Mise en Place D'un Hostpot Mikrotik [PDF]
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE DEDICACE
40 1 2MB
Papiere empfehlen
![Mise en Place D'un Hostpot Mikrotik [PDF]](https://vdoc.tips/img/200x200/mise-en-place-dx27un-hostpot-mikrotik.jpg)
- Author / Uploaded
- Clorine Aguekeng
Datei wird geladen, bitte warten...
Zitiervorschau
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
DEDICACE
Nous dédions ce présent rapport aux membres de nos différentes familles, qui ont toujours été là pour nous soutenir tout au long de nos études et qui nous ont toujours donné un magnifique modèle de labeur et de persévérance. Nous espérons qu’elles trouveront dans notre travail toute notre reconnaissance et tout notre amour.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
i
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
REMERCIEMENTS
Nous remercions très sincèrement :
M. KOUTANG Thierry, directeur général d’INFOGENIE TECHNOLOGIES, pour nous avoir acceptés dans son entreprise ;
Ing NDASSI Accel, notre superviseur académique, pour ses encouragements, sa disponibilité et ses remarques pertinentes et enrichissantes ;
Les encadrants d’INFOGENIE en particulier Mme TENE LINDA, du département de Supervision ; notre maître de stage grâce à qui ce stage a été possible à INFOGENIE et pour ces précieux apports, sa sincérité et sa disponibilité ;
Nos amis qui nous ont toujours soutenus dans nos différentes tâches ;
Mes camarades d'école avec qui nous avons passé tout ce temps à l'Institut polytechnique de BANSOA pour leur collaboration ;
En enfin nous rendons grâce à DIEU TOUT PUISSANT qui nous a permis de tenir jusqu’à ce jour.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
ii
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
TABLE DES MATIERES
DEDICACE................................................................................................................................ i REMERCIEMENTS ................................................................................................................ ii TABLE DES MATIERES ...................................................................................................... iii LISTE DES FIGURES............................................................................................................. v LISTE DES TABLEAUX ....................................................................................................... vi LISTE DES ABREVIATIONS ............................................................................................. vii RESUME ................................................................................................................................ viii ABSTRACT ............................................................................................................................. ix INTRODUCTION GENERALE ............................................................................................ 1 CHAPITRE1 : ACCUEIL ET PRESENTATION DE L’ENTREPRISE ........................... 2 I-
Accueil et présentation D’INFOGENIE ......................................................................... 2
1.
Accueil ............................................................................................................................ 2
2.
Présentation de la structure d’accueil .............................................................................. 2 a.
Historique .................................................................................................................... 2
b.
Mission ........................................................................................................................ 3
c.
Organisation de la structure ......................................................................................... 4
d.
Plan de localisation ...................................................................................................... 6
II-
Déroulement du stage .................................................................................................. 6
CHAPITRE 2 : CAHIER DE CHARGE ............................................................................... 8 I-
Présentation du projet et contexte ................................................................................... 8
1.
Présentation du projet ...................................................................................................... 8
2.
Contexte .......................................................................................................................... 8
II-
Etude de l’existant et Critique de l’existant................................................................. 9
1.
Etude de l’existant ........................................................................................................... 9 a.
Présentation de l’infrastructure matériel...................................................................... 9
b.
Présentation de l’infrastructure logiciel ..................................................................... 10
III-
Problématique ............................................................................................................ 11
IV-
Objectifs atteindre...................................................................................................... 12
V-
Etude financière et organisation du projet pour une petite entreprise ....................... 13
1.
Etude financière............................................................................................................. 13
Rédigé par TCHETCHOUA WATCHEJO Hilaire
iii
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
CHAPITRE 3 : IMPLEMENTATION DE LA SOLUTION ............................................. 14 1.
Généralités sur le portail captif ..................................................................................... 14 a.
Définition ................................................................................................................... 14
b.
Fonctionnement général des portails captifs ............................................................. 15
2.
Généralités sur le serveur proxy .................................................................................... 16 a.
Définition ................................................................................................................... 16
b.
Fonctionnement général des serveurs proxy ............................................................. 16
2.
Etudes comparatives des différentes solutions .............................................................. 17 a.
Portail captif .............................................................................................................. 17
b. Serveurs proxy .............................................................................................................. 20 3.
