SlideShare une entreprise Scribd logo
1  sur  27
Télécharger pour lire hors ligne
INSTALLATION D’UN
PORTAIL CAPTIF
PERSONNALISE
PFSENSE

Jaulent Aurelien
Aurelien.jaulent@educagri.fr
TABLE DES MATIERES
Contexte : ............................................................................................................................................................................................ 2
Introduction : ...................................................................................................................................................................................... 2
Prérequis réseau : ............................................................................................................................................................................... 2
Choix de configuration : ...................................................................................................................................................................... 2
Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3
Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3
Installation de Radius (Windows server 2008) : ............................................................................................................................. 3
Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8
Configuration de Pfsense : ................................................................................................................................................................ 10
Configuration du portail captif : ................................................................................................................................................... 10
Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14
Installation de ADCS : ................................................................................................................................................................... 14
Création du certificat pour Radius : .............................................................................................................................................. 20
Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25
Conclusion ......................................................................................................................................................................................... 26

P a g e 1 | 26
Jaulent Aurelien
CONTEXTE :
Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet.
L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits.

INTRODUCTION :
La problématique rencontrée dans les lycées agricole est la sécurisation du point d’accès sans fils ainsi que la difficulté pour
l’administrateur à gérer tous les utilisateurs qui souhaite s’y connecter.
La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification et le temps de chaque utilisateur,
De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web
d’authentification

PREREQUIS RESEAU :
Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une
configuration spécifique. Il sera configuré de la manière suivante :




Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de
l’établissement.
Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi
Interface Wan : En mode static, directement connecté sur internet

Ensuite vient la méthode d'authentification au portail captif.
3 possibilités s'offrent à nous :





Sans authentification, les clients sont libres
Via la base locale
Via un serveur RADIUS
Via un code voucher

CHOIX DE CONFIGURATION :
Une méthode d’authentification a été retenue, via un serveur radius.
La méthode d’authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient
pas de compte dans le domaine administratif ou pédagogique.
Attention : Par défaut un seul choix d’authentification via le portail captif est possible.

P a g e 2 | 26
Jaulent Aurelien
CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 :

CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :









Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et
ordinateurs Active Directory ».
Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ».
Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ».
Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ».
Refaire un clic droit et nouveau. Sélectionner « Utilisateur ».
Saisir les configurations qui correspondront à l’utilisateur qui va être créé.
Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ».
Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et
valider.

Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est
« pfsense ».

INSTALLATION DE RADI US (WINDOWS SERVER 2008) :


Création d’un nouveau rôle « Services de stratégie et d’accès réseau ».

P a g e 3 | 26
Jaulent Aurelien


Le serveur NPS est le serveur qui prendra en compte Radius.



Configuration du rôle NPS en tant que serveur Radius.

P a g e 4 | 26
Jaulent Aurelien


Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ».

P a g e 5 | 26
Jaulent Aurelien


Sélectionner la méthode d’authentification



Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée.

P a g e 6 | 26
Jaulent Aurelien


Fin du paramétrage du serveur radius.

P a g e 7 | 26
Jaulent Aurelien
MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :


Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ».

P a g e 8 | 26
Jaulent Aurelien


Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur
« propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ».

Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs
et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les
données entre le serveur Pfsense et le serveur Radius.

P a g e 9 | 26
Jaulent Aurelien
CONFIGURATION DE PFSENSE :
Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base.
CONFIGURATION DU POR TAIL CAPTIF :
Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes :

P a g e 10 | 26
Jaulent Aurelien
P a g e 11 | 26
Jaulent Aurelien
P a g e 12 | 26
Jaulent Aurelien
Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte
utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment.
Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et
leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats
sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif.

P a g e 13 | 26
Jaulent Aurelien
CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR
PFSENSE.

INSTALLATION DE ADCS :


Création d’un nouveau rôle « Services de stratégie et d’accès réseau ».

P a g e 14 | 26
Jaulent Aurelien


Sélection de l’autorité de certification.

P a g e 15 | 26
Jaulent Aurelien


Selection du type d’architecture.



Sélection du type d’autorité de certification.

P a g e 16 | 26
Jaulent Aurelien


Création de la clé.



Configuration du type de chiffrement de la clé.

P a g e 17 | 26
Jaulent Aurelien


Laisser le nom du domaine et du serveur de domaine par défaut.



Sélection de la durée de validité du certificat.

P a g e 18 | 26
Jaulent Aurelien


Configuration à ne pas modifier de la base de données du certificat.



Récapitulatif de l’action d’installation qui va être effectuée.

P a g e 19 | 26
Jaulent Aurelien


Fin de l’installation de ADCS.

CREATION DU CERTIFIC AT POUR RADIUS :




Exécuter la console mmc via « démarrer ».
Sélection de composant logiciel enfichable

P a g e 20 | 26
Jaulent Aurelien


Sélection de « Certificats/Un compte d’ordinateur ».



Sélection « ordinateur local ».

P a g e 21 | 26
Jaulent Aurelien


Demande d’un nouveau certificat pour l’authentification radius.



Début de la création du/des certificats.

P a g e 22 | 26
Jaulent Aurelien


Sélection de la stratégie d’inscription de certificat par défaut.



Sélection des certificats a créer.

P a g e 23 | 26
Jaulent Aurelien


Fin de la création des certificats.

P a g e 24 | 26
Jaulent Aurelien
MODIFICATION DE LA S TRATEGIE D’AUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS).

Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic
droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes
d’authentification ».

Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait.

P a g e 25 | 26
Jaulent Aurelien
Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante.

Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée.

CONCLUSION

PfSense est donc un moyen efficace pour gérer, protéger, l’accès au Wifi d’un lycée agricole. Les différentes options qui nous
sont proposées permettent d’intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour
l’identification des utilisateurs Active Directory via un serveur Radius.

P a g e 26 | 26
Jaulent Aurelien

Contenu connexe

Tendances

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
La sécurité des réseaux sans fil
La sécurité des réseaux sans filLa sécurité des réseaux sans fil
La sécurité des réseaux sans filsmiste
 
Memoire_Fallou_Mbengue.pdf
Memoire_Fallou_Mbengue.pdfMemoire_Fallou_Mbengue.pdf
Memoire_Fallou_Mbengue.pdffalloumbengue1
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin iferis
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 

Tendances (20)

Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
La sécurité des réseaux sans fil
La sécurité des réseaux sans filLa sécurité des réseaux sans fil
La sécurité des réseaux sans fil
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Memoire_Fallou_Mbengue.pdf
Memoire_Fallou_Mbengue.pdfMemoire_Fallou_Mbengue.pdf
Memoire_Fallou_Mbengue.pdf
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
 
Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin Étude et Mise en place d'un serveur samba par webmin
Étude et Mise en place d'un serveur samba par webmin
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 

En vedette

Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsenser_sadoun
 
pfSense, OpenSource Firewall
pfSense, OpenSource FirewallpfSense, OpenSource Firewall
pfSense, OpenSource FirewallErik Kirschner
 
pfSense Installation Slide
pfSense Installation SlidepfSense Installation Slide
pfSense Installation SlideSopon Tumchota
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeyassine87
 
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréPrésentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréyassine87
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Hichem Chehida
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)Mohamed Houssem
 
L'informatique et le numérique à la médiathèque de berre l'étang
L'informatique et le numérique à la médiathèque de berre l'étangL'informatique et le numérique à la médiathèque de berre l'étang
L'informatique et le numérique à la médiathèque de berre l'étangCasse2
 
Free radius
Free radiusFree radius
Free radiusSafae Ad
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)Alphorm
 
Presentation Annuaire des fournisseurs de comites d'entreprise
Presentation Annuaire des fournisseurs de comites d'entreprisePresentation Annuaire des fournisseurs de comites d'entreprise
Presentation Annuaire des fournisseurs de comites d'entrepriseSalonsCE
 
Windows Server 2008 R2 Feature Components Poster.
Windows Server 2008 R2 Feature Components Poster.Windows Server 2008 R2 Feature Components Poster.
Windows Server 2008 R2 Feature Components Poster.Tũi Wichets
 

En vedette (20)

Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsense
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
 
pfSense, OpenSource Firewall
pfSense, OpenSource FirewallpfSense, OpenSource Firewall
pfSense, OpenSource Firewall
 
pfSense Installation Slide
pfSense Installation SlidepfSense Installation Slide
pfSense Installation Slide
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
 
P fsense
P fsenseP fsense
P fsense
 
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréPrésentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2
 
Schémas
SchémasSchémas
Schémas
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Pfsense
PfsensePfsense
Pfsense
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)
 
L'informatique et le numérique à la médiathèque de berre l'étang
L'informatique et le numérique à la médiathèque de berre l'étangL'informatique et le numérique à la médiathèque de berre l'étang
L'informatique et le numérique à la médiathèque de berre l'étang
 
voip dans le cloud
voip dans le cloudvoip dans le cloud
voip dans le cloud
 
Free radius
Free radiusFree radius
Free radius
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
 
Presentation Annuaire des fournisseurs de comites d'entreprise
Presentation Annuaire des fournisseurs de comites d'entreprisePresentation Annuaire des fournisseurs de comites d'entreprise
Presentation Annuaire des fournisseurs de comites d'entreprise
 
Windows Server 2008 R2 Feature Components Poster.
Windows Server 2008 R2 Feature Components Poster.Windows Server 2008 R2 Feature Components Poster.
Windows Server 2008 R2 Feature Components Poster.
 

Similaire à Doc portail-captif-pfsense

Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséSamiMessaoudi4
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdmmia884611
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22ImnaTech
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSLFabian Vandendyck
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyJeff Hermann Ela Aba
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windowsemmanuel minjoe
 
vpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidevpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidemia884611
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entrepriseSAIDRAISS2
 

Similaire à Doc portail-captif-pfsense (20)

Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécurisé
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Mini projet nextcloud
Mini projet nextcloudMini projet nextcloud
Mini projet nextcloud
 
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Serveur lamp
Serveur lampServeur lamp
Serveur lamp
 
BTS E4 SYSLOG
BTS E4 SYSLOGBTS E4 SYSLOG
BTS E4 SYSLOG
 
Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSL
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Actnc2b02 bts1
Actnc2b02 bts1Actnc2b02 bts1
Actnc2b02 bts1
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windows
 
vpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidevpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guide
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
radius
radiusradius
radius
 
Procedure ocs et glpi
Procedure ocs et glpiProcedure ocs et glpi
Procedure ocs et glpi
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
 

