MODE OPERATOIRE

MODE OPERATOIREInstallation et configuration

Table des matièresContexte1Introduction1Problématique et solutions1Prérequis Matériels et réseaux1Mode opératoire/ guide d’installation25.1 Installation de pfsense5.2 Configuration du portail captif de pfsense5.2.1 Mettre en place un portail captif sans authentification54.2.1.1 contextes4.2.1.2 prérequis4.2.1.3 configuration5.2.2 Mettre en place un portail captif avec authentification local65.2.2.1 contextes5.2.2.2 prérequis5.2.2.3 configuration

5.2.3 mettre en place un portail captif avec authentification LDAP/AD5AD/RADIUS5.2.3.1 contextes5.2.3.2 prérequis5.2.3.3 configurationsLDAP5.2.3.4 contexte5.2.3.5 prérequis5.2.3.6 configurations

Contexte

Une école supérieure spécialisé dans le commerce, la communication et l’informatique souhaite mettre en place un portail captif pour tous les élèves qui souhaite accéder à internet. L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits. Les utilisateurs devront également s’authentifier sur le portail captif par un login et un mot de passe qui leur sera personnel. Dans chaque classe il y’aura un poste informatique qui sera connecté directement au réseau LAN du serveur pfsense. Il y’aura un accès WIFI, connecté en plus sur le serveurpfsense. Le réseau LAN et le WIFI ne pourrons pas communiquer ensemble. Tous les réseaux passeront par un seul routeur qui sera le serveur pfsense

Introduction

Pfsense est un OS transformant n’importe quel ordinateur en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit OpenSource adapté à tout type d’entreprise. Il y a une version gratuite (peut être utilisé dans les TPE, les PME, les écoles, etc), et une version payante proposant plus de fonctionnalités (utilisé par les grandes entreprises, dans des lieux public à haute fréquentation, etc).

Voici ses principales fonctionnalités :

– Gestion complète par interface web

– Pare-feu stateful avec gestion du NAT, NAT-T

– Gestion de multiples WAN

– DHCP server et relay

– Failover (possbilité de redondance entre plusieurs serveurs pfsense)

– Load balancing

– VPN Ipsec, OpenVPN, L2TP

– Portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est redirigé vers une page lui proposant de s’identifier pour se connecter) : solution proposée par les hotspot.

– De réaliser du Load Balancing MultiWAN (utiliser deux connexions Internet avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes ADSL).

Problématique et solutions

Nous allons vous présenter trois solution d’authentification de portail captif, avec une justification objective pour chacune d’elle.

Le portail captif pfsense propose plusieurs solutions d’authentification sur son service de portail captif

· Sans authentification

· Avec authentification local

· Avec authentification LDAP / AD

Voici un schéma de notre réseau avec l’adressage ip

Internet

Interface OPT1

192.168.0.0/24

Interface WAN

. .16

Pfsense

Firewall/routeur

. .1 192.168.176.0/24

Poste client

Dhcp

d

.1

Interface LAN

192.168.175.0/24

.4.2

Prérequis Matériels et réseaux

· Un ordinateur ou un serveur ou machine virtuel

· Processeur : 500 mhz min.

· Ram : 1GB

· Une carte réseau connecté au FAI

· Une carte réseau pour le réseau LAN

· Une carte réseau pour le réseau OPT 1 (si besoin)

Mode opératoire/ guide d’installation

5.1 Configuration des interfaces réseaux

Une fois que l’installation de pfsense est terminée, il va falloir configurer nos différentes interfaces de carte réseaux qui se trouve dans notre pc.

Les différentes cartes réseaux se trouvant dans le pc sont différenciées par leur adresse MAC, ce qui vous permettra de les différencier lors de leur configuration dans pfsense.

Dans notre cas, l’interface em0 est l’interface WAN, l’interface em1 est l’interface LAN, et l’interface em2 est l’interface OPT 1 pour le wifi.