Choix d’une solution adéquate ...................................................................................... 26
I-
Présentation détaillée de la solution .............................................................................. 26
1.
MIKROTIK ................................................................................................................... 26 a.
Généralité sur la technologie MIKROTIK ................................................................ 26
b- Outils d’administration de MIKROTIK ....................................................................... 27 II- Le SQUID ..................................................................................................................... 29 a.
Généralité sur le SQUID ............................................................................................ 29
b.
Principe de fonctionnement du SQUID ..................................................................... 30
III-
Réalisation du projet .................................................................................................. 31
1.
Matériel et architecture réseau requis ............................................................................ 31
2.
Configuration des services à déployer .......................................................................... 32 a.
Configuration du portail captif .................................................................................. 32
b.
Renommer les interfaces ........................................................................................... 33
c.
Adressage des interfaces ............................................................................................ 34
d.
Configuration DHCP ................................................................................................. 35
e.
Configuration du NAT............................................................................................... 38
f.
Configuration du hotspot ........................................................................................... 39
g.
Configuration du serveur RADUIS ........................................................................... 40
CONCLUSION GENERALE ............................................................................................... 48
Rédigé par TCHETCHOUA WATCHEJO Hilaire
iv
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
LISTE DES FIGURES Figure 1 : Organigramme D'INFOGENIE (SOURCE ARCHIVE D'INFOGENIE) ................. 4 Figure 2 : Plan de localisation D'INFOGENIE (SOURCE : ARCHIVE D'INFOGENIE) ........ 6 Figure 3 : Architecture réseau D'INFOGENIE .......................................................................... 9 Figure 4 : fonctionnement général d'un portail captif (source Google images) ...................... 15 Figure 5 : image PFsense ......................................................................................................... 18 Figure 6 : ALCASAR ............................................................................................................... 18 Figure 7 : Image Varnish .......................................................................................................... 21 Figure 8 : Image TINYPROXY ............................................................................................... 21 Figure 9 : Présentation de l'interface de Winbox (source : captured’ecran) ............................ 28 Figure 10 : Présentation de l'interface de Winbox avec détection des routeurs (source : capture d’écran)..................................................................................................................................... 29 Figure 11 : Architecture réseau standard d'implantation de la solution (source : capture d’écran)..................................................................................................................................... 31 Figure 12 : Renommer les interfaces du routeur (source : capture d'écran) ............................. 34 Figure 13 : Adressages des interfaces (source : capture d'écran) ............................................. 34 Figure 14 : Configuration DHCP client (source : capture d'écran) .......................................... 35 Figure 15 : Configuration DHCP serveur (source : capture d’écran)....................................... 36 Figure 16 : Configuration DHCP serveur avec choix d'interface (source : capture d’écran) ... 36 Figure 17 : Configuration DNS (source : capture d’écran) ...................................................... 37 Figure 18 : Fin configuration DHCP serveur (source : capture d’écran) ................................. 37 Figure 19 : Configuration du NAT (source : capture d’écran) ................................................. 38 Figure 20 : Configuration Hotspot (source : capture d’écran) ................................................. 39 Figure 21 : Configuration du serveur RADIUS (source : capture d’écran) ............................. 41 Figure 22 : Création d'un utilisateur (source : capture d’écran) ............................................... 42 Figure 23 : Architecture minimal d’implémentation d’un serveur RADIUS ........................... 43 Figure 24 : Page par défaut du hotspot ..................................................................................... 44
