on
ne saurait qui est réellement connecté, quelle est la cause de la politique d'authentification déjà
existante. En outre, l'authentification par la filaire autorise la connexion des machines externes à
la structure; c'est-à-dire qu'un utilisateur qui venait brancher sa machine personnelle à partir d'un
câble du réseau, pouvait se connecter sans qu'il ne lui soit demandé de s'authentifier. Ce qui n'est
pas sans risque car un utilisateur mal intentionné pourrait contourner facilement l'authentification
d'où une remise en cause de la politique d'accès. Ainsi l'évolution du nombre croissant
d'utilisateurs Wi-Fi et le contrôle d'accès de tous les utilisateurs font apparaître l'impératif de mise
en place d'un système d'authentification transparent et simple d'utilisation d’où la pertinence du
thème qui nous a été confié : « Étude et implémentation d'une solution de sécurité d'accès
internet par portail captif : cas de l’Hôtel PALMCLUB »
. Voilà autant de problèmes auxquels nous avons apporté une solution grâce à cette étude de
portail captif.
I.3.2- objectif
La mission qui nous a été assigné lors de notre stage à l’hôtel PALMCLUB durant ces (4)
quatre mois est d’aider à la sécurisation du réseau existant ainsi que l’accès à internet à travers
l’intégration des outils de sécurité et de surveillance réseau. En sommes
 Gérer les droits d’accès durant et après les heures de travail
 Le trafic des données
 La sauvegarde des données
 La politique de sécurité régissant tous les types d’accès ou réseau
 La surveillance et l’assurance de la fiabilité générale du réseau
I.3.3- Solution envisageable
L'objectif principal de la mission qui nous a été assigné est d'implanter une solution technique
permettant d'authentifier les utilisateurs et de partager de façon sécurisée l'accès Internet, d'où
le déploiement d'une solution pouvant permettre à l’hôtel PALMCLUB de rendre effectif ce qui
suit:
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 7 -
- se doter d'un outil d'authentification libre issu du monde des logiciels libres;
- pour se connecter, les clients n'ont besoin que d'un navigateur Web, d'un login et d'un
mot de passe ;
- les paramètres du compte sont stockés dans une base de données existante et les
comptes déjà existants doivent pouvoir être utilisés;
- toutes les requêtes web des clients doivent être automatiquement redirigées sur la page
d'authentification;
- l'authentification des clients et des administrateurs doit se faire de façon sécurisée;
- le point d'accès doit être totalement transparent pour le client;
- l'accès au web doit être indépendant du système d'exploitation du client;
- de même, les utilisateurs du réseau du l’hôtel PALMCLUB ne doivent pas être pénalisés
pendant le déploiement ;
- le système doit permettre à l'administrateur d'optimiser l'utilisation de la bande
passante; c'est-à-dire que l'administrateur peut par exemple limiter la bande passante au
niveau de chaque utilisateur pour éviter que celle-ci soit surchargée ou il peut même
filtrer des sites indésirables (téléchargements torrents, peer to peer, sites
pornographiques ...).
Conclusion partielle
Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que le
département informatique aussi nous avons pris connaissance des problèmes que rencontre la
société ce qui nous a permis de cerner la problématique de notre projet. Ce qui nous a parmi de
déterminer la solution engageable.
Le chapitre suivant sera consacré à une étude préalable du système informatique existant
qui comprend la description des ressources du système informatique ainsi qu’un diagnostic de
ces forces et failles.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 8 -
CHAPITRE II : ETUDE PREALABLE DU
SYSTEME INFORMATIQUE EXISTANT
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 9 -
II.1- Description des ressources du système informatique
Toute révision, modification ou action visant à apporter des améliorations au système
informatique de l’hôtel PALMCLUB doit passer par une connaissance préalable de l'ensemble des
différents éléments constituant l'architecture de son système informatique existant. L'analyse de
l'existant a pour but à la fois d'évaluer le niveau de performance et de disponibilité de
l'infrastructure réseau, et de déterminer quelles améliorations peuvent être apportées afin de la
rendre plus performante tout en facilitant sa gestion.
II.1.1- les ressources matérielles
L’hôtel PALMCLUB dispose de plusieurs matériels informatiques, présentés comme le
montre le tableau II.1 :
TABLEAU II.1 : liste des postes de travail et leurs caractéristiques
- vidéosurveillance: L’hôtel PALMCLUB dispose d'un système de vidéosurveillance constitué de
deux moniteurs et deux codecs qui sont recensés dans le tableau II.2 si dessous.
Matériels Nombre Caractéristiques
Ordinateur (desktop) 30 Marque : HP 3500 MT
Processeur : Intel Core i3
CPU :@ 3.4 GHz
DD : 500Go
RAM : 4Go
Ordinateur (laptops) 9 Marque : HP proboock 4540s
Processeur : intel (R) Core i3
CPU :@2.4GHz
DD :500 Go
RAM :4 Go
Ordinateur(serveur) 3 Marque : HP Proliant MtG7
Processeur : AMD Turion II Neo N54L
CPU: @ 2.2 GHz
DD :3*300 Go (SAS)
RAM : 8 GO
Marque : HP Pro
Processeur : Intel inside Pentium
CPU : 2.4 GHz
DD :500 Go
RAM : 4 Go
Marque :HP 3500 MT
Processeur : Intel Core i3
CPU : 3.4 GHz
DD :500
RAM : 4Go
Onduleur général 1 APC MGE Galaxy 300
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 10 -
Tableau II.2 : liste des équipements de vidéo surveillance et caractéristiques
- des imprimantes et scanners: Outils bureautiques par excellence, les imprimantes
peuvent constituées aussi des noeuds d'un réseau. Les imprimantes et scanners sont
recensés dans le tableau II.3.
Tableau II.3 : récapitulatif des imprimantes, scanners et caractéristiques
- les équipements d'interconnexions: Les équipements d'interconnexion représentent le
cœur du réseau dans une architecture. S'ils sont mal dimensionnés, ils pourront avoir des
effets négatifs sur le trafic du réseau, allant à la détérioration de celui-ci. Dans notre cas
d'étude, l'infrastructure du réseau de l’hôtel PALMCLUB comporte des commutateurs
Cisco monté en cascade. L'infrastructure comprend les équipements d'interconnexion
suivant répertoriés dans le tableau II.4.
Type
d’équipement
Nombre Marque Caractéristique
Switch 9 Cisco 24 ports
Routeur 1 Cisco 1921 CISCO1921/ K9 'routeur multi ser-
vice cisco 1921' 2 ports, 2 slot 2 x
hwic, 2 x 10/ 100/ 1000base-t lan
Tableau II.4 : récapitulatif des équipements d’interconnexions et caractéristiques
- le câblage: Le câblage constitue le support physique de transmission du réseau. Il est
essentiellement réalisé avec de la paire torsadée FTP catégorie 5 pour le raccordement et
pour le câblage FTP catégorie 6 blindé et de la fibre optique qui sert de rocade.
Matériels Nombre Caractéristiques
Provision – ISR 1 Moniteur 10 séries
Novo 1 H-264 Digital video recorder
DVR-Hikvision 1 DVR-Hikvision 9 objectif
Description des Imprimantes Nombre Caractéristiques
Imprimantes Réseau 2 HP LaserJet Pro P1606 dn
Imprimantes simple 3
3
HP LaserJet Pro P1606 dn
HP LaserJet 200 Color M25ln
Scanner 3 HP ScanJet G3110
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 11 -
II.1.2- les logiciels
L’hôtel PALMCLUB dispose des différentes licences, Windows 7, Windows 8 professionnel pour
les postes clients et les licences de Windows 2008 serveur pour les différents serveurs.
L'utilisation de ces systèmes d'exploitation est fonction de l'environnement dans lequel les
solutions développées seront déployées. La politique du PALMCLUB est de réduire le taux de
maintenance et pour assurer à ses applications une certaine stabilité.
Le Tableau ci-dessous fait l'inventaire des différents systèmes d’exploitation et les logiciels
applicatifs installés ainsi que des différents services
Installés.
Types Nom Supports
Système d’exploitation
serveurs
Windows server 2008 R2 Postes serveur
Système d’exploitation clients Windows 7 / Windows 8 Postes client fixe.
Logiciel de gestion des
réservations
RestoRes v4
FrontRes v4
Poste service commercial
Bureautique Office pro 2013 Poste client fixe
TABLEAU II.1.2 : l'inventaire des différents systèmes d’exploitation et les logiciels applicatifs
Les services installés :
Services installés Description du service
DHCP Serveur d'attribution dynamique d'adresses
IP
DNS Serveur de nom de domaine
FTP Protocole de transfert de fichiers
Messagerie+antivirus+antispam Serveur de messagerie et protection
antivirus
TABLEAU II.1.3 : Liste des services installés
II.1.3- le réseau
II.1.3.1- le réseau en général
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du
projet d'implémentation de la solution. Il est essentiel de disposer d'informations précises sur
l'infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 12 -
réseau. En effet, ces informations affectent une grande partie des décisions que nous allons
prendre dans le choix de la solution et de son déploiement.
Le réseau ne contient aucun sous réseau, ce qui réduit ses performances compte tenu du
nombre important du trafic qui en découle. Le réseau de l'entreprise met en œuvre des données
sensibles, les stocke, les partage en interne et les communique parfois à d'autres entreprises ou
personnes.
Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. Il est
impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur ou de
risquer la confidentialité des données de l’entreprise.
Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes
malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes.
Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient
l'entreprise à l'extérieur.
La société travaille dans un environnement basé sur le système d’exploitation Windows serveur
2008 R2. Elle est caractérisée par un très grand nombre de serveurs à gérer dont la gestion est
tenue par une structure externe basé au Sénégal.
Architecture: Le réseau de l’hôtel PALMCLUB est un réseau répondant aux normes Ethernet à
100 Mb/s de topologie étoilée. Son architecture peut être représentée par la figure II.1.3 si
dessous.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 13 -
FIGURE II.1.3 : Architecture du réseau existant
- Plan d'adressage: Le réseau de l’hôtel PALMCLUB est constitué d’un seul réseau comprenant trois
(3) sous répartiteurs en fonction des niveaux des étages. Le service DHCP du Routeur Cisco 1921
se charge de l’attribution des adresses du réseau local.
II.1.3.2- le réseau sans fil
II.1.3.2.1 présentation général
Un réseau sans fil est un réseau où plusieurs terminaux peuvent communiquer sans avoir besoin
d’une connexion filaire. Ce type de réseau apporte une flexibilité dans le sens où l’utilisateur
reste connecté même s’il se déplace.
Cette technologie permet de limiter les coûts de mise en place d’un réseau, elle évite tout le
câblage, se déploie assez rapidement, et permet de connecter tout type de terminal ne disposant
pas forcément de prise réseau (Smartphones par exemple). Les réseaux sans fils permettent
aussi une grande souplesse d’évolution de par le peu de modifications physiques qu’engendre le
déménagement du réseau ou bien le changement de technologie.
Mais les réseaux sans fils présentent aussi quelques inconvénients comme la sécurité car
avec un réseau sans fil, ce n’est plus les murs de l’entreprise qui délimitent les accès mais
bien la propagation des ondes qui peuvent parfois être captées par des personnes qui ne
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 14 -
sont en aucun cas concerné par l’entreprise ; ou bien la continuité du signal qui peut être
entravée par les interférences avec d’autres appareils émettant des ondes.
II.1.3.2.2 le Wi-Fi
Le Wi-Fi est un type de réseau sans-fil qui signifie Wireless-Fidelity, il regroupe plusieurs
normes de réseaux sans-fil : les normes IEEE 802.11. Il permet de relier des appareils (ordinateur,
routeurs…) dans un réseau informatique sans liaison filaire.
Grâce au Wi-Fi, nous pouvons mettre en place des réseaux sans-fil à très haut débit et sécurisés,
ce qui permet d’envisager leur déploiement au sein des entreprises.
L’hôtel PALMCLUB dispose d’un réseau Wi-Fi couvrant tous les trois (3) niveaux du bâtiment à
savoir le rhé de chaussée, le premier et le deuxième étage. Ainsi tous les visiteurs ont accès a
internet grâce au Wi-Fi HOTSPOT-PALMCLUB qui est en quelque sorte un réseau visiteur
II.1.4- les Serveurs
Les serveurs matériels sont généralement des ordinateurs de plus grande capacité que les
stations de travail ordinaires et disposent de mémoire importante pour traiter simultanément les
nombreuses tâches actives ou résidantes en mémoire. Les serveurs ont également besoin
d'espace disque pour stocker les fichiers partagés et pour servir d'extension à la mémoire interne
du système. Les cartes système des serveurs nécessitent des connecteurs d'extension pour y
connecter des périphériques partagés, tels que des imprimantes et plusieurs interfaces réseau.
En résumé ce sont des ordinateurs qui ont une grande puissance de traitement et qui sont très
robustes afin d'assurer la disponibilité des services réseau.
A titre indicatif, un serveur peut rester en marche pendant toute une année sans être éteint.
Ainsi nous vous proposons un récapitulatif de la liste des serveurs dont dispose l’hôtel
PALMCLUB dans le tableau 2.
Matériels Nombre Caractéristiques
Ordinateurs serveurs 3 Marque : HP Proliant MtG7
Processeur : AMD Turion II Neo
N54L
CPU: @ 2.2 GHz
DD :3*300 Go (SAS)
RAM : 8 GO
Marque : HP Pro
Processeur : Intel inside Pentium
CPU : 2.4 GHz
DD :500 Go
RAM : 4 Go
Marque :HP 3500 MT
Processeur : Intel Core i3
CPU : 3.4 GHz
DD :500
RAM : 4Go
TABLEAU II.1.4 : Liste des serveurs de l’hôtel PALMCKUB
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 15 -
II.2- Diagnostique du système existant
II.2.1- forces du système
Sur le plan physique nous avons apprécié positivement le système informatique de l’hôtel
PALMCLUB sur les points suivants:
- existence d'une charte d'utilisation des outils informatiques : Cela permet d'informer
l'utilisateur sur ses marges de manœuvre, le dissuade de toute tentative d'outrepasser
ses droits d'utilisateur et l'observation des règles élémentaires de sécurité car ne dit-on
pas que 90% des risques sont le fait des utilisateurs internes;
- installation électrique : des prises de terre et des onduleurs permettent la protection de
l'équipement informatique contre les pics de courant, les surtensions et la sauvegarde de
données après une interruption électrique. Le réseau électrique interne est protégé par
des goulottes et séparé des câbles réseaux: ce qui épargne des risques d'électrocution et
évite les interférences électromagnétiques avec les câbles réseau car cela peut être
source d'erreurs de transmission;
- topologie du réseau: la topologie étoilée du réseau facilite la gestion du réseau et les
interventions physiques sur le réseau. Les câbles utilisés sont des paires torsadées
blindées srp et non blindées urp de catégorie 5E qui sont reconnus pour leur fiabilité et
sont protégés par des goulottes;
- politique de droit d'accès: La connexion à un poste du réseau est conditionnée par la
détention d'un compte utilisateur valide;
- configuration logique du réseau en de LAN: augmente le niveau de sécurité, permet une
localisation plus simple de problèmes, diminue l'étendue d'attaque et l'ampleur
d'éventuels dégâts et permet une fluidité du trafic réseau;
- système de sauvegarde : les données sont sauvegardées quotidiennement sur disque dur
externe, toute chose qui limite la perte de données;
- le système : presque tous les postes tournent sur des plateformes Windows 7 ou
Windows 8. Notamment les serveurs tournent sur Windows serveur 2008 R2 reconnu
pour sa fiabilité et sa robustesse.
- antivirus: Le serveur mail est doté d'un antivirus+antispam permettant d'éviter la
contamination des supports de stockage amovibles des utilisateurs via les e-mails bien
que des paramètres ont été mise en place pour sécuriser le système existant.
II.2.2- Failles du système
Partant du fait qu'aucun système informatique n'est parfait, c'est-à-dire que le risque zéro
n'existe pas et que tout système est vulnérable en matière de sécurité informatique. Alors
l'étude du réseau de l’hôtel PALMCLUB, nous a permis de définir un nombre importants de
contraintes pouvant réduire ses performances qui sont :
- L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier
ni la disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 16 -
détection des défaillance des équipements (charge CPU, Etat mémoire, surcharge des
disque...). Il ne peut contrôler non plus les surcharges et pénurie temporaire des
ressources. Le seul moyen de détecter ces anomalies ne peut se faire que par la réception
des différentes plaintes et réclamations des différents utilisateurs.
- Augmentation rapide du nombre des utilisateurs
- Volume accru du trafic généré par chaque utilisateur
- Echange volumineux de fichiers non nécessaire entre utilisateurs
- Trafic web important
- L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et
externe.
- Les collisions important dans le réseau.
- La vulnérabilité du local technique (salle serveur). en effet, cette salle se trouve dans un
local au rhé de chaussé donc facile d’accès. Aussi la quasi-totalité des services installés ne
se trouve seulement que sur deux serveurs implantés dans le même local, ce qui
constitue un potentiel danger pour tout le réseau car le moindre incendie qui surviendrait
dans ce local serait susceptible de causer des pertes considérables pour tout le système
informatique et par ricochet les données très précieuses;
- la restriction de l'accès au WIFI: le point d'accès utilisé présentement pour
l'authentification par clé de sécurité n’offre pas une sécurité garantie pour une structure
de la taille de l’hôtel PALMCLUB. De plus lorsqu'un utilisateur change de machine la
configuration du point d'accès (la clé de sécurité du point d’accès) doit être modifiée pour
prendre en compte cette machine;
- le manque de traçabilité et de contrôle d'accès.
- Absence de moyen de détection d’intrusion de les traiter le plus rapidement possible.
- Absence de contrôle d’accès à certains sites et filtrage des pages Web.
II.2.3- solution retenue
Vu les failles décrites plus haut, la solution devra permettre ce qui suit :
- Sécuriser et contrôler les accès externes et interne à l’internet à travers une page
d’authentification vu le nombre important des utilisateurs internes et externes de
système réseaux,
- les utilisateurs devront s’authentifier avec un login et un mot de passe de façon sécurisée
l’accès a l’internet,
- pour se connecter, les clients n'ont besoin que d'un navigateur Web,
- les paramètres du compte sont stockés dans une base de données existante et les
comptes déjà existants doivent pouvoir être utilisés;
- toutes les requêtes web des clients doivent être automatiquement redirigées sur la page
d'authentification;
- l'authentification des clients et des administrateurs doit se faire de façon sécurisée;
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 17 -
- le point d'accès doit être totalement transparent pour le client;
- l'accès au web doit être indépendant du système d'exploitation du client;
- la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives
d'intrusion.
- A partir d’un firewall proposé donc un véritable contrôle sur le trafic réseau de
l'entreprise permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi
convenablement le réseau de la société,
- Interdire l’accès à certains sites et filtrer les pages Web.
- Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de les
traiter le plus rapidement possible,
- le système doit permettre à l'administrateur d'optimiser l'utilisation de la bande passante;
c'est-à-dire que l'administrateur peut par exemple limiter la bande passante au niveau de
chaque utilisateur pour éviter que celle-ci soit surchargée ou il peut même filtrer des sites
indésirables (téléchargements torrents, peer to peer, sites pornographiques ... ).
Il s’agit donc et sans doute d’une mise en place d’un portail captif doté d’un composant
firewall qui pourra, grâce à ses différentes fonctionnalités, apporter la sécurité nécessaire
au réseau local de l'entreprise et de détecter les tentatives d'intrusion, contrôler le trafic
réseau de l'entreprise afin de permettre d'analyser et de sécuriser afin d'utiliser ainsi
convenablement le réseau de la société. Et tout ceci doit se réaliser sans encombrer le
réseau avec des activités non essentielles.
La nouvelle architecture proposée pour réseau de l’hôtel PALMCLUB est la suivante :
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 18 -
FIGURE II.2.3 : Architecture du réseau Améliorée
Suite à l’étude de l’existant de l’hôtel PALMCLUB, nous avons présenté les problèmes et la
solution proposée pour aider l’administrateur à contrôler l’accès au réseau ainsi de façon a
sécurisé son fonctionnement et lui permettre d’éviter certaines situations de surcharge ou
encore de mauvaise utilisation du réseau. Cependant, La solution proposée de mise en d’un
portail captif doté d’un composant firewall, nous ramène à étudier les différents produits
disponibles sur le marché et faire notre choix indépendamment de l’environnement de travail
du réseau de l’hôtel PALMCLUB. Ainsi Le chapitre suivant sera consacré à une étude sur la
généralité des portails captif qui comprend une étude comparative de différents produits du
marché afin de justifier nos choix et de clarifier les aspects techniques de notre solution.
II.2.4- Planification du projet
Pour bien mener ce projet, l'élaboration d'un plan de travail s'avère nécessaire. Ce plan décrit les
différentes tâches à réaliser et le rôle de chaque responsable impliqué au niveau des ressources
humaines. En effet un groupe de pilotage constitué du superviseur et du maître de stage assure
les activités administratives, le suivi et la fourniture des besoins du projet. Le groupe de projet
constitué des stagiaires que nous sommes a pour rôle d'effectuer la partie technique du projet. Il
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 19 -
est assisté dans ses tâches par le groupe de pilotage. Ainsi pendant ces trois mois de travail
nous avons fait de notre mieux pour s’enchaîner au plan suivant :
• Premier Mois : C’est la période que nous avons consacré à la préparation des outils de
travails et à la documentation sur les portails captifs.
• Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise en
place du portail captif et créer la démarche de sécurité. Et nous avons pu enfin entamer
la configuration de serveur proxy et faire les étapes de sécurité proposée.
• Troisième mois : la réalisation qui consistera à la mise en place de la solution au niveau
du réseau local de l’entreprise l’Hôtel PALMCLUB.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 20 -
Chapitre III : GENERALITES SUR LES PORTAILS
CAPTIFS
PARTIE II : ETUDE TECHNIQUE
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 21 -
III.1- Définition des Portails Captifs
Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un
utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de
connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son
accès. Cette demande d'authentification se fait via une page web stockée localement sur le
portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web
browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. Au-delà
de l'authentification, les portails captifs permettent d'offrir différentes classes de services et
tarifications associées pour l'accès Internet. Cette technique est généralement mise en œuvre
pour les accès Wi-Fi mais peut aussi être utilisée pour l'accès à des réseaux filaires pour des
structure comme par exemple des hôtels, campus, etc. la connexion au serveur est sécurisée par
SSL grâce au protocole HTTPS ce qui garantit l'inviolabilité de la transaction. Les identifiants de
connexion (Login et Mot de passe) sont stockés dans une base de données qui est hébergée
localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le
concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée
fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses
identifiants de connexions afin d'ouvrir une nouvelle session.
III.2- Fonctionnement des portails captifs
FIGURE III.2 : fonctionnement générale d’un portail captif
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 22 -
Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès
pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la
configuration du réseau. A ce moment-là, le client à juste accès au réseau entre lui et la
passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le
client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige
vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot
de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et
du mot de passe. Le système d'authentification va alors contacter une base de données
contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le système
d'authentification indique, plus ou moins directement selon les portails captif, à la passerelle que
