Scribd
Importer
100 vues8 pages

Portail captif sur le réseau UPB

Ce document décrit les généralités sur les portails captifs, notamment leur définition, leur fonctionnement et quelques exemples de portails captifs libres comme PFsense, ALCASAR, ZeroShell et ChilliSpot.

Transféré par

Bryton Junior
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
100 vues8 pages

Portail captif sur le réseau UPB

Ce document décrit les généralités sur les portails captifs, notamment leur définition, leur fonctionnement et quelques exemples de portails captifs libres comme PFsense, ALCASAR, ZeroShell et ChilliSpot.

Transféré par

Bryton Junior
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Etude et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP

Chapitre III :

GENERALITES SUR LES PORTAILS CAPTIFS

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESIjRéMI2012-2013 Page 21
Etude et mise en place d'un portail captif sur le réseau de l'l/PB : Cas du CNFP

111.1. Définition

Un portail captif est une application qui permet de gérer l'authentification des utilisateurs d'un
réseau local qui souhaitent accéder à un réseau externe (généralement Internet) [2]. Il oblige
les utilisateurs du réseau local à s'authentifier avant d'accéder au réseau externe. Lorsqu'un
utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de
connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son
accès. Cette demande d'authentification se fait via une page web stockée localement sur le
portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un navigateur
web et d'un accès Wifi de se voir proposer un accès à Internet. Au-delà de l'authentification,
les portails captifs permettent d'offrir différentes classes de services et tarifications associées
pour l'accès Internet (Par exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela est
obtenu en interceptant tous les paquets quelles que soient leurs destinations jusqu'à ce que
l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet. Lors de l'établissement de
la connexion, aucune sécurité n'est activée. Cette sécurité ne sera active que lorsque
l'ordinateur connecté tentera d'accéder à Internet avec son navigateur web. Le portail captif
va, dès la première requête HTTP, rediriger le navigateur web afin d'authentifier l'utilisateur,
sans quoi aucune demande ne passera au-delà du serveur captif. Une fois l'utilisateur
authentifié, les règles de firewall le concernant sont modifiées et celui-ci se voit autorisé à
utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée,
l'utilisateur se verra redemander ses identifiants de connexions afin d'ouvrir une nouvelle
sesdon.
Ce système offre donc une sécurité du réseau mis à disposition, il permet de respecter la
politique de filtrage web de l'entreprise grâce à un module proxy et permet aussi grâce à un
firewall intégré d'interdire l'accès aux protocoles souhaités.

111.2. Fonctionnement général des portails captifs

Le fonctionnement type d'un portail captif peut être représenté par la figure III.! [3].

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESI/RéMI2012-2013 Page 22
Etude et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP
-----

web initial'.

Redirection de la requête
- - -

'.
Requête
. ..
d'authentification
,·._·.... . .
'"i,;j,<:I" ,"," -,.;- "" ,,,, • § _l '"' -

• 1 - · - - - -.. - - - - - - - - - - - - - - - - - - - " " " ' ]

. 1 Login/mot de passe. .. ..... i

Redirige la requête vers la


• passerelle pour le couple mac/ip

._ .... """;&0111.... & . Ji ... ,

Figure 111.1 : fonctionnement général d'un portail captif

Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès
sans fil pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les
paramètres de la configuration du réseau. A ce moment-là, le client a juste accès au réseau
lui et la passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau.
Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la
passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESljRéMI2012-2013 Page 23
Etude et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP

grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour
sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors
contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau.
Enfin le système d'authentification indique, plus ou moins directement selon les portails
captifs, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau.
Finalement le client est redirigé vers la page Web qu'il a demandé initialement; le réseau
derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à divers
mécanismes comme une fenêtre pop- up sur le client rafraîchie à intervalles réguliers ou des
requêtes ping vers le client, est en mesure de savoir si l'utilisateur est toujours connecté au
réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va couper l'accès à cet
utilisateur.

Aperçu des principaux portails captifs

Toutes les solutions que nous avons étudiées sont des solutions libres et gratuites ce qui nous
permet de réduire considérablement le coût de leur mise en place.

III.3.! PFsense

PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est d'assurer
les fonctions de pare-feu et de routeur mais l'engouement généré par cet applicatif lui a
perrnis d'étendre ses fonctionnalités et présente maintenant les fonctions de portail captif,
serveur proxy, DHCP ...
Son installation se fait facilement via une distribution dédiée et toutes les configurations
peuvent se faire soit en ligne de commande (SSH) ou via l'interface web (HTTPS). La
sauvegarde et la restauration de configuration est disponible à travers l'interface web et
permet de générer un simple fichier d'une taille raisonnable. Le portail assure une évolution
constante grâce à des mises à jour régulières dont l'installation est gérée automatiquement
dans une partie du panneau d'administration.
Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple
utilisateur / mot de passe.
Une documentation très complète est disponible sur Internet, un support commercial est
désormais présent en cas de gros incident. PFsense dispose aussi d'une communauté très

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESI/RéMI2012-2013 Page 24
Etude et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP

active.
PFsense assure une compatibilité multi-plates-formes, une personnalisation complète des
pagl:s accessibles aux utilisateurs ainsi qu'une simplicité d'utilisation grâce à une page de
connexion succincte où on ne retrouve que deux champs (utilisateur / mot de passe).