Rédigé par TCHETCHOUA WATCHEJO Hilaire
v
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
LISTE DES TABLEAUX Tableau I : Organigramme D'INFOGENIE (SOURCE ARCHIVE D'INFOGENIE) ............... 5 Tableau II : Phase du stage ......................................................................................................... 7 Tableau III : Systèmes d'exploitation utilisé à INFOGENIE ................................................... 10 Tableau IV : Services installés ................................................................................................. 11 Tableau V : Coûts d'implémentation ........................................................................................ 13 Tableau VI : Comparaisons des différentes solutions de portail captif (source : ccmarche.net) .................................................................................................................................................. 20 Tableau VII : Comparaisons des différentes solutions du serveur proxy (source : ccmarche.net) ........................................................................................................................... 24 Tableau VIII : Équipements réseau nécessaire pour la solution et caractéristiques techniques .................................................................................................................................................. 31
Rédigé par TCHETCHOUA WATCHEJO Hilaire
vi
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
LISTE DES ABREVIATIONS AP : Access Point CARP: Common Address Redundancy Protocol CPU : Central Processing Unit DHCP : Dynamic Host Configuration Protocol DMZ : Demilitarized Zone DNS : Domain Name Service FAI : Fournisseur d'Accès à Internet FTP: Foiled Twisted Pair HTML: HyperText Markup Language HTTP: HyperText Transfer Protocol HTTPS: HyperText Transfer Protocol Security IAI : Institute Africain d’Informatique IP : Internet Protocol LAN: Local Area Network MAC: Medium Access Control NA3: Network Access Server NAT: Network Address Translation NFS: Network File System NTP: Network Time Protocol PHP: Hypertext Preprocessor PPTP: Point-to-Point Tunneling Protocol RADIUS: Remote Authentication Dual-In User Service RAM: Random Access Memory SSH: Secure Shell SSL: Secure Sockets layers STP: Shielded Twisted Pair TCP: Transfer Control Protocol UDP: User Datagram Protocol UTP: Unshielded Twisted Pair VPN: Virtual Private Network WAN: Wide Area Network WIFI: Wireless Fidelity
Rédigé par TCHETCHOUA WATCHEJO Hilaire
vii
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
RESUME Ce rapport a été rédigé à la suite d’un stage académique effectué à INFOGENIE technologie durant la période du 02 Juin au 03 septembre 2018, à notre arrivé au sein de l’entreprise il nous a été présenté les différentes unités techniques que compte INFOGENIE à savoir : l’unité de maintenance informatique, l’unité de réseau et télécommunication et le support technique. Ainsi nous avons été amené à effectuer de diverses tâches au sein de la structure parmi lesquels : la configuration et l’installation d’un routeur MIKROTIK, le déploiement d’une liaison par fibre optique, installation des caméras, installations des interphones, configuration d’un hotspot avec gestion de la bande passante sur MIKROTIK qui est le thème sur lequel portait notre projet de fin d’étude donc nous avons eu à travailler. Ce qui nous a permis de faire plusieurs recherches concernant la technologie MIKROTIK et également de mettre en pratique l’enseignement reçu à l’ISPB. A travers ce stage nous avons pu toucher du doigt ou alors s’imprégner des réalités du monde professionnel qu’est l’entreprise mais aussi de faire une différence entre les enseignements théorie reçue en matière de télécoms et réseaux et la pratique faite en entreprise.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
viii
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
ABSTRACT This report was written following an academic internship at INFOGENIE Technology during the period from 02 June to 03 September 2018, At our arrival in the company we were presented the various technical units that INFOGENIE has to know: the computer maintenance unit, the network and telecommunication unit and the technical support. Thus we were led to carry out various tasks within the structure among which: the configuration and installation of a MIKROTIK router, the deployment of a fiber optic connection, installation of cameras, installation of the intercoms, configuration of a hotspot with bandwidth management on MIKROTIK which is the theme on which our end of study project focused so we had to work. This enabled us to do several researches concerning MIKROTIK technology and to put into practice the teaching received at the ISPB. Through this course, we were able to touch or immerse ourselves in the realities of the professional world of the enterprise but also to make a difference between the teachings theory received in the matter of telecoms and networks and the practice made in the company.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
