Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée

Introduction Geacuteneacuterale1

Chapitre I Eacutetude du portail captif Alcasar2

Introduction3

1-Eacutetude de principales solutions de portails captifs4

11Solution ZeroShell4

12Solution Pfsense6

2-Eacutetude technique de la solution Alcasar8

2-1La passerelle Coova-Chill9

2-2Serveur FreeRadius10

2-3Annuaire ADLDAP10

2-4Traccedilabiliteacute des connexions UlogSquid11

2-5Filtrage11

2-5-1Antivirus Web HAVP11

2-5-2Filtrage de domaines11

3-Maintenance et Sauvegarde DAlcasar11

3-1 Watchdog12

3-2 Bypassing du portail captif12

3-3 Sauvegarde du systegraveme12

3-3-1Sauvegarde globale Dalcasar12

3-3-2Sauvegarde des fichiers logs12

3-3-3Sauvegarde de la BD12

Chapitre II Installation et exploitation DAlcasar14

Introduction15

1-Installation DAlcasar16

1-1MaquettagePlan dadressage16

1-2Ressources mateacuteriel17

1-3Ressources logiciels17

1-4Installation du script alcasarsh sur Mandriva17

2-Exploitation DAlcasar21

2-1Gestion des eacutequipements et usagers22

2-1-1Cohabitation avec lannuaire Active Directory24

2-2Filtrage du flux reacuteseau et Web27

2-3FirewallEyes29

2-4Veacuterification des logs de sessions30

2-5Administration agrave distance seacutecuriseacutee32

2-5-1Administration en mode texte32

2-5-2Administration en mode graphique via ssh32

2-5-3Geacuteneacuteration dune clef publiquepriveacutee pour le ssh33

3-Mise agrave jour et reacuteinstallation du portail33

4-Commandes et scripts utiles34

Introduction Geacuteneacuterale

La solution de portail captif devient de plus en plus populairevu quelle facilite lrsquoaccegraves agrave Internet aux utilisateurs ayant de connaissances basiques en informatique dune faccedilon plus au moins seacutecuriseacutee mais surtout facile agrave entamer et surtout que cette derniegravere ne repose pas que sur le faite de srsquoidentifier comme passerelle internet mais aussi de jouer le rocircle de la traccedilabiliteacute des connexions des utilisateurs ainsi de leur obliger imposer quelques regravegles de restrictions quon verra durant ce rapport

Avant lapparition de cette issue les reacuteseaux sans fils comportaient toujours des clefs de seacutecuriteacute WEP ou WPA de longues tailles que lusager devait avoir pour pouvoir acceacuteder agrave Internet chose qui rend la tacircche difficile parfois vu que la clef dauthentification comporte dans la plus part du temps un code assez compliqueacute agrave saisir drsquoougrave vient lideacutee du portail captif qui regravegle le problegraveme de seacutecuriteacute et de complexiteacute des codes WEP et surtout WPA

Dans ce rapport lagrave on trouvera un comparatif des solutions les plus reacutepandues ainsi quune eacutetude deacutetailleacutee du portail captif en lrsquooccurrence dAlcasarcest dans ce concept que se deacuteroulera les diffeacuterentes parties de cette eacutetude que ccedila soit sur le plan pratique ou theacuteorique

Chapitre I Eacutetude du portail captif Alcasar

Dans ce chapitre on verra une petite eacutetude comparative des portails captifs les plus utiliseacutes ces derniegraveres anneacutees agrave linstar de PfSense et ZeroShell deux produits qui sont diffeacuterents lun de lautre

On srsquoarrecirctera aussi sur les points forts et faible de chaque portail surtout sur la gestion de logs chose tregraves importante dans ladministration dun reacuteseau

Une eacutetude approfondie DALCASAR sera traiteacutee vu que cest le thegraveme de ce rapport qui dressera toutes les composantes incorporeacutees dans ce dernier que ccedila soit dans la gestion des utilisateurseacutequipements ou mecircme de la sauvegarde un point fort de ce produit

Ce chapitre sera une sorte dinitiation agrave la partie pratique qui neacutecessite une compreacutehension du fonctionnement DALCASAR afin de pouvoir limpleacutementer en toute quieacutetude et pouvoir confronter tout problegraveme apregraves ou durant linstallation et ceci via une bonne analyse des fichiers de logs

Ceci dit une bonne maicirctrise du coteacute theacuteorique de ce portail captif facilitera de tracer un diagnostic afin de deacutetecter tout dis-fonctionnement

