crtpwifi pfsense

TP : Mise en place d’un portail captif. CARATY Laurent / MARTINAU Damien ASR 3/2

- 1 -

Mise en place d’un portail captif

Partie 1. Emplacement géographique.

1 - Calcul de la distance entre le point d’accès et l’extrémité de la pièce. Puisque la zone WiFi privilégié se termine avant cette extrémité nous obtiendrons une marge d’erreur.

2 – Calcul de la perte par la propagation pour la distance D = 10M.

Zone WiFi Privilégié

8.6M

Environ 5.5M

Point d’accès

Client Bout de pièce

Utilisation de Pythagore ^^. D² = 8.6² + 5.5² La distance du point d’accès au bout de la pièce est d’environ 10 M.


- 2 -

Matériel d’émission : Netgear WG102 (121.89€) Choisi pour son faible cout, et pour sont option d’alimentation par Ethenet PoE ( - cher a l’installation).

-compatible IEEE 802.11g, (2.4 GHz) -alimentation par Ethernet (PoE) norme IEEE 802.3af -Le support WPA et 802.1x autorise une authentification mutuelle sûre, permettant de garantir que seuls les clients légitimes se connectent aux serveurs d'entreprise RADIUS. -Manageable par protocole SNMP MIB I, MIB II, et 802.11 MIB - Supporte les protocoles d'authentification de port 802.1x les plus répandus, y compris EAP, TLS, PEAP et TTLS.

- sensibilité en réception classique -75 dBm (Rx) à 54 Mbps - puissance d'émission (Tx) de 19 dBm

Longueur d’onde λ = (3 * 10^8) / 2.4Ghz

λ = 0.12248 M

Perte de propagation = 20 * log ( (4 * л* 10) / 0.12248 ) Perte de propagation = 6 dB.


- 3 -

Antenne Patch (28€) Choisi puisque le point d’accès se trouvera dans un coin de mur, il vos mieux donc emmètre des ondes que d’un coté de l’antenne, d’où le choix d’une antenne directive type Patch.

Gain d’émission (point d’accès): Addition du gain de l’émetteur 19dB + gain de l’antenne 6dB – perte dans le câble 1dB – perte dans le connecteur 1dB. (La perte dans le câble et dans le connecteur n’étant pas renseigné nous avons pris le pire des cas pour chacun (1dB) , donc une marge supplémentaire). Total = 23dB Gain de réception (point d’accès): Addition du gain du récepteur -75dB + gain de l’antenne 6dB – perte dans le câble 1dB – perte dans le connecteur 1dB. Total = -79dB Prix total du point d’accès : 149.89€.

- Fréquence : 2.4 ~ 2.5 GHz

- Gain: 6dBi à 2.45GHz

- Câble : 1M

- Polarisation : Linéaire et verticale

- Connecteur : RP SMA


- 4 -

Matériel de réception : Le cahier des charges nous indique une carte wifi type CMCIA Cisco Aironet. Modèle choisi : Cisco Aironet AIR-CB21AG.

Tableau récapitulatif et bilan radio.

Conclusion sur le matériel et l’emplacement géographique : D’après l’emplacement choisi ainsi que l’équipement, la liaison WiFi sera de bonne qualité puisque nous restons dans la tolérance des 6dB théorique pour avoir un système opérationnel.

Puissances

Point d’accès, émission

Point d’accès, réception

Client réception

Client émission

23dB

-79dB

-72dB

20 dB

Perte de propagation

6dB pour 10 mètres

Total

17dB

73dB

66dB

14dB

Respect tolérances

54mbps OK

54mbps OK

54mbps OK

54mbps OK

- Network Standard IEEE 802.11a/b/g

- Gain d’ emission a 54mbps 20 dBm

- Sensibilité de réception a 54mbps -72 dBm


- 5 -

Nous avons pris des marges de tolérance sur : - La distance - Et la qualité médiocre du câble et des connecteurs

Cependant nous n’avons pas pris en compte :

- Les obstacles potentiels aux ondes (personnes dans la pièce). - Le bruit dans l’environnement.

