TP : Mise en place d’un portail captif.

CARATY Laurent / MARTINAU Damien ASR 3/2

Mise en place d’un portail captif
Partie 1. Emplacement géographique.

8.6M Bout de pièce

Client

Zone WiFi Privilégié

Environ 5.5M

Point d’accès

1 - Calcul de la distance entre le point d’accès et l’extrémité de la pièce. Puisque la zone WiFi privilégié se termine avant cette extrémité nous obtiendrons une marge d’erreur. Utilisation de Pythagore ^^. D² = 8.6² + 5.5² La distance du point d’accès au bout de la pièce est d’environ 10 M.

2 – Calcul de la perte par la propagation pour la distance D = 10M.

-1-

TP : Mise en place d’un portail captif. CARATY Laurent / MARTINAU Damien Longueur d’onde λ = (3 * 10^8) / 2.4Ghz λ = 0.12248 M ASR 3/2

Perte de propagation = 20 * log ( (4 * л* 10) / 0.12248 ) Perte de propagation = 6 dB.

Matériel d’émission :

Netgear WG102 (121.89€) Choisi pour son faible cout, et pour sont option d’alimentation par Ethenet PoE ( - cher a l’installation).
-compatible IEEE 802.11g, (2.4 GHz) -alimentation par Ethernet (PoE) norme IEEE 802.3af -Le support WPA et 802.1x autorise une authentification mutuelle sûre, permettant de garantir que seuls les clients légitimes se connectent aux serveurs d'entreprise RADIUS. -Manageable par protocole SNMP MIB I, MIB II, et 802.11 MIB - Supporte les protocoles d'authentification de port 802.1x les plus répandus, y compris EAP, TLS, PEAP et TTLS.

-

sensibilité en réception classique -75 dBm (Rx) à 54 Mbps puissance d'émission (Tx) de 19 dBm

-2-

Total = 23dB Gain de réception (point d’accès): Addition du gain du récepteur -75dB + gain de l’antenne 6dB – perte dans le câble 1dB – perte dans le connecteur 1dB. donc une marge supplémentaire).4 ~ 2. d’où le choix d’une antenne directive type Patch. Total = -79dB Prix total du point d’accès : 149. -3- . il vos mieux donc emmètre des ondes que d’un coté de l’antenne. (La perte dans le câble et dans le connecteur n’étant pas renseigné nous avons pris le pire des cas pour chacun (1dB) . CARATY Laurent / MARTINAU Damien ASR 3/2 Antenne Patch (28€) Choisi puisque le point d’accès se trouvera dans un coin de mur.5 GHz Gain: 6dBi à 2.45GHz Câble : 1M Polarisation : Linéaire et verticale Connecteur : RP SMA Gain d’émission (point d’accès): Addition du gain de l’émetteur 19dB + gain de l’antenne 6dB – perte dans le câble 1dB – perte dans le connecteur 1dB. Fréquence : 2.89€.TP : Mise en place d’un portail captif.

Modèle choisi : Cisco Aironet AIR-CB21AG. -4- . émission Point d’accès. réception Client réception Client émission 23dB -79dB 6dB pour 10 mètres -72dB 20 dB 66dB 14dB 54mbps OK 54mbps OK Perte de propagation Total 17dB 73dB Respect tolérances 54mbps OK 54mbps OK Conclusion sur le matériel et l’emplacement géographique : D’après l’emplacement choisi ainsi que l’équipement. CARATY Laurent / MARTINAU Damien ASR 3/2 Matériel de réception : Le cahier des charges nous indique une carte wifi type CMCIA Cisco Aironet.11a/b/g Gain d’ emission a 54mbps 20 dBm Sensibilité de réception a 54mbps -72 dBm Tableau récapitulatif et bilan radio. Puissances Point d’accès. Network Standard IEEE 802.TP : Mise en place d’un portail captif. la liaison WiFi sera de bonne qualité puisque nous restons dans la tolérance des 6dB théorique pour avoir un système opérationnel.

Les obstacles potentiels aux ondes (personnes dans la pièce).Et la qualité médiocre du câble et des connecteurs Cependant nous n’avons pas pris en compte : .TP : Mise en place d’un portail captif. ASR 3/2 -5- . CARATY Laurent / MARTINAU Damien Nous avons pris des marges de tolérance sur : . .Le bruit dans l’environnement. Mais si l’on considère que les marges que l’on a accordés sont supérieures ou égale aux paramètres non pris en compte le réseau wifi sera opérationnel a 54mbps. sinon moins mais toujours possible.La distance .

