Embed Size (px)
Citation preview
Application Libre pour le Contrôle d'Accès Sécurisé et
Authentifié au Réseau (ALCASAR)
ALCASAR est une solution logicielle libre et gratuite qui protège, authentifie, contrôle et impute les
accès des usagers d’un réseau de consultation Internet. Alcasar s’installe sur une machine (serveur)
avec deux interfaces réseau positionné en coupure entre l’infrastructure d’accueil des utilisateurs
(Wifi et/ou filaire) et le réseau local de l’entreprise.
Intégration d’un portail captif
Plan d’adressage
Serveur Alcasar : eth0 192.168.0.254 255.255.255.0 // eth1 192.168.182.254 255.255.255.0
Les postes client sont en configuration vi DHCP
1. Fonctionnalités Le contrôle de connexion implémenté dans Alcasar permet de :
Authentifier et contrôler les accès.
Alcasar permet d’interdire l’accès aux utilisateurs non identifiés par un couple
Identifiant/mot de passe.
Tracer et imputer les connexions tout en respectant la vie privée
Il permet de décliner l'obligation légale (Française) de tracer et d'imputer les
connexions
Protéger le réseau de consultation
Alcasar intègre un pare-feu, un antivirus de flux WEB et un module anti-usurpation
de session
2. Les Composants d’Alcasar
Le portail Alcasar est constitué d’une centaine d’applications connectées entre elles fonctionnant sur
un système d’exploitation Linux (Magea : Fork de Mandriva). Alcasar est disponible sous forme
d’image cd au format .iso ou .ova et peut être installé sur n’importe quelle machine. Seule
restriction : la machine hôte devra posséder au moins 2 interfaces réseau. Cette solution de portail
est distribuée gratuitement sous licence GPL v3.
Le système d’exploitation
Alcasar utilise une distribution LINUX comme système d’exploitation support : Mageaia qui est un
fork libre de Mandriva.
La passerelle d’interception
CoovaChilli intercepte tous les paquets indépendamment de leurs destinations jusqu’à ce que
l’utilisateur ouvre son navigateur. Celui-ci sera automatiquement redirigé vers une page Web
d’authentification.
Serveur DNS / DHCP
DNSMASQ se charge de la résolution de nom et prend en charge là l’attribution de configurations IP
des hôtes.
Serveur WEB
Alcasar intègre un serveur Apache ce qui permet d’afficher les pages Web d’administration, le portail
d’identification...
Chiffrement du trafic
Alcasar utilise OpenSSL pour chiffrer les données circulant sur le réseau lors de l’affichage du portail
captif afin les rendre illisibles en cas de d’interception.
Serveur d’authentification
Alcasar intègre son propre annuaire cependant FreeRadius permet, également, l’utilisation
d’annuaires externes (LDAP ou AD) pour l’identification des utilisateurs.
Serveur de base de données
Les informations des utilisateurs sont stockées dans une base de données MySQL.
Serveur PROXY
Squid est utilisé en tant que proxy en mode cache afin d’accélérer les requêtes les plus fréquentes.
Filtrage Web
Dansguardian permet de filtrer les sites requetés en s’appuyant sur une base de données qui peut
être complétée.
Les statistiques
Awstat est un outil qui permet de stater l’utilisation du portail par les clients (nombre de connexions,
durée…)
Connexion à distance
OpenSSh-server est préinstallé ce qui permet d’ouvrir une connexion distante à l’aide d’un client ssh.
Passerelle antivirus Web
Afin de se protéger les utilisateurs des menaces extérieures, HAVP fait analyser toutes les pages web.
De plus, Clamav analyse tout le trafic consulté.
3. Installation Pour évaluer Alcasar, nous l’installerons dans une machine virtuelle sous Oracle Virtualbox. La
machine doit être de type Linux Mandriva. Il faut attribuer 2 cartes réseaux à cette machine virtuelle.
La première carte sera configurée en mode d’accès réseau par pont afin que le serveur soit vu sur le
LAN comme un hôte. (Attention ! Il faut désactiver le serveur DHCP de votre réseau local). Cette
première carte constituera le réseau de sortie eth0 (vers Internet) du serveur.
La deuxième carte réseau sera également configurée avec le mode d’accès par pont mais elle
utilisera un autre adaptateur réseau de la machine hôte. Cette interface sera le réseau d’entrée du
serveur Alcasar par lequel les clients du réseau hostile pourront se connecter.
