Download - Doc portail-captif-pfsense
P a g e 1 | 26
Jaulent Aurelien
TABLE DES MATIERES
Contexte : ............................................................................................................................................................................................ 2
Introduction : ...................................................................................................................................................................................... 2
Prérequis réseau : ............................................................................................................................................................................... 2
Choix de configuration : ...................................................................................................................................................................... 2
Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3
Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3
Installation de Radius (Windows server 2008) : ............................................................................................................................. 3
Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8
Configuration de Pfsense : ................................................................................................................................................................ 10
Configuration du portail captif : ................................................................................................................................................... 10
Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14
Installation de ADCS : ................................................................................................................................................................... 14
Création du certificat pour Radius : .............................................................................................................................................. 20
Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25
Conclusion ......................................................................................................................................................................................... 26
P a g e 2 | 26
Jaulent Aurelien
CONTEXTE :
Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet.
L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits.
INTRODUCTION :
La problématique rencontrée dans les lycées agricole est la sécurisation du point d’accès sans fils ainsi que la difficulté pour
l’administrateur à gérer tous les utilisateurs qui souhaite s’y connecter.
La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification et le temps de chaque utilisateur,
De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web
d’authentification
PREREQUIS RESEAU :
Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une
configuration spécifique. Il sera configuré de la manière suivante :
Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de
l’établissement.
Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi
Interface Wan : En mode static, directement connecté sur internet
Ensuite vient la méthode d'authentification au portail captif.
3 possibilités s'offrent à nous :
Sans authentification, les clients sont libres
Via la base locale
Via un serveur RADIUS
Via un code voucher
CHOIX DE CONFIGURATION :
Une méthode d’authentification a été retenue, via un serveur radius.
La méthode d’authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient
pas de compte dans le domaine administratif ou pédagogique.
Attention : Par défaut un seul choix d’authentification via le portail captif est possible.
P a g e 3 | 26
Jaulent Aurelien
CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 :
CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :
Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et
ordinateurs Active Directory ».
Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ».
Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ».
Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ».
Refaire un clic droit et nouveau. Sélectionner « Utilisateur ».
Saisir les configurations qui correspondront à l’utilisateur qui va être créé.
Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ».
Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et
valider.
Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est
« pfsense ».
INSTALLATION DE RADIUS (WINDOWS SERVER 2008) :
Création d’un nouveau rôle « Services de stratégie et d’accès réseau ».
P a g e 4 | 26
Jaulent Aurelien
Le serveur NPS est le serveur qui prendra en compte Radius.
Configuration du rôle NPS en tant que serveur Radius.
P a g e 5 | 26
Jaulent Aurelien
Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ».
P a g e 6 | 26
Jaulent Aurelien
Sélectionner la méthode d’authentification
Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée.
P a g e 7 | 26
Jaulent Aurelien
Fin du paramétrage du serveur radius.
P a g e 8 | 26
Jaulent Aurelien
MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :
Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ».
P a g e 9 | 26
Jaulent Aurelien
Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur
« propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ».
Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs
et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les
données entre le serveur Pfsense et le serveur Radius.
P a g e 10 | 26
Jaulent Aurelien
CONFIGURATION DE PFSENSE :
Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base.
CONFIGURATION DU PORTAIL CAPTIF :
Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes :
P a g e 11 | 26
Jaulent Aurelien
P a g e 12 | 26
Jaulent Aurelien
P a g e 13 | 26
Jaulent Aurelien
Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte
utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment.
Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et
leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats
sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif.
P a g e 14 | 26
Jaulent Aurelien
CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR
PFSENSE.
INSTALLATION DE ADCS :
Création d’un nouveau rôle « Services de stratégie et d’accès réseau ».
P a g e 15 | 26
Jaulent Aurelien
Sélection de l’autorité de certification.
P a g e 16 | 26
Jaulent Aurelien
Selection du type d’architecture.
Sélection du type d’autorité de certification.
P a g e 17 | 26
Jaulent Aurelien
Création de la clé.
Configuration du type de chiffrement de la clé.
P a g e 18 | 26
Jaulent Aurelien
Laisser le nom du domaine et du serveur de domaine par défaut.
Sélection de la durée de validité du certificat.
P a g e 19 | 26
Jaulent Aurelien
Configuration à ne pas modifier de la base de données du certificat.
Récapitulatif de l’action d’installation qui va être effectuée.
P a g e 20 | 26
Jaulent Aurelien
Fin de l’installation de ADCS.
CREATION DU CERTIFICAT POUR RADIUS :
Exécuter la console mmc via « démarrer ».
Sélection de composant logiciel enfichable
P a g e 21 | 26
Jaulent Aurelien
Sélection de « Certificats/Un compte d’ordinateur ».
Sélection « ordinateur local ».
P a g e 22 | 26
Jaulent Aurelien
Demande d’un nouveau certificat pour l’authentification radius.
Début de la création du/des certificats.
P a g e 23 | 26
Jaulent Aurelien
Sélection de la stratégie d’inscription de certificat par défaut.
Sélection des certificats a créer.
P a g e 24 | 26
Jaulent Aurelien
Fin de la création des certificats.
P a g e 25 | 26
Jaulent Aurelien
MODIFICATION DE LA STRATEGIE D’AUTHENTIF ICATION RESEAU DU ROLE NPS (RADIUS).
Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic
droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes
d’authentification ».
Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait.
P a g e 26 | 26
Jaulent Aurelien
Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante.
Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée.
CONCLUSION
PfSense est donc un moyen efficace pour gérer, protéger, l’accès au Wifi d’un lycée agricole. Les différentes options qui nous
sont proposées permettent d’intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour
l’identification des utilisateurs Active Directory via un serveur Radius.