Embed Size (px)
Citation preview
COMPTE RENDU DU PROJET
PERSONNEL ENCADRE 7
Application HNT, WIFI et DMZ
DALELE Antoine
DEGROOTE Loïc
KASPROWICZ Théo
MAILLOT Clément
MINA Killian
TABLE DES MATIERES
GESTION DES RESSOURCES ....................................... 1
Planification ................................................................................ 1
Estimation du projet .................................................................... 2
PARTIE TECHNIQUE RESEAU ...................................... 3
Rappel des exigences ................................................................... 3
Mise en place d’un accès Wifi ....................................................... 10
Mise en place d’un portail captif et d’un proxy ................................. 3
Solution du portail captif .......................................................... 3
Solution du proxy.................................................................... 5
Mise en place d’une DMZ ............................................................. 10
PARTIE TECHNIQUE DEVELLOPEUR .......................... 23
Solution de gestion de version ................................................ 23
CONCLUSION............................................................ 24
1
GESTION DES RESSOURCES
PLANIFICATION
Notre équipe est composée de 5 membres et nous avons répartie les
tâches comme suit :
2
ESTIMATION DU PROJET
Nombres de membres de l’équipe : 5
Salaire :sachant que HNT paie ses employés 1500 € Net par mois nous
pouvons en déduire les informations suivantes
Salaire brut mensuel
/personne
Salaire horaire
brut
/personne
Salaire Net mensuel
/personne
Salaire horaire net /personne
1948 € 12.84 € 1500 € 9.89 €
Employé Nombres d’heure
travaillées
Salaire Net pour
l’employé
Charges supportées
par HNT pour
le projet
DALELE
Antoine
20 197,80 €
DEGROOTE
Loïc
20 197,80 €
KASPROWICZ
Théo
20 197,80 €
MAILLOT Clément
24
237,36 €
MINA Killian 16 158,24 €
Total 1 284,00 €
3
PARTIE TECHNIQUE RESEAU
RAPPEL DES EXIGENCES - Mise en place d’un accès Wifi
- Mise en place d’un portail captif et d’un proxy
- Mise en place d’une DMZ
MISE EN PLACE D’UN PORTAIL CAPTIF ET D’UN PROXY
Choix d’une solution :
Solution du portail captif
Un portail captif, est une solution qui consiste à forcer les clients d'un
réseau à afficher une page web d'authentification avant de pouvoir
accéder à internet normalement.
4
Critères NoCat Talweg Wifidog PfSense
Simplicité d'installation
Simple Moyennement
simple
Moyennement
simple
Moyennement
simple
Infrastructure nécessaire
Lourde Leger intermédiaire Lourde
Performances
Elevée Elevée Elevée Elevée
Gestions des utilisateurs
- Fort Moyen Fort
Sécurité
d'authentification
- Elevée Elevée Elevée
Sécurité de communications
- Elevée - Moyen
Protocoles supportés
Nombreux Insuffisants Nombreux Nombreux
Interface
d'administration/Statique
- Faible Fort Fort
En considération des critères se rapportant à chacune des solutions
nous avons décidé d'utiliserPfsense.
PfSense (Packet Filter Sense) est un routeur/firewall open source
réputé pour sa stabilité.
Il permet de sécuriser le réseau de connexion externe.
Ce routeur permet de relier un réseau WAN à un réseau LAN.
Cette solution permet de répondre à plusieurs besoins :
-> La Disponibilité (Load balancing)
-> Confidentialité (Authentification HTTPS)
->Audibilités (Nombreuse statistique grâce à ntop)
5
-> Mise à jour (Système peut être mis à jour sans réinstallation,
packages téléchargeables facilement depuis une interface WEB)
-> Simple d'installation et d'administration
-> Autonomie complète
Solution du proxy
Nous avons choisi d’utiliser Squid comme proxy car il se trouve que
c’est un paquet que l’on peut ajouter à Pfsense.
Cependant suite à une erreur de configuration, nous n’avons pu
installer ce paquet sur notre serveur pfsense car ce dernier ne pouvait
mettre à jour les paquets.
6
Installation
Ayant pour objectif d'isoler nos serveurs du trafic, on a mis en place
une solution qui a pour fonction routeur et pare-feu, on parlera alors
d'un portail captif.
Portail captif :
Environnement : FreeBSD
Solution : Pfsense 2.4.3
Installation de PFsense :
Grâce à l'injection du fichier iso "Pfsense 2.4.3" sur la machine virtuelle
FreeBSD.
Configuration côté machine :
7
Afin d'isoler la DMZ, nous avons créé 2 interfaces réseaux, une dédié à
la DMZ (WAN), puis une dédié au portail captif (LAN) qui servira aux
utilisateurs voulant se connecté à la borne WI-FI.