Mais si l’on considère que les marges que l’on a accordés sont supérieures ou égale aux paramètres non pris en compte le réseau wifi sera opérationnel a 54mbps, sinon moins mais toujours possible.


- 6 -

Partie 2. Configuration matériel. Choix du matériel (serveurs): Nous avons choisi de travailler avec le matériel proposé à savoir :

- Pour le portail captif, un serveur Pfsense car il s’agit d’une solution relativement complète, facile a mètre en place, configuration simple par interface web pour le futur administrateur et gratuite.

- Pour la gestion d’accès, bien que Pf sense fasse office de serveur radius, nous avons

décidé de gérer les droits d’accès sur une autre machine afin de ne pas tout centraliser. Nous avons opté pour un serveur 2003. Le système est payant mais puisqu’il est doté d’une interface graphique nous avons trouvé que ça serai plus simple a géré pour le futur administrateur qu’une configuration sur un système Linux ou il faut d’avantage de connaissance quand a la manipulation de fichiers de configuration.

Topographie utilisée :


- 7 -

Configuration du matériel : Configuration des principaux paramètres de Pfsense :

La première étape dans Pfsense fut de configurer l’adressage IP. Pour cela nous agissons sur l’interface ligne de commande. Nous avons choisi comme adresse ip de notre réseau 192.168.51.1/24 et pour l’adresse Wan nous avons récupéré une adresse délivrée par le serveur DHCP que nous avons mis par la suite en dur.

Les connexions réseau correctement établies nous pouvons passer a la configuration du portail captif proprement dite, c'est-à-dire que nous utiliserons l’interface de configuration web de Pfsense a partir d’un pc connecté au Lan dont voici un exemple d’affichage :

Tests : A partir de l’interface ligne de com : - ping de la passerelle (192.168.1.1) - ping du serveur DNS (192.168.1.254) - ping www.google.fr - ping sur les clients de notre réseau Lan

192.168.51.1 192.168.1.70


- 8 -

Système Général Setup :

- @ip rentré dans le

navigateur : 192.168.51.1 (Pfsense).

- Login : admin - Pwd : pfsense


- 9 -

Config :

- Hostname : Pfsense - Domain : DMLC - DNS server : 192.198.1.254 Décocher la case « Allow DNS… » afin que les clients

utilisent pfsense comme DNS. - Activation du SSL pour pour de sécurité afin d’obtenir les pages de config en HTTPS

(nous utilisons le port par défaut 443) Interfaces : Ce menu nous permet la configuration des interfaces (elles sont déjà configuré puisque nous l’avons fait en ligne de com. Services DNS Forwarder :

Activez ensuite l'option Enable DNS forwarder. Cette option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients. Services DHCP server : Pfsense peut faire serveur DHCP ce qui n’est pas une option négligeable étant donné qu’il va être implanté dans une structure ou les clients serons mobile. Et cela nous permettra d’envoyer au clients toutes les info indispensables pour établir la connexion (DNS/Passerelle..).

- Enable DHCP server

- Plage d’adresse nous avons choisi 192.168.51.10 a 192.168.51.15

- DNS 192.168.1.254

- Gateway 192.168.1.1


- 10 -

Captive portail :

Il faut bien entendu activer l’option « enbable », nous avons dans un premier temps laisser les paramètres de time out par défaut, une modification de ces paramètres serai plus judicieux une fois le système mis en place afin de juger des réels problèmes. Méthode d’authentification : Nous avons donc opté pour une authentification par rapport a l’active directory de notre serveur 2003.

Test : Nous mettons dans un premier temps un client en mode d’adressage dynamique pour verrifier que le service DHCP de pfsense fonctionne et nous délivre bien des adresses correcte.


- 11 -

Radius Authentifiaction : Enabled

IP address : 192.168.51.2 (notre 2003 serveur) Shared secret : secret

Génération des certificats SSL pour le HTTPS :

!!! Ne pas oublié de les copier sur la page : webGUI SSL certificate key !!!