Appuyez sur Entrée, une fois que vous n’avez plus d’interface à rajouter jusqu’à ce qu’il vous demande de taper « Y »

Accéder à la console d’administration WEB

Aller sur un navigateur WEB, et taper dans la barre d’url l’adresse ip de l’interface pfsense qui se trouve dans le même réseau que votre ordinateur

Dans notre cas, notre poste administrateur est connecté sur l’interface LAN, avec pour ip d’interface : 192.168.175.1

Nous allons donc dans notre navigateur, et entrons l’adresse : http://192.168.175.1/

Ensuite nous voyons la page admin s’afficher, il faut rentrer le login et le mot de passe.

Le login par défaut est : admin, et le mot de passe par défaut est : pfsense

Nous voilà dans la console graphique d’administration de notre routeur/firewall pfsense.

1.1.1 Configurer le portail captif sans authentification

5.1.1.2 Contexte

L’intérêt de mettre en place un portail sans authentification est tout simplement d’avoir le contrôle de la bande passante, du flux entrant/sortant et une traçabilité de l’utilisateur, par les logs, se connectant sur notre réseau

5.1.1.3 Prérequis

Pour mettre en place un portail captif sans authentification, nous aurons besoins :

· Un serveur pfsense avec les cartes réseaux configurées

· Un ordinateur client qui sera connecté sur le réseau dans lequel nous activerons le portail captif

5.1.1.4 Configuration

Aller dans l’onglet Service puis Captive Portal

Cochez la case : « Enable captive portal »

Sélectionnez l’interface sur laquelle vous voulez activer ce portail

Faites défilez vers le bas, et chercher le champ « Pre-authentication redirect URL», entrez l’adresse de l’interface que vous avez sélectionnée,

Faites défilez vers le bas, et chercher le champ « portail page contents »,

Cliquez sur « choose files » pour charger la html/php qui s’affichera lors de la demande d’authentification de l’utilisateur, selectionner le fichier puis cliquer sur « ouvrir »

Après cela, aller tout en bas de la page, puis cliquer sur « Save »

Fermez votre navigateur,

Ré ouvrez votre navigateur, puis taper une URL exemple : www.google.fr

Cela va directement rediriger l’adresse de l’interface sur laquelle vous êtes connectée qui va vous afficher le portail captif que nous venons de mettre en place, qui vous demandera de cliqué sur « OK » et ainsi vous serez connecté à internet et redirigé vers la page demandé au début.

5.2.2 Mettre en place un portail captif avec authentification local

5.2.2.1 Contexte

L’intérêt de mettre en place un portail avec authentification local, possédant un petit nombre de personne à connecté à un internet, plutôt que de mettre un AD ou LDAP, nous rentrons directement dans la base de données interne de pfsense le user et le mot de passe des personnes concernées, cela s’adresse seulement à un petit comité. Cela permet toujours d’avoir le contrôle de la bande passante, du flux entrant/sortant et une traçabilité de l’utilisateur, par les logs, se connectant sur notre réseau, et de pouvoir mettre une identité sur une simple ip ou adresse MAC.

5.2.2.2 Prérequis

Pour mettre en place un portail captif sans authentification, nous aurons besoins :

· Un serveur pfsense avec les cartes réseaux configurées

· Un ordinateur client qui sera connecté sur le réseau dans lequel nous activerons le portail captif avec authentification local

5.2.2.3 Configuration

Création d’un utilisateur dans la base de données local de pfsense

Allez dans l’onglet « système » puis cliquez sur « User Manager »

Dans notre cas, nous voulons ajouter un utilisateur, rester donc dans l’onglet « User »

Pour rajouter un User, cliquez sur « Add »

Dans le champs « Username », entrez ce qui sera le login du compte

Dans le champs « Password » , entrez ce qui sera le mot de passe, puis retapez le une fois pour confirmer

Si vous le pouvez, dans le « full name », entrez le nom et prénom de l’utilisateur

Cochez la case «  click to create a user certificate », ce qui va permettre de chiffrer la communication entre pfsense et le client. C’est le minimum niveau sécurité

Ensuite faite defiler vers le bas, et cliquer sur « save »

Votre compte utilisateur a maintenant été créé dans la base de données local de pfsense, nous pouvons donc passer à l’activation du portail par authentification local

Activer le portail par authentification local

Allez maintenant dans l’onglet, en haut, « Service », puis « captive portal »

Cliqué sur « add » pour en ajouter un

Dans « zone name », nommez votre portail en suivant les critères de nommage

Puis cliquer sur « Save et continue »

Puis la, nous retrouvons la même page que pour créer un portail sans authentification,

Ici, ce qui va changer, c’est que dans le champs « authentification method » , nous allons cocher « Local User Manager / Vouchers »

Ensuite, dans « Portal page contents », sélectionné un fichier PHP adaptée à l’authentification par user,

Puis cliquez sur « save »

Voilà vous avez maintenant en place un portail captif avec authentification local

5.2.3 mettre en place un portail captif avec authentification LDAP/AD

Solution par serveur AD/RADIUS

Contexte

L’intérêt de mettre en place un portail avec authentification par Active Directory, permet une authentification avec une base de données qui centralise tous nos utilisateurs, cette solution s’applique plus lorsqu’on a un grand nombre de personne à gérer. Pour que notre pfsense puisse communiquer avec notre AD, il faut mettre en place un serveur RADIUS, qui lui joueras l’intermédiaire entre le serveur AD et le serveur pfsense. C’est un élément indispensable à la communication entre l’AD et pfsense. Cela permet toujours d’avoir le contrôle de la bande passante, du flux entrant/sortant et une traçabilité de l’utilisateur, par les logs, se connectant sur notre réseau, et de pouvoir mettre une identité sur une simple ip ou adresse MAC.

Prérequis

Pour mettre en place un portail captif avec authentification AD/RADIUS, nous aurons besoins :

-d’un serveur avec Windows server 2008 r2 ou 2012 r2

-ajoutez les rôles NPS (radius) et AD DS (active directory) au serveur

-notre serveur/proxy pfsense

-un poste client

Création d’un groupe de sécurité dans l’AD

Avant de configurer notre serveur Radius, nous devons créer un groupe qui contiendra plusieurs utilisateurs, dans notre AD, pour que ensuite on puisse ajouter ce groupe dans le Radius

Aller dans le panneau de configuration, puis dans outils d’administrations

Cliquer sur l’outil « active directory utilisateurs et ordinateurs »

Une fois que l’outil est ouvert

Aller dans votre domaine, déroulez le, choisissez l’OU dans lequel vous voulez ajouter le groupe de sécurité, puis sur l’OU « Users » faites un clic droit, puis aller dans new et sélectionnez « group »

Une fenêtre s’affiche, et nous demande d’entrer le nom du groupe puis cliquez sur « ok »

Une fois que notre groupe est créé, il va falloir mettre des utilisateurs dedans,

Nous allons donc crée un utilisateur dans l’AD

Retournez dans votre domaine, déroulez le, choisissez l’OU dans lequel vous voulez ajouter le nouvel utilisateur, puis sur l’OU « Users » faites un clic droit, puis aller dans new et sélectionnez « user »

Une fois l’utilisateur crée, retournez dans votre groupe de sécurité, cliquez droit dessus et sélectionnez « properties »

Allez dans l’onglet « members » et cliquez sur add, dans le champs blanc, taper le nom de l’utilisateur que vous avez créé, cliquez sur « check name » pour qu’il vérifie dans l’ad que le compte existe bien.

Cliquez sur OK

Notre utilisateur a été rajouté dans le groupe de sécurité que nous venons de créer

Nous pouvons maintenant configurer notre serveur Radius

Configuration du Radius

Pour ajouter un nouveau client Radius,

Allez dans le panneau de configuration, puis dans outils d’administration

Cliquez sur l’outil « serveur NPS »

Une fenêtre s’ouvre :

Déroulez le dossier « clients et serveurs RADIUS », et faite un clic droit sur « client RADIUS » puis cliquez sur nouveau

Une nouvelle fenêtre s’ouvre

- Cocher 'Activer ce client RADIUS'

- Donner lui un nom (comme exemple ci-dessus)

- Saisissez l'adresse IP sur laquelle est connecté le serveur RADIUS ou le nom DNS de notre pfsense

- Ajoutez un 'Secret partagé' qui sera partagé par le client et le serveur RADIUS pour pouvoir crypter les messages

- Cliquer sur 'OK'

Création d'une nouvelle stratégie réseau :

Dans notre exemple, nous allons autoriser un groupe de sécurité à s'authentifier sur le serveur RADIUS.

- Allez dans 'NPS (Local)'

- 'Stratégies'

- 'Stratégies réseau'

- Clic droit 'Nouveau'

Mettre un nom à la stratégie

Cliquez sur suivant

Sélectionner Groupes d'utilisateurs

Cliquer sur Ajouter

Cliquez sur « ajouter des groupes », puis dans le champs libre, mettez le nom du groupe de sécurité que nous avons créé dans l’AD et dans lequel nous avons ajouté un utilisateur précédemment.

Retournez dans l’outil NPS, puis dans la fenêtre de gauche, cliquez droit sur « NPS (local) »

Là, une fenêtre s’ouvre, décochez la case « Rejected authentication request » car sinon il refusera toute les demandes d’authentification de nos client radius

Ensuite, toujours dans la même fenêtre, aller dans l’onglet « ports »,

Vous avez la, deux champs affichant 2 port chacun par defaut,

Vous avez le champ « Authentification » qui concerne le port d’authentification (1812,1645) par défaut

Vous avez le champ « Accounting » qui concerne le port de connexion de comptes (1813,1646) par défaut

Dans notre cas, nous allons supprimer le port 1812 dans « authentification » et le port 1813 dans « Accounting ».

Cliquez sur OK

Notre serveur Radius est maintenant configuré correctement et nous pouvons donc allez dans notre portail web pfsense, pour configurer l’authentification Radius.

Configuration de notre portail captif

Allez sur l’interface Web de pfsense,

Allez dans l’onglet System puis User Manager, dans cette fenêtre, selectionnez l’onglet « authentification Servers »,

Puis cliquez sur add

Donnez le nom que vous voulez à votre serveur,

Dans « type », selectionnez « radius »

Ensuite dans « hostname or IP address », entrez l’ip de votre serveur radius

Puis entrez le secret partagé que nous avons créé précédemment dans notre configuration du client Radius

Dans Service Offered, laissez selectionné « authentification and accounting »

Dans « authentification port », entrez le port qui se trouvait dans le champs authentification de notre serveur radius, dans notre cas , ce sera le 1645

Pareil pour Accounting port, qui sera le 1646

Puis cliquez sur Save

Allez maintenant dans l’onglet, « Service », puis « captive portal »

Cliqué sur « add » pour en ajouter un

Dans « zone name », nommez votre portail en suivant les critères de nommage

Puis cliquer sur « Save et continue »

Puis la, nous retrouvons la même page que pour créer un portail sans authentification,

Ici, ce qui va changer, c’est que dans le champ « authentification method », nous allons cocher «RADIUS Authentication»,

Puis il va vous proposer plusieurs choix d’encryption, selectionné celui que vous avez configuré dans votre serveur radius, dans notre cas, cela va être « PAP »

Allez maintenant dans « Primary Authentication Source »

Dans le champs « Primary RADIUS server », il y a trois colonnes, dans la première, il faut saisir l’ip de notre serveur RADIUS , sur la deuxième colonne, comme nous avons changé le port de authentification, on saisit le port 1645, vous pouvez ne rien mettre dans la case si vous n’avez pas changer le port par défaut, et dans la troisième colonne, saisissez le secret partagé qu’on vous a proposé de saisir précédemment lors de l’installation de notre client radius. Dans notre cas, le secret partagé est « pfsenseroot »

Si vous avez d’autre serveurs radius, veuillez indiquer les informations correspondantes à ces serveur. Nous n’en avons pas mis dans notre cas.