ix
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
INTRODUCTION GENERALE A l’ère ou les technologies de l’information et de la communication (TIC) tendent à gouverner le monde par une croissance exponentielle de la naissance et de l’usage des outils mobiles de communication (ordinateurs portables et téléphones mobiles connectés à internet par les réseaux sans fil actuellement disponibles (Wi-Fi, 3G, etc.), des technologies réseaux. Cet engouement à l'utilisation des TIC impose une augmentation de l'offre des services Internet. En effet, bon nombre de cette population disposent aujourd'hui d'un appareil mobile (portable, PDA, Smartphone, ...) et souhaitent pouvoir accéder à Internet dans la majorité des lieux qu'ils fréquentent. Dans cette optique, l’expansion très rapide des points d'accès sans-fil permet la connexion des appareils nomades. Néanmoins chaque réseau possède sa politique d'accès et ne souhaite pas laisser n'importe qui y accéder aux ressources réseaux et plus particulièrement les ressources Internet qui sont très limitées. Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces réseaux qui doivent cumuler de multiples avantages. Ces avantages sont entre autres : une compatibilité avec la majorité des appareils mobiles du marché, une sécurité des échanges entre les clients et le reste du réseau, une plus grande transparence offerte à l'utilisateur aussi bien lors de la phase d'authentification que lors de l'utilisation du réseau, une réduction de l'impact au niveau des ressources matérielles et de la bande passante, etc. Face à ces enjeux, le portail captif s'est imposé comme une solution fréquemment utilisée dans les points d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou filaire) nécessitant un contrôle d'accès. INFOGENIE dispose d'un réseau informatique dont la gestion se complique avec la diversité et le nombre croissant des utilisateurs d'où la nécessité de mettre en place un portail captif. L'étude et la mise en place d'une telle solution sera effectuée dans sa première phase sur le réseau des stagiaires. Elle sera par la suite généralisée à tout le réseau D’INFOGENIE. Ce document synthétise nos travaux menés dans ce cadre et est organisé en quatre chapitres. Le premier chapitre de ce document présente la structure d'accueil, le thème d'étude ainsi que le contexte dans lequel s'inscrit le stage. Le deuxième chapitre est consacré à l'analyse du système informatique de la structure d’accueil ; ce qui permettra de l'évaluer afin de proposer une solution bien adaptée. L'étude générale des portails captifs fait l'objet du troisième chapitre ; ce qui nous permettra de choisir la solution à implanter. Le quatrième chapitre est consacré à l'étude technique de l'outil PFsense et le cinquième chapitre détaille la mise en œuvre pratique et technique de la fonction captive de PFsense.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
1
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
CHAPITRE1 : ACCUEIL ET PRESENTATION DE L’ENTREPRISE Introduction
INFOGENIE est une entreprise camerounaise de services et d’ingénierie informatique et télécoms basée à Yaoundé, exerçant
dans les domaines variés (internet,
infrastructures réseaux avec connexion filaires, sans fil et optiques, infrastructures de communication, technologies Mikrotik, solutions et matériels de vidéo surveillance, de sécurité et de géolocalisation).
I-
Accueil et présentation D’INFOGENIE 1. Accueil
La première semaine a INFOGENIE Technologie était réservée à la présentation de l’entreprise : le personnel, et a suivi un entretien qui consiste à nous expliquer brièvement la conduite à tenir au sein de l’entreprise ; les horaires de travail, la hiérarchie de la structure les différents services, les différents points internet que compte l’entreprise, les activités et les différents équipements utilises par la société et en fin l’octroi des encadrant professionnel. 2. Présentation de la structure d’accueil a. Historique INFOGENIE technologies SARL est une entreprise camerounaise de services et d’ingénierie d’informatique et télécommunication fondée en 200 à Yaoundé. Au départ cette structure ne disposait que d’une seule agence. Dans l’optique de l’élargissement de leur structure, les dirigeants a l’instar de M. KOUTANG Thierry ont décidés de mettre sur pieds d’autres agences dans la ville que : Essomba-net ; Essos-net ; Tsinga-net ; Rond-point-express-net ; Mvan-net ; Oyom-abang-net ; Ngoa-ekelle-net ; Nsimeyong_net ; Cradat-net ; Rédigé par TCHETCHOUA WATCHEJO Hilaire
2
