SlideShare una empresa de Scribd logo

Doc portail-captif-pfsense

S
servinfo
1 de 27
Descargar para leer sin conexión
INSTALLATION D’UN PORTAIL CAPTIF PERSONNALISE PFSENSE Jaulent Aurelien Aurelien.jaulent@educagri.fr
TABLE DES MATIERES Contexte : ............................................................................................................................................................................................ 2 Introduction : ...................................................................................................................................................................................... 2 Prérequis réseau : ............................................................................................................................................................................... 2 Choix de configuration : ...................................................................................................................................................................... 2 Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3 Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3 Installation de Radius (Windows server 2008) : ............................................................................................................................. 3 Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8 Configuration de Pfsense : ................................................................................................................................................................ 10 Configuration du portail captif : ................................................................................................................................................... 10 Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14 Installation de ADCS : ................................................................................................................................................................... 14 Création du certificat pour Radius : .............................................................................................................................................. 20 Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25 Conclusion ......................................................................................................................................................................................... 26 P a g e 1 | 26 Jaulent Aurelien
CONTEXTE : Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet. L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits. INTRODUCTION : La problématique rencontrée dans les lycées agricole est la sécurisation du point d’accès sans fils ainsi que la difficulté pour l’administrateur à gérer tous les utilisateurs qui souhaite s’y connecter. La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification et le temps de chaque utilisateur, De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web d’authentification PREREQUIS RESEAU : Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une configuration spécifique. Il sera configuré de la manière suivante :    Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de l’établissement. Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi Interface Wan : En mode static, directement connecté sur internet Ensuite vient la méthode d'authentification au portail captif. 3 possibilités s'offrent à nous :     Sans authentification, les clients sont libres Via la base locale Via un serveur RADIUS Via un code voucher CHOIX DE CONFIGURATION : Une méthode d’authentification a été retenue, via un serveur radius. La méthode d’authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient pas de compte dans le domaine administratif ou pédagogique. Attention : Par défaut un seul choix d’authentification via le portail captif est possible. P a g e 2 | 26 Jaulent Aurelien
CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 : CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :         Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et ordinateurs Active Directory ». Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ». Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ». Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ». Refaire un clic droit et nouveau. Sélectionner « Utilisateur ». Saisir les configurations qui correspondront à l’utilisateur qui va être créé. Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ». Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et valider. Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est « pfsense ». INSTALLATION DE RADI US (WINDOWS SERVER 2008) :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 3 | 26 Jaulent Aurelien
 Le serveur NPS est le serveur qui prendra en compte Radius.  Configuration du rôle NPS en tant que serveur Radius. P a g e 4 | 26 Jaulent Aurelien
 Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ». P a g e 5 | 26 Jaulent Aurelien
 Sélectionner la méthode d’authentification  Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée. P a g e 6 | 26 Jaulent Aurelien
 Fin du paramétrage du serveur radius. P a g e 7 | 26 Jaulent Aurelien
MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :  Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ». P a g e 8 | 26 Jaulent Aurelien
 Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les données entre le serveur Pfsense et le serveur Radius. P a g e 9 | 26 Jaulent Aurelien
CONFIGURATION DE PFSENSE : Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base. CONFIGURATION DU POR TAIL CAPTIF : Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes : P a g e 10 | 26 Jaulent Aurelien
P a g e 11 | 26 Jaulent Aurelien
P a g e 12 | 26 Jaulent Aurelien
Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment. Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif. P a g e 13 | 26 Jaulent Aurelien
CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR PFSENSE. INSTALLATION DE ADCS :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 14 | 26 Jaulent Aurelien
 Sélection de l’autorité de certification. P a g e 15 | 26 Jaulent Aurelien
 Selection du type d’architecture.  Sélection du type d’autorité de certification. P a g e 16 | 26 Jaulent Aurelien
 Création de la clé.  Configuration du type de chiffrement de la clé. P a g e 17 | 26 Jaulent Aurelien
 Laisser le nom du domaine et du serveur de domaine par défaut.  Sélection de la durée de validité du certificat. P a g e 18 | 26 Jaulent Aurelien
 Configuration à ne pas modifier de la base de données du certificat.  Récapitulatif de l’action d’installation qui va être effectuée. P a g e 19 | 26 Jaulent Aurelien
 Fin de l’installation de ADCS. CREATION DU CERTIFIC AT POUR RADIUS :   Exécuter la console mmc via « démarrer ». Sélection de composant logiciel enfichable P a g e 20 | 26 Jaulent Aurelien
 Sélection de « Certificats/Un compte d’ordinateur ».  Sélection « ordinateur local ». P a g e 21 | 26 Jaulent Aurelien
 Demande d’un nouveau certificat pour l’authentification radius.  Début de la création du/des certificats. P a g e 22 | 26 Jaulent Aurelien
 Sélection de la stratégie d’inscription de certificat par défaut.  Sélection des certificats a créer. P a g e 23 | 26 Jaulent Aurelien
 Fin de la création des certificats. P a g e 24 | 26 Jaulent Aurelien
MODIFICATION DE LA S TRATEGIE D’AUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS). Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait. P a g e 25 | 26 Jaulent Aurelien
Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante. Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée. CONCLUSION PfSense est donc un moyen efficace pour gérer, protéger, l’accès au Wifi d’un lycée agricole. Les différentes options qui nous sont proposées permettent d’intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour l’identification des utilisateurs Active Directory via un serveur Radius. P a g e 26 | 26 Jaulent Aurelien