Le réseau WAN "172.18.158.191/21" est réserver aux matériels
(serveurs, borne, internet) qui intègre la DMZ.
Le réseau LAN "10.0.0.1/24" est réserver au utilisateur voulant se
connecté à la borne WI-FI comme dit précédemment. Cette adresse
sera paramétrer en DHCP afin de simplifié la distribution d'adresse
Accès à l'interface WEB :
Afin de configurer de manière approfondie cette solution, il a fallu se
connecter sur l'adresse "10.0.0.1" en utilisant un navigateur internet.
Puis, à partir des identifiants administrateurs de la machine serveurs,
nous pouvons avoir accès à l'interface de configuration ci-dessous.
8
Configuration de l'interface WEB :
Afin de simplifier la distribution des adresses IP par la borne WI-FI,
nous avons paramétré l'interface LAN en DHCP
9
Sur l'interface ci-dessus, on peut voir :
Que le serveur DHCP est activé sur l'interface LAN.
Qu'il s'agit du réseau "10.0.0.0/24" avec une étendu avec
configuration allant de "10.0.0.3 à 10.0.0.200"
Que le DNS du serveur est "172.18.158.131"
Ensuite, afin d'obtenir un journal de log, qui recense les données de
navigation propre à chacun des utilisateurs, il a fallu mettre en place le
portail captif par le biais de l'interface WEB Pfsense.
10
MISE EN PLACE D’UNE DMZ
Nous avons sur le routeur mis en place des ACL :
Il y a 2 ACL, la première est la 101 qui permet de contrôler les accès
en entrer et la seconde, la 102 permet de contrôler les accès en
retour/réponse.
Premièrement, on autorise le réseau extérieur (WAN) à consulter les
pages web de nos serveurs web ainsi que les pages web d’internet.
Ensuite, on autorise les résolutions de noms depuis le réseau WAN
(DNS).
Nous autorisons également les accès en http et HTTPS.
MISE EN PLACE D’UN ACCES WIFI
I. Configuration borne wifi WAP121 (cisco)
Tout d’abord pour pouvoir accéder à l’interface de la borne wifi il
faudra faire quelque manipulation qui consiste à changer votre adresse
IP ainsi que de modifier le masque et la passerelle.
11
Il ensuite possible d’accéder à l’interface web de la borne graphique via
un navigateur en entrant l’adresse passerelle précédemment mis.
Pour se connecter les identifiants sont « cisco » pour le mot de passe
et login.
Il faudra par la suite changer le mot de passe par défaut de la borne
wifi :
12
Il est possible de passer la borne wifi en IP statique et changer
l’adresse IP pour accéder à l’interface web de la borne.
Puis il faudra se rendre au sein de l’onglet « Wireless » et dans le sous-
onglet « network » pour crée un SSID.
PFSENSE ET BORNE WIFI PORTAIL CAPTIF
I. Mise en place du portail
Au sein de l’interface de pfSense, au sein du menu « services » il
faudra se rendre au niveau de l’onglet « captive portal »
Puis la création de la zone dans laquelle va être actif le portail.
13
Il faut attribuer un nom dans la zone dans laquelle se trouvera votre
portail captif.
Il ne faut pas oublier d’activer le portail captif :
14
II. Paramétrage du portail captif
Dans l’ordre des options importantes et quasi obligatoires :
Interfaces : il s’agit là de quelle interface sur laquelle le portail captif
sera exploité – il faut cliquer sur l’interface correspondant à votre LAN
(ici, LAN)
Maximum concurrent connections : limite le nombre de connexion
en même temps sur le portail captif ; si cette limite est dépassée, le
portail captif ne sera pas accessible par les autres clients, jusqu’à
temps qu’une place se libère. Laissez vide si vous ne souhaitez pas de
limites
idle timeout : délai en minutes à laquelle les clients seront
déconnectés s’ils n’ont pas eu / effectué d’activité. Laissez vide si vous
ne souhaitez pas de limites
15
Hard timeout : délai en minutes pour forcer la déconnexion des
utilisateurs, qu’importe leur activité
Ensuite nous avions la possibilité de configurer les autres options
comme par exemple l’ouverture d’une authentification via un pop-up,
et de rediriger les clients une fois l’authentification effectuée, ou de
déconnecter les utilisateurs qui partage le même identifiant.
Il faut activer les options permettant d’authentifié les utilisateurs
utilisant le wifi soit Logoutpopupwindow puis mettre le lien ou sera
redirigé l’utilisateur après l’authentification au sein de After
authentification Redirection URL et cochez l’option concurrent
user logins pour bloquer l’utilisation multiple d’un seul compte.
16
Pour des raisons de qualité de service (QoS) il faut limiter les débits
par utilisateurs. En cochant la case « Per-userbandwidth
restriction » et saisir les débits maximum autorisés en kbits/s.