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Carriere-net ; Polytechnique-net ; Biyamassi-net ; Tam-tam-net. Avec le siège de direction générale Nlongkak. INFOGENIE constitue aujourd’hui l’une des entreprises les plus connues et importantes dans la ville de Yaoundé. Elle détient de ce fait environ 55% de la part du marché de ladite ville. Leurs spécialités couvrent la conception, le dimensionnement, le pré câblage logique, l’installation et la mise en exploitation des réseaux de toute taille suivant les dernières normes de qualité et les standards les plus pointus. Cette activité s’étend au-delà de l’installation physique et de la mise en service pour concerner la sécurité, le déploiement des services tels que le partage des ressources, l’Internet, la messagerie électronique, l’hébergement de site web, la réalisation d’Intranet. b. Mission INFOGENIE TECHNOLOGIE est engagé dans la fourniture de services internet à travers une liaison optique, des liaisons satellites redondantes et des liaisons radio sans fil ou Wireless fiable et performantes. L’activité internet est développé travers plusieurs pôles parmi lesquelles : L’internet (accès internet professionnel ou résidentiel, accès internet grand public, réseau privée virtuels (VPN), routage et sécurité IP, Voip Faxo IP ; Les réseaux et télécommunications (câblage structure, boucle locale radio, Wifi et liaison point à point, Identification et gestion de la présence (biométrique, …), vente /formation/certification sur les matériels et technologies MIKROTIK) ; L’ingénierie informatique (logiciel de gestion scolaire, paye, gestion de trésorerie, call shop, gestion des ressources humaines ; Sécurité informatique ; Hot spot Wifi ; Vidéo-surveillance ; Les prestations des services.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
3
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
c. Organisation de la structure
Figure 1 : Organigramme D'INFOGENIE (SOURCE ARCHIVE D'INFOGENIE)
Rédigé par TCHETCHOUA WATCHEJO Hilaire
4
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Tableau I : Organigramme D'INFOGENIE (SOURCE ARCHIVE D'INFOGENIE) Service
Responsabilités
Assistance de direction Le département technique
Constituée d’une équipe d’ingénieurs et techniciens, ayant pour mission :
D’intervenir chaque fois qu’un problème est pose par un client interne ou externe ;
D’effectuer les installations chez des nouveaux clients dans les meilleurs délais.
Département marqueting et Vente : commerciale
Prospection des clients ;
Département des ressources Rédaction des contrats et suivi de leur exécution humaines Département
administratif Finance et comptabilité :
financière et comptable
Préparation des états de recettes et des ordres de dépenses ;
Gestion des points nets (établissements des objectifs des recettes des points de ventes.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
5
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
d. Plan de localisation
Figure 2 : Plan de localisation D'INFOGENIE (SOURCE : ARCHIVE D'INFOGENIE)
II-
Déroulement du stage
Le stage en entreprise permet la transition du statut académicien au statut professionnel en télécom et réseau. Durant une période de deux mois, nous avons effectué un stage académique à INFOGENIE. Dès notre arrivée en entreprise, nous avons été présentes au personnel administratif et à tous les ouvriers question de prendre contact avec l’entreprise, ses services et réalisations. Nous avons reçu des conseils et règles établis par l’entreprise. Après quelques jours un programme de travail nous a été donne par notre encadrant. PERIODE D’IMPLEMENTATION S’implémenter dans un milieu professionnel n’est pas toujours chose facile. C’est pourquoi INFOGENIE s’est arrange à disposer d’un service s’occupant des stagiaires. En effet après avoir été admis en stage, nous disposons d’au plus une semaine avant afin de préparer au début du stage. Ici, l’affectation de stage consiste àêtreorientée dans différents services selon la spécification propre à votre cahier des charges, après avoir reçu son
Rédigé par TCHETCHOUA WATCHEJO Hilaire
6
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
affectation, nous devons rencontrer notre encadrant afin d’établir un planning de stage, par la suite ressortir les objectifs à atteindre durant la période de stage. Tableau II : Phase du stage Phases
Tâches
Etude de
Information sur la structure, Deux semaines
L’existant
analyse du thème proposé
Recherche de
Etude du thème, comparaison Quatre semaines de
solution,
Périodes
choix
d'une
solution et de l'architecture à mettre en place
Mise en place de la solution
Acquisition des besoins,
Cinq semaines
Implantations de la solution et rédaction du rapport
Rédigé par TCHETCHOUA WATCHEJO Hilaire
7
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
CHAPITRE 2 : CAHIER DE CHARGE
Introduction Dans la phase précédente, nous avons présenté INFOGENIE ; dans ce chapitre qui suit nous allons vous présenter les raisons de notre présence en entreprise. En effet, nous allons à présent aborder le volet technique, volet qui nous permettra de mieux appréhender l’infrastructure. Cette partie se compose comme suit : présentation du projet le contexte puis une étude complète de l’existant D’INFOGENIE, ensuite ressortir les éventuels problèmes qui vont constituer notre problématique et enfin de présenter le cahier de charge.