Recomendados

Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
Implémentation d'un portail captif avec pfsense
Implémentation d'un portail captif avec pfsenseImplémentation d'un portail captif avec pfsense
Implémentation d'un portail captif avec pfsense
Bitcoinhack
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Charif Khrichfa
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Bamoussa Bamba
 

Recomendados

Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
Implémentation d'un portail captif avec pfsense
Implémentation d'un portail captif avec pfsenseImplémentation d'un portail captif avec pfsense
Implémentation d'un portail captif avec pfsense
Bitcoinhack
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Charif Khrichfa
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Bamoussa Bamba
 
Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
Hicham Moujahid
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
Laouali Ibrahim bassirou Been Makao
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Stephen Salama
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
Georges Amichia
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Abdallah YACOUBA
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
Fouad Root
 
Ansible
Ansible Ansible
Ansible
David Adorons-Dieu
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
Rabeb Boumaiza
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIP
Mounir Kaali
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
Rabeb Boumaiza
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Étude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufopÉtude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufop
iferis
 
Cacti
CactiCacti
Cacti
TchouataBidias
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Papa Cheikh Cisse
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
Pape Moussa SONKO
 
Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsense
Angelito Mandimbihasina
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
r_sadoun
 

Más contenido relacionado

La actualidad más candente

Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIP
Mounir Kaali
 

La actualidad más candente (20)

Rapport projet pfe
Rapport projet pfeRapport projet pfe
Rapport projet pfe
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
Ansible
Ansible Ansible
Ansible
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIP
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Étude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufopÉtude et mise en place d'un serveur FTP au sufop
Étude et mise en place d'un serveur FTP au sufop
 
Cacti
CactiCacti
Cacti
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 

Destacado

Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
r_sadoun
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
Mohamed Houssem
 
Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)
Mohamed Houssem
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
Alphorm
 

Destacado (20)

Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsense
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
 
pfSense, OpenSource Firewall
pfSense, OpenSource FirewallpfSense, OpenSource Firewall
pfSense, OpenSource Firewall
 
pfSense Installation Slide
pfSense Installation SlidepfSense Installation Slide
pfSense Installation Slide
 
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detailléeTout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02
 
P fsense
P fsenseP fsense
P fsense
 
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustréPrésentation du portail captif Alcasar PPT avec tutoriel pratique illustré
Présentation du portail captif Alcasar PPT avec tutoriel pratique illustré
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2
 
Schémas
SchémasSchémas
Schémas
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Pfsense
PfsensePfsense
Pfsense
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)Guidepfsense 120821144902-phpapp02 (1)
Guidepfsense 120821144902-phpapp02 (1)
 
L'informatique et le numérique à la médiathèque de berre l'étang
L'informatique et le numérique à la médiathèque de berre l'étangL'informatique et le numérique à la médiathèque de berre l'étang
L'informatique et le numérique à la médiathèque de berre l'étang
 
voip dans le cloud
voip dans le cloudvoip dans le cloud
voip dans le cloud
 
Free radius
Free radiusFree radius
Free radius
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
 
Presentation Annuaire des fournisseurs de comites d'entreprise
Presentation Annuaire des fournisseurs de comites d'entreprisePresentation Annuaire des fournisseurs de comites d'entreprise
Presentation Annuaire des fournisseurs de comites d'entreprise
 

Similar a Doc portail-captif-pfsense

vpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidevpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guide
mia884611
 

Similar a Doc portail-captif-pfsense (20)

Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécurisé
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Mini projet nextcloud
Mini projet nextcloudMini projet nextcloud
Mini projet nextcloud
 
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
70374-router-remotevpn-sdm 70374-router-remotevpn-sdm
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Serveur lamp
Serveur lampServeur lamp
Serveur lamp
 
BTS E4 SYSLOG
BTS E4 SYSLOGBTS E4 SYSLOG
BTS E4 SYSLOG
 
Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSL
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Actnc2b02 bts1
Actnc2b02 bts1Actnc2b02 bts1
Actnc2b02 bts1
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windows
 
vpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guidevpn-user-guide vpn-user-guide vpn-user-guide
vpn-user-guide vpn-user-guide vpn-user-guide
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
radius
radiusradius
radius
 
Procedure ocs et glpi
Procedure ocs et glpiProcedure ocs et glpi
Procedure ocs et glpi
 