Pour la gestion d’accès. facile a mètre en place. bien que Pf sense fasse office de serveur radius. configuration simple par interface web pour le futur administrateur et gratuite. Configuration matériel. Nous avons opté pour un serveur 2003. un serveur Pfsense car il s’agit d’une solution relativement complète. Choix du matériel (serveurs): Nous avons choisi de travailler avec le matériel proposé à savoir : Pour le portail captif. nous avons décidé de gérer les droits d’accès sur une autre machine afin de ne pas tout centraliser.TP : Mise en place d’un portail captif. Le système est payant mais puisqu’il est doté d’une interface graphique nous avons trouvé que ça serai plus simple a géré pour le futur administrateur qu’une configuration sur un système Linux ou il faut d’avantage de connaissance quand a la manipulation de fichiers de configuration. - Topographie utilisée : -6- . CARATY Laurent / MARTINAU Damien ASR 3/2 Partie 2.

1 192.168.ping du serveur DNS (192. Pour cela nous agissons sur l’interface ligne de commande.ping de la passerelle (192.168. Nous avons choisi comme adresse ip de notre réseau 192.TP : Mise en place d’un portail captif.1) .168.google.1.ping sur les clients de notre réseau Lan Les connexions réseau correctement établies nous pouvons passer a la configuration du portail captif proprement dite. CARATY Laurent / MARTINAU Damien ASR 3/2 Configuration du matériel : Configuration des principaux paramètres de Pfsense : 192.70 La première étape dans Pfsense fut de configurer l’adressage IP.1.168.1/24 et pour l’adresse Wan nous avons récupéré une adresse délivrée par le serveur DHCP que nous avons mis par la suite en dur. Tests : A partir de l’interface ligne de com : .51.51.254) .1. c'est-à-dire que nous utiliserons l’interface de configuration web de Pfsense a partir d’un pc connecté au Lan dont voici un exemple d’affichage : -7- .fr .168.ping www.

TP : Mise en place d’un portail captif.168.51.1 (Pfsense). Login : admin Pwd : pfsense - Système Général Setup : -8- . CARATY Laurent / MARTINAU Damien ASR 3/2 - @ip rentré dans le navigateur : 192.

168.TP : Mise en place d’un portail captif. - - Enable DHCP server Plage d’adresse nous avons choisi 192. CARATY Laurent / MARTINAU Damien Config : Hostname : Pfsense Domain : DMLC DNS server : 192.. Activation du SSL pour pour de sécurité afin d’obtenir les pages de config en HTTPS (nous utilisons le port par défaut 443) ASR 3/2 Interfaces : Ce menu nous permet la configuration des interfaces (elles sont déjà configuré puisque nous l’avons fait en ligne de com.1. Services DNS Forwarder : Activez ensuite l'option Enable DNS forwarder.1 -9- .1.254 Décocher la case « Allow DNS… » afin que les clients utilisent pfsense comme DNS.254 Gateway 192. Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients.168.15 DNS 192.168.51. Services DHCP server : Pfsense peut faire serveur DHCP ce qui n’est pas une option négligeable étant donné qu’il va être implanté dans une structure ou les clients serons mobile.198.51.168.1.). Et cela nous permettra d’envoyer au clients toutes les info indispensables pour établir la connexion (DNS/Passerelle.10 a 192.

une modification de ces paramètres serai plus judicieux une fois le système mis en place afin de juger des réels problèmes. nous avons dans un premier temps laisser les paramètres de time out par défaut. Méthode d’authentification : Nous avons donc opté pour une authentification par rapport a l’active directory de notre serveur 2003. CARATY Laurent / MARTINAU Damien ASR 3/2 Test : Nous mettons dans un premier temps un client en mode d’adressage dynamique pour verrifier que le service DHCP de pfsense fonctionne et nous délivre bien des adresses correcte. Captive portail : Il faut bien entendu activer l’option « enbable ».10 - .TP : Mise en place d’un portail captif. .

CARATY Laurent / MARTINAU Damien ASR 3/2 Radius Authentifiaction : Enabled IP address : 192.51.TP : Mise en place d’un portail captif.11 - .2 (notre 2003 serveur) Shared secret : secret Génération des certificats SSL pour le HTTPS : !!! Ne pas oublié de les copier sur la page : webGUI SSL certificate key !!! .168.