I-
Présentation du projet et contexte 1. Présentation du projet
Le projet de portail d'accès captif avec redirection sur serveur proxy est de créer une passerelle entre un réseau interne et le réseau Internet. La finalité est de pouvoir déployer la solution dans toutes les structures D’INFOGENIE. Le portail sera doté de fonctionnalités d'authentification qui permettent d'identifier les usagers du service à des fins de traçabilité. Il sera équipé d'un système de filtrage d'adresses internet, ce qui permettra ainsi d'éviter l'utilisation des sites indésirables. Un filtrage applicatif sera également mis en place afin de limiter l'utilisation de certains logiciels. Le dernier aspect important réside dans l'utilisation et optimale de la bande passante, la Sécurisation des connexions à l’aide d’un serveur proxy qui va faire office d’intermédiaire de cache.
2. Contexte
Il est question pour nous de présenter le fonctionnement actuel du réseau et de la sécurité, la structure des équipements et leurs interconnexions. Ainsi une description de l’architecture réseau D’INFOGENIE ; INFOGENIE est une structure dont les services sont abrités sur un bâtiment divise en deux étages ; la connexion internet distribuée au sein de la structure est filaire.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
8
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Le réseau D’INFOGENIE, comme n’importe quel autre réseau n’est pas sans faille en termes de sécurité car ses utilisateurs sont de diverses origines. En effet, bien que moderne, l’accès au réseau sans fil nécessite juste une clé WPA pour le WIFI, cela reste insuffisant quand on sait qu’il existe de nos jours des logiciels qui arrivent à contourner ce type d’authentification. Ainsi l’évolution du nombre croissant d’utilisateur WIFI et la prise en charge de la gestion des utilisateurs par adresses mac font apparaitre l’impératif de mise en place d’un système d’authentification transparent et simple d’utilisation. Voilà autant de problèmes auxquels nous devrons apporter une solution grâce à cette étude.
II-
Etude de l’existant et Critique de l’existant
Afin de mieux appréhender le système, il convient de savoir où résident ses forces pour en déduire ses faiblesses. Ce qui permettra d'apporter des améliorations aux éventuelles failles. 1. Etude de l’existant a. Présentation de l’infrastructure matériel
Figure 3 : Architecture réseau D'INFOGENIE Le matériel qui constitue actuellement le système informatique d’INFOGENIE peut se présenter comme suit :
Rédigé par TCHETCHOUA WATCHEJO Hilaire
9
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Des postes de travail : Ce sont les ordinateurs fixes du réseau à partir desquels les utilisateurs accèdent à leurs sessions. Ils sont listés dans le tableau ci-dessous Des serveurs : Les serveurs matériels sont généralement des ordinateurs de plus grande capacité que les stations de travail ordinaires et disposent de mémoire importante pour traiter simultanément les nombreuses tâches actives ou résidantes en mémoire. Les serveurs ont également besoin d'espace disque pour stocker les fichiers partagés et pour servir d'extension à la mémoire interne du système. Les cartes système des serveurs nécessitent des connecteurs d'extension pour y connecter des périphériques partagés, tels que des imprimantes et plusieurs interfaces réseau. En résumé ce sont des ordinateurs qui ont une grande puissance de traitement et qui sont très robustes afin d'assurer la disponibilité des services réseau. A titre indicatif, un serveur peut rester en marche pendant toute une année sans être éteint. Des imprimantes et scanners : Outils bureautiques par excellence, les imprimantes peuvent constituées aussi des nœuds d'un réseau. Les équipements d’interconnexions : Ce sont les éléments du réseau qui relient plusieurs nœuds. Ils sont répertoriés dans le tableau II.4. Le câblage : Le câblage constitue le support physique de transmission du réseau. Il est essentiellement réalisé avec de la paire torsadée FTP, STP, UTP Fast Ethernet de catégorie 5E et de la fibre optique. b. Présentation de l’infrastructure logiciel
Il s'agit ici de faire l'inventaire des logiciels installés ainsi que des différents services installés.
Les systèmes d'exploitation et logiciels d’application : Ils sont représentés dans le tableau ci-dessous.