- 12 -

Pourquoi ? Lors de la connexion au wifi les clients devrons saisir login et mdp sur une page web, il est donc judicieux que lorsque les informations saisies dans les champs serons envoyés au serveur, elles soient cryptés. Config radius coté Pfsense : System General setup :

- Hostname : pfsense - Domain : DMLC - DNS servers :

192.168.1.254 - Décocher Allow

DNS

Option de Sécurité

Puis Option intéressante, la ré-authentification de l’utilisateur toutes les minutes. Nous avons choisi cette option car elle évite le « Man In The Middle ». En effet si un pirate pas gentil venait à s’interposer entre 2 stations alors le laps de temps que pourrait jouir le méchant pirate serait au maximum égal à la prochaine authentification (Une minute), donc seules les 2 stations connaissent le secret partagé+ MdP crypté (le login ne l’est pas…) =>attaque finie.

Source : Web d’un projet tutoré


- 13 -

Config radius coté 2003 serveur :

Activation de radius : Dans : Demarrer / Panneau de conf / Ajout suppr de programmes / Ajouter ou supprimer des composant de windows / Services de mise en réseau. Cocher Service d’authentification internet.

Créer un compte dans l’active directory : 1 - Démarrer | Outils d’administration | Utilisateurs et ordinateurs Active Directory 2 – Dans le dossier Users : clique droit et nouvel utilisateur 3 – Editer les propriétés du compte pour autoriser l’accès distant.

On suppose une configuration 2003 serveur : DNS installé avec comme nom : DMLC Active directory installé sur ce domaine (DMLC) !!!ATTENTION !!! ce serveur deviendra le serveur DNS de Pfsense.


- 14 -

Création d’un groupe de sécurité globale dans l’active directory : 1 – Démarrer / Outils d’administration / Utilisateurs et ordinateurs Active Directory 2 - Dossier Users : clidroit puis nouveau groupe.

Création d’un groupe PfsenseInternetUsers puis on ajoute l’utilisateur précédemment créer a ce groupe.


- 15 -

Ajouter Pfsense dans le notre serveur DNS ( 2003 serveur) : 1 – Démarrer / programme / outils d’administration / DNS 2 – Renseigner le service authentification dans l’active directory

Dans DMLC.com créer un nouvel hote A.

Hostname de pfsense

Domaine de ratachement : DMLC.com

@ip psfsense : 192.168.51.1

A cocher pour activer la résolution de noms


- 16 -

Paramétrer le service IAS : Dans service d’authentification Internet on ajoute un client radius.

Rappel des paramètres de pfsense : hostname = pfsense | @ip = 192.168.51.1 | secret = secret


- 17 -

Ajout d’une nouvelle stratégie définissant les paramètres du système radius.

Le NAS identifier correspond au serveur pfsense puisque c’est lui qui reçoit la requête d’authentification. Donc on indiquera pfsense.DMLC.com


- 18 -

Puis l’on configure pas quel moyen les infos sont transmises. Dans notre cas : de l’Ethernet.

On ajoute notre groupe qui sera identifié par notre mode radius. Pour rappel : PFSenseInternetUsers.


- 19 -

On autorise l’accès distant puis dans la fenêtre suivante l’option propriété | authentification est ici PAP, CHAP Fenêtre finale :

Configuration de la borne WiFi (point d’acces). Le point d’accès ne nécessite pas d’action particulière mis à part, configurer l’adressage pour le réseau ainsi qu’un nom SSID, dans notre cas : DMLC En effet les requêtes de connexion seront interceptées par pfsense.


- 20 -

Test : Un client wifi se connecte a notre point d’accès, s’il ouvre son navigateur il obtient la page suivante, c’est le portail de connexion qui lui donnera le droit d’accéder au web. Notez que nous somme bien en Https.

Après authentification nous pouvons accéder au web. Je rappel qu’il faut utiliser le login de l’utilisateur créer dans l’active directory de win 2003 serveur, auquel nous avons ajouté a un groupe de sécurité qui lui-même a des règles radius en rapport avec le serveur Pfsense.


- 21 -

Règles de firewall Pfsense : Pfsense peu aussi faire office de FireWall au niveau de l’onglet Firewall /rules. Pour se conformé au cahier des charge nous ne laissons ouvert que les ports suivant.

Log de connexions : Pour obtenir les logs de connexion il s’agit d’installer un proxy. Or une solution est possible sur le serveur pfsense, en effet il s’agit d’un système Unix. On peut donc installer un proxy transparent plutôt connu qui est « squid » , commande apt-get install squid. Chaque pas visité sera donc filtré par squid et également écrite dans les logs. Ces logs se trouvent dans /var/log/squid

HTTP

HTTPS

FTP

80

443

20 & 21


- 22 -

Partie 3. Rapport du Projet. Ce projet a été basé sur le fait qu’il existait déjà un réseau informatique dans la bibliothèque par accord oral avec Mr Dellelis. Cependant nous n’avons aucun rapport sur l’existant. Nous sommes donc partis sur les bases suivantes :

- Câblage Ethernet déjà établi. - Commutateur Ethernet déjà présent avec des ports de libres. - Accès a internet déjà routé. - Pas de serveur de type active directory ou LDAP. - Adressage classique sans Vlan.

La solution apporté pour être en conformité avec le cahier des charges et le matériel mis a disposition (voir annexe1) est donc un portail captif basé sur un serveur Pfsense avec une authentification radius en lien avec l’active directory d’un Windows serveur 2003. La faisabilité est tout à fait possible puisque nous l’avons effectué et testé. La configuration totale et opérationnelle, tests compris, est de l’ordre de la demi-journée. Le cout a été mesuré de 2 manières. Cas n°1 : On ne considère pas qu’il faille acheter de nouvelles machines pour les serveurs Pfsense et serveur 2003. Cas n°2 : On considère qu’il faille acheter du matériel pour les serveurs Pfsense et 2003 serveur. Dans ce cas nous fixons le prix de la machine à 478€ qui correspond au Dell inspiron 530 qui a des performances suffisantes pour un petit réseau.

Ne sont pas prix en compte les frais de prestation de mise en place du système et de couts supplémentaires type cordons de brassage.

Système WiFi Point d’accès + Antenne

Système de portail captif Serveur Pfsense (système)

2003 Serveur

Serveur Pfsense (hardware)

2003 Serveur (hardware)

Cas n°1 Cas n°2

149.89 149.89

libre libre

478

1339 1339

478

Cout Total TTC en € 1488.89 2444.89


- 23 -

Inconvénient du projet : Le cout élevé pour une association essentiellement du a la licence de 2003 serveur. Avantage : Système de portail sécurisé via le contrôle d’accès radius, en relation avec un active directory. Système de Login pour le client ergonomique via une page web généré par Pfsence. Administration de Pfsence également ergonomique via une interface web. Administration de l’active directory, et radius plus simple sous Windows 2003 serveur. L’amélioration sur système de connexion peu être amélioré par des options a activés du type :

- Time Out de connexion. - Ne pas autoriser de sessions multiple (afin d’avoir un accès, pour une personne). - Proxy qui empêcherait l’affichage de certaines pages type Porno et illégal

(intervention dans squid, rajouter des règles de filtrage).

Cahier des charges :

- L’utilisation du portail captif Pfsense est indispensable. - Les utilisateurs doivent pouvoir se connecter avec leur compte de bibliothèque

(Active Directory). - Les authentifications utilisateurs et de l’administrateur doit être sécurisées. - Du fait de la responsabilité de la bibliothèque, une gestion des sites consultés

doit être faite. - Les clients ne pourront accéder qu’au web. - Le budget est assez restreint pour cette bibliothèque, car elle fait partie d’une

association. Equipement mis à disposition :

- Un serveur Pfsense. - Un commutateur Ethernet de niveau 2. - Une connexion internet. - Possibilité d’avoir un serveur Debian et un serveur 2003. - Un point d’accès. - Un client WiFi

Annexe 1 Cahier des charges et matériel mis a dispo

crtpwifi pfsense

Documents