3.1. Installation de Mageia
Il faut commencer par télécharger l’image disque du système d’exploitation qui servira de support à
Alcasar (Image ISO du CD `Linux Mageia 2 dual arch`). Celui-ci est disponible depuis la rubrique
téléchargement du site officiel.
Une fois l’image téléchargée, monté la dans la VM et mettez la sous tension. Suivez ensuite la
procédure d’installation. L’assistant d’installation est identique à la plus part des distributions Linux.
Vous devez entre autre :
Acceptez le contrat de licence.
Sélectionnez votre type de clavier.
Sélectionnez le partitionnent de disque proposé par défaut
Affectez le mot de passe au compte root puis créez le compte administrateur et affectez-lui
un mot de passe. (notre compte admin sera : sisradmin et le mdp : roosevelt)
Configurer l’interface connectée à Internet (eth0).
IP statique : 192.168.0.10
Passerelle par défaut 192.168.0.254
Masque : 255.255.255.0
DNS : 8.8.8.8 (serveur DNS google)
A la fin de l’installation, éjecté l’image disque de la VM avant de rebooter.
3.2. Installation d’ALCASAR
L’installation d’ALCASAR se fait en ligne de commande. Il faut tout d’abord récupérer l’archive
compressée (alcasar-2.8.tar.gz) depuis la rubrique téléchargement du site internet.
Action à réaliser dans le terminal en tant root (commande su + mot de passe root)
Créez un répertoire de travail : mkdir /home/sisr/Bureau/portail
Placez-vous dans ce nouveau répertoire : cd /home/sisr/Bureau/portail
Téléchargé l’archive citée ci-dessus : wget http://www.alcasar.net/fr/telechargement?fu...
Décompressez l’archive : tar -xvf alcasar-2.8 tar.gz
Placez-vous dans le répertoire créé : cd alcasar-2.8/
Lancez le script d’installation : sh alcasar.sh –i
Appuyez sur la touche « Espace » pour descendre en bas de la page puis tapez sur « Entré ».
Patientez pendant les tests des paramètres réseau.
Le téléchargement et l’installation de nouveaux packages se fait automatiquement.
Entrez le nom de votre organisation (SISR)
Vous pouvez changer l’adresse IP du serveur ainsi que le plan d’adressage du réseau de consultation.
Créez un premier compte utilisateur qui sera utilisé pour l’administration du portail.
L'installation est terminée.
Le système va redémarrer afin de synchroniser l'ensemble des composants d'ALCASAR.
4. Interface Web d’administration
La page d'accueil du portail est consultable à partir de n'importe quel équipement situé sur le réseau
de consultation à l’adresse
Les usagers peuvent se connecter, changer leur mot de passe, intégrer le certificat de sécurité dans
leur navigateur.
Les Administrateurs peuvent accéder à l’espace Web d’administration d’Alcasar.
Il y 3 profils d’administrateurs :
Admin permettant d'accéder à toutes les fonctions d'administration du portail
Manager limité aux tâches de gestion des usagers du réseau de consultation
Backup limité aux tâches de sauvegarde et d'archivage des fichiers journaux
4.1. Création d’un utilisateur
Création d’un utilisateur en utilisant l’annuaire local d’alcasar.
Menu – Authentification – Créer un usager
Remplissez les champs nécessaires puis validez
Le lien Editer un usager permet de modifier la configuration d’un utilisateur.
4.2. Gestion de groupes
Afin de faciliter l’administration des usagers, il est possible de les gérer à travers des groupes.
4.3. Importation des usagers
Menu – Authentification – Importer/vider
Alcasar permet l’import en masse d’usager par l’utilisation de fichier text ou d’un fichier sql.
4.4. URLS libres
Menu – Authentification - Exceptions
Alcasar permet d’établir une liste d’urls ou d’adresse ips de sites des confiances pour lesquels aucune
authentification n’est requise.
4.5. Annuaires externes
Menu – Système – Ldap/AD
Vous pouvez utiliser un annuaire externe de type LDAP ou AD en lieu et place de l’annuaire d’Alcasar.
4.6. Services
Menu – Système – Services
Ce menu vous permet de visualiser, d’arrêter, de démarrer ou redémarrer tous les services d’Alcasar.