111.3.2 ALCASAR

ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau)


est un projet français essentiellement dédié aux fonctions de portail captif. Cet applicatif
s'installe via un script supporté par la distribution Linux Mandriva, les configurations se font
via .me interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement
sur le Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la
création d'un ghost système (fichier système) dans le panneau d'administration, ce qui
engendre tout de même un fichier d'une certaine taille. Les mises à jour régulières assurent la
pérennité de la solution.
L'authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de passe.
Une documentation assez complète est disponible pour l'installation et la configuration et la
communauté est active. Tout comme PFsense, ALCASAR est compatible avec de nombreuses
plates-formes, la personnalisation des pages utilisateurs et la simplicité d'utilisation sont
présentes.

111.3.3 ZeroShell

ZeroShell est une distribution Linux conçue pour mettre en place une sécurité globale au sein
d'un réseau (Pare-Feu, VPN, portail captif... ). Son installation est simple via une distribution
dédiée. Elle présente une interface de gestion web simple d'utilisation qui permet entre autres
de sauvegarder la configuration du portail captif ou encore de personnaliser les pages de
connexion et déconnexion dans un éditeur HTML intégré.
Comme les deux autres solutions la page d'authentification est sécurisée et la connexion se
fait via un couple utilisateur / mot de passe. On retrouve assez peu de documentation pour la
gestion du système mais la communauté à l'air tout de même bien présente. Son utilisation
reste identique aux autres solutions présentées.

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESI/RéMI2012-2013 Page 25
Etud,e et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP

111.3.4 ChilliSpot

ChilliSpot est un applicatif dédié à la gestion de l'authentification sur les réseaux, son
installation est assez simple via un package applicatif disponible sur les distributions Red Hat
et Fedora. La sauvegarde de la configuration est disponible mais elle implique de copier les
fichiers de configuration et donc de les connaître. La page de connexion est disponible en
HTTPS à condition d'avoir configuré le serveur web (Apache) au préalable en écoute sur le
port 443. On retrouve une documentation complète et une communauté assez active, mais le
projet est en régression, la dernière version stable date d'octobre 2006 et le projet est mis en
suspens depuis le départ du développeur principaL L'utilisation est la même que les autres
solutions proposées, page de connexion avec champs utilisateur et mot de passe.

111.4. Comparaison des portails captifs

Dans l'étude comparative des solutions nous avons mIS en évidence plusieurs critères
importants que doivent prendre en compte les différentes solutions:
Sécurité des échanges lors de l'authentification: pour éviter la récupération de mot
de passe sur le réseau ;
Présence d'une documentation complète: pour assurer la rapidité de mise en place
de la solution;
Simplicité d'administration: pour permettre à différentes personnes d'administrer le
logiciel;
Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou non) de
se connecter au réseau Wi-Fi ou filaire;
Compatibilité multiplate-formes : pour permettre la conneXIOn depuis les
Smartphones, différents navigateurs web et différents systèm50.d'exploitation.
Présence de sauvegarde et restauration de configuration : pour permettre un
redémarrage du système très rapidement en cas de problèmes;
Pérennité de la solution : pour pallier les failles de sécurité et augmenter les
fonctionnalités de la solution via des mises à jour ;
Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la
charte graphique de l'entreprise et ainsi le rendre plus conviviaL
Le tableau IlL 1 fait un récapitulatif des critères de comparaison.

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESIfRéMI2012-2013 Page 26
Etude et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP - -

[Link] 111.1 : Comparaisons des différentes solutions de portail captif

Critères Solutions

PFsense ALCASAR ZeroShell ChilliSpot

Sécurité HTTPS HTTPS HTTPS HTTPS


Authentification
-
Documentation 10 C V
Plates-formes Clientes Toutes Toutes Toutes Toutes
Supportées

Personnalisation fi 0 iL,; (J
Facilité d'administration Installation Installation Installation via Installation via
Via via script distribution .rpm sur Red
distribution automatisé dédiée Hat et Fedora
dédiée

"e 0
Facilité d'Utilisation 0 0
et
"
Sauvegarde/Restauration ."

Copriguration

Pérennité de la solution (1)


" '-.;1'

Légende:

Disponibilité élevée

Moyennement disponible

• Moins disponible

111.5. Choix d'une solution de portail captif

Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer, l'étude
théorique permet de retenir les deux premières solutions à savoir PFsense et ALCASAR car
elles répondent toutes deux à nos besoins: solutions libres, peuvent s'installer sur un serveur
comme sur un poste de travail, authentification des utilisateurs par login et mot de passe,
de la bande passante, facilité d'administration, d'installation et de configuration,
facilité d'utilisation, documentation très détaillée et disponible, disponibilité de mises à jour,

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESI/RéMI2012-2013 Page 27
Etude et mise en place d'un portail captif sur le réseau de l'UPB : Cas du CNFP

etc.
Les deux solutions répondent tout à fait au cas étudié mais ALCASAR s'installe uniquement
via une distribution Mandriva. Aussi ALCASAR s'installe via un script automatisé, par
contre PFsense s'installe via une distribution dédiée ; ce qui rend impératif le choix de
PFsense. De plus PFsense présente une interface plus conviviale et une page principale en
tableau de bord où l'on retrouve toutes les informations essentielles et que l'on peut modifier
en fonction des besoins. Ce produit présente aussi une plus grande assurance car la
communauté des utilisateurs est très active.

Rapport de fin de cycle réalisé par Salifou KONANE & Zakaria KINDA ESIjRéMI2012-2013 Page 28

Vous aimerez peut-être aussi