le couple MAC/IP du client est authentifié sur le réseau. Finalement le client est redirigé vers la
page Web qu'il a demandé initialement; le réseau derrière la passerelle lui est dorénavant
accessible.
Le portail captif, grâce à divers mécanismes comme une fenêtre pop-up sur le client rafraîchie à
intervalles réguliers ou des requêtes Ping vers le client, est en mesure de savoir si l'utilisateur est
toujours connecté au réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va
couper l'accès à cet utilisateur.
La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif
ne refuse pas une connexion mais la redirige plutôt vers une page d'authentification.
III.3- Aperçu de quelques portails captifs
Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les
principaux :
III.3.1. Alcasar
Alcasar est un projet Français essentiellement dédié aux fonctions de portail captif, cet applicatif
s’installe via un script supporté par la distribution Linux Mandriva, les configurations se font via
une interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement sur le
Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la création d’un
ghost système dans le panneau d’administration, ce qui engendre tout de même un fichier d’une
certaine taille. Les mises à jour régulières assurent la pérennité de la solution.
L’authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de passe.
Une documentation assez complète est disponible pour l’installation et la configuration et la
communauté semble active.
Tout comme pfSense, Alcasar est compatible avec de nombreuses plateformes, la
personnalisation des pages utilisateurs et la simplicité d’utilisation son présente.
III.3.2. Talweg
Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un
serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*.
Talweg présente de nombreux points intéressants :
• Une authentification sécurisée.
• Du multifenêtrage.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 23 -
• Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ;
• La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par copier/coller.
En revanche, il y a des points négatifs :
• Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du tout avec les
pages ASP.
• Il est impossible d’enregistrer des liens issus de la réécriture des URLs.
• Il n’y a pas de gestion de la durée de connexion des utilisateurs.
III.3.3. WifiDog
Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce
à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée
permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds
installés au minimum.
 Fonctionne sur des plateformes embarquées ou autres
 Se compose de deux parties:
- WifiDog Authentification Server : serveur d'authentification
- WifiDog Gateway: passerelle filtrante du système de portail captif
dépendances (un serveur web Apache mode SSL, un serveur DHCP, un serveur
DNS, un pare-feu netfilter).
Les inconvénients de WifiDog sont :
- La consommation en ressource réseau est extrêmement faible.
- Elle utilise seul le port 80 passe.
- la bande passante demandée est très faible.
III.3.4. Pfsense
Pfsense est une distribution FreeBSD développée lors d’un projet en 2004, l’objectif de départ
est d’assurer les fonctions de pare-feu et de routeur mais l’engouement généré par cet applicatif
lui a permis d’étendre ses fonctionnalités et présente maintenant les fonctions de portail captif,
serveur proxy…
Son installation se fait facilement via une distribution dédiée et toutes les configurations peuvent
se faire soit en ligne de commande (SSH) ou bien via l’interface web (HTTPS). La sauvegarde et
restauration de configuration est disponible à travers l’interface web et permet de générer un
simple fichier d’une taille raisonnable. Le portail assure une évolution constante grâce à des
mises à jour régulières dont l’installation est gérée automatiquement dans une partie du
panneau d’administration.
Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple
utilisateur / mot de passe.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 24 -
III 4. Tableau de comparaison des portails captifs
Alcazar Talweg wifidog Pfsense
Simplicité
d’installation
Infrastructure
nécessaire
Performances
réseau
Gestion
utilisateurs
Sécurité
authentification
Sécurité
communication
Protocoles
supportés
Crédit temps
Interface
d’administration
TABLEAU III.4 : Comparaison des portails captifs
Légende :
Non disponible
Moins Important
important
Plus important
Dans l'étude comparative des solutions nous avons mis en évidence plusieurs critères importants
que doivent prendre en compte les différentes solutions:
- Sécurité des échanges lors de l'authentification: pour éviter la récupération de mot de passe
sur le réseau ;
- Présence d'une documentation complète: pour assurer la rapidité de mise en place de la
solution;
- Simplicité d'administration: pour permettre à différentes personnes d'administrer le logiciel;
- Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou non) de se
connecter au réseau Wi-Fi ou filaire;
- Compatibilité multiplateformes : pour permettre la connexion depuis les Smartphones,
différents navigateurs web et différents systèm50.d'exploitation.
- Présence de sauvegarde et restauration de configuration : pour permettre un redémarrage du
système très rapidement en cas de problèmes;
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 25 -
- Pérennité de la solution : pour pallier les failles de sécurité et augmenter les fonctionnalités
de la solution via des mises à jour ;
- Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la charte
graphique de l'entreprise et ainsi le rendre plus convivial.
III 5. Choix de la solution de portail captif
Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer, l'étude
théorique permet de retenir deux solutions à savoir Pfsense et ALCASAR car elles répondent
toutes deux à nos besoins: solutions libres, peuvent s'installer sur un serveur comme sur un
poste de travail, authentification des utilisateurs par login et mot de passe, contrôle de la bande
passante, facilité d'administration, d'installation et de configuration, facilité d'utilisation,
documentation très détaillée et disponible, disponibilité de mises à jour, etc. Les deux solutions
répondent tout à fait au cas étudié mais ALCASAR s'installe uniquement via une distribution
Mandriva. Aussi ALCASAR s'installe via un script automatisé, par contre Pfsense s'installe via une
distribution dédiée ; ce qui rend impératif le choix de Pfsense. De plus Pfsense présente une
interface plus conviviale et une page principale en tableau de bord où l'on retrouve toutes les
informations essentielles et que l'on peut modifier en fonction des besoins. Ce produit présente
aussi une plus grande assurance car la communauté des utilisateurs est très active.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 26 -
CHAPITRE IV : ETUDE TECHNIQUE DE
PFSENSE
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 27 -
IV.1. Présentation de pfsense
Développé par Chris Buechler et Scott UlIrich, Pfsense ou Packet Filter Sense est à la fois un
portail captif et est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD.
À l'origine d'un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de
routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs professionnels
propriétaires. Ses performances sont liées au matériel utilisé. Pfsense convient pour la
sécurisation d'un réseau domestique ou de petite entreprise. Il est possible d’émuler le système
d’exploitation Free BSD grâce à VMware ou Virtualbox.
Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite
à distance depuis l'interface web et gère nativement les VLAN.
Comme sur les distributions Linux, pfsense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP1...
A la fois routeur et pare-feu (firewall) « OS-firewall », PFSENSE prend en charge de nombreuses
capacités étendues telle que NAT, IPV6, biensur Serveur DHCP, ou encore serveur de Proxy,
serveur VPN over IPSec/PPTP, ….
Cette solution peut donc remplacer les routeurs et pare-feu mais peut aussi se combiner aux
routeurs / firewall déjà existant. Par ailleurs Toute la configuration du système est stockée dans
un fichier xml (/cf/conf/config.xml).
En plus Pfsense propose plusieurs services tels que :
- Système de basculement (failover)
- VPN site à site avec Openvpn et Ipsec
- VPN client PPTP
- VPN point à point avec Stunnel
- Proxy et Blacklist (Squid et SquidGuard)
- ISD avec Snort
- Répartition des charges avec Loadbalancer
- Partage de la bande passante avec Traffic shaper
- Vue sur la consommation de la bande passante avec bandwithd et Ntop
- Portail captif avec captive portal
IV.1.2-Evolutions
Depuis sa mise en route en 2004, le projet Pfsense ne cesse d'évoluer et différentes versions du
logiciel se sont succédées. Pour chaque version, il en existe pour les architectures i386 (32bits)
et amd64 (64-bits). De même elles sont disponibles en Live CD ou en plate-forme embarquée.
Ainsi on a:
- Pfsense 2.2 disponible depuis 23/01/2015 une version stable soutenu
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 28 -
- Psense 2.2.6 disponible depuis le 21/12/2015 precedent entretien de securité stable;
- Pfsense 2.1.1 disponible depuis 04/04/2014
- Pfsense 2.0.3 : disponible depuis le 15/04/2013, elle est la plus stable;
- Pfsense 2.0.2 : disponible depuis le 21/12/2012 ;
- Pfsense 2.0:disponible depuis le 17/09/2011 ;
- Pfsense 1.0 : première version sortie le 14/10/2006.
- Et pfsense 2.3.1 et pfsense 2.4 sont des future version dont la date de sortie na pas encor été
determinée.
Chaque version de pfsense est basée sur une version spécifique de -RELEASE de FreeBSD
IV.1.3-Configuration requise
Pour le matériel sur lequel Pfsense doit s'installer, on a besoin d'un minimum qui soit composé
d'une machine dotée d'au moins deux cartes réseau et dont les caractéristiques sont:
- au moins 1 Go de disque dur (500 Mo pour les plates-formes embarquées) ;
- au moins 128 Mo de RAM, mais plus de 512 Mo recommandés;
- un CPU cadencé à au moins 100 MHZ (500 MHZ ou plus recommandé).
- disque dur : 40 OB ;
- Processeur: 1350 Mhz ;
- RAM: 768 MB.
Mais dans notre cas nous avons utilisé un poste de travail avec les caractéristiques suivantes:
Le matériel et la configuration minimale requise sur une machine :
 2 interfaces réseaux minimum
 4 Go de RAM
 250 Go Disque Dur
IV.1.4-Objectifs
Passer en revue les principales fonctionnalités de pfsense à travers une analyse détaillée de
son interface.
• Apprendre à dimensionner son hardware en fonction de ses besoins.
• Installer et mettre à jour son système sur différents supports.
• S’initier à la pratique de l’outil en présentant les différents modes d’accès
envisageables (Web, port série, SSH).
• Procéder aux réglages de base de pfsense (hôte, domaine, serveurs DNS, NTP).
• Manipuler et assigner les interfaces du firewall pfsense.
• Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles
opérationnelles.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 29 -
• Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique.
• Incidence sur le système du déploiement des paquets.
IV.1.5- Avantage
Les avantages liés à l’utilisation de pfsense sont multiples. Nous pouvons citer parmi tant d’autre :
• Simplicité de l’activation / désactivation des modules de filtrage.
• Solution riche et performante à moindre coût (basé sur des logiciels libres).
• Solution légère pouvant être déployé sur des configurations minimales.
• Interface web sensible et efficace
FIGURE IV.1.5 : le réseau informatique avec notre application pfsense
IV.1.6- Fonctionnalité
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 30 -
Supportant l’ajout de plugins complémentaires pfsense offre nativement de nombreuses
possibilités dont Voici les grandes lignes
- Filtrage par IP source et destination, port du protocole, IP source et destination pour le
trafic TCP et UDP
- Capable de limiter les connexions simultanées sur une base de règle
- pfsense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système
d'exploitation qui initie la connexion.
- Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
- Politique très souple de routage possible en sélectionnant une passerelle sur une base
par règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc)
- Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des
réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à
comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de
nombreux serveurs.
- Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont
filtrant.
- La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans
l'interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi
des paquets fragmentés, protège les systèmes d'exploitation de certaines formes
d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.
Activé dans pfsense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque
des problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activer
sur la plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre
de pare-feu si vous souhaitez configurer pfsense comme un routeur pur.
- Network address translation (NAT)
Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour
les adresses IP individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le NAT
redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN Multiples, le
NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN utilisée. NAT réflexion : dans
certaines configurations, NAT réflexion est possible si les services sont accessibles par IP publique
à partir de réseaux internes.
- Basculement base sur CARP et pfsync
Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe
d'hôtes sur un même segment réseau de partager une adresse IP. Le nom CARP est en fait un
sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De Redondance
D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol » utilisé pour faire de la
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 31 -
répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce
protocole peut être utilisé pour faire de la redondance et de la répartition de charge. Il supporte
IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfsense
- pfsync assure la table d'état du pare-feu est répliquée sur tous les pare-feu configurés de
basculement. Cela signifie que vos connexions existantes seront maintenues dans le cas
d'échec, ce qui est important pour prévenir les perturbations du réseau.
- Load Balancing/ Répartition de charge :
La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour
assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la
passerelle souhaitée ou le groupe d'équilibrage local.
 VPN
pfSense offre quatre options de connectivité VPN: IPSec, OpenVPN, PPTP et L2TP.
 RRD Graphiques
Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points
suivants : L'utilisation du processeur Le débit total État de Firewall Débit individuelle pour toutes
les interfaces Paquets par seconde taux pour toutes les interfaces Interface WAN passerelle (s)
de temps de réponse ping Trafic des files d'attente de mise en forme sur les systèmes avec
lissage du trafic activée.
 Dynamic DNS
Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique
avec un certain nombre de fournisseurs de services DNS dynamiques. DynDNS DHS dnsExit DYNS
easyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit
 Captive Portal
Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès
au réseau. Ceci est communément utilisé sur les réseaux de points chauds, mais est également
largement utilisé dans les réseaux d'entreprise pour une couche supplémentaire de sécurité sur
l'accès sans fil ou Internet. Ce qui suit est une liste des fonctionnalités du portail captif de
pfsense.
Connexions simultanées maximum - Limiter le nombre de connexions au portail lui-même par
client IP. Cette fonctionnalité empêche un déni de service à partir d'ordinateurs clients
établissant des connexions réseau à plusieurs reprises sans authentification.
Délai d'inactivité - Délai en minutes après lequel les sessions inactives seront fermées.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 32 -
Disk timeout - Forcer une déconnexion de tous les clients après le nombre défini de minutes.
Logon fenêtre pop-up - Option pour faire apparaître une fenêtre avec un bouton Déconnexion.
Redirection d'URL - Après authentification ou en cliquant sur le portail captif, les utilisateurs
peuvent être redirigés vers l'URL définie.
Filtrage MAC - Par défaut, les filtres pfSense en utilisent des adresses MAC. Si vous avez un sous-
réseau derrière un routeur sur une interface compatible de portail captif, chaque machine
derrière le routeur sera autorisé après qu'un utilisateur est autorisé. Le filtrage MAC peut être
désactivé pour ces scénarios.
Il y’a trois options d'authentification disponibles :
- Aucune authentification : Cela signifie que l'utilisateur verra s'afficher votre page de
portail sans avoir à entrer d'information d'identification.
- Gestionnaire d'utilisateur local : Une base de données d'utilisateur local peut être
configurée et utilisée pour l'authentification.
- Authentification RADIUS : Méthode d'authentification lorsque la base de données
d'utilisateur est déportée sur un serveur. La négociation entre Pfsense et le serveur
utilisera la norme RADIUS.
 Serveur DHCP et relais
Pfsense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP
- Une gestion de plugin vient parfaire l'installation de base, avec notamment Avahi
(Zeroconf), FreeRADIUS, haproxy, Iperf, Squid, squidGuard, Nmap, Ntop, Snort , short,
Varnish, Zabbix.
A tout cela nous pouvons ajouter d’autres fonctionnalité telle que :
- Serveur ou client PPPoE
- Ip virtuelles
- Logs, Failover, …..
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 33 -
CHAPITRE V : INSTALLATION DE PFSENSE,
IMPLEMENTATION DU PORTAIL CAPTIF ET MISE
EN PLACE DU PARE FEU PFSENSE
PARTIE III : REALISATION
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 34 -
V.1- Installation de Pfsense
V.1.1 - Architecture réseau requis
Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des
interfaces aura une configuration spécifique. Il sera configuré de la manière suivante :
Interface LAN : réseau 192.168.100.1, sera utilisé pour les postes fixes de l’hotel et donc tous les
utilisateurs de l’établissement.
Interface Wan : En mode DHCP de sorte qu’il récupéré dynamiquement une adresse ip du routeur qui fait
office d’un serveur DHCP.
V.1.2 – Installation
Après avoir récupérer votre matériel l’installation peut commencer. A noter qu’il est impossible
d'installer Pfsense sur un disque contenant une partition Fat16/32, NTFS ou autres. Le disque dur
devra être formaté pendant l’installation. Passons maintenant à l'installation de Pfsense.
Il existe 2 façons de faire marcher le portail captif :
- Sur le disque dur
- Via un Live CD
Cette dernière solution est très rapide et efficace. Le chargement se fait automatiquement ainsi
que sa configuration. Mais elle possède tout de même des inconvénients :
- Chargement long
- Configuration stockée sur disquette (les disquettes sont peu fiables)
- Impossibilité d'ajouter des "packages" (logiciels), on ne peut pas toucher à la structure du
CD.
Nous avons donc utilisé le Live CD pour comparer les différents portails captifs, mais pour une
implantation dans un réseau, il vaut mieux l'installer sur un disque dur.
Après avoir téléchargé l’ISO sur le site de Pfsense : http://www.pfsense.org nous l’avons gravé
sur CD afin de passer à l’installation.
Installation sur le disque dur :
Tout d'abord, vérifier que votre ordinateur possède les caractéristiques requises, puis insérer le cd
au démarrage de votre machine.
Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles.
Vous allez ici mettre l'option 1 (défaut) ou bien attendre que le compte à rebours termine.
Au lancement nous avons obtenu cet écran :
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 35 -
FIGURE V.1.2 : Ecran de démarrage de FreeBSD
Ensuite vient la configuration des interfaces réseaux. Vous remarquerez ci-dessous que FreeBSD
détecte le nombre de carte réseau, et y attribue des noms (Valid interface are : lnc0 et lnc1 dans
notre cas).
Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN: lnc0, WAN: lnc1).
Si vous voulez créer des DMZ, il faut les ajouter dans Optional interface juste après. Sinon ne
mettez rien et appuyer sur entrer.
FIGURE V.1.3 : Ecran de configuration de carte optionnel
Nous avons ensuite un récapitulatif de la configuration et devons la valider en tapant "y".
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 36 -
FIGURE V.1.4 : Ecran d’assignation des interfaces
FreeBSD charge ensuite et nous entrons dans le menu.
Nous allons donc passer à l'installation sur le disque dur en tapant le choix "99".
Puis nous avons tapé sur la lettre ‘i’ pour installer pfsense en dur. (N.B. : Si, au bout de 10
secondes, nous ne répondons rien à cet écran, pfsense se lance en Live-CD).
C’est alors que l’installation proprement dite doit démarrer par cet écran :
FIGURE V.1.5 : Configuration des options vidéo ou clavier
L’installation se lance et nous propose de configurer des options vidéo ou de clavier si cela est
nécessaire. Une fois ces réglages effectués nous choisirons « accept these setting » pour
continuer.
Puis nous sélectionnerons « Install PfSense ».
FIGURE V.1.6 : Configuration de l’installation
La distribution nous demandera de choisir le disque dur, n’en ayant qu’un nous nous
contenterons de valider ce choix.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 37 -
FIGURE V.1.7 : Sélection du disque pour l’installation de pfsense
Nous formaterons ce disque pour que le système d’exploitation possède le bon format de fichier
en validant « Format this Disk ».
FIGURE V.1.8 : Format du disque
Le menu suivant nous proposera de changer la géométrie du disque dur. Cette étape n’est en
principe pas nécessaire. En effet, Pfsense reconnaît quasiment tous les disques durs existants. A
ne changer donc uniquement que si le disque est trop récent et donc pas reconnu. Nous irons
par conséquent directement à « Use this geometry ».
FIGURE V.1.9 : Choix de la géométrie du disque dur
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 38 -
Un message d’alerte apparaîtra pour nous avertir que le formatage nous fera perdre toutes nos
données. Nous validerons cette action avec « Format ad0 »
FIGURE V.1.10 : Formatage du disque dur
Pfsense proposera de créer une partition sur le disque dur. Nous validerons « Partion Disk » car
aucune installation de Pfsense n’a été effectuée et aucune partition n’existe.
FIGURE V.1.11 : Partition du disque dur
Le menu de partitionnement nous permettra de redimensionner le disque pour installer Pfsense.
Ici nous prendrons tout l’espace disque disponible pour créer notre partition. Pour valider nous
irons sur « Accept and Create ».
FIGURE V.1.12 : Création de partition
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 39 -
Une fenêtre d’avertissement s’affichera et nous validerons avec « Yes partition ad0 ». Un
message nous avertira que la partition a bien été créée.
FIGURE V.1.13 : Acceptation de partitionnement
Le menu suivant nous proposera d’installer Pfsense sur la partition de notre choix, nous
choisirons notre disque dur.
FIGURE V.1.14 : Choix de la partition
Le programme d’installation formatera la partition sur laquelle nous souhaitons mettre Pfsense.
Nous validerons.
FIGURE V.1.15: Validation du format
Un message nous avertira que la partition a été formatée.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 40 -
FIGURE V.1.16: Partition formater
L’étape suivante consiste à définir la swap et le point de montage. La swap est un espace
mémoire du disque dur réservé pour des opérations d’échange. C’est la mémoire virtuelle qui est
utilisée de la même manière que la mémoire RAM. Nous mettrons 1024M à disposition de cette
mémoire. Le point de montage lui correspond à la racine du système d’exploitation. Nous
mettrons « * » pour qu’il prenne le reste du disque dur. Pour valider ces choix nous ferons «
Accept and Create ».
FIGURE V.1.17: Configuration du reste du disque dur
Pfsense début alors son installation.
Afin de mieux configurer le noyau de type BSD, l’installeur nous demande de spécifier quel type
de processeur sera utilisé sur cette machine. Au vu de la configuration de notre machine, nous
choisirons « Uniprocessor kernel ». Ce type de demande montre bien à quel point la distribution
est faite pour s’adapter au mieux aux performances de la machine et ainsi être la plus proche du
matériel possible.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 41 -
FIGURE V.1.18: Configuration du noyau
Nous allons maintenant installer le bootloader de PfSense sur le disque dur. Ce dernier
permettra de démarrer sur la partition du portail captif. Pour ce faire nous sélectionnerons «
Accept and install BootBlocks ». Un message nous avertira que BootBlocks a bien été installé.
FIGURE V.1.19: Lancement de l’installation
Après l’installation nous pourrons enlever le CD du lecteur et redémarrer en validant « Reboot ».
FIGURE V.1.20: Fin de l’installation