Ensuite dans le champ « Accounting »

Cochez la case Send RADIUS accounting packets to the primary RADIUS server,

Ensuite mettez le port accounting, qui est, comme vu, precedemment,1646

Puis dans Accounting Updates, pour notre part , nous avons cocher « no update »

Faite défiler en bas jusqu’à Portail page contents, sélectionner un fichier PHP adaptée à l’authentification par user et mot de passe,

Puis cliquez sur « save »

Voilà vous avez maintenant en place un portail captif avec authentification AD/RADIUS

LDAP

5.2.3.4 contexte

L’intérêt de mettre en place un portail avec authentification par Serveur ldap, permet une authentification avec une base de données qui centralise tous nos utilisateurs, cette solution s’applique plus lorsqu’on a un grand nombre de personne à gérer et en plus elle est gratuite (idéale quand on a pas de budget à consacrer au SI). Pour que notre pfsense puisse communiquer avec notre serveur ldap, il faut mettre en place un serveur RADIUS (freeRadius), qui lui joueras l’intermédiaire entre le serveur ldap et le serveur pfsense. C’est un élément indispensable à la communication entre le serveur ldap et pfsense. Cela permet toujours d’avoir le contrôle de la bande passante, du flux entrant/sortant et une traçabilité de l’utilisateur, par les logs, se connectant sur notre réseau, et de pouvoir mettre une identité sur une simple ip ou adresse MAC.

5.2.3.5 prérequis

Pour mettre en place un portail captif avec authentification LDAP, nous aurons besoins :

-d’un serveur Ubuntu server LTS 16.04 (installez dessus les paquets Apt de webmin)

-notre serveur/proxy pfsense

-un poste client

Installation d’une interface Web sur ubuntu server

L’interface Web va nous permettre de configurer, administrer notre serveur mais de façon plus intuitif car nous allons utiliser une interface graphique sur le serveur qui sera accessible par le web , depuis un client dans le même reseau que le serveur ubuntu

Allons dans notre interface web en tapant depuis le navigateur d’un poste client

http://ip_du_serveur:10000/

identifiez-vous avec votre compte utilisateur que vous utilisez actuellement pour vous connecter sur ubuntu avec le même mot de passe

Ensuite vous avez donc une page ressemblant à ça

Nous allons maintenant pouvoir installer les paquets necessaire pour qu’on puisse faire du ldap

Aller dans la fenêtre de gauche proposant plusieurs catégorie à dérouler,

Nous allons aller cliquer sur « Un-used Modules »

Puis recherchez dans les propositions déroulées « LDAP server »

Cliquez dessus et installer les paquets, attendez que l’installation se fasse et se termine correctement

Puis vous aurez cette page qui s’affichera

On va commencer par aller sur « OpenLDAP Server Configuration »

Dans le champs Root DN for LDAP database , nous allons remplacer le « nodomain » par le nom de notre domaine

Exemple : dc=chocolat

Ensuite dans le champ Administration login DN, dans dc=nodomain on le remplace également par le nom de notre domaine mais uniquement le dc=nodomain

Ensuite cliquer sur sauvegarder

Maintenant aller sur « create tree » pour pouvoir créer nos OU

Vous avez maintenant une fenêtre qui s’affiche, ou vous devez saisir le nom de votre OU qui contiendra vos users

Et en dessous, après « dc= » effacez ce qu’il y’a d’écrit , et remplacer par le nom de domaine de votre serveur que vous avez configurez précédemment

Laisser cocher les cases déjà cocher par defaut, puis cliquez sur le bouton « créer »