17
Une fois arrivé à l’option « authentication method » vous allez
choisir le mode d’authentification de vos clients.
Dans mon cas les utilisateurs seront créésà la main avec pfSense
Cliquez sur la case « local user manager / vouchers » ainsi que la
case « Allow only users/groups with ‘captive portal login’
privilege set ».
Actuellement aucun utilisateur n’a était créé le compte administrateur
de pfSense ne compte pas compte utilisateur pour le portail captif.
18
CREATION D’UN GROUPE D’UTILISATEURS POUR LE
PORTAIL CAPTIF ET DES SES UTILISATEURS
Pour finir il faut se rendre dans l’onglet « system » puis dans « user
manager ».
I. Création de groupe local pour portail captif sur pfSense
Dans l’onglet « groups » nous allons en ajouter un.
19
Puis remplir les informations prioritaires tel le nom du groupe ainsi que
l’option « Scope » qui sera en local
Et il faudra assigner un privilège pour le portail captif : qui sera « user
– Services : Captive Portal login »
20
II. Création d’utilisateurs locaux pour le portail captif
Une fois le groupe créé il ne reste plus que les utilisateurs à crée, ce
compte sera utilisé de façon individuelle et pour l’authentification sur le
portail captif.
Toujours dans le menu « system », puis « user manager » on va
ajouter un utilisateur
Vous choisirez un login et le mot de passe de l’utilisateur, puis au
niveau de l’option « group membership » et dans ce cas précis nous
allons préciser qu’il n’est pas dans le groupe administrateur de pfSense
mais uniquement dans le groupe portail captif grâce aux options
« Member of » et « Not member of ».
21
III. Authentification des utilisateurs avec pfSense et borne wifi
Concrètement, pfSense a redirigé automatiquement votre flux web
vers le portail captif, sur un port spécifique pour que vous puissiez
vous authentifier. Vous devez alors entrer le compte utilisateur
précédemment créé, login et mot de passe.
Prenez un autre PC / VM dans le même LAN que pfSense. Comme
votre pfSense est maintenant prêt à l’emploi notamment pour le portail
captif, ouvrez votre navigateur web favoris et tentez d’accéder à une
page web.
Vous devriez arriver sur ce genre de page :
22
23
PARTIE TECHNIQUE
DEVELLOPEUR
Solution de gestion de version
Un logiciel de version permet de stocker un ensemble de
fichier en conservant la chronologie de toutes les modifications qui ont été effectuées dessus.
Ce système permet par exemple de mutualiser un développement. Un groupe de développeurs autour d'un même développement se sert de
l'outil pour stocker toute évolution du code source. Le système gère les
mises à jour des sources pour chaque développeur, conserve une trace
de chaque changement.
Les wikis (tel Wikipédia) sont des exemples de logiciels de gestion de
versions agissant sur des champs de base de données et non sur des fichiers.
Il existe deux types de logiciel de versionning : le CVS (Concurrent Version System) et le SVN (SubVersioN) :
- Le CVS est un logiciel libre sous licence GPL de gestion de version.
De par son ancienneté, elle est la plus utilisé. - Le SVN est le futur du CVS. Distribué sous licence Apache et BSD,
SVN s’appuie sur le même concept du CSV tout en y améliorant ses
défauts de conception.
Notre première mission aura pour but de mettre en place deux
machines cliente ayant installés Visual Studio relié à une machine server
Avec cela, nous sommes chargés de mener l’étude et les tests de la
mise en place du SVN grâce à VisualSVN.
VisualSVN est un plugin client pour SVN s’intégrant à Visual Studio. Il
utilise TortoiseSVN (Logiciel client de SVN les plus populaires) pour l’exécution des commandes de SVN. Il propose donc exactement les
mêmes fonctionnalités que TortoiseSVN directement utilisable depuis
Visual Studio.
24
Dans un premier temps, sur le server, nous avons installé le
logiciel VisualSVN afin de pouvoir gérer la synchronisation entre les
deux clients. Ensuite, nous avons créé un répertoire dans lequel il va contenir les fichiers du projet crée entre les deux clients. Toujours sur
le logiciel, nous devions crée des utilisateurs et créer un groupe qui va
contenir les utilisateurs. Ceci va permettre de limiter l’accès du
répertoire à certain utilisateur.
Enfin, au lieu de crée deux machines virtuelles clientes, l’option
de clonage sera permise. Donc après avoir installé Visual studio (VS),
nous installons VisualSVN client mais aussi TortoiseSVN afin de lier VS au dispositif de gestion de version.
CONCLUSION
Il faut savoir que nous avons perdu du temps dans la partie réseau de
ce projet car nous avons installé un serveur radius, ce que nous
pensions nécessaire pour pouvoir lier la borne wifi au portail captif.
Nous avons ainsi perdu beaucoup de temps.