Une fois l'installation terminée, retirer le cd et redémarrer la machine. Si tout c'est bien déroulé,
vous devriez atteindre à nouveau le menu de Pfsense sans le cd.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 42 -
FIGURE V.1.21: Menu de configuration
Pfsense est en marche. Vous pouvez le configurer ici même via le Shell (ligne de commande) ou
bien via une interface graphique (http) en connectant un PC sur la carte associé au LAN.
V.2 - Interface web de Pfsense
Nous allons maintenant accéder a l’interface web Pfsense.
Avant tout, nous vous conseillons de changer l'IP sur la machine de Pfsense directement, pour plus
de simplicité par la suite. Pour cela, dans le menu de Pfsense, tapez le choix 2 Set LAN IP address.
Entrer l'adresse IP correspondant à votre LAN.
Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.
Connectez une machine sur la carte réseau de Pfsense (coté LAN, tout est bloqué coté WAN par
défaut). N'oubliez pas de changer l'IP de votre machine.
Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense.
Dans notre cas, nous ferons http://192.168.100.1 pour accéder à l'interface de connexion (figure
IV.3.2) où il est demandé d'entrer un nom d'utilisateur et un mot de passe. Entrer ensuite le nom
d'utilisateur par défaut (admin) et le mot de passe (pfsense) pour se connecter en tant que
administrateur.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 43 -
FIGURE V.2: l'interface de connexion d’accès à l’interface web
On accède au menu général de Pfsense (figure V.2.2) qui donne des informations globales sur
le logiciel (version, date de sortie, version du noyau, le nombre d'interfaces connectées etc.).
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 44 -
FIGURE V.2.2 : menu général de Pfsense
V.3- configuration de Pfsense
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 45 -
FIGURE V.3 : Menu de configuration général de Pfsense
Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la machine, le domaine et
l'IP du DNS. Attention, il vous faut décocher l'option se trouvant dessous (Allow DNS server list to
be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les
DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN.
Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense.
Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela,
activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL).
Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge.
Enfin, nous vous conseillons de changer le thème d'affichage de Pfsense. En effet, le thème par
défaut (metallic), comporte quelques bugs (problème d'affichage, lien disparaissant). Mettez
donc le thème "Pfsense".
V.3.1- Partie WAN
Après l'installation du logiciel Free BSD pfsense nous avons commencé par
configurer l’interface réseau WAN nous avons activé l’adressage dynamique (DHCP) et change
l’adresse IP par l’adresse 192.168.1.179 et donc cette adresse IP va nous permettre l’accès
à pfsense via son Internet.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 46 -
FIGURE V.3.1 : Configuration de l’interface WAN
Ainsi que l'adresse IP de la passerelle qui est 196.168.1.254 vous pouvez le constatez ci-dessous
FIGURE V.3.1.1 : Statut du Gateway
V.3.2- Partie LAN
Nous allons maintenant configurer les interfaces LAN et WAN en détail.
Pour cela, allez dans Interface, Configurer ensuite la carte LAN (elle doit être normalement bien
configuré, mais vous pouvez faire des modifications par la suite ici) Configuration d’interface
Réseau LAN. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse
IP 192.168. 100.1
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 47 -
FIGURE V.3.2 : Configuration de l’interface LAN
Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette
option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients.
FIGURE V.3.2.1 : Configuration du DNS forwarder
Ainsi dans statut nous pouvons voir le résumé de nos configurations
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 48 -
FIGURE V.3.2.2: Récapitulatif de la configuration des interfaces
V.3.3- Configuration du serveur DHCP
Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des
clients. Pour cela, allez dans la section DHCP server.
Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera
attribuée aux clients. Dans notre cas, notre plage d'IP sera 192.168.100.2 – 192.168.101.254.
Voici donc ce que vous devriez avoir :
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 49 -
FIGURE V.3.3: Configuration du serveur DHCP
Il faut par la suite entrer l'IP du serveur DNS qui sera attribuée aux clients. Ici, il vous faut entrer
l'IP du portail captif. En effet, nous avons définie plus haut que Pfsense fera lui-même les requêtes
DNS.
Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif :
192.168.100.1
V.3.4- Définition des règles du firewall
Pfsense étant aussi un firewall, il faut définir certaines règles élémentaires sur les interfaces
pour leur permettre de communiquer entre elles, et avec l'extérieur. Pour cela, aller dans
l'onglet Firewall puis dans la section Rules, puis sélectionner une interface sur laquelle on
veut définir des règles.
FIGURE V.3.4: vue sur Firewall
Ainsi sur l'interface LAN, il faut laisser les règles par défaut car elles autorisent tous les paquets IP
de source LAN à n'importe quelle destination. Pour le WAN, il faut modifier car tout est bloqué
par défaut, ce qui empêche les deux interfaces de se communiquer. Alors cliquer sur le symbole
« e » pour éditer une règle qui va permettre le passage des paquets du
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 50 -
WAN (INTERNET) vers le LAN (INTRANET). Pour cela, dans Action, choisir l'option PASS; dans
Protocol, choisir
ANY; dans Interface, sélectionner INTERNET ; dans Source, sélectionner INTERNET net puis dans
destination choisir INTRANET (figure V.3.4.1).
Dans certains cas il peut être nécessaire de définir des règles flottantes, c'est-à-dire des règles
indépendamment des interfaces. Pour cela, dans l'onglet Rules, puis dans le sous-onglet
Floatting, cliquer sur le symbole « e » pour éditer cette règle (le symbole «+» permet d'ajouter
une nouvelle règle et le symbole «x» permet de supprimer une règle).
FIGURE V.3.4.1: Règles sur l'interface WAN
Ainsi Pfsense est correctement configuré, mais pour le moment il sert uniquement de firewall et
de routeur. Il reste à activer l'écoute des requêtes sur l'interface LAN et contraindre les
utilisateurs à s'authentifier pour traverser le firewall.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 51 -
V.4- Paramètre généraux
La différence entre un simple Firewall et un portail captif réside dans le fait que le portail
captif ne refuse pas une connexion, il la redirige vers une page d’authentification. Les
identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans
une base de données qui est hébergée localement ou sur un serveur distant. Une fois
l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir
autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la
durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session
V.5- Activation du portail captif
Voila, Pfsense est correctement configuré. Pour le moment il sert uniquement de Firewall et de
routeur. Nous allons maintenant voir comment activer l'écoute des requêtes sur l'interface LAN
et obliger les utilisateurs à s'authentifier pour traverser le Firewall.
Nous allons désormais voir la procédure afin de mettre en place le portail captif. Pour cela on se
rend dans l’entrée Captive Portal du menu Services. On modifie au moins :
 Enable captive portal coché
 Interfaces : LAN
 Authentication : RADIUS Authentication
 IP address par l’IP du serveur RADIUS
 Shared secret : la clé choisie lors de l’installation du serveur RADIUS
 Enable HTTPS login coché
 HTTPS server name correctement défini
 HTTPS certificate avec le certificat généré
 HTTPS private key avec la clé générée
 HTTPS intermediate certificate avec le CA.
Nous allons définir les temps à partir desquelles les clients seront déconnectés.
 Idle Timeout définit le temps à partir duquel un client inactif sera déconnecté automatiquement.
Nous l’avons mis à 60 minutes
 Hard Timeout définie le temps à partir duquel un client sera déconnecté quel que soit son état ;
définie à trois heures soit 1220 minutes
Ensuite, nous pouvions activer ou pas un pop-up qui va servir au client de se déconnecter.
Mais nous n’avons pas jugé utile de le faire.
 After Authentification Redirection URL : activé, pour rediriger le client authentifié vers une Url
donnée (ici la page d’accueil du site de l’hôtel PALMCLUB pour un peu de publicité !).
 Concurrent user logins : nous l’avons activé pour éviter que deux personnes se connectent avec le
même login. L’utilisateur pourra se connecter sur une seule machine à la fois. Ce qui permet de
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 52 -
limiter les usurpations d’identité pour se connecter. Il est possible ensuite de rediriger un client
vers une URL spécifique. Nous avons préféré de ne rien mettre afin de laisser la liberté au client
de gérer leur page de démarrage.Afterauthentication Redirection URL Le paramètre suivant,
permet d'éviter les redondances de connexions. En effet, l’utilisateur pourra se connecter sur une
seule machine à la fois. Cela va donc limiter les usurpations d'identité pour se connecter.
FIGURE V.5: Activation du portail
FIGURE V.5.1 : Paramètre de la page de redirection
Le portail captif de pfsense par défaut se présente comme suite :
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 53 -
FIGURE V.5.2 : Portail captif pfsense par défaut
V.6- Opérations supplémentaires
V.6.1- Personnalisation du Portail Captif
Une fois cette configuration sauvegardée, le portail captif devrait être fonctionnel. On peut
aussi modifier la page d'accueil du portail pour l'adapter au besoin de l'entreprise (couleur de
fond, logo, slogan etc…), ainsi que la page de redirection (figure V.6.3) en cas d'échec
d'authentification en important un code HTML ou PHP dans les champs prévus à cet effet (figure
V.3.3). Tout ceci dans un souci de rendre plus conviviale la page captive.
V.6.2- Exportation et personnalisation du fichier html
L’exportation du code html du portail captif par défaut de pfsense se fait de façon très simple.
- se rendre sur le pfsense puis services : Captive portail : HOTEL_PALMCLUB, copié le code du
formulaire html voir figure V.6.2
FIGURE V.6.2 : exportation du code html du formulaire d’authentification
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 54 -
<form method="post" action="$PORTAL_ACTION$">
<input name="auth_user" type="text">
<input name="auth_pass" type="password">
<input name="auth_voucher" type="text">
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
<input name="accept" type="submit" value="Continue">
</form>
le collé dans un éditeur de texte.
- A ce niveau nous pouvons traiter le code html a notre guise afin d’y apporter les modifications
nécessaire pour les besoins de l’entreprise.
Ceci peut se faire par l’ajout de couleur, de logo, textes de slogan, politique de confidentialité, la
charte etc…) voir annexe .
V.6.3- Importation du code html et des images
La mise en place de notre nouveau portail captif personnalisé consistera a exporté le fichier
modifier sous pfsense, pour cela, aller dans service puis captive portail se rendre sous l’onglet
portal page contents et charger le fichier html personnalisé. De même nous pouvons ajouter la
page d’erreur d’authentification dans l’onglet authentification error page content. Voir figure
V.6.3
FIGURE V.6.3 : Importation de code HTML
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 55 -
Il est possible d'insérer des images telles qu'un logo de l’hôtel dans la page d'accueil.
Pour cela, aller dans le sous onglet File Manager pour télécharger l'image à afficher.
Toutefois la taille de cette image ne doit pas excéder 1MB (voir figure V.6.4).
FIGURE V.6.4 : Importation d'image
Le paramètre Pass-through MAC sert à définir les adresses MAC autorisées à traverser
Pfsense sans authentification. Allowed IP address sert à définir les adresses IP autorisées à se
connecter sans authentification. Allowed Hostnames sert à définir les noms d'hôtes autorisés à
traverser Pfsense sans authentification et Vouchers sert à définir les groupes d'utilisateurs
autorisés à se connecter à Pfsense. En revanche ces paramètres ne sont pas
utilhés à l'étape actuelle de l'étude.
Après importation de nos pages et image d'accueil, voici ce que nous obtenons:
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 56 -
FIGURE V.6.5 : portail captif personnalisé
Ainsi le « authentification error page content se presente comme suit :
FIGURE V.6.6 : Page d’erreur de notre portail captif
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 57 -
V.7- Authentification et gestion des utilisateurs
V.7.1 - Authentification
L'authentification est un point essentiel de Pfsense puisqu'elle définit l'autorisation d'accès vers
l'extérieur; une sorte de portail physique fermé accessible par clé. Ainsi trois méthodes
d'authentification sont offertes:
- sans authentification (No authentification) : les clients sont libres ; ils verront le portail
mais il ne leur sera pas demandé de s'authentifier;
- authentification via un fichier local (Local User manager) : les paramètres des comptes
utilisateur sont stockés dans une base de données locale au format XML ;
- authentification via un serveur RADUIS (RADIUS Authentification) : à ce niveau, nous
avons le choix entre utiliser un serveur embarqué FreeRADIUS et utiliser un serveur
RADIUS distant du serveur PFsense.
Pour ce projet nous avons testé les trois types d'authentification avec succès et nous avons
retenu l'authentification Local User manager / Vouchers car non seulement cela permet de gérer
un grand nombre d'utilisateurs, mais aussi pour des raisons de sécurité. A ce stade, le portail est
déjà accessible, c'est-à-dire que pour un utilisateur qui se connecte au réseau local et à partir de
son navigateur, demande une page web, il sera redirigé vers la page captive qui lui demandera
de
s'authentifier avant d'avoir accès à la page demandée initialement.
FIGURE V.7.1 : Activation de l’authentification Local User Manager / Vouchers
 Sans authentification
À ce niveau d’authentification les clients sont libres, ils verront le portail mais il ne leur sera pas
demandé de s'authentifier;
 Authentification Via un fichier local
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 58 -
Authentification via un fichier local (Local User manager) : les paramètres des comptes utilisateur
sont stockés dans une base de données locale au format XML ; ils pourront se connectés via le
login/Mot de passe ou par des tcikets (vouchers).
Il faut en premier lieu activer ou désactiver le compte en décochant ou en cochant la case
Disabled.
Il faut aller dans l'onglet System de la figure v.6.2 illustre cette partie. Puis dans la section User
Manager. Ici, on a une liste des utilisateurs existants dans la plateforme.
FIGURE V.7.1.1 : Liste des utilisateurs existant
V.7.2- Gestion des comptes utilisateur
Pour ajouter un nouveau compte avec :
 authentification Local User Manager,
Aller sur System, user Manager ensuite cliquez sur le symbole « + » et une nouvelle page s'ouvre
sur laquelle certains champs sont à compléter:
- entrer le nom d'utilisateur pour le compte utilisateur ;
- entrer le mot de passe à utiliser pour la connexion;
- entrer le nom complet pour le compte utilisateur;
- entrer la date d'expiration du compte au format indiqué;
- sélectionner le groupe dont le compte utilisateur doit faire partir (utilisateur ou
administrateur) ;
- cliquer sur «Save » pour enregistrer le compte.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 59 -
FIGURE V.7.2.1 : Création d’un compte utilisateur dans User Manager
Authentification via un code voucher
Pour des visiteurs, nous avons mis en place un champ de ticket qui permettra à ces derniers
d’avoir accès à internet grâce à des tickets dont le time de connexion est définit .Pour cela il faut
se rendre dans l’onglet Service ensuite captive portal maintenant cliquer sur voucher puis cocher
la case Enable voucher afin de l’activer comme l’indique la figure V.7.3.
FIGURE V.7.3 : Liste des vouchers créer
La gestion d’un vouchers se fait comme suit :
Se rendre dans l’onglet Services puis choisir captive portal après vouchers puis cliquez sur le
symbole « + » et une nouvelle page s'ouvre sur laquelle certains champs sont à compléter :
- roll # : permet de définir l’ID du ticket
- Minutes per ticket : permet de définir le temps en minute des tickets que l’utilisateur pourra
bénéficier de l’ouverture sur le WAN.
- Count : permet de définir le nombre de vouchers
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 60 -
FIGURE V.7.3.1: création des vouchers
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 61 -
CHAPITRE VI :
PARAMETRAGE DE SECURITE ET TEST DES PACKAGE
DE PFSENSE
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 62 -
Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de
continuer la mise en place de Pfsense dans son environnement d’exécution. Nous allons
procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers
tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre
réseau. Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus
importantes de l’application et les résultats des tests effectués.
VI.1- Préparation
Comme il a été présenté dans le chapitre IV, En premier lieu, on installe pfsense et on définit les
adresses des interfaces, en activant si nécessaire un serveur DHCP. Tout ceci peut se faire très
simplement avec la console pfsense. Puis, à l’aide d’une machine sur le LAN, on accède à
l’interface web de pfsense.
Par défaut, l’utilisateur est admin et le mot de passe est pfsense. Une fois connectée, configuré la
base du système avec l’outil Setup Wizard du menu System. Aller éventuellement modifier
l’interface WAN pour ajouter une passerelle par défaut. Ensuite, après avoir modifiez le nom et
le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer
l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443
dans webGui port (correspondant à SSL).
FIGURE VI.1 : Activation de HTTPS pour l'accès au webguid
Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 63 -
VI.2- Génération des certificats
Pour que le portail soit sécurisé, on va utiliser une connexion HTTPS qui nécessite la création
d’une autorité de certification, d’un certificat et d’une clé privée. Pfsense inclut des outils
permettant de les créer en quelques clics. Pour cela on se rend dans l’entrée Cert Manager du
menu System. Dans l’onglet CAs, créer un nouveau CA et indiquer Create an internal CA comme
méthode. Compléter les informations et valider. Une fois créé, cliquer sur le bouton export ca sur
la droite, et noter quelque part le contenu du champ Certificate data.
FIGURE VI.2: Choix du type de certificat
Dans l’onglet Certificates, créer un nouveau CA et indiquer Create an internal CA comme
méthode. Dans le champ Certificate authority, vérifier que le certificat créé à l’instant est bien
sélectionné. Compléter les informations et valider.
FIGURE VI.2.1 : Paramètres du certificat
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 64 -
Le champ Common Name doit correspondre au nom DNS du serveur. Une fois créé, cliqué sur le
bouton export cert sur la droite pour récupérer le certificat. De même, cliquer sur export key
pour récupérer la clé privée.
FIGURE VI.2.2 : Certificat téléchargé
VI.3- Gestion du filtrage
Le filtrage Web sera réalisé avec les logiciels squid et squidguard. Le filtrage est basé sur
plusieurs listes de domaines qui peuvent être placées soit en liste blanche (sites autorisés) soit en
liste noire (sites interdits).
VI.4- Gestion de la NAT
Le NAT (Network Address Translation) permet notamment de faire correspondre une seule
adresse externe publique visible sur Internet à toutes les adresses d’un réseau privé.Dans notre
cas, le NAT sera utilisé pour la connexion Internet.
VI.5- Serveur et Filtre Proxy : SQUID/SQUIDGUARD
L'installation de fonctionnalité supplémentaires se fait par l'installation de "packages" comme sur
toutes les distributions Linux. Par exemple avec Ubuntu nous avons l'habitude d'utiliser la
commande "sudo apt-get install NomDuNouveauPaquet" pour installer un nouveau paquet.
Il est nécessaire de tracer toutes les communications vers l'internet au sein des établissements et
pour cela, il va falloir installer des packages à pfSense. Ici tout se fait dans l'interface de gestion
WEB. Pour cela, il faut se rendre dans l'onglet "System" puis dans "Packages". Deux onglets
s'offre alors pour visualiser les paquets disponibles à l'installation et ceux actuellement installés.
Donc, dans la partie "Available Packages", nous allons rechercher les paquets "squid" et
"squidGuard". Par la suite, il vous suffira de cliquer sur le "+" à droite du paquet pour l’installer.
Attention : Bien attendre la fin de l'installation du package en cours avant de faire autre chose.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 65 -
FIGURE VI.5 : Packages installés Squid/squidguard
VI.5.1- Blocage des sites web
Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et
« SquidGuard » puis configurer les blacklists, les différentes restrictions et éventuellement des
règles d’accès supplémentaires ACL (Access Control List).
Commençons par une présentation de nos packages :
 Squid : est un serveur proxy/cache libre très connu de monde Open Source et très
performant. Squid est capable de gérer les protocoles FTP, HTTP, HTTPS et Gopher. Il est
généralement utilisé pour des fonctions de filtrage d'URL ou en tant que tampon. Les pages
Internet sont stockées localement ce qui évite d'aller les recharger plusieurs fois et permet
d'économiser la bande passante Internet.Ce serveur est très complet et propose une
multitude d’options et de services qui lui ont permis d’être très largement adopté par les
professionnels, mais aussi dans un grand nombre d’école ou administrations travaillant avec
les systèmes de type Unix.
 SquidGuard est un filtre, un redirecteur et un plugin de contrôle d'accès pour Squid. Il va
notamment permettre d'appliquer sur un proxy une liste noire de sites ou mots clés interdits.
SquidGuard est publié sous GNU Public License, licence gratuite.
SquidGuard peut être utilisé pour :
- Limiter l’accès Internet pour certains utilisateurs à une liste de serveurs Web et /ou
des Urls qui sont acceptés et bien connus.
- Bloquer l’accès à des URL correspondant à une liste d’expressions régulières ou des
mots pour certains utilisateurs.
- Imposer l’utilisation de nom de domaine et interdire l’utilisation de l’adresse IP dans
les URL.
- Rediriger les URL bloquées à une page d’informations relative à Pfsense.
- Rediriger certaines bannières à un vide.
- Avoir des règles d’accès différents selon le moment de la journée, le jour de la
semaine, date, etc.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 66 -
VI.5.2- Configuration de Squid (proxy server)
Désormais, suite aux dernières installations. Deux onglets ont été ajoutés dans le menu
déroulant "Services". Il s'agit de Proxy Server et Proxy Filter, mais pour le moment, nous nous
tiendrons à Proxy Server et à sa configuration. Il s'agit de squid. Pour commencer, rendons-nous
dans le menu déroulant "Services" puis dans "Proxy Server". Dans la partie "General", Puis
remplir les champs comme suit:
- Proxy interface : affecter Squid à l’interface réseau LAN.
- Allow user on interface : valider (cocher) cette option pour l’interface choisie.
- Log store directory : /var/log : dossier contenant les autres logs.
- Proxy port : saisir 3128 qui est le port de proxy.
- Language : French.
Ne pas oublier de cliquer sur "Save" en bas de la page.
FIGURE VI.5.2 : Configuration de squid (proxy server)
A partir d'ici, l'accès à internet est encore inactif, afin de donner l’accès internet il faudra
instaurer dans la partie LAN des règles du Firewall la règle suivante.
Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB
Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 67 -
FIGURE VI.5.2.1 : règle d’accès à l’internet
Nous allons donc poursuivre la configuration de squid en se rendant dans son onglet du menu
déroulant "Services" puis dans la partie "Access Control". La section "Allowed Subnets" est à
adapter en fonction de votre adresse réseau provenant de la carte LAN (192.168.100.1).
FIGURE VI.5.2.2 : configuration de l’Access control
VI.5.3 - Configuration de SquidGuard (proxy Filter)
Maintenant que squid est configuré, il nous reste à préparer SquidGuard. Ce dernier permettra
de filtrer et de contrôler les accès. Nous allons donc utiliser pour mettre en place ce filtrage, la
blacklist de l'université de Toulouse, cette dernière est assez complète et propose un champ
assez large de catégories afin de filtrer au mieux un sujet précis.
Passons à la configuration générale de SquidGuard. Nous rentrerons dans la première page de
configuration la blacklist dont voici l'adresse :
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa

Contenu connexe

Tendances

Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauRabeb Boumaiza
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauGeorges Amichia
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...DENAGNON FRANCK ✔
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 

Tendances (20)

Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Rapport de stage bts
Rapport de stage btsRapport de stage bts
Rapport de stage bts
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Rapport du stage
Rapport du stageRapport du stage
Rapport du stage
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
rapportfinal
rapportfinalrapportfinal
rapportfinal
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 

Similaire à Implementation d'un portail captif cas de pfsense produit par bamba bamoussa

Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskEmeric Kamleu Noumi
 
UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017Sophia Chikh Sfioui
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014PRONETIS
 
Refonte site example aggreko
Refonte site example aggrekoRefonte site example aggreko
Refonte site example aggrekoMansour Fall
 
API Banque : Convertigo à la French Mobile Day 2015
API Banque : Convertigo à la French Mobile Day 2015API Banque : Convertigo à la French Mobile Day 2015
API Banque : Convertigo à la French Mobile Day 2015Convertigo | MADP & MBaaS
 
Les API Banque By convertigo
Les API Banque By convertigoLes API Banque By convertigo
Les API Banque By convertigoLaFrenchMobile
 
Mise en place d'un Hot Spot WiFi
Mise en place d'un Hot Spot WiFiMise en place d'un Hot Spot WiFi
Mise en place d'un Hot Spot WiFiCYB@RDECHE
 
Cartographie des diff__rents_outils_cap_v10_finale
Cartographie des diff__rents_outils_cap_v10_finaleCartographie des diff__rents_outils_cap_v10_finale
Cartographie des diff__rents_outils_cap_v10_finalesev10000
 
Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...
Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...
Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...Marie Bonnaud
 
Case Study Conakry Terminal
Case Study Conakry TerminalCase Study Conakry Terminal
Case Study Conakry TerminalToure Amie
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSylvain Maret
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfEmeric Kamleu Noumi
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux josephMBOUA
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSICGPME des Pays de la Loire
 

Similaire à Implementation d'un portail captif cas de pfsense produit par bamba bamoussa (20)

Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
 
UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Refonte site example aggreko
Refonte site example aggrekoRefonte site example aggreko
Refonte site example aggreko
 
API Banque : Convertigo à la French Mobile Day 2015
API Banque : Convertigo à la French Mobile Day 2015API Banque : Convertigo à la French Mobile Day 2015
API Banque : Convertigo à la French Mobile Day 2015
 
Les API Banque By convertigo
Les API Banque By convertigoLes API Banque By convertigo
Les API Banque By convertigo
 
web application security
web application securityweb application security
web application security
 
Mise en place d'un Hot Spot WiFi
Mise en place d'un Hot Spot WiFiMise en place d'un Hot Spot WiFi
Mise en place d'un Hot Spot WiFi
 
Cartographie des diff__rents_outils_cap_v10_finale
Cartographie des diff__rents_outils_cap_v10_finaleCartographie des diff__rents_outils_cap_v10_finale
Cartographie des diff__rents_outils_cap_v10_finale
 
Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...
Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...
Le CMC de l’Europe au Port Marly facilite l’envoi de courriers sécurisés grâc...
 