Tableau III : Systèmes d'exploitation utilisé à INFOGENIE Types Système serveur
Noms d'exploitation
Supports
CENTOS 6.5
CENTOS 5.9
Rédigé par TCHETCHOUA WATCHEJO Hilaire
Postes serveurs
10
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Système d'exploitation client
WIN SRV 2012 R2 DCT
SME SEREUR
WINDOWS 7
Postes clients
Les services : Avant de dresser le tableau (tableau II.6) des services installés, il convient d'expliquer et d'expliciter ce que c'est qu'un service réseau. Les serveurs matériels définis un peu plus haut sont des machines conçues pour recevoir des applications (logiciels) appelées applications serveur qui permettent aux autres postes du réseau (machines clientes) d'accéder à des ressources (imprimantes, fichiers partagés...) ou à des applications clientes. C'est donc par le terme de services qu'on désigne les applications installées
Tableau IV : Services installés Service installé
Description
Active Directory
fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows.
DHCP
Serveur d'attribution dynamique d'adresses IP
RADUIS
point
internet permettant
de
centraliser
des
données
INFOGENIE
d'authentification des clients
DNS
Serveur de nom de domaine
Mail et de mailing List
Permet de diffuser un message ou une information à plusieurs destinataires à la fois
ODOO CRM
Une interface utilisateur moderne et intuitive conçue pour la vente. Un tableau de bord permettant une meilleure vue d’ensemble des activités commerciales de l’entreprise.
III-
Problématique
Le réseau d’INFOGENIE, comme n'importe quel autre réseau n'est pas sans faille en termes de sécurité car ses utilisateurs sont de diverses origines. En effet, bien que moderne,
Rédigé par TCHETCHOUA WATCHEJO Hilaire
11
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
l'accès au réseau sans fil se fait par authentification par adresse MAC, et celui au filaire par la détention d'un compte valide (identifiant/mot de passe) sur les poste fixes. Cela reste insuffisant quand on sait qu'il existe de nos jours des logiciels qui arrivent à contourner l'authentification par adresse MAC. L'authentification par adresse MAC a aussi cette particularité de ne pas permettre une gestion efficace des utilisateurs car, hormis l'autorisation d'accès au réseau, on ne saurait qui est réellement connecté, quelle est la cause de la politique d'authentification déjà existante. En outre, l'authentification par le filaire autorise la connexion des machines externes à la structure ; c'est-à-dire qu'un utilisateur qui venait brancher sa machine personnelle à partir d'un câble du réseau, pouvait se connecter sans qu'il ne lui soit demandé de s'authentifier. Ce qui n'est pas sans risque car un utilisateur mal intentionné pourrait contourner facilement l'authentification d'où une remise en cause de la politique d'accès. Ainsi l'évolution du nombre croissant d'utilisateurs Wi-Fi et le contrôle d'accès de tous les utilisateurs font apparaître l'impératif de mise en place d'un système d’authentification transparent et simple d'utilisation. Une fois les utilisateurs connectent, ils ralentissent la bande passante à travers des actions sur internet (lourds téléchargement, torrents, streaming à longueur de journée...) tous cela aux heures de travail ; Voilà autant de problèmes auxquels nous avons apporté une solution grâce à cette étude de portail captif avec redirection sur serveur proxy.
IV-
Objectifs atteindre
Voici les différentes contraintes qui ont été définies au début du projet :
Se doter d’un outil d’authentification libre ;
L’accès tout service (internet) doit être intercepté par une page d’authentification ou tous les utilisateurs devrons s’authentifier ;
Les paramètres du compte utilisateurs sont stockes dans une base de données existante et les comptes utilisateurs existantes déjà doivent pouvoir être utilises ;
Toutes les requêtes web des clients doivent être automatiquement redirigées sur la page d’authenfication, puis vers le serveur proxy ;
L’authentification des clients et des administrateurs doit se faire de façon sécurisée ;
Maintenance aise, il est important qu’on puisse le réajuster avec les nouvelles fonctionnalités ;
Améliorer la vitesse de navigation ;
Naviguer sur internet en toute sécurité contre toutes sortes de menaces.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
12
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Le système doit permettre à l’administrateur de filtrer des sites indésirables (téléchargement torrents, sites pornographiques…) ; Pour atteindre ces objectifs, le portail captif avec redirection sur serveur proxy se place
comme solution candidat.
V-
Etude financière et organisation du projet pour une petite entreprise 1. Etude financière
Ce travail s’effectuera sur une durée d’une semaine à deux mois (déploiement de la fibre). Et pour la mise sur pied de ce projet nous aurons besoin des équipements suivants : Tableau V : Coûts d'implémentation Matériels
Routeur
Caractéristiques Quantités
Prix
unitaire Montant Total
(FCFA)
(FCFA)
RB750GL
01
80 000
80 000
Commutateur
CCR1009
01
99 900
99 900
Serveur proxy
INGATE
01
59 800
59 800
Mikrotik
SIparator Main œuvre
-
-
225 000
Câbles réseaux
Ethernet RJ45
100m
-
30 000
Connecteurs
RJ45
10
200
2 000
-
-
339 900
37 1700
RJ45 Cout total
Rédigé par TCHETCHOUA WATCHEJO Hilaire
13
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
CHAPITRE 3 : IMPLEMENTATION DE LA SOLUTION
1. Généralités sur le portail captif a.
Définition
Un portail captif est une application qui permet de gérer l'authentification des utilisateurs d'un réseau local qui souhaitent accéder à un réseau externe (généralement Internet). Il oblige les utilisateurs du réseau local à s'authentifier avant d'accéder au réseau externe. Lorsqu'un Utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de Connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son accès. Cette demande d'authentification se fait via une page web stockée localement sur le Portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. Au-delà de l'authentification, les portails captifs permettent d'offrir différentes classes de services et tarifications associées pour l'accès Internet (Par exemple : Wifi gratuit, filaire payant, 1 heure gratuite, ...). Cela est obtenu en interceptant tous les paquets quelles que soient leurs destinations jusqu'à ce que l'utilisateur ouvre son navigateur web et essaie d'accéder à Internet. Lors de l'établissement de la connexion, aucune sécurité n'est activée. Cette sécurité ne sera active que lorsque l'ordinateur connecté tentera d'accéder à Internet avec son navigateur web. Le portail captif va, dès la première requête HTTP, rediriger le navigateur web afin d'authentifier l'utilisateur, sans quoi aucune demande ne passera au-delà du serveur captif. Une fois l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci se voit autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la durée fixée, l’utilisateur se verra redemander ses identifiants de connexions afin d'ouvrir une nouvelle session. Ce système offre donc une sécurité du réseau mis à disposition, il permet de respecter la politique de filtrage web de l'entreprise grâce à un module proxy et permet aussi grâce à un firewall intégré d'interdire l'accès aux protocoles souhaités.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
14
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
b. Fonctionnement général des portails captifs
Figure 4 : fonctionnement général d'un portail captif (source Google images)
Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès sans fil pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la configuration du réseau. A ce moment-là, le client à juste accès au réseau situe entre lui et la passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et du mot de passe. Le système d'authentification va alors contacter une base de données contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le système d'authentification indique, plus ou moins directement selon les portails captifs, à la passerelle que le couple MAC/IP du client est authentifié sur le réseau. Finalement le client est redirigé vers la page Web qu'il a demandé initialement ; le réseau derrière la passerelle lui est dorénavant accessible. Le portail captif, grâce à divers mécanismes comme une fenêtre pop- up sur le client rafraîchi à intervalles réguliers ou des requêtes Ping vers le client, est en mesure de savoir si l'utilisateur est toujours connecté au Rédigé par TCHETCHOUA WATCHEJO Hilaire
15
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va couper l'accès à cet utilisateur.
2. Généralités sur le serveur proxy a. Définition Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges. Dans le cadre plus précis des réseaux informatiques, un proxy est alors un programme servant d'intermédiaire pour accéder à un autre réseau, généralement internet. Par extension, on appelle aussi « proxy » un matériel comme un serveur mis en place pour assurer le fonctionnement de tels services.
b. Fonctionnement général des serveurs proxy Le principe de fonctionnement basique d'un serveur proxy est assez simple : il s'agit d'un serveur "mandaté" par une application pour effectuer une requête sur Internet à sa place. Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide d'une application cliente configurée pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requête. Le serveur proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au proxy, qui va à son tour la transmettre à l'application cliente.
Proxy-cache La plupart des proxys assurent ainsi une fonction de cache (en anglais caching), c'està-dire la capacité à garder en mémoire (en "cache") les pages les plus souvent visitées par les utilisateurs du réseau