Doc portail-captif-pfsense

  • 2. TABLE DES MATIERES Contexte : ............................................................................................................................................................................................ 2 Introduction : ...................................................................................................................................................................................... 2 Prérequis réseau : ............................................................................................................................................................................... 2 Choix de configuration : ...................................................................................................................................................................... 2 Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3 Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3 Installation de Radius (Windows server 2008) : ............................................................................................................................. 3 Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8 Configuration de Pfsense : ................................................................................................................................................................ 10 Configuration du portail captif : ................................................................................................................................................... 10 Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14 Installation de ADCS : ................................................................................................................................................................... 14 Création du certificat pour Radius : .............................................................................................................................................. 20 Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25 Conclusion ......................................................................................................................................................................................... 26 P a g e 1 | 26 Jaulent Aurelien
  • 3. CONTEXTE : Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet. L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits. INTRODUCTION : La problématique rencontrée dans les lycées agricole est la sécurisation du point d’accès sans fils ainsi que la difficulté pour l’administrateur à gérer tous les utilisateurs qui souhaite s’y connecter. La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification et le temps de chaque utilisateur, De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web d’authentification PREREQUIS RESEAU : Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une configuration spécifique. Il sera configuré de la manière suivante :    Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de l’établissement. Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi Interface Wan : En mode static, directement connecté sur internet Ensuite vient la méthode d'authentification au portail captif. 3 possibilités s'offrent à nous :     Sans authentification, les clients sont libres Via la base locale Via un serveur RADIUS Via un code voucher CHOIX DE CONFIGURATION : Une méthode d’authentification a été retenue, via un serveur radius. La méthode d’authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient pas de compte dans le domaine administratif ou pédagogique. Attention : Par défaut un seul choix d’authentification via le portail captif est possible. P a g e 2 | 26 Jaulent Aurelien
  • 4. CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 : CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :         Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et ordinateurs Active Directory ». Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ». Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ». Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ». Refaire un clic droit et nouveau. Sélectionner « Utilisateur ». Saisir les configurations qui correspondront à l’utilisateur qui va être créé. Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ». Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et valider. Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est « pfsense ». INSTALLATION DE RADI US (WINDOWS SERVER 2008) :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 3 | 26 Jaulent Aurelien
  • 5.  Le serveur NPS est le serveur qui prendra en compte Radius.  Configuration du rôle NPS en tant que serveur Radius. P a g e 4 | 26 Jaulent Aurelien
  • 6.  Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ». P a g e 5 | 26 Jaulent Aurelien
  • 7.  Sélectionner la méthode d’authentification  Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée. P a g e 6 | 26 Jaulent Aurelien
  • 8.  Fin du paramétrage du serveur radius. P a g e 7 | 26 Jaulent Aurelien
  • 9. MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :  Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ». P a g e 8 | 26 Jaulent Aurelien
  • 10.  Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les données entre le serveur Pfsense et le serveur Radius. P a g e 9 | 26 Jaulent Aurelien
  • 11. CONFIGURATION DE PFSENSE : Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base. CONFIGURATION DU POR TAIL CAPTIF : Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes : P a g e 10 | 26 Jaulent Aurelien
  • 12. P a g e 11 | 26 Jaulent Aurelien
  • 13. P a g e 12 | 26 Jaulent Aurelien
  • 14. Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment. Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif. P a g e 13 | 26 Jaulent Aurelien
  • 15. CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR PFSENSE. INSTALLATION DE ADCS :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 14 | 26 Jaulent Aurelien
  • 16.  Sélection de l’autorité de certification. P a g e 15 | 26 Jaulent Aurelien
  • 17.  Selection du type d’architecture.  Sélection du type d’autorité de certification. P a g e 16 | 26 Jaulent Aurelien
  • 18.  Création de la clé.  Configuration du type de chiffrement de la clé. P a g e 17 | 26 Jaulent Aurelien
  • 19.  Laisser le nom du domaine et du serveur de domaine par défaut.  Sélection de la durée de validité du certificat. P a g e 18 | 26 Jaulent Aurelien
  • 20.  Configuration à ne pas modifier de la base de données du certificat.  Récapitulatif de l’action d’installation qui va être effectuée. P a g e 19 | 26 Jaulent Aurelien
  • 21.  Fin de l’installation de ADCS. CREATION DU CERTIFIC AT POUR RADIUS :   Exécuter la console mmc via « démarrer ». Sélection de composant logiciel enfichable P a g e 20 | 26 Jaulent Aurelien
  • 22.  Sélection de « Certificats/Un compte d’ordinateur ».  Sélection « ordinateur local ». P a g e 21 | 26 Jaulent Aurelien
  • 23.  Demande d’un nouveau certificat pour l’authentification radius.  Début de la création du/des certificats. P a g e 22 | 26 Jaulent Aurelien
  • 24.  Sélection de la stratégie d’inscription de certificat par défaut.  Sélection des certificats a créer. P a g e 23 | 26 Jaulent Aurelien
  • 25.  Fin de la création des certificats. P a g e 24 | 26 Jaulent Aurelien
  • 26. MODIFICATION DE LA S TRATEGIE D’AUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS). Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait. P a g e 25 | 26 Jaulent Aurelien
  • 27. Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante. Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée. CONCLUSION PfSense est donc un moyen efficace pour gérer, protéger, l’accès au Wifi d’un lycée agricole. Les différentes options qui nous sont proposées permettent d’intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour l’identification des utilisateurs Active Directory via un serveur Radius. P a g e 26 | 26 Jaulent Aurelien