Cebit
CebitCebit
Cebit
 
Case Study Conakry Terminal
Case Study Conakry TerminalCase Study Conakry Terminal
Case Study Conakry Terminal
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clients
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 

Implementation d'un portail captif cas de pfsense produit par bamba bamoussa

  • 1. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 1 - Introduction générale L’informatique a été depuis plusieurs décennie utilisé pour faciliter les taches souvent difficile pour les humaines. Dans les entreprise, son utilisation est devenue indispensable non seulement pour son bon déroulement de ses activités mais aussi pour rester en contact avec ses partenaires distants. Ainsi naquit internet qui a fini par s’intégré à tous les domaines cependant Tout ordinateur connecté à l’internet est potentiellement vulnérable à une attaque. Une attaque est l'exploitation d'une faille d'un système informatique à des fins non connues par l'exploitant du système et généralement préjudiciables. Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur chaque machine connectée. Afin de contrer ces attaques il est indispensable de sécuriser son accès internet avec des dispositions préventives. Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces réseaux qui doivent cumuler de multiples avantages. Ces avantages sont entre autres : une compatibilité avec la majorité des appareils mobiles du marché, une sécurité des échanges entre les clients et il reste du réseau, une plus grande transparence offerte à l'utilisateur aussi bien lors de la phase d'authentification que lors de l'utilisation du réseau, une réduction de l'impact au niveau des ressources matérielles et de la bande passante, etc. Face à ces enjeux, le portail captif s'est imposé comme une solution fréquemment utilisée dans les points d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou filaire) nécessitant un contrôle d'accès. L’hôtel PALMCLUB dispose d'un réseau informatique dont la gestion se complique avec la diversité et le nombre croissant des utilisateurs d'où la nécessité de mettre en place un portail captif. C’est dans ce cadre que le thème : « Étude et implémentation d'une solution de sécurité d'accès internet par portail captif : cas de l’Hôtel PALMCLUB » nous a été confié. Ce document synthétise nos travaux menés dans ce cadre et est organisé en trois (3) parties. La première partie intitulée : Approche méthodologique de ce document présente la structure d'accueil, le thème d'étude, le contexte dans lequel s'inscrit le stage et l'analyse du système informatique de la structure d'accueil; ce qui permettra de l'évaluer afin de proposer une solution bien adaptée. La deuxième partie qui est l’étude technique est consacrée à l'étude générale des portails captifs, du choix de la solution à implanter ainsi que l’étude technique de l’outil pfsense. En fin la troisième partie, la partie réalisation détaille l’installation, la mise en œuvre pratique et technique de l’implémentation du portail captif pfsense et la mise en place de son pare feu ainsi que le paramétrage de sécurité et test des package de Pfsense.
  • 2. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 2 - CHAPITRE I : PRESENTATION DU CADRE DU STAGE ET DU PROJET PARTIE I : APPROCHE METHODOLOGIQUE
  • 3. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 3 - I.1- Structure d’accueil I.1-1- Organisation Depuis 30 ans, le Fonds de Prévoyance Militaire (FPM) cherche à améliorer les conditions de vie de ses adhérents à travers deux produits (militaires, gendarmes et leurs familles) : - La couverture maladie (MMD) - L’épargne retraite (EFC), devenue actuellement PERM (Plan Epargne Retraite Mutualiste). Mais au fil du temps les charges occasionnées par le coût des soins de santé et l’augmentation du nombre des départs à la retraite nécessitent que le FPM se tourne vers des investissements plus porteurs et plus rémunérateurs afin d’assurer la pérennité des prestations. Le FPM a donc fait plusieurs investissements, en notamment l’achat du complexe Palm Club en 2005 et d’un laboratoire d’analyse médicale (CESAM). I.1-2- Historique • Le Palm Club est un réceptif hôtelier situé à Cocody, quartier lycée technique sur un terrain de 16 000 m2, desservi par le Boulevard Latrille et la rue du Lycée Technique. • Sa situation géographique stratégique se prête à la réalisation d’un complexe hôtelier de plus grande capacité et d’un immeuble abritant des bureaux et une galerie marchande. • Le FPM a diligenté des études architecturales auprès du cabinet CAURIS. • La rentabilité du projet a été confirmée par un business plan réalisé par le Cabinet DELOITE. • La BIAO a accepté de financer le projet par un emprunt de 4.2 milliards en complément des fonds propres apportés par le FPM. La SOGETHO (Société Gestion Touristique et Hôtelière), filiale à 100% du FPM est créée en 2009. • Après un appel d’offres, les travaux ont débuté en février 2010.Ils ont été interrompus en aout 2010 à cause d’une crise interne au FPM. • Les travaux n’ont pu reprendre qu'en juin 2011 après la crise électorale. I.1-3- Montage juridique • Le FPM bénéficie d’une ouverture de crédit auprès de la BIAO. • Le FPM propriétaire foncier met à la disposition de la SOGETHO le terrain via un bail à construction. • Une convention de compte courant est passée entre le FPM et la SOGETHO qui porte le projet. • Le FPM passe, suit l’exécution des marchés et paye les factures pour le compte de la SOGETHO.
  • 4. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 4 - • La SOGETHO bénéficie d’un régime d’agrément à l’investissement accordant des réductions de droits de douane, des exonérations fiscales et la récupération de la TVA sur le projet. • Les plus-values dégagées par l’exploitation du complexe serviront à rembourser le compte courant du FPM. • Dans un délai de 7 ans, le FPM aura remboursé l’emprunt et sera propriétaire d’un investissement foncier et immobilier conséquent. I.1-4- Descriptif de l’hôtel Le complexe hôtelier comprend: • Un bâtiment commercial abritant une galerie marchande de treize (13) boutiques au rez de chaussée et 2400 m2 de bureaux sur deux étages. • Un hôtel trois etoiles (3*) plus offrant :  84 chambres et 04 suites sur deux étages  Une salle de conférence de 200m2  Une salle de banquet de 175m2  Un espace réceptions de 200m2  Un restaurant-grill  Un coffee shop  Un lobby bar  05 boutiques I.1-5- Mode de gestion • Le complexe sera géré par :  AGEMA (Agence immobilière agréée) pour le Bâtiment abritant la galerie marchande et les bureaux.  SOGETHO (Société d’Exploitation) pour le complexe hôtelier avec l’appui d’une assistance technique hôtelière.
  • 5. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 5 - I.1-6- organigramme FIGURE I.1.2 ORGANIGRAMME DU PERSONNEL DE LA SOGETHO (HOTEL PALM CLUB) I.2 - Le Service Informatique I.2-1-Mission et organisation Le service informatique de l’hôtel PALMCLUB est dirigé par M. Aimé Kouakou. Il est responsable de la mise en œuvre des projets, des mises à jour, de l’administration des réseaux, de la maintenance des systèmes, du choix du matériel informatique ainsi que des composants internes permettant le fonctionnement du réseau de la structure hôtelière sans interruption. Le parc informatique comprend près de 50 ordinateurs fixes et 3 serveurs et plus de 100 équipements clients (Pc, tablettes, laptots et smartphone, console de jeux etc..) qui varient en fonction des jours. I.3- présentation du thème Le projet de portail d'accès captif est de créer une passerelle entre un réseau interne et le réseau Internet. La finalité est de pouvoir déployer la solution dans toutes les structures de de l’hôtel. Le portail sera doté de fonctionnalités d'authentification qui permettent d'identifier les usagers du service à des fins de traçabilité. Il sera équipé d'un système de filtrage d'adresses
  • 6. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 6 - internet, ce qui permettra ainsi d'éviter l'utilisation des sites indésirables. Un filtrage applicatif sera également mis en place afin de limiter l'utilisation de certains logiciels. Le dernier aspect important réside dans l'utilisation optimale de la bande passante, la sécurisation des connexions et la centralisation des données d'authentification. I.3.1- Problématique Le réseau de l’hôtel PALMCLUB, comme n'importe quel autre réseau n'est pas sans faille en termes de sécurité car ses utilisateurs sont de diverses origines. En effet, bien que moderne, l'accès au réseau sans fil du PALMCLUB se fait par authentification par clé de sécurité, et celui au filaire par la détention d'un mot de passe sur les poste fixes. Cela reste insuffisant quand on sait qu'il existe de nos jours des logiciels qui arrivent à contourner l'authentification par clé de sécurité. Ce type d'authentification a aussi cette particularité de ne pas permettre une gestion efficace des utilisateurs car, hormis l'autorisation d'accès au réseau, on ne saurait qui est réellement connecté, quelle est la cause de la politique d'authentification déjà existante. En outre, l'authentification par la filaire autorise la connexion des machines externes à la structure; c'est-à-dire qu'un utilisateur qui venait brancher sa machine personnelle à partir d'un câble du réseau, pouvait se connecter sans qu'il ne lui soit demandé de s'authentifier. Ce qui n'est pas sans risque car un utilisateur mal intentionné pourrait contourner facilement l'authentification d'où une remise en cause de la politique d'accès. Ainsi l'évolution du nombre croissant d'utilisateurs Wi-Fi et le contrôle d'accès de tous les utilisateurs font apparaître l'impératif de mise en place d'un système d'authentification transparent et simple d'utilisation d’où la pertinence du thème qui nous a été confié : « Étude et implémentation d'une solution de sécurité d'accès internet par portail captif : cas de l’Hôtel PALMCLUB » . Voilà autant de problèmes auxquels nous avons apporté une solution grâce à cette étude de portail captif. I.3.2- objectif La mission qui nous a été assigné lors de notre stage à l’hôtel PALMCLUB durant ces (4) quatre mois est d’aider à la sécurisation du réseau existant ainsi que l’accès à internet à travers l’intégration des outils de sécurité et de surveillance réseau. En sommes  Gérer les droits d’accès durant et après les heures de travail  Le trafic des données  La sauvegarde des données  La politique de sécurité régissant tous les types d’accès ou réseau  La surveillance et l’assurance de la fiabilité générale du réseau I.3.3- Solution envisageable L'objectif principal de la mission qui nous a été assigné est d'implanter une solution technique permettant d'authentifier les utilisateurs et de partager de façon sécurisée l'accès Internet, d'où le déploiement d'une solution pouvant permettre à l’hôtel PALMCLUB de rendre effectif ce qui suit:
  • 7. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 7 - - se doter d'un outil d'authentification libre issu du monde des logiciels libres; - pour se connecter, les clients n'ont besoin que d'un navigateur Web, d'un login et d'un mot de passe ; - les paramètres du compte sont stockés dans une base de données existante et les comptes déjà existants doivent pouvoir être utilisés; - toutes les requêtes web des clients doivent être automatiquement redirigées sur la page d'authentification; - l'authentification des clients et des administrateurs doit se faire de façon sécurisée; - le point d'accès doit être totalement transparent pour le client; - l'accès au web doit être indépendant du système d'exploitation du client; - de même, les utilisateurs du réseau du l’hôtel PALMCLUB ne doivent pas être pénalisés pendant le déploiement ; - le système doit permettre à l'administrateur d'optimiser l'utilisation de la bande passante; c'est-à-dire que l'administrateur peut par exemple limiter la bande passante au niveau de chaque utilisateur pour éviter que celle-ci soit surchargée ou il peut même filtrer des sites indésirables (téléchargements torrents, peer to peer, sites pornographiques ...). Conclusion partielle Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que le département informatique aussi nous avons pris connaissance des problèmes que rencontre la société ce qui nous a permis de cerner la problématique de notre projet. Ce qui nous a parmi de déterminer la solution engageable. Le chapitre suivant sera consacré à une étude préalable du système informatique existant qui comprend la description des ressources du système informatique ainsi qu’un diagnostic de ces forces et failles.
  • 8. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 8 - CHAPITRE II : ETUDE PREALABLE DU SYSTEME INFORMATIQUE EXISTANT
  • 9. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 9 - II.1- Description des ressources du système informatique Toute révision, modification ou action visant à apporter des améliorations au système informatique de l’hôtel PALMCLUB doit passer par une connaissance préalable de l'ensemble des différents éléments constituant l'architecture de son système informatique existant. L'analyse de l'existant a pour but à la fois d'évaluer le niveau de performance et de disponibilité de l'infrastructure réseau, et de déterminer quelles améliorations peuvent être apportées afin de la rendre plus performante tout en facilitant sa gestion. II.1.1- les ressources matérielles L’hôtel PALMCLUB dispose de plusieurs matériels informatiques, présentés comme le montre le tableau II.1 : TABLEAU II.1 : liste des postes de travail et leurs caractéristiques - vidéosurveillance: L’hôtel PALMCLUB dispose d'un système de vidéosurveillance constitué de deux moniteurs et deux codecs qui sont recensés dans le tableau II.2 si dessous. Matériels Nombre Caractéristiques Ordinateur (desktop) 30 Marque : HP 3500 MT Processeur : Intel Core i3 CPU :@ 3.4 GHz DD : 500Go RAM : 4Go Ordinateur (laptops) 9 Marque : HP proboock 4540s Processeur : intel (R) Core i3 CPU :@2.4GHz DD :500 Go RAM :4 Go Ordinateur(serveur) 3 Marque : HP Proliant MtG7 Processeur : AMD Turion II Neo N54L CPU: @ 2.2 GHz DD :3*300 Go (SAS) RAM : 8 GO Marque : HP Pro Processeur : Intel inside Pentium CPU : 2.4 GHz DD :500 Go RAM : 4 Go Marque :HP 3500 MT Processeur : Intel Core i3 CPU : 3.4 GHz DD :500 RAM : 4Go Onduleur général 1 APC MGE Galaxy 300
  • 10. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 10 - Tableau II.2 : liste des équipements de vidéo surveillance et caractéristiques - des imprimantes et scanners: Outils bureautiques par excellence, les imprimantes peuvent constituées aussi des noeuds d'un réseau. Les imprimantes et scanners sont recensés dans le tableau II.3. Tableau II.3 : récapitulatif des imprimantes, scanners et caractéristiques - les équipements d'interconnexions: Les équipements d'interconnexion représentent le cœur du réseau dans une architecture. S'ils sont mal dimensionnés, ils pourront avoir des effets négatifs sur le trafic du réseau, allant à la détérioration de celui-ci. Dans notre cas d'étude, l'infrastructure du réseau de l’hôtel PALMCLUB comporte des commutateurs Cisco monté en cascade. L'infrastructure comprend les équipements d'interconnexion suivant répertoriés dans le tableau II.4. Type d’équipement Nombre Marque Caractéristique Switch 9 Cisco 24 ports Routeur 1 Cisco 1921 CISCO1921/ K9 'routeur multi ser- vice cisco 1921' 2 ports, 2 slot 2 x hwic, 2 x 10/ 100/ 1000base-t lan Tableau II.4 : récapitulatif des équipements d’interconnexions et caractéristiques - le câblage: Le câblage constitue le support physique de transmission du réseau. Il est essentiellement réalisé avec de la paire torsadée FTP catégorie 5 pour le raccordement et pour le câblage FTP catégorie 6 blindé et de la fibre optique qui sert de rocade. Matériels Nombre Caractéristiques Provision – ISR 1 Moniteur 10 séries Novo 1 H-264 Digital video recorder DVR-Hikvision 1 DVR-Hikvision 9 objectif Description des Imprimantes Nombre Caractéristiques Imprimantes Réseau 2 HP LaserJet Pro P1606 dn Imprimantes simple 3 3 HP LaserJet Pro P1606 dn HP LaserJet 200 Color M25ln Scanner 3 HP ScanJet G3110
  • 11. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 11 - II.1.2- les logiciels L’hôtel PALMCLUB dispose des différentes licences, Windows 7, Windows 8 professionnel pour les postes clients et les licences de Windows 2008 serveur pour les différents serveurs. L'utilisation de ces systèmes d'exploitation est fonction de l'environnement dans lequel les solutions développées seront déployées. La politique du PALMCLUB est de réduire le taux de maintenance et pour assurer à ses applications une certaine stabilité. Le Tableau ci-dessous fait l'inventaire des différents systèmes d’exploitation et les logiciels applicatifs installés ainsi que des différents services Installés. Types Nom Supports Système d’exploitation serveurs Windows server 2008 R2 Postes serveur Système d’exploitation clients Windows 7 / Windows 8 Postes client fixe. Logiciel de gestion des réservations RestoRes v4 FrontRes v4 Poste service commercial Bureautique Office pro 2013 Poste client fixe TABLEAU II.1.2 : l'inventaire des différents systèmes d’exploitation et les logiciels applicatifs Les services installés : Services installés Description du service DHCP Serveur d'attribution dynamique d'adresses IP DNS Serveur de nom de domaine FTP Protocole de transfert de fichiers Messagerie+antivirus+antispam Serveur de messagerie et protection antivirus TABLEAU II.1.3 : Liste des services installés II.1.3- le réseau II.1.3.1- le réseau en général Une bonne compréhension de l'environnement informatique aide à déterminer la portée du projet d'implémentation de la solution. Il est essentiel de disposer d'informations précises sur l'infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du
  • 12. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 12 - réseau. En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le choix de la solution et de son déploiement. Le réseau ne contient aucun sous réseau, ce qui réduit ses performances compte tenu du nombre important du trafic qui en découle. Le réseau de l'entreprise met en œuvre des données sensibles, les stocke, les partage en interne et les communique parfois à d'autres entreprises ou personnes. Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur ou de risquer la confidentialité des données de l’entreprise. Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes. Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur. La société travaille dans un environnement basé sur le système d’exploitation Windows serveur 2008 R2. Elle est caractérisée par un très grand nombre de serveurs à gérer dont la gestion est tenue par une structure externe basé au Sénégal. Architecture: Le réseau de l’hôtel PALMCLUB est un réseau répondant aux normes Ethernet à 100 Mb/s de topologie étoilée. Son architecture peut être représentée par la figure II.1.3 si dessous.
  • 13. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 13 - FIGURE II.1.3 : Architecture du réseau existant - Plan d'adressage: Le réseau de l’hôtel PALMCLUB est constitué d’un seul réseau comprenant trois (3) sous répartiteurs en fonction des niveaux des étages. Le service DHCP du Routeur Cisco 1921 se charge de l’attribution des adresses du réseau local. II.1.3.2- le réseau sans fil II.1.3.2.1 présentation général Un réseau sans fil est un réseau où plusieurs terminaux peuvent communiquer sans avoir besoin d’une connexion filaire. Ce type de réseau apporte une flexibilité dans le sens où l’utilisateur reste connecté même s’il se déplace. Cette technologie permet de limiter les coûts de mise en place d’un réseau, elle évite tout le câblage, se déploie assez rapidement, et permet de connecter tout type de terminal ne disposant pas forcément de prise réseau (Smartphones par exemple). Les réseaux sans fils permettent aussi une grande souplesse d’évolution de par le peu de modifications physiques qu’engendre le déménagement du réseau ou bien le changement de technologie. Mais les réseaux sans fils présentent aussi quelques inconvénients comme la sécurité car avec un réseau sans fil, ce n’est plus les murs de l’entreprise qui délimitent les accès mais bien la propagation des ondes qui peuvent parfois être captées par des personnes qui ne
  • 14. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 14 - sont en aucun cas concerné par l’entreprise ; ou bien la continuité du signal qui peut être entravée par les interférences avec d’autres appareils émettant des ondes. II.1.3.2.2 le Wi-Fi Le Wi-Fi est un type de réseau sans-fil qui signifie Wireless-Fidelity, il regroupe plusieurs normes de réseaux sans-fil : les normes IEEE 802.11. Il permet de relier des appareils (ordinateur, routeurs…) dans un réseau informatique sans liaison filaire. Grâce au Wi-Fi, nous pouvons mettre en place des réseaux sans-fil à très haut débit et sécurisés, ce qui permet d’envisager leur déploiement au sein des entreprises. L’hôtel PALMCLUB dispose d’un réseau Wi-Fi couvrant tous les trois (3) niveaux du bâtiment à savoir le rhé de chaussée, le premier et le deuxième étage. Ainsi tous les visiteurs ont accès a internet grâce au Wi-Fi HOTSPOT-PALMCLUB qui est en quelque sorte un réseau visiteur II.1.4- les Serveurs Les serveurs matériels sont généralement des ordinateurs de plus grande capacité que les stations de travail ordinaires et disposent de mémoire importante pour traiter simultanément les nombreuses tâches actives ou résidantes en mémoire. Les serveurs ont également besoin d'espace disque pour stocker les fichiers partagés et pour servir d'extension à la mémoire interne du système. Les cartes système des serveurs nécessitent des connecteurs d'extension pour y connecter des périphériques partagés, tels que des imprimantes et plusieurs interfaces réseau. En résumé ce sont des ordinateurs qui ont une grande puissance de traitement et qui sont très robustes afin d'assurer la disponibilité des services réseau. A titre indicatif, un serveur peut rester en marche pendant toute une année sans être éteint. Ainsi nous vous proposons un récapitulatif de la liste des serveurs dont dispose l’hôtel PALMCLUB dans le tableau 2. Matériels Nombre Caractéristiques Ordinateurs serveurs 3 Marque : HP Proliant MtG7 Processeur : AMD Turion II Neo N54L CPU: @ 2.2 GHz DD :3*300 Go (SAS) RAM : 8 GO Marque : HP Pro Processeur : Intel inside Pentium CPU : 2.4 GHz DD :500 Go RAM : 4 Go Marque :HP 3500 MT Processeur : Intel Core i3 CPU : 3.4 GHz DD :500 RAM : 4Go TABLEAU II.1.4 : Liste des serveurs de l’hôtel PALMCKUB
  • 15. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 15 - II.2- Diagnostique du système existant II.2.1- forces du système Sur le plan physique nous avons apprécié positivement le système informatique de l’hôtel PALMCLUB sur les points suivants: - existence d'une charte d'utilisation des outils informatiques : Cela permet d'informer l'utilisateur sur ses marges de manœuvre, le dissuade de toute tentative d'outrepasser ses droits d'utilisateur et l'observation des règles élémentaires de sécurité car ne dit-on pas que 90% des risques sont le fait des utilisateurs internes; - installation électrique : des prises de terre et des onduleurs permettent la protection de l'équipement informatique contre les pics de courant, les surtensions et la sauvegarde de données après une interruption électrique. Le réseau électrique interne est protégé par des goulottes et séparé des câbles réseaux: ce qui épargne des risques d'électrocution et évite les interférences électromagnétiques avec les câbles réseau car cela peut être source d'erreurs de transmission; - topologie du réseau: la topologie étoilée du réseau facilite la gestion du réseau et les interventions physiques sur le réseau. Les câbles utilisés sont des paires torsadées blindées srp et non blindées urp de catégorie 5E qui sont reconnus pour leur fiabilité et sont protégés par des goulottes; - politique de droit d'accès: La connexion à un poste du réseau est conditionnée par la détention d'un compte utilisateur valide; - configuration logique du réseau en de LAN: augmente le niveau de sécurité, permet une localisation plus simple de problèmes, diminue l'étendue d'attaque et l'ampleur d'éventuels dégâts et permet une fluidité du trafic réseau; - système de sauvegarde : les données sont sauvegardées quotidiennement sur disque dur externe, toute chose qui limite la perte de données; - le système : presque tous les postes tournent sur des plateformes Windows 7 ou Windows 8. Notamment les serveurs tournent sur Windows serveur 2008 R2 reconnu pour sa fiabilité et sa robustesse. - antivirus: Le serveur mail est doté d'un antivirus+antispam permettant d'éviter la contamination des supports de stockage amovibles des utilisateurs via les e-mails bien que des paramètres ont été mise en place pour sécuriser le système existant. II.2.2- Failles du système Partant du fait qu'aucun système informatique n'est parfait, c'est-à-dire que le risque zéro n'existe pas et que tout système est vulnérable en matière de sécurité informatique. Alors l'étude du réseau de l’hôtel PALMCLUB, nous a permis de définir un nombre importants de contraintes pouvant réduire ses performances qui sont : - L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier ni la disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la
  • 16. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 16 - détection des défaillance des équipements (charge CPU, Etat mémoire, surcharge des disque...). Il ne peut contrôler non plus les surcharges et pénurie temporaire des ressources. Le seul moyen de détecter ces anomalies ne peut se faire que par la réception des différentes plaintes et réclamations des différents utilisateurs. - Augmentation rapide du nombre des utilisateurs - Volume accru du trafic généré par chaque utilisateur - Echange volumineux de fichiers non nécessaire entre utilisateurs - Trafic web important - L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et externe. - Les collisions important dans le réseau. - La vulnérabilité du local technique (salle serveur). en effet, cette salle se trouve dans un local au rhé de chaussé donc facile d’accès. Aussi la quasi-totalité des services installés ne se trouve seulement que sur deux serveurs implantés dans le même local, ce qui constitue un potentiel danger pour tout le réseau car le moindre incendie qui surviendrait dans ce local serait susceptible de causer des pertes considérables pour tout le système informatique et par ricochet les données très précieuses; - la restriction de l'accès au WIFI: le point d'accès utilisé présentement pour l'authentification par clé de sécurité n’offre pas une sécurité garantie pour une structure de la taille de l’hôtel PALMCLUB. De plus lorsqu'un utilisateur change de machine la configuration du point d'accès (la clé de sécurité du point d’accès) doit être modifiée pour prendre en compte cette machine; - le manque de traçabilité et de contrôle d'accès. - Absence de moyen de détection d’intrusion de les traiter le plus rapidement possible. - Absence de contrôle d’accès à certains sites et filtrage des pages Web. II.2.3- solution retenue Vu les failles décrites plus haut, la solution devra permettre ce qui suit : - Sécuriser et contrôler les accès externes et interne à l’internet à travers une page d’authentification vu le nombre important des utilisateurs internes et externes de système réseaux, - les utilisateurs devront s’authentifier avec un login et un mot de passe de façon sécurisée l’accès a l’internet, - pour se connecter, les clients n'ont besoin que d'un navigateur Web, - les paramètres du compte sont stockés dans une base de données existante et les comptes déjà existants doivent pouvoir être utilisés; - toutes les requêtes web des clients doivent être automatiquement redirigées sur la page d'authentification; - l'authentification des clients et des administrateurs doit se faire de façon sécurisée;
  • 17. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 17 - - le point d'accès doit être totalement transparent pour le client; - l'accès au web doit être indépendant du système d'exploitation du client; - la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives d'intrusion. - A partir d’un firewall proposé donc un véritable contrôle sur le trafic réseau de l'entreprise permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi convenablement le réseau de la société, - Interdire l’accès à certains sites et filtrer les pages Web. - Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de les traiter le plus rapidement possible, - le système doit permettre à l'administrateur d'optimiser l'utilisation de la bande passante; c'est-à-dire que l'administrateur peut par exemple limiter la bande passante au niveau de chaque utilisateur pour éviter que celle-ci soit surchargée ou il peut même filtrer des sites indésirables (téléchargements torrents, peer to peer, sites pornographiques ... ). Il s’agit donc et sans doute d’une mise en place d’un portail captif doté d’un composant firewall qui pourra, grâce à ses différentes fonctionnalités, apporter la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives d'intrusion, contrôler le trafic réseau de l'entreprise afin de permettre d'analyser et de sécuriser afin d'utiliser ainsi convenablement le réseau de la société. Et tout ceci doit se réaliser sans encombrer le réseau avec des activités non essentielles. La nouvelle architecture proposée pour réseau de l’hôtel PALMCLUB est la suivante :
  • 18. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 18 - FIGURE II.2.3 : Architecture du réseau Améliorée Suite à l’étude de l’existant de l’hôtel PALMCLUB, nous avons présenté les problèmes et la solution proposée pour aider l’administrateur à contrôler l’accès au réseau ainsi de façon a sécurisé son fonctionnement et lui permettre d’éviter certaines situations de surcharge ou encore de mauvaise utilisation du réseau. Cependant, La solution proposée de mise en d’un portail captif doté d’un composant firewall, nous ramène à étudier les différents produits disponibles sur le marché et faire notre choix indépendamment de l’environnement de travail du réseau de l’hôtel PALMCLUB. Ainsi Le chapitre suivant sera consacré à une étude sur la généralité des portails captif qui comprend une étude comparative de différents produits du marché afin de justifier nos choix et de clarifier les aspects techniques de notre solution. II.2.4- Planification du projet Pour bien mener ce projet, l'élaboration d'un plan de travail s'avère nécessaire. Ce plan décrit les différentes tâches à réaliser et le rôle de chaque responsable impliqué au niveau des ressources humaines. En effet un groupe de pilotage constitué du superviseur et du maître de stage assure les activités administratives, le suivi et la fourniture des besoins du projet. Le groupe de projet constitué des stagiaires que nous sommes a pour rôle d'effectuer la partie technique du projet. Il
  • 19. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 19 - est assisté dans ses tâches par le groupe de pilotage. Ainsi pendant ces trois mois de travail nous avons fait de notre mieux pour s’enchaîner au plan suivant : • Premier Mois : C’est la période que nous avons consacré à la préparation des outils de travails et à la documentation sur les portails captifs. • Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise en place du portail captif et créer la démarche de sécurité. Et nous avons pu enfin entamer la configuration de serveur proxy et faire les étapes de sécurité proposée. • Troisième mois : la réalisation qui consistera à la mise en place de la solution au niveau du réseau local de l’entreprise l’Hôtel PALMCLUB.
  • 20. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 20 - Chapitre III : GENERALITES SUR LES PORTAILS CAPTIFS PARTIE II : ETUDE TECHNIQUE
  • 21. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 21 - III.1- Définition des Portails Captifs Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via une page web stockée localement sur le portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. Au-delà de l'authentification, les portails captifs permettent d'offrir différentes classes de services et tarifications associées pour l'accès Internet. Cette technique est généralement mise en œuvre pour les accès Wi-Fi mais peut aussi être utilisée pour l'accès à des réseaux filaires pour des structure comme par exemple des hôtels, campus, etc. la connexion au serveur est sécurisée par SSL grâce au protocole HTTPS ce qui garantit l'inviolabilité de la transaction. Les identifiants de connexion (Login et Mot de passe) sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une nouvelle session. III.2- Fonctionnement des portails captifs FIGURE III.2 : fonctionnement générale d’un portail captif
  • 22. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 22 - Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la configuration du réseau. A ce moment-là, le client à juste accès au réseau entre lui et la passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le système d'authentification indique, plus ou moins directement selon les portails captif, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau. Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le réseau derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à divers mécanismes comme une fenêtre pop-up sur le client rafraîchie à intervalles réguliers ou des requêtes Ping vers le client, est en mesure de savoir si l'utilisateur est toujours connecté au réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va couper l'accès à cet utilisateur. La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif ne refuse pas une connexion mais la redirige plutôt vers une page d'authentification. III.3- Aperçu de quelques portails captifs Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les principaux : III.3.1. Alcasar Alcasar est un projet Français essentiellement dédié aux fonctions de portail captif, cet applicatif s’installe via un script supporté par la distribution Linux Mandriva, les configurations se font via une interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la création d’un ghost système dans le panneau d’administration, ce qui engendre tout de même un fichier d’une certaine taille. Les mises à jour régulières assurent la pérennité de la solution. L’authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de passe. Une documentation assez complète est disponible pour l’installation et la configuration et la communauté semble active. Tout comme pfSense, Alcasar est compatible avec de nombreuses plateformes, la personnalisation des pages utilisateurs et la simplicité d’utilisation son présente. III.3.2. Talweg Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*. Talweg présente de nombreux points intéressants : • Une authentification sécurisée. • Du multifenêtrage.
  • 23. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 23 - • Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ; • La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par copier/coller. En revanche, il y a des points négatifs : • Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du tout avec les pages ASP. • Il est impossible d’enregistrer des liens issus de la réécriture des URLs. • Il n’y a pas de gestion de la durée de connexion des utilisateurs. III.3.3. WifiDog Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds installés au minimum.  Fonctionne sur des plateformes embarquées ou autres  Se compose de deux parties: - WifiDog Authentification Server : serveur d'authentification - WifiDog Gateway: passerelle filtrante du système de portail captif dépendances (un serveur web Apache mode SSL, un serveur DHCP, un serveur DNS, un pare-feu netfilter). Les inconvénients de WifiDog sont : - La consommation en ressource réseau est extrêmement faible. - Elle utilise seul le port 80 passe. - la bande passante demandée est très faible. III.3.4. Pfsense Pfsense est une distribution FreeBSD développée lors d’un projet en 2004, l’objectif de départ est d’assurer les fonctions de pare-feu et de routeur mais l’engouement généré par cet applicatif lui a permis d’étendre ses fonctionnalités et présente maintenant les fonctions de portail captif, serveur proxy… Son installation se fait facilement via une distribution dédiée et toutes les configurations peuvent se faire soit en ligne de commande (SSH) ou bien via l’interface web (HTTPS). La sauvegarde et restauration de configuration est disponible à travers l’interface web et permet de générer un simple fichier d’une taille raisonnable. Le portail assure une évolution constante grâce à des mises à jour régulières dont l’installation est gérée automatiquement dans une partie du panneau d’administration. Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple utilisateur / mot de passe.
  • 24. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 24 - III 4. Tableau de comparaison des portails captifs Alcazar Talweg wifidog Pfsense Simplicité d’installation Infrastructure nécessaire Performances réseau Gestion utilisateurs Sécurité authentification Sécurité communication Protocoles supportés Crédit temps Interface d’administration TABLEAU III.4 : Comparaison des portails captifs Légende : Non disponible Moins Important important Plus important Dans l'étude comparative des solutions nous avons mis en évidence plusieurs critères importants que doivent prendre en compte les différentes solutions: - Sécurité des échanges lors de l'authentification: pour éviter la récupération de mot de passe sur le réseau ; - Présence d'une documentation complète: pour assurer la rapidité de mise en place de la solution; - Simplicité d'administration: pour permettre à différentes personnes d'administrer le logiciel; - Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou non) de se connecter au réseau Wi-Fi ou filaire; - Compatibilité multiplateformes : pour permettre la connexion depuis les Smartphones, différents navigateurs web et différents systèm50.d'exploitation. - Présence de sauvegarde et restauration de configuration : pour permettre un redémarrage du système très rapidement en cas de problèmes;
  • 25. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 25 - - Pérennité de la solution : pour pallier les failles de sécurité et augmenter les fonctionnalités de la solution via des mises à jour ; - Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la charte graphique de l'entreprise et ainsi le rendre plus convivial. III 5. Choix de la solution de portail captif Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer, l'étude théorique permet de retenir deux solutions à savoir Pfsense et ALCASAR car elles répondent toutes deux à nos besoins: solutions libres, peuvent s'installer sur un serveur comme sur un poste de travail, authentification des utilisateurs par login et mot de passe, contrôle de la bande passante, facilité d'administration, d'installation et de configuration, facilité d'utilisation, documentation très détaillée et disponible, disponibilité de mises à jour, etc. Les deux solutions répondent tout à fait au cas étudié mais ALCASAR s'installe uniquement via une distribution Mandriva. Aussi ALCASAR s'installe via un script automatisé, par contre Pfsense s'installe via une distribution dédiée ; ce qui rend impératif le choix de Pfsense. De plus Pfsense présente une interface plus conviviale et une page principale en tableau de bord où l'on retrouve toutes les informations essentielles et que l'on peut modifier en fonction des besoins. Ce produit présente aussi une plus grande assurance car la communauté des utilisateurs est très active.
  • 26. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 26 - CHAPITRE IV : ETUDE TECHNIQUE DE PFSENSE
  • 27. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 27 - IV.1. Présentation de pfsense Développé par Chris Buechler et Scott UlIrich, Pfsense ou Packet Filter Sense est à la fois un portail captif et est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. À l'origine d'un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des outils et services utilisés habituellement sur des routeurs professionnels propriétaires. Ses performances sont liées au matériel utilisé. Pfsense convient pour la sécurisation d'un réseau domestique ou de petite entreprise. Il est possible d’émuler le système d’exploitation Free BSD grâce à VMware ou Virtualbox. Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite à distance depuis l'interface web et gère nativement les VLAN. Comme sur les distributions Linux, pfsense intègre aussi un gestionnaire de paquets pour installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP1... A la fois routeur et pare-feu (firewall) « OS-firewall », PFSENSE prend en charge de nombreuses capacités étendues telle que NAT, IPV6, biensur Serveur DHCP, ou encore serveur de Proxy, serveur VPN over IPSec/PPTP, …. Cette solution peut donc remplacer les routeurs et pare-feu mais peut aussi se combiner aux routeurs / firewall déjà existant. Par ailleurs Toute la configuration du système est stockée dans un fichier xml (/cf/conf/config.xml). En plus Pfsense propose plusieurs services tels que : - Système de basculement (failover) - VPN site à site avec Openvpn et Ipsec - VPN client PPTP - VPN point à point avec Stunnel - Proxy et Blacklist (Squid et SquidGuard) - ISD avec Snort - Répartition des charges avec Loadbalancer - Partage de la bande passante avec Traffic shaper - Vue sur la consommation de la bande passante avec bandwithd et Ntop - Portail captif avec captive portal IV.1.2-Evolutions Depuis sa mise en route en 2004, le projet Pfsense ne cesse d'évoluer et différentes versions du logiciel se sont succédées. Pour chaque version, il en existe pour les architectures i386 (32bits) et amd64 (64-bits). De même elles sont disponibles en Live CD ou en plate-forme embarquée. Ainsi on a: - Pfsense 2.2 disponible depuis 23/01/2015 une version stable soutenu
  • 28. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 28 - - Psense 2.2.6 disponible depuis le 21/12/2015 precedent entretien de securité stable; - Pfsense 2.1.1 disponible depuis 04/04/2014 - Pfsense 2.0.3 : disponible depuis le 15/04/2013, elle est la plus stable; - Pfsense 2.0.2 : disponible depuis le 21/12/2012 ; - Pfsense 2.0:disponible depuis le 17/09/2011 ; - Pfsense 1.0 : première version sortie le 14/10/2006. - Et pfsense 2.3.1 et pfsense 2.4 sont des future version dont la date de sortie na pas encor été determinée. Chaque version de pfsense est basée sur une version spécifique de -RELEASE de FreeBSD IV.1.3-Configuration requise Pour le matériel sur lequel Pfsense doit s'installer, on a besoin d'un minimum qui soit composé d'une machine dotée d'au moins deux cartes réseau et dont les caractéristiques sont: - au moins 1 Go de disque dur (500 Mo pour les plates-formes embarquées) ; - au moins 128 Mo de RAM, mais plus de 512 Mo recommandés; - un CPU cadencé à au moins 100 MHZ (500 MHZ ou plus recommandé). - disque dur : 40 OB ; - Processeur: 1350 Mhz ; - RAM: 768 MB. Mais dans notre cas nous avons utilisé un poste de travail avec les caractéristiques suivantes: Le matériel et la configuration minimale requise sur une machine :  2 interfaces réseaux minimum  4 Go de RAM  250 Go Disque Dur IV.1.4-Objectifs Passer en revue les principales fonctionnalités de pfsense à travers une analyse détaillée de son interface. • Apprendre à dimensionner son hardware en fonction de ses besoins. • Installer et mettre à jour son système sur différents supports. • S’initier à la pratique de l’outil en présentant les différents modes d’accès envisageables (Web, port série, SSH). • Procéder aux réglages de base de pfsense (hôte, domaine, serveurs DNS, NTP). • Manipuler et assigner les interfaces du firewall pfsense. • Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles opérationnelles.
  • 29. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 29 - • Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique. • Incidence sur le système du déploiement des paquets. IV.1.5- Avantage Les avantages liés à l’utilisation de pfsense sont multiples. Nous pouvons citer parmi tant d’autre : • Simplicité de l’activation / désactivation des modules de filtrage. • Solution riche et performante à moindre coût (basé sur des logiciels libres). • Solution légère pouvant être déployé sur des configurations minimales. • Interface web sensible et efficace FIGURE IV.1.5 : le réseau informatique avec notre application pfsense IV.1.6- Fonctionnalité
  • 30. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 30 - Supportant l’ajout de plugins complémentaires pfsense offre nativement de nombreuses possibilités dont Voici les grandes lignes - Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP - Capable de limiter les connexions simultanées sur une base de règle - pfsense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d'exploitation qui initie la connexion. - Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle. - Politique très souple de routage possible en sélectionnant une passerelle sur une base par règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc) - Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de nombreux serveurs. - Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont filtrant. - La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans l'interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi des paquets fragmentés, protège les systèmes d'exploitation de certaines formes d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides. Activé dans pfsense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque des problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activer sur la plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre de pare-feu si vous souhaitez configurer pfsense comme un routeur pur. - Network address translation (NAT) Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour les adresses IP individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le NAT redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN Multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN utilisée. NAT réflexion : dans certaines configurations, NAT réflexion est possible si les services sont accessibles par IP publique à partir de réseaux internes. - Basculement base sur CARP et pfsync Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe d'hôtes sur un même segment réseau de partager une adresse IP. Le nom CARP est en fait un sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De Redondance D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol » utilisé pour faire de la
  • 31. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 31 - répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce protocole peut être utilisé pour faire de la redondance et de la répartition de charge. Il supporte IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfsense - pfsync assure la table d'état du pare-feu est répliquée sur tous les pare-feu configurés de basculement. Cela signifie que vos connexions existantes seront maintenues dans le cas d'échec, ce qui est important pour prévenir les perturbations du réseau. - Load Balancing/ Répartition de charge : La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la passerelle souhaitée ou le groupe d'équilibrage local.  VPN pfSense offre quatre options de connectivité VPN: IPSec, OpenVPN, PPTP et L2TP.  RRD Graphiques Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points suivants : L'utilisation du processeur Le débit total État de Firewall Débit individuelle pour toutes les interfaces Paquets par seconde taux pour toutes les interfaces Interface WAN passerelle (s) de temps de réponse ping Trafic des files d'attente de mise en forme sur les systèmes avec lissage du trafic activée.  Dynamic DNS Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs de services DNS dynamiques. DynDNS DHS dnsExit DYNS easyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit  Captive Portal Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès au réseau. Ceci est communément utilisé sur les réseaux de points chauds, mais est également largement utilisé dans les réseaux d'entreprise pour une couche supplémentaire de sécurité sur l'accès sans fil ou Internet. Ce qui suit est une liste des fonctionnalités du portail captif de pfsense. Connexions simultanées maximum - Limiter le nombre de connexions au portail lui-même par client IP. Cette fonctionnalité empêche un déni de service à partir d'ordinateurs clients établissant des connexions réseau à plusieurs reprises sans authentification. Délai d'inactivité - Délai en minutes après lequel les sessions inactives seront fermées.
  • 32. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 32 - Disk timeout - Forcer une déconnexion de tous les clients après le nombre défini de minutes. Logon fenêtre pop-up - Option pour faire apparaître une fenêtre avec un bouton Déconnexion. Redirection d'URL - Après authentification ou en cliquant sur le portail captif, les utilisateurs peuvent être redirigés vers l'URL définie. Filtrage MAC - Par défaut, les filtres pfSense en utilisent des adresses MAC. Si vous avez un sous- réseau derrière un routeur sur une interface compatible de portail captif, chaque machine derrière le routeur sera autorisé après qu'un utilisateur est autorisé. Le filtrage MAC peut être désactivé pour ces scénarios. Il y’a trois options d'authentification disponibles : - Aucune authentification : Cela signifie que l'utilisateur verra s'afficher votre page de portail sans avoir à entrer d'information d'identification. - Gestionnaire d'utilisateur local : Une base de données d'utilisateur local peut être configurée et utilisée pour l'authentification. - Authentification RADIUS : Méthode d'authentification lorsque la base de données d'utilisateur est déportée sur un serveur. La négociation entre Pfsense et le serveur utilisera la norme RADIUS.  Serveur DHCP et relais Pfsense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP - Une gestion de plugin vient parfaire l'installation de base, avec notamment Avahi (Zeroconf), FreeRADIUS, haproxy, Iperf, Squid, squidGuard, Nmap, Ntop, Snort , short, Varnish, Zabbix. A tout cela nous pouvons ajouter d’autres fonctionnalité telle que : - Serveur ou client PPPoE - Ip virtuelles - Logs, Failover, …..
  • 33. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 33 - CHAPITRE V : INSTALLATION DE PFSENSE, IMPLEMENTATION DU PORTAIL CAPTIF ET MISE EN PLACE DU PARE FEU PFSENSE PARTIE III : REALISATION
  • 34. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 34 - V.1- Installation de Pfsense V.1.1 - Architecture réseau requis Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une configuration spécifique. Il sera configuré de la manière suivante : Interface LAN : réseau 192.168.100.1, sera utilisé pour les postes fixes de l’hotel et donc tous les utilisateurs de l’établissement. Interface Wan : En mode DHCP de sorte qu’il récupéré dynamiquement une adresse ip du routeur qui fait office d’un serveur DHCP. V.1.2 – Installation Après avoir récupérer votre matériel l’installation peut commencer. A noter qu’il est impossible d'installer Pfsense sur un disque contenant une partition Fat16/32, NTFS ou autres. Le disque dur devra être formaté pendant l’installation. Passons maintenant à l'installation de Pfsense. Il existe 2 façons de faire marcher le portail captif : - Sur le disque dur - Via un Live CD Cette dernière solution est très rapide et efficace. Le chargement se fait automatiquement ainsi que sa configuration. Mais elle possède tout de même des inconvénients : - Chargement long - Configuration stockée sur disquette (les disquettes sont peu fiables) - Impossibilité d'ajouter des "packages" (logiciels), on ne peut pas toucher à la structure du CD. Nous avons donc utilisé le Live CD pour comparer les différents portails captifs, mais pour une implantation dans un réseau, il vaut mieux l'installer sur un disque dur. Après avoir téléchargé l’ISO sur le site de Pfsense : http://www.pfsense.org nous l’avons gravé sur CD afin de passer à l’installation. Installation sur le disque dur : Tout d'abord, vérifier que votre ordinateur possède les caractéristiques requises, puis insérer le cd au démarrage de votre machine. Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles. Vous allez ici mettre l'option 1 (défaut) ou bien attendre que le compte à rebours termine. Au lancement nous avons obtenu cet écran :
  • 35. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 35 - FIGURE V.1.2 : Ecran de démarrage de FreeBSD Ensuite vient la configuration des interfaces réseaux. Vous remarquerez ci-dessous que FreeBSD détecte le nombre de carte réseau, et y attribue des noms (Valid interface are : lnc0 et lnc1 dans notre cas). Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN: lnc0, WAN: lnc1). Si vous voulez créer des DMZ, il faut les ajouter dans Optional interface juste après. Sinon ne mettez rien et appuyer sur entrer. FIGURE V.1.3 : Ecran de configuration de carte optionnel Nous avons ensuite un récapitulatif de la configuration et devons la valider en tapant "y".
  • 36. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 36 - FIGURE V.1.4 : Ecran d’assignation des interfaces FreeBSD charge ensuite et nous entrons dans le menu. Nous allons donc passer à l'installation sur le disque dur en tapant le choix "99". Puis nous avons tapé sur la lettre ‘i’ pour installer pfsense en dur. (N.B. : Si, au bout de 10 secondes, nous ne répondons rien à cet écran, pfsense se lance en Live-CD). C’est alors que l’installation proprement dite doit démarrer par cet écran : FIGURE V.1.5 : Configuration des options vidéo ou clavier L’installation se lance et nous propose de configurer des options vidéo ou de clavier si cela est nécessaire. Une fois ces réglages effectués nous choisirons « accept these setting » pour continuer. Puis nous sélectionnerons « Install PfSense ». FIGURE V.1.6 : Configuration de l’installation La distribution nous demandera de choisir le disque dur, n’en ayant qu’un nous nous contenterons de valider ce choix.
  • 37. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 37 - FIGURE V.1.7 : Sélection du disque pour l’installation de pfsense Nous formaterons ce disque pour que le système d’exploitation possède le bon format de fichier en validant « Format this Disk ». FIGURE V.1.8 : Format du disque Le menu suivant nous proposera de changer la géométrie du disque dur. Cette étape n’est en principe pas nécessaire. En effet, Pfsense reconnaît quasiment tous les disques durs existants. A ne changer donc uniquement que si le disque est trop récent et donc pas reconnu. Nous irons par conséquent directement à « Use this geometry ». FIGURE V.1.9 : Choix de la géométrie du disque dur
  • 38. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 38 - Un message d’alerte apparaîtra pour nous avertir que le formatage nous fera perdre toutes nos données. Nous validerons cette action avec « Format ad0 » FIGURE V.1.10 : Formatage du disque dur Pfsense proposera de créer une partition sur le disque dur. Nous validerons « Partion Disk » car aucune installation de Pfsense n’a été effectuée et aucune partition n’existe. FIGURE V.1.11 : Partition du disque dur Le menu de partitionnement nous permettra de redimensionner le disque pour installer Pfsense. Ici nous prendrons tout l’espace disque disponible pour créer notre partition. Pour valider nous irons sur « Accept and Create ». FIGURE V.1.12 : Création de partition
  • 39. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 39 - Une fenêtre d’avertissement s’affichera et nous validerons avec « Yes partition ad0 ». Un message nous avertira que la partition a bien été créée. FIGURE V.1.13 : Acceptation de partitionnement Le menu suivant nous proposera d’installer Pfsense sur la partition de notre choix, nous choisirons notre disque dur. FIGURE V.1.14 : Choix de la partition Le programme d’installation formatera la partition sur laquelle nous souhaitons mettre Pfsense. Nous validerons. FIGURE V.1.15: Validation du format Un message nous avertira que la partition a été formatée.
  • 40. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 40 - FIGURE V.1.16: Partition formater L’étape suivante consiste à définir la swap et le point de montage. La swap est un espace mémoire du disque dur réservé pour des opérations d’échange. C’est la mémoire virtuelle qui est utilisée de la même manière que la mémoire RAM. Nous mettrons 1024M à disposition de cette mémoire. Le point de montage lui correspond à la racine du système d’exploitation. Nous mettrons « * » pour qu’il prenne le reste du disque dur. Pour valider ces choix nous ferons « Accept and Create ». FIGURE V.1.17: Configuration du reste du disque dur Pfsense début alors son installation. Afin de mieux configurer le noyau de type BSD, l’installeur nous demande de spécifier quel type de processeur sera utilisé sur cette machine. Au vu de la configuration de notre machine, nous choisirons « Uniprocessor kernel ». Ce type de demande montre bien à quel point la distribution est faite pour s’adapter au mieux aux performances de la machine et ainsi être la plus proche du matériel possible.
  • 41. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 41 - FIGURE V.1.18: Configuration du noyau Nous allons maintenant installer le bootloader de PfSense sur le disque dur. Ce dernier permettra de démarrer sur la partition du portail captif. Pour ce faire nous sélectionnerons « Accept and install BootBlocks ». Un message nous avertira que BootBlocks a bien été installé. FIGURE V.1.19: Lancement de l’installation Après l’installation nous pourrons enlever le CD du lecteur et redémarrer en validant « Reboot ». FIGURE V.1.20: Fin de l’installation Une fois l'installation terminée, retirer le cd et redémarrer la machine. Si tout c'est bien déroulé, vous devriez atteindre à nouveau le menu de Pfsense sans le cd.
  • 42. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 42 - FIGURE V.1.21: Menu de configuration Pfsense est en marche. Vous pouvez le configurer ici même via le Shell (ligne de commande) ou bien via une interface graphique (http) en connectant un PC sur la carte associé au LAN. V.2 - Interface web de Pfsense Nous allons maintenant accéder a l’interface web Pfsense. Avant tout, nous vous conseillons de changer l'IP sur la machine de Pfsense directement, pour plus de simplicité par la suite. Pour cela, dans le menu de Pfsense, tapez le choix 2 Set LAN IP address. Entrer l'adresse IP correspondant à votre LAN. Nous allons pouvoir maintenant configurer Pfsense via l'interface Web. Connectez une machine sur la carte réseau de Pfsense (coté LAN, tout est bloqué coté WAN par défaut). N'oubliez pas de changer l'IP de votre machine. Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense. Dans notre cas, nous ferons http://192.168.100.1 pour accéder à l'interface de connexion (figure IV.3.2) où il est demandé d'entrer un nom d'utilisateur et un mot de passe. Entrer ensuite le nom d'utilisateur par défaut (admin) et le mot de passe (pfsense) pour se connecter en tant que administrateur.
  • 43. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 43 - FIGURE V.2: l'interface de connexion d’accès à l’interface web On accède au menu général de Pfsense (figure V.2.2) qui donne des informations globales sur le logiciel (version, date de sortie, version du noyau, le nombre d'interfaces connectées etc.).
  • 44. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 44 - FIGURE V.2.2 : menu général de Pfsense V.3- configuration de Pfsense
  • 45. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 45 - FIGURE V.3 : Menu de configuration général de Pfsense Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du DNS. Attention, il vous faut décocher l'option se trouvant dessous (Allow DNS server list to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN. Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL). Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge. Enfin, nous vous conseillons de changer le thème d'affichage de Pfsense. En effet, le thème par défaut (metallic), comporte quelques bugs (problème d'affichage, lien disparaissant). Mettez donc le thème "Pfsense". V.3.1- Partie WAN Après l'installation du logiciel Free BSD pfsense nous avons commencé par configurer l’interface réseau WAN nous avons activé l’adressage dynamique (DHCP) et change l’adresse IP par l’adresse 192.168.1.179 et donc cette adresse IP va nous permettre l’accès à pfsense via son Internet.
  • 46. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 46 - FIGURE V.3.1 : Configuration de l’interface WAN Ainsi que l'adresse IP de la passerelle qui est 196.168.1.254 vous pouvez le constatez ci-dessous FIGURE V.3.1.1 : Statut du Gateway V.3.2- Partie LAN Nous allons maintenant configurer les interfaces LAN et WAN en détail. Pour cela, allez dans Interface, Configurer ensuite la carte LAN (elle doit être normalement bien configuré, mais vous pouvez faire des modifications par la suite ici) Configuration d’interface Réseau LAN. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse IP 192.168. 100.1
  • 47. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 47 - FIGURE V.3.2 : Configuration de l’interface LAN Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients. FIGURE V.3.2.1 : Configuration du DNS forwarder Ainsi dans statut nous pouvons voir le résumé de nos configurations
  • 48. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 48 - FIGURE V.3.2.2: Récapitulatif de la configuration des interfaces V.3.3- Configuration du serveur DHCP Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients. Pour cela, allez dans la section DHCP server. Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera attribuée aux clients. Dans notre cas, notre plage d'IP sera 192.168.100.2 – 192.168.101.254. Voici donc ce que vous devriez avoir :