Quel fichier log consulter

La reacuteponse est dans tout le chapitre

1-Eacutetude des diffeacuterentes solutions de portails captifs

11 Solution ZeroShell

ZeroShell est carreacutement une distribution Linux qui vient jouer en gros le rocircle dune passerelle entre le reacuteseau Lan et Wan par contre celle-ci ne comprend pas par deacutefaut dautres fonctionnaliteacute telles que le pare-feu ou le proxy qui peuvent ecirctre ajouter par apregraves

Processus dauthentification

ZeroShell utilise deux mode dauthentification que ccedila soit via un serveur Radius ou soit via sa base dutilisateurs locales

Ce portail captif possegravede bel et bien un systegraveme de logs qui trace tout le flux passant par ZeroShell avec une bonne gestion de ces derniers qui nest pas du tout neacutegligeable tout en ayant un export manuel de logs ainsi quune bonne gestion de la sauvegarde de logs

Une bonne interface de gestions de logs

12 Solution Pfsense

Pfsense est une distribution baseacutee sur LinuxFreeBSD qui agrave pour but dassurer les fonctions dun routeur et pare-feuapreacutes vient le rocircle que joue cette distribution en tant que portail captif ou load balancer avec des services telles que dhcpdns


Comme eacutevoqueacute dans ZeroShell pfsense permet aussi de se loger via un couple loginmdp soit en ayant une base de donneacutees locale ou bien via un serveur Radius qui est fait dans la plus part du temps

Une des fonctionnaliteacute les plus remarqueacutees de ce portail cest quun compte ne peut guerre ecirctre utiliseacute par deux personnes en mecircme temps ainsi que le personnalisation de son interface graphique sest aveacuterer vraiment limpide est agrave la porteacutee de tout le monde

Le systegraveme de logs de Pfsense trace ces derniers de la maniegravere suivante

Nom du compte===gtAdresse Mac===gtAdresse Ip

Un log de firewall est aussi preacutesent celui ci log tout il faut du wireshark du pure sniffing

Malheuresement le filtrage dadresse ny est pas par deacutefaut celui ci est accompagneacute quand SquidGuard est installeacute

2-Eacutetude technique de la solution Alcasar

Alcasar fut deacuteveloppeacute en 2008 est un projet indeacutependant et libre connu en tant que portail captif alors que ce dernier integravegre une armada de services quon verra par la suite qui passent inaperccedilu pour lutilisateur le seul inconveacutenient de cette solution cest quelle doit ecirctre installeacute sur une Mandriva une solution dite la plus seacutecuriseacutee surtout apreacutes la sortie de sa derniegravere version qui a bien corrigeacute quelques failles comme lusurpation drsquoidentiteacute via ladresse MAC

Scheacutema de principe

On note qualcasar se compose de 4 parties importantes qui font de lui un portail complet par la suite je deacutetaillerai ces fonctions

-La passerelle Coova-chilli DHCP

-Filtrage HAVP Antivirus ClamavDansguardian

-Log de connexions SquidUlog

-Authentification FreeradiusMysql

Voici en revanche un scheacutema englobant toutes les composantes dalacasar

2-1 La passerelle Coova-Chilli

Le cœur du portail captifcest la redirection de tout le flux web vers la page dauthentification afin que lutilisateur puisse acceacuteder au reacuteseau Internet

Cest un deacutemon lanceacute en mode standalon ayant le fichier de config etcchilliconf ce dernier a une particulariteacute cest quil creacutee une interface virtuelle tun0 lieacute point agrave point agrave linterface de sortie eth1 qui a pour but de bloqueacute toute attaque arp poisoning en ayant sa propre table ARP qui sert agrave verrouiller le couple MACIP ce qui est nommeacute Anti cache-poisonning Watchdog vient aussi pour combler cette faille et la rendre impossible agrave exploiter

Pour que coova laisse identifie les utilisateurs une connexion implicite est eacutetablie entre ce dernier et radius les parameacutetres de cette connexion sont deacutefinies dans le fichier etcraddbclientconf et aussi dans le fichier etcchilliconf en utilisant les directives hs_radius hs_radius2 hs_secret

NB Coova-chilli peut laisser des trames transiter sans authentifcation agrave conditions que ces dernieacuteres soient des trames pour la mise agrave jour de clamav ou HAVP ou des patches systeacutemes