Doc portail-captif-pfsense

  • 2. TABLE DES MATIERES Contexte : ............................................................................................................................................................................................ 2 Introduction : ...................................................................................................................................................................................... 2 Prérequis réseau : ............................................................................................................................................................................... 2 Choix de configuration : ...................................................................................................................................................................... 2 Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3 Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3 Installation de Radius (Windows server 2008) : ............................................................................................................................. 3 Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8 Configuration de Pfsense : ................................................................................................................................................................ 10 Configuration du portail captif : ................................................................................................................................................... 10 Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14 Installation de ADCS : ................................................................................................................................................................... 14 Création du certificat pour Radius : .............................................................................................................................................. 20 Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25 Conclusion ......................................................................................................................................................................................... 26 P a g e 1 | 26 Jaulent Aurelien
  • 3. CONTEXTE : Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet. L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits. INTRODUCTION : La problématique rencontrée dans les lycées agricole est la sécurisation du point d’accès sans fils ainsi que la difficulté pour l’administrateur à gérer tous les utilisateurs qui souhaite s’y connecter. La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification et le temps de chaque utilisateur, De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web d’authentification PREREQUIS RESEAU : Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une configuration spécifique. Il sera configuré de la manière suivante :    Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de l’établissement. Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi Interface Wan : En mode static, directement connecté sur internet Ensuite vient la méthode d'authentification au portail captif. 3 possibilités s'offrent à nous :     Sans authentification, les clients sont libres Via la base locale Via un serveur RADIUS Via un code voucher CHOIX DE CONFIGURATION : Une méthode d’authentification a été retenue, via un serveur radius. La méthode d’authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient pas de compte dans le domaine administratif ou pédagogique. Attention : Par défaut un seul choix d’authentification via le portail captif est possible. P a g e 2 | 26 Jaulent Aurelien
  • 4. CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 : CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :         Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et ordinateurs Active Directory ». Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ». Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ». Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ». Refaire un clic droit et nouveau. Sélectionner « Utilisateur ». Saisir les configurations qui correspondront à l’utilisateur qui va être créé. Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ». Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et valider. Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est « pfsense ». INSTALLATION DE RADI US (WINDOWS SERVER 2008) :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 3 | 26 Jaulent Aurelien
  • 5.  Le serveur NPS est le serveur qui prendra en compte Radius.  Configuration du rôle NPS en tant que serveur Radius. P a g e 4 | 26 Jaulent Aurelien
  • 6.  Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ». P a g e 5 | 26 Jaulent Aurelien
  • 7.  Sélectionner la méthode d’authentification  Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée. P a g e 6 | 26 Jaulent Aurelien
  • 8.  Fin du paramétrage du serveur radius. P a g e 7 | 26 Jaulent Aurelien
  • 9. MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :  Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ». P a g e 8 | 26 Jaulent Aurelien
  • 10.  Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les données entre le serveur Pfsense et le serveur Radius. P a g e 9 | 26 Jaulent Aurelien
  • 11. CONFIGURATION DE PFSENSE : Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base. CONFIGURATION DU POR TAIL CAPTIF : Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes : P a g e 10 | 26 Jaulent Aurelien
  • 12. P a g e 11 | 26 Jaulent Aurelien
  • 13. P a g e 12 | 26 Jaulent Aurelien
  • 14. Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment. Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif. P a g e 13 | 26 Jaulent Aurelien
  • 15. CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR PFSENSE. INSTALLATION DE ADCS :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 14 | 26 Jaulent Aurelien
  • 16.  Sélection de l’autorité de certification. P a g e 15 | 26 Jaulent Aurelien
  • 17.  Selection du type d’architecture.  Sélection du type d’autorité de certification. P a g e 16 | 26 Jaulent Aurelien
  • 18.  Création de la clé.  Configuration du type de chiffrement de la clé. P a g e 17 | 26 Jaulent Aurelien
  • 19.  Laisser le nom du domaine et du serveur de domaine par défaut.  Sélection de la durée de validité du certificat. P a g e 18 | 26 Jaulent Aurelien
  • 20.  Configuration à ne pas modifier de la base de données du certificat.  Récapitulatif de l’action d’installation qui va être effectuée. P a g e 19 | 26 Jaulent Aurelien
  • 21.  Fin de l’installation de ADCS. CREATION DU CERTIFIC AT POUR RADIUS :   Exécuter la console mmc via « démarrer ». Sélection de composant logiciel enfichable P a g e 20 | 26 Jaulent Aurelien
  • 22.  Sélection de « Certificats/Un compte d’ordinateur ».  Sélection « ordinateur local ». P a g e 21 | 26 Jaulent Aurelien
  • 23.  Demande d’un nouveau certificat pour l’authentification radius.  Début de la création du/des certificats. P a g e 22 | 26 Jaulent Aurelien
  • 24.  Sélection de la stratégie d’inscription de certificat par défaut.  Sélection des certificats a créer. P a g e 23 | 26 Jaulent Aurelien
  • 25.  Fin de la création des certificats. P a g e 24 | 26 Jaulent Aurelien
  • 26. MODIFICATION DE LA S TRATEGIE D’AUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS). Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait. P a g e 25 | 26 Jaulent Aurelien
  • 27. Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante. Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée. CONCLUSION PfSense est donc un moyen efficace pour gérer, protéger, l’accès au Wifi d’un lycée agricole. Les différentes options qui nous sont proposées permettent d’intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour l’identification des utilisateurs Active Directory via un serveur Radius. P a g e 26 | 26 Jaulent Aurelien