  • 49. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 49 - FIGURE V.3.3: Configuration du serveur DHCP Il faut par la suite entrer l'IP du serveur DNS qui sera attribuée aux clients. Ici, il vous faut entrer l'IP du portail captif. En effet, nous avons définie plus haut que Pfsense fera lui-même les requêtes DNS. Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 192.168.100.1 V.3.4- Définition des règles du firewall Pfsense étant aussi un firewall, il faut définir certaines règles élémentaires sur les interfaces pour leur permettre de communiquer entre elles, et avec l'extérieur. Pour cela, aller dans l'onglet Firewall puis dans la section Rules, puis sélectionner une interface sur laquelle on veut définir des règles. FIGURE V.3.4: vue sur Firewall Ainsi sur l'interface LAN, il faut laisser les règles par défaut car elles autorisent tous les paquets IP de source LAN à n'importe quelle destination. Pour le WAN, il faut modifier car tout est bloqué par défaut, ce qui empêche les deux interfaces de se communiquer. Alors cliquer sur le symbole « e » pour éditer une règle qui va permettre le passage des paquets du
  • 50. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 50 - WAN (INTERNET) vers le LAN (INTRANET). Pour cela, dans Action, choisir l'option PASS; dans Protocol, choisir ANY; dans Interface, sélectionner INTERNET ; dans Source, sélectionner INTERNET net puis dans destination choisir INTRANET (figure V.3.4.1). Dans certains cas il peut être nécessaire de définir des règles flottantes, c'est-à-dire des règles indépendamment des interfaces. Pour cela, dans l'onglet Rules, puis dans le sous-onglet Floatting, cliquer sur le symbole « e » pour éditer cette règle (le symbole «+» permet d'ajouter une nouvelle règle et le symbole «x» permet de supprimer une règle). FIGURE V.3.4.1: Règles sur l'interface WAN Ainsi Pfsense est correctement configuré, mais pour le moment il sert uniquement de firewall et de routeur. Il reste à activer l'écoute des requêtes sur l'interface LAN et contraindre les utilisateurs à s'authentifier pour traverser le firewall.
  • 51. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 51 - V.4- Paramètre généraux La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif ne refuse pas une connexion, il la redirige vers une page d’authentification. Les identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans une base de données qui est hébergée localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une nouvelle session V.5- Activation du portail captif Voila, Pfsense est correctement configuré. Pour le moment il sert uniquement de Firewall et de routeur. Nous allons maintenant voir comment activer l'écoute des requêtes sur l'interface LAN et obliger les utilisateurs à s'authentifier pour traverser le Firewall. Nous allons désormais voir la procédure afin de mettre en place le portail captif. Pour cela on se rend dans l’entrée Captive Portal du menu Services. On modifie au moins :  Enable captive portal coché  Interfaces : LAN  Authentication : RADIUS Authentication  IP address par l’IP du serveur RADIUS  Shared secret : la clé choisie lors de l’installation du serveur RADIUS  Enable HTTPS login coché  HTTPS server name correctement défini  HTTPS certificate avec le certificat généré  HTTPS private key avec la clé générée  HTTPS intermediate certificate avec le CA. Nous allons définir les temps à partir desquelles les clients seront déconnectés.  Idle Timeout définit le temps à partir duquel un client inactif sera déconnecté automatiquement. Nous l’avons mis à 60 minutes  Hard Timeout définie le temps à partir duquel un client sera déconnecté quel que soit son état ; définie à trois heures soit 1220 minutes Ensuite, nous pouvions activer ou pas un pop-up qui va servir au client de se déconnecter. Mais nous n’avons pas jugé utile de le faire.  After Authentification Redirection URL : activé, pour rediriger le client authentifié vers une Url donnée (ici la page d’accueil du site de l’hôtel PALMCLUB pour un peu de publicité !).  Concurrent user logins : nous l’avons activé pour éviter que deux personnes se connectent avec le même login. L’utilisateur pourra se connecter sur une seule machine à la fois. Ce qui permet de
  • 52. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 52 - limiter les usurpations d’identité pour se connecter. Il est possible ensuite de rediriger un client vers une URL spécifique. Nous avons préféré de ne rien mettre afin de laisser la liberté au client de gérer leur page de démarrage.Afterauthentication Redirection URL Le paramètre suivant, permet d'éviter les redondances de connexions. En effet, l’utilisateur pourra se connecter sur une seule machine à la fois. Cela va donc limiter les usurpations d'identité pour se connecter. FIGURE V.5: Activation du portail FIGURE V.5.1 : Paramètre de la page de redirection Le portail captif de pfsense par défaut se présente comme suite :
  • 53. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 53 - FIGURE V.5.2 : Portail captif pfsense par défaut V.6- Opérations supplémentaires V.6.1- Personnalisation du Portail Captif Une fois cette configuration sauvegardée, le portail captif devrait être fonctionnel. On peut aussi modifier la page d'accueil du portail pour l'adapter au besoin de l'entreprise (couleur de fond, logo, slogan etc…), ainsi que la page de redirection (figure V.6.3) en cas d'échec d'authentification en important un code HTML ou PHP dans les champs prévus à cet effet (figure V.3.3). Tout ceci dans un souci de rendre plus conviviale la page captive. V.6.2- Exportation et personnalisation du fichier html L’exportation du code html du portail captif par défaut de pfsense se fait de façon très simple. - se rendre sur le pfsense puis services : Captive portail : HOTEL_PALMCLUB, copié le code du formulaire html voir figure V.6.2 FIGURE V.6.2 : exportation du code html du formulaire d’authentification
  • 54. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 54 - <form method="post" action="$PORTAL_ACTION$"> <input name="auth_user" type="text"> <input name="auth_pass" type="password"> <input name="auth_voucher" type="text"> <input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$"> <input name="accept" type="submit" value="Continue"> </form> le collé dans un éditeur de texte. - A ce niveau nous pouvons traiter le code html a notre guise afin d’y apporter les modifications nécessaire pour les besoins de l’entreprise. Ceci peut se faire par l’ajout de couleur, de logo, textes de slogan, politique de confidentialité, la charte etc…) voir annexe . V.6.3- Importation du code html et des images La mise en place de notre nouveau portail captif personnalisé consistera a exporté le fichier modifier sous pfsense, pour cela, aller dans service puis captive portail se rendre sous l’onglet portal page contents et charger le fichier html personnalisé. De même nous pouvons ajouter la page d’erreur d’authentification dans l’onglet authentification error page content. Voir figure V.6.3 FIGURE V.6.3 : Importation de code HTML
  • 55. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 55 - Il est possible d'insérer des images telles qu'un logo de l’hôtel dans la page d'accueil. Pour cela, aller dans le sous onglet File Manager pour télécharger l'image à afficher. Toutefois la taille de cette image ne doit pas excéder 1MB (voir figure V.6.4). FIGURE V.6.4 : Importation d'image Le paramètre Pass-through MAC sert à définir les adresses MAC autorisées à traverser Pfsense sans authentification. Allowed IP address sert à définir les adresses IP autorisées à se connecter sans authentification. Allowed Hostnames sert à définir les noms d'hôtes autorisés à traverser Pfsense sans authentification et Vouchers sert à définir les groupes d'utilisateurs autorisés à se connecter à Pfsense. En revanche ces paramètres ne sont pas utilhés à l'étape actuelle de l'étude. Après importation de nos pages et image d'accueil, voici ce que nous obtenons:
  • 56. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 56 - FIGURE V.6.5 : portail captif personnalisé Ainsi le « authentification error page content se presente comme suit : FIGURE V.6.6 : Page d’erreur de notre portail captif
  • 57. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 57 - V.7- Authentification et gestion des utilisateurs V.7.1 - Authentification L'authentification est un point essentiel de Pfsense puisqu'elle définit l'autorisation d'accès vers l'extérieur; une sorte de portail physique fermé accessible par clé. Ainsi trois méthodes d'authentification sont offertes: - sans authentification (No authentification) : les clients sont libres ; ils verront le portail mais il ne leur sera pas demandé de s'authentifier; - authentification via un fichier local (Local User manager) : les paramètres des comptes utilisateur sont stockés dans une base de données locale au format XML ; - authentification via un serveur RADUIS (RADIUS Authentification) : à ce niveau, nous avons le choix entre utiliser un serveur embarqué FreeRADIUS et utiliser un serveur RADIUS distant du serveur PFsense. Pour ce projet nous avons testé les trois types d'authentification avec succès et nous avons retenu l'authentification Local User manager / Vouchers car non seulement cela permet de gérer un grand nombre d'utilisateurs, mais aussi pour des raisons de sécurité. A ce stade, le portail est déjà accessible, c'est-à-dire que pour un utilisateur qui se connecte au réseau local et à partir de son navigateur, demande une page web, il sera redirigé vers la page captive qui lui demandera de s'authentifier avant d'avoir accès à la page demandée initialement. FIGURE V.7.1 : Activation de l’authentification Local User Manager / Vouchers  Sans authentification À ce niveau d’authentification les clients sont libres, ils verront le portail mais il ne leur sera pas demandé de s'authentifier;  Authentification Via un fichier local
  • 58. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 58 - Authentification via un fichier local (Local User manager) : les paramètres des comptes utilisateur sont stockés dans une base de données locale au format XML ; ils pourront se connectés via le login/Mot de passe ou par des tcikets (vouchers). Il faut en premier lieu activer ou désactiver le compte en décochant ou en cochant la case Disabled. Il faut aller dans l'onglet System de la figure v.6.2 illustre cette partie. Puis dans la section User Manager. Ici, on a une liste des utilisateurs existants dans la plateforme. FIGURE V.7.1.1 : Liste des utilisateurs existant V.7.2- Gestion des comptes utilisateur Pour ajouter un nouveau compte avec :  authentification Local User Manager, Aller sur System, user Manager ensuite cliquez sur le symbole « + » et une nouvelle page s'ouvre sur laquelle certains champs sont à compléter: - entrer le nom d'utilisateur pour le compte utilisateur ; - entrer le mot de passe à utiliser pour la connexion; - entrer le nom complet pour le compte utilisateur; - entrer la date d'expiration du compte au format indiqué; - sélectionner le groupe dont le compte utilisateur doit faire partir (utilisateur ou administrateur) ; - cliquer sur «Save » pour enregistrer le compte.
  • 59. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 59 - FIGURE V.7.2.1 : Création d’un compte utilisateur dans User Manager Authentification via un code voucher Pour des visiteurs, nous avons mis en place un champ de ticket qui permettra à ces derniers d’avoir accès à internet grâce à des tickets dont le time de connexion est définit .Pour cela il faut se rendre dans l’onglet Service ensuite captive portal maintenant cliquer sur voucher puis cocher la case Enable voucher afin de l’activer comme l’indique la figure V.7.3. FIGURE V.7.3 : Liste des vouchers créer La gestion d’un vouchers se fait comme suit : Se rendre dans l’onglet Services puis choisir captive portal après vouchers puis cliquez sur le symbole « + » et une nouvelle page s'ouvre sur laquelle certains champs sont à compléter : - roll # : permet de définir l’ID du ticket - Minutes per ticket : permet de définir le temps en minute des tickets que l’utilisateur pourra bénéficier de l’ouverture sur le WAN. - Count : permet de définir le nombre de vouchers
  • 60. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 60 - FIGURE V.7.3.1: création des vouchers
  • 61. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 61 - CHAPITRE VI : PARAMETRAGE DE SECURITE ET TEST DES PACKAGE DE PFSENSE
  • 62. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 62 - Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de continuer la mise en place de Pfsense dans son environnement d’exécution. Nous allons procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre réseau. Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus importantes de l’application et les résultats des tests effectués. VI.1- Préparation Comme il a été présenté dans le chapitre IV, En premier lieu, on installe pfsense et on définit les adresses des interfaces, en activant si nécessaire un serveur DHCP. Tout ceci peut se faire très simplement avec la console pfsense. Puis, à l’aide d’une machine sur le LAN, on accède à l’interface web de pfsense. Par défaut, l’utilisateur est admin et le mot de passe est pfsense. Une fois connectée, configuré la base du système avec l’outil Setup Wizard du menu System. Aller éventuellement modifier l’interface WAN pour ajouter une passerelle par défaut. Ensuite, après avoir modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL). FIGURE VI.1 : Activation de HTTPS pour l'accès au webguid Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge.
  • 63. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 63 - VI.2- Génération des certificats Pour que le portail soit sécurisé, on va utiliser une connexion HTTPS qui nécessite la création d’une autorité de certification, d’un certificat et d’une clé privée. Pfsense inclut des outils permettant de les créer en quelques clics. Pour cela on se rend dans l’entrée Cert Manager du menu System. Dans l’onglet CAs, créer un nouveau CA et indiquer Create an internal CA comme méthode. Compléter les informations et valider. Une fois créé, cliquer sur le bouton export ca sur la droite, et noter quelque part le contenu du champ Certificate data. FIGURE VI.2: Choix du type de certificat Dans l’onglet Certificates, créer un nouveau CA et indiquer Create an internal CA comme méthode. Dans le champ Certificate authority, vérifier que le certificat créé à l’instant est bien sélectionné. Compléter les informations et valider. FIGURE VI.2.1 : Paramètres du certificat
  • 64. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 64 - Le champ Common Name doit correspondre au nom DNS du serveur. Une fois créé, cliqué sur le bouton export cert sur la droite pour récupérer le certificat. De même, cliquer sur export key pour récupérer la clé privée. FIGURE VI.2.2 : Certificat téléchargé VI.3- Gestion du filtrage Le filtrage Web sera réalisé avec les logiciels squid et squidguard. Le filtrage est basé sur plusieurs listes de domaines qui peuvent être placées soit en liste blanche (sites autorisés) soit en liste noire (sites interdits). VI.4- Gestion de la NAT Le NAT (Network Address Translation) permet notamment de faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d’un réseau privé.Dans notre cas, le NAT sera utilisé pour la connexion Internet. VI.5- Serveur et Filtre Proxy : SQUID/SQUIDGUARD L'installation de fonctionnalité supplémentaires se fait par l'installation de "packages" comme sur toutes les distributions Linux. Par exemple avec Ubuntu nous avons l'habitude d'utiliser la commande "sudo apt-get install NomDuNouveauPaquet" pour installer un nouveau paquet. Il est nécessaire de tracer toutes les communications vers l'internet au sein des établissements et pour cela, il va falloir installer des packages à pfSense. Ici tout se fait dans l'interface de gestion WEB. Pour cela, il faut se rendre dans l'onglet "System" puis dans "Packages". Deux onglets s'offre alors pour visualiser les paquets disponibles à l'installation et ceux actuellement installés. Donc, dans la partie "Available Packages", nous allons rechercher les paquets "squid" et "squidGuard". Par la suite, il vous suffira de cliquer sur le "+" à droite du paquet pour l’installer. Attention : Bien attendre la fin de l'installation du package en cours avant de faire autre chose.
  • 65. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 65 - FIGURE VI.5 : Packages installés Squid/squidguard VI.5.1- Blocage des sites web Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et « SquidGuard » puis configurer les blacklists, les différentes restrictions et éventuellement des règles d’accès supplémentaires ACL (Access Control List). Commençons par une présentation de nos packages :  Squid : est un serveur proxy/cache libre très connu de monde Open Source et très performant. Squid est capable de gérer les protocoles FTP, HTTP, HTTPS et Gopher. Il est généralement utilisé pour des fonctions de filtrage d'URL ou en tant que tampon. Les pages Internet sont stockées localement ce qui évite d'aller les recharger plusieurs fois et permet d'économiser la bande passante Internet.Ce serveur est très complet et propose une multitude d’options et de services qui lui ont permis d’être très largement adopté par les professionnels, mais aussi dans un grand nombre d’école ou administrations travaillant avec les systèmes de type Unix.  SquidGuard est un filtre, un redirecteur et un plugin de contrôle d'accès pour Squid. Il va notamment permettre d'appliquer sur un proxy une liste noire de sites ou mots clés interdits. SquidGuard est publié sous GNU Public License, licence gratuite. SquidGuard peut être utilisé pour : - Limiter l’accès Internet pour certains utilisateurs à une liste de serveurs Web et /ou des Urls qui sont acceptés et bien connus. - Bloquer l’accès à des URL correspondant à une liste d’expressions régulières ou des mots pour certains utilisateurs. - Imposer l’utilisation de nom de domaine et interdire l’utilisation de l’adresse IP dans les URL. - Rediriger les URL bloquées à une page d’informations relative à Pfsense. - Rediriger certaines bannières à un vide. - Avoir des règles d’accès différents selon le moment de la journée, le jour de la semaine, date, etc.
  • 66. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 66 - VI.5.2- Configuration de Squid (proxy server) Désormais, suite aux dernières installations. Deux onglets ont été ajoutés dans le menu déroulant "Services". Il s'agit de Proxy Server et Proxy Filter, mais pour le moment, nous nous tiendrons à Proxy Server et à sa configuration. Il s'agit de squid. Pour commencer, rendons-nous dans le menu déroulant "Services" puis dans "Proxy Server". Dans la partie "General", Puis remplir les champs comme suit: - Proxy interface : affecter Squid à l’interface réseau LAN. - Allow user on interface : valider (cocher) cette option pour l’interface choisie. - Log store directory : /var/log : dossier contenant les autres logs. - Proxy port : saisir 3128 qui est le port de proxy. - Language : French. Ne pas oublier de cliquer sur "Save" en bas de la page. FIGURE VI.5.2 : Configuration de squid (proxy server) A partir d'ici, l'accès à internet est encore inactif, afin de donner l’accès internet il faudra instaurer dans la partie LAN des règles du Firewall la règle suivante.
  • 67. Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 67 - FIGURE VI.5.2.1 : règle d’accès à l’internet Nous allons donc poursuivre la configuration de squid en se rendant dans son onglet du menu déroulant "Services" puis dans la partie "Access Control". La section "Allowed Subnets" est à adapter en fonction de votre adresse réseau provenant de la carte LAN (192.168.100.1). FIGURE VI.5.2.2 : configuration de l’Access control VI.5.3 - Configuration de SquidGuard (proxy Filter) Maintenant que squid est configuré, il nous reste à préparer SquidGuard. Ce dernier permettra de filtrer et de contrôler les accès. Nous allons donc utiliser pour mettre en place ce filtrage, la blacklist de l'université de Toulouse, cette dernière est assez complète et propose un champ assez large de catégories afin de filtrer au mieux un sujet précis. Passons à la configuration générale de SquidGuard. Nous rentrerons dans la première page de configuration la blacklist dont voici l'adresse :