2-2 Serveur FreeRadius

Le deacutemon Radiusd est utiliseacute comme annuaire dutilisateurs et cest par le biais de ce dernier que les usagers sauthentifient par deacutefaut radius utilise la table user stockeacute dans mysql autrement dit il sappuie sur les fichiers sqlconf et clientsconf pour les parameacutetres SQL

On retrouve les noms des tables constituant la base de donneacutee de Radius afin de mieux assimiler le fonctionnement de cette base

2-3 Annuaire ADLDAP

FreeRadius pourrait bel et bien interroger un annuaire dutilisateurs que ccedila soit Active Directory de Windows Server ou bien openLdap par exemple agrave condition que la directive ldap soit de commenteacute du fichier concerneacute soit etcraddbmodulesldap vu que cette derniegravere est commenteacutee par deacutefaut

Par ailleurs il est possible de tester la liaison agrave partir du serveur dalcasar vers un serveur Ldap en tapant la commande suivante

3-Maintenance et Sauvegarde DAlcasar

3-1 Watchdog

Ceci est un script qui tourne dans la table du cron et qui srsquoexeacutecute toutes les trois minutes qui agrave pour but soit drsquoeacuteradiquer le risque lieacutee agrave lusurpation de ladresse Mac dun utilisateur ou une modification de la page WEB en cas de problegraveme de connectiviteacute agrave noter que le script est alcasar-watchdogsh

3-2 Bypassing du portail captif

Au cas ou un problegraveme ai lieu dans la paserelle coova-chilli il est toutefois possible de court-circuiter lauthentification agrave laide du script alcasar-bypass -on pour remettre en marche le module dauthentificationalcasar-bypass -off

3-3 Sauvegarde du systegraveme

Alcasar dispose de trois modes de sauvegardeSauvegarde complegravete du systegravemesauvegarde de la base de donneacuteessauvegarde des logs

3-3-1 Sauvegarde globale du systegraveme

Alcasar est doteacute dun tregraves bon systegraveme de sauvegarde en donnant la possibiliteacute de ghoster carreacutement tout le systegraveme via linterface web dadministration et agrave chaud en plus alors que le portail captif tourne

Une fois la sauvegarde termineacutee celle ci est mise dans le fichier varSaveISO

3-3-2 Sauvegarde des fichiers logs

A laide de logrotate les logs du firewall de squid sont rotateacutes chaque semaine ainsi ces logs sont copieacutes dans le reacutepertoire varSavelogs via le script alcasar-log-exportsh

Le script alcasar-log-cleansh agrave son tour est lanceacute chaque semaine pour

effacer tous les fichiers dont la date systegraveme est supeacuterieure agrave 365jours

3-3-3 Sauvegarde de la base de donneacutees

Via le script alcasar-mysqlsh-dumptoutes les semaines la base de donneacutee est exporteacutee puis sauvegardeacutee dans le reacutepertoire varSavebase$db_radium$datesql Ces sauvegardes sont teacuteleacutechargeables via linterface graphique

Chapitre II Installation et exploitation du portail

Captif Alcasar

Introduction

Dans ce chapitre on verra la proceacutedure agrave suivre afin dinstaller le portail captif Alcasar dans un premier lieu et quesqursquoil faudrait au preacutealable pour le mettre en place soit sur le coteacute Hardware ou Software

Alcasar est un logiciel libre qui fut deacuteveloppeacute en 2008 par des franccedilais ce dernier agrave derriegravere lui une grande communauteacute le soutenant qui ont ressorti une tregraves bonne documentation deacutetailleacutee et surtout intelligible

Une exploitation pas agrave pas serait aussi deacutecrite dans ce chapitretoutes les fonctionnaliteacutes en deacutetails comment en profiter et surtout agrave quoi bon les utiliseacuteesce produit qui respecte totalement toutes les lois franccedilaises est doteacute dune bonne strateacutegie de sauvegarde quon eacutevoquera par la suite

Un exemple de plan dadressage sera aussi dresseacute afin de savoir comment ladapter avec son propre adressage lors du deacuteploiement de ce projet son bon meacutecanisme dauthentification qui est bel et bien seacutecuriseacutee fait de lui sa speacutecificiteacute par rapport aux autres solutions tout en ayant une page drsquoaccueil tregraves commode vu quelle ne permet pas que de se connecter ou de se deacuteconnecter mais aussi la possibiliteacute dinteacutegrer rapidement le certificat de seacutecuriteacute dans le navigateur concerneacute deacutes leurs premiegraveres connexions