4.7. Configuration réseau
Les équipements de consultation peuvent être connectés sur le réseau de consultation au moyen de différentes technologies (filaire Ethernet, WiFi, CPL, etc.). Ce réseau est connecté à la carte eth1 d'ALCASAR. ALCASAR joue le rôle de DNS, de serveur DHCP et de passerelle par défaut.
4.7.1 Configuration IP
L’interface graphique vous permet de visualiser les paramètres réseau mais ne permet pas de les modifier.
Pour modifier les paramètres réseau d’alcasar, il faut utiliser le mode console en éditant le fichier
/usr/local/etc/alcasar.conf. (Validez les changements avec la commande : alcasar-conf.sh-apply)
4.7.2 Serveur DHCP
Vous pouvez choisir trois modes de fonctionnement du serveur DHCP.
Sans DHCP
Demi-DHCP
DHCP Complet
Quand le service DHCP est actif, vous pouvez réserver des adresses IP aux équipements exigeant un
adressage statique (serveurs, imprimantes…)
4.8. Filtrage
Alcasar dispose de 3 types de filtrage (non-obligatoire)
Filtrage de noms de domaines, d’URLs et de résultats de moteur de recherche en
s’appuyant sur une liste noire organisée en catégories. La liste noire est paramétrable.
Vous pouvez ajouter de nouveaux sites à filtrer ou en réhabiliter d’autres.
Filtrage par protocole : Par défaut, quand il est activé seul http est autorisé.
Antivirus de flux web
4.9. Les statistiques
La rubrique Statistiques permet d’obtenir un aperçu de :
État des connexions des usagers (mise à jour en temps réel)
Nombre de connexions par usager et par jour (mise à jour toutes les nuits à minuit) ;
Charge journalière du portail (mise à jour toutes les nuits à minuit)
Trafic réseau (mise à jour toutes les 5 minutes)
Rapport de sécurité (virus bloqués, adresses bannies)
4.10. Sauvegardes
Le menu Sauvegardes d’Alcasar présente les fichiers d’archive des traces des équipements. Ces
fichiers contiennent la base des usagers pourront être réclamés par une autorité dans le cadre d’une
enquête judiciaire.
5. Création de comptes administrateurs Pour créer un nouveau compte, vous devez passer par le mode console et utiliser la commande
alcasar-profil.sh en tant que root. Les comptes peuvent appartenir à l’un des profils suivants :
- Admin : ce profil permet d’accéder à toutes les fonctions du centre de gestion.
- Manager : ce profil ne donne accès qu’aux fonctions des usagers et des groupes.
- Backup : ce profil ne donne accès qu’aux fonctions de sauvegarde et d’archivage des fichiers
de journaux.
Liste des commandes
alcasar-profil.sh --list : pour lister tous les comptes de chaque profil
alcasar-profil.sh --add : pour ajouter un compte à un profil
alcasar-profil.sh --del : pour supprimer un compte
alcasar-profil.sh --pass : pour changer le mot de passe d'un compte existant
6. Installation d’un certificat officiel Alcasar utilise TLS, associé à un certificat serveur et une autorité de certification locale, pour chiffrer
les échanges avec les hôtes du réseau de consultation, pour les demandes d’authentification, les
changements de mot de passe et pour les administrateurs qui utilisent l’interface graphique de
management. Toutes fois, il est possible d’installer un certificat officiel afin d’éviter l’apparition des
fenêtres d’alerte de sécurité des navigateurs n’ayant pas intégré le certificat racine d’Alcasar.
Vous pouvez utiliser un certificat de type intranet afin de certifier un nom d’hôte de serveur
(alcasar). Alcasar exploite un serveur WEB APACHE avec un module SSL.
7. Les usagers Lorsque le navigateur d’un hôte du réseau de consultation tente de joindre un site Internet, une page
d’authentification apparait permettant ainsi de contrôler l’accès. Le logo peut être remplacé par celui
de votre organisation.
Après que l’identification de l’usager, un pop-up s’ouvre. Celui-ci permet de fermer la session et
fournit des informations sur les droits accordés au compte identifié.
L’usager peut alors sortir sur internet et l’utiliser en fonction de la politique de sécurité définie par
l’administrateur d’Alcasar.