12 - . il est donc judicieux que lorsque les informations saisies dans les champs serons envoyés au serveur. Config radius coté Pfsense : System General setup : - Hostname : pfsense Domain : DMLC DNS servers : 192. la ré-authentification de l’utilisateur toutes les minutes. Nous avons choisi cette option car elle évite le « Man In The Middle ».254 Décocher Allow DNS Option de Sécurité Puis Option intéressante. En effet si un pirate pas gentil venait à s’interposer entre 2 stations alors le laps de temps que pourrait jouir le méchant pirate serait au maximum égal à la prochaine authentification (Une minute). CARATY Laurent / MARTINAU Damien ASR 3/2 Pourquoi ? Lors de la connexion au wifi les clients devrons saisir login et mdp sur une page web. donc seules les 2 stations connaissent le secret partagé+ MdP crypté (le login ne l’est pas…) =>attaque finie.168. elles soient cryptés.1.TP : Mise en place d’un portail captif. Source : Web d’un projet tutoré .

Cocher Service d’authentification internet. .13 - . Créer un compte dans l’active directory : 1 . CARATY Laurent / MARTINAU Damien ASR 3/2 Config radius coté 2003 serveur : On suppose une configuration 2003 serveur : DNS installé avec comme nom : DMLC Active directory installé sur ce domaine (DMLC) !!!ATTENTION !!! ce serveur deviendra le serveur DNS de Pfsense.Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory 2 – Dans le dossier Users : clique droit et nouvel utilisateur 3 – Editer les propriétés du compte pour autoriser l’accès distant.TP : Mise en place d’un portail captif. Activation de radius : Dans : Demarrer / Panneau de conf / Ajout suppr de programmes / Ajouter ou supprimer des composant de windows / Services de mise en réseau.

. Création d’un groupe PfsenseInternetUsers puis on ajoute l’utilisateur précédemment créer a ce groupe.TP : Mise en place d’un portail captif.14 - . CARATY Laurent / MARTINAU Damien ASR 3/2 Création d’un groupe de sécurité globale dans l’active directory : 1 – Démarrer / Outils d’administration / Utilisateurs et ordinateurs Active Directory 2 .Dossier Users : clidroit puis nouveau groupe.

15 - . CARATY Laurent / MARTINAU Damien Ajouter Pfsense dans le notre serveur DNS ( 2003 serveur) : 1 – Démarrer / programme / outils d’administration / DNS 2 – Renseigner le service authentification dans l’active directory ASR 3/2 Dans DMLC.com créer un nouvel hote A.com @ip psfsense : 192.TP : Mise en place d’un portail captif.168. Hostname de pfsense Domaine de ratachement : DMLC.1 A cocher pour activer la résolution de noms .51.

168.16 - .51.1 | secret = secret . ASR 3/2 Rappel des paramètres de pfsense : hostname = pfsense | @ip = 192.TP : Mise en place d’un portail captif. CARATY Laurent / MARTINAU Damien Paramétrer le service IAS : Dans service d’authentification Internet on ajoute un client radius.

TP : Mise en place d’un portail captif.com . Donc on indiquera pfsense.17 - . CARATY Laurent / MARTINAU Damien Ajout d’une nouvelle stratégie définissant les paramètres du système radius. ASR 3/2 Le NAS identifier correspond au serveur pfsense puisque c’est lui qui reçoit la requête d’authentification.DMLC.

Pour rappel : PFSenseInternetUsers.TP : Mise en place d’un portail captif.18 - . . Dans notre cas : de l’Ethernet. CARATY Laurent / MARTINAU Damien ASR 3/2 Puis l’on configure pas quel moyen les infos sont transmises. On ajoute notre groupe qui sera identifié par notre mode radius.

CHAP Fenêtre finale : Configuration de la borne WiFi (point d’acces).TP : Mise en place d’un portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2 On autorise l’accès distant puis dans la fenêtre suivante l’option propriété | authentification est ici PAP. .19 - . configurer l’adressage pour le réseau ainsi qu’un nom SSID. Le point d’accès ne nécessite pas d’action particulière mis à part. dans notre cas : DMLC En effet les requêtes de connexion seront interceptées par pfsense.

Je rappel qu’il faut utiliser le login de l’utilisateur créer dans l’active directory de win 2003 serveur. s’il ouvre son navigateur il obtient la page suivante.TP : Mise en place d’un portail captif. ASR 3/2 Après authentification nous pouvons accéder au web.20 - . CARATY Laurent / MARTINAU Damien Test : Un client wifi se connecte a notre point d’accès. Notez que nous somme bien en Https. . auquel nous avons ajouté a un groupe de sécurité qui lui-même a des règles radius en rapport avec le serveur Pfsense. c’est le portail de connexion qui lui donnera le droit d’accéder au web.

Pour se conformé au cahier des charge nous ne laissons ouvert que les ports suivant. HTTP HTTPS FTP 80 443 20 & 21 Log de connexions : Pour obtenir les logs de connexion il s’agit d’installer un proxy. en effet il s’agit d’un système Unix. Ces logs se trouvent dans /var/log/squid . commande apt-get install squid. CARATY Laurent / MARTINAU Damien ASR 3/2 Règles de firewall Pfsense : Pfsense peu aussi faire office de FireWall au niveau de l’onglet Firewall /rules.21 - .TP : Mise en place d’un portail captif. Chaque pas visité sera donc filtré par squid et également écrite dans les logs. On peut donc installer un proxy transparent plutôt connu qui est « squid » . Or une solution est possible sur le serveur pfsense.

89 libre 2003 Serveur 2003 Serveur (hardware) 1339 1339 478 Cout Total TTC en € 1488. est de l’ordre de la demi-journée. Rapport du Projet. Ce projet a été basé sur le fait qu’il existait déjà un réseau informatique dans la bibliothèque par accord oral avec Mr Dellelis. . Nous sommes donc partis sur les bases suivantes : Câblage Ethernet déjà établi.22 - .89 2444. Pas de serveur de type active directory ou LDAP.89 libre 478 149. Le cout a été mesuré de 2 manières. Cas n°1 : On ne considère pas qu’il faille acheter de nouvelles machines pour les serveurs Pfsense et serveur 2003. Cependant nous n’avons aucun rapport sur l’existant. La faisabilité est tout à fait possible puisque nous l’avons effectué et testé.89 Ne sont pas prix en compte les frais de prestation de mise en place du système et de couts supplémentaires type cordons de brassage. Cas n°2 : On considère qu’il faille acheter du matériel pour les serveurs Pfsense et 2003 serveur.TP : Mise en place d’un portail captif. Adressage classique sans Vlan. La configuration totale et opérationnelle. tests compris. Cas n°1 Système WiFi Système de portail captif Point d’accès + Antenne Serveur Pfsense (système) Serveur Pfsense (hardware) Cas n°2 149. Commutateur Ethernet déjà présent avec des ports de libres. Accès a internet déjà routé. Dans ce cas nous fixons le prix de la machine à 478€ qui correspond au Dell inspiron 530 qui a des performances suffisantes pour un petit réseau. CARATY Laurent / MARTINAU Damien ASR 3/2 Partie 3. La solution apporté pour être en conformité avec le cahier des charges et le matériel mis a disposition (voir annexe1) est donc un portail captif basé sur un serveur Pfsense avec une authentification radius en lien avec l’active directory d’un Windows serveur 2003.

Ne pas autoriser de sessions multiple (afin d’avoir un accès.Time Out de connexion. Les clients ne pourront accéder qu’au web.TP : Mise en place d’un portail captif. Les utilisateurs doivent pouvoir se connecter avec leur compte de bibliothèque (Active Directory). et radius plus simple sous Windows 2003 serveur. pour une personne). CARATY Laurent / MARTINAU Damien ASR 3/2 Inconvénient du projet : Le cout élevé pour une association essentiellement du a la licence de 2003 serveur. Du fait de la responsabilité de la bibliothèque. Une connexion internet. Système de Login pour le client ergonomique via une page web généré par Pfsence. Administration de l’active directory. Possibilité d’avoir un serveur Debian et un serveur 2003. . Avantage : Système de portail sécurisé via le contrôle d’accès radius. Les authentifications utilisateurs et de l’administrateur doit être sécurisées. L’amélioration sur système de connexion peu être amélioré par des options a activés du type : . Un point d’accès. rajouter des règles de filtrage). Administration de Pfsence également ergonomique via une interface web. Equipement mis à disposition : Un serveur Pfsense. Un commutateur Ethernet de niveau 2.23 - . . Le budget est assez restreint pour cette bibliothèque. Un client WiFi . Annexe 1 Cahier des charges et matériel mis a dispo Cahier des charges : L’utilisation du portail captif Pfsense est indispensable.Proxy qui empêcherait l’affichage de certaines pages type Porno et illégal (intervention dans squid. car elle fait partie d’une association. une gestion des sites consultés doit être faite. en relation avec un active directory.

Sign up to vote on this title
UsefulNot useful