Comme dit le seule problegraveme de ce produit cest quil devrait ecirctre installeacute sur une Mandrivaapregraves avoir essayeacute de ladapter dans une Fedora ce fut sans succegraves pour moi donc jai finit par lrsquoimpleacutementer dans une Spring Dual2010

1-Installation DAlcasar

1-1MaquettagePlan dadressage

Ladressage par deacutefaut dalcasar est de classe C avec

IP Alcasar pour le lan sur linterface Eth1192168182124

Nombres de machines maximum 252

Masque reacuteseau 2552552550

Serveurs DNS 1921681821

Un exemple en classe B est aussi proposeacutee

IP Alcasar sur linterface Eth1172160126

Nombres de machines maximum65536


Serveur DNS1721601

Dans mon cas jai laisseacute ladressage par deacutefaut soit celui de la classe C voici

Par ailleurs le scheacutema de la maquette utiliseacutee

NB A noter quil devrait pas y avoir ni de serveur DHCP ni de serveur DNS dans le reacuteseau local Alcasar qui comprend tout

1-2 Ressources mateacuteriel

Dans mon cas jai utiliseacute un pc bureau doteacutes de deux cartes reacuteseaux eth0 et eth1 avec une RAM de 2go et un disque dur de 60Goalcasar ne demande pas trop de ressources mateacuteriels sauf si contrainte de grande structure qui obligera surtout agrave avoir une bonne capaciteacute de disque dur pour pouvoir stocker tous les logs sinon vu quil ne ya pas dinterface graphique ce dernier ne demande pas trop de meacutemoire vive ou dun processeur puissant que ccedila soit un 32 bits ou 64bits les deux passent dans tous les cas cest pas du Windows

1-3 Ressources logiciels

Le seule logiciel exigeacute par Alcasar est la distribution de Linux Mandriva quelle que soit sa version le portail captif sappuie sur cette derniegravere il faut toutefois comment par linstaller avant dattaquer le script alcasarsh

1-4 Installation du script alcasarsh sur Mandriva

Jai pas voulu eacutevoquer linstallation de Mandriva car celle ci est limpideen revanche jai travailleacute sur une SPRINGDUAL 2010 teacuteleacutechargeable depuis ftpftpfreefrpubDistributions_LinuxMandrivaLinuxofficialiso20101mandriva-linux-free-2010-spring-dualiso

Toutefois il faudrait commencer par teacuteleacutecharger larchive alcasar-25targz puis

Deacutesarchiver larchive puis acceacuteder au reacutepertoire

Et on exeacutecute le script pour proceacuteder agrave linstallation qui dura quelques minutes selon le deacutebit de la connexion

Apregraves le lancement du script Alcasar teste les parameacutetreacutees reacuteseaux

et demande agrave ce que les deux interfaces eth0 et eth1 soient brancheacute et que le

fichier de configuration deth0 ai une ip comme sinon notre fameux serveur nous affiche un eacutecran de ce genre

Comment y remeacutedier

Renseigner les champs adeacutequats avec la configuration requise

Apregraves veacuterification des paramegravetres reacuteseau et que le serveur est connecteacute agrave internet il se met agrave teacuteleacutecharger une centaines de paquets tel que (squid php-mysqlcoova-chillidansguardian)

Pour finir Alcasar demande agrave faire rentrer quelques informations

Le compte soit disant root du portail captif

Lrsquoeacutecran de la fin de linstallation

-Quelques problegravemes rencontreacutees sur quand linstallation fut sur une Vbox

Quand on mets une Mandriva avec deux cartes reacuteseaux dans une Vmware un problegraveme est souvent rencontreacute cest celui lappellation des interfaces on retrouve eth1 et eth6 par exemple or Alcasar impose agrave que ccedila soit eth0 et eth1 alors comment remettre les compteurs agrave Zero

On devrait reacutegler le problegraveme poseacute par udev plus preacuteciseacutement dans le fichier

etcudevrulesd70-persistent-netrules qui se preacutesente comme suit

3-Mise agrave jour et reacuteinstallation du portail

Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Introduction3

12Solution Pfsense6

2-5Filtrage11

3-1 Watchdog12

Introduction15

2-3FirewallEyes29
















12 Solution Pfsense


























2-3 Annuaire ADLDAP




3-1 Watchdog
















Captif Alcasar

Introduction

















Serveur DNS1721601



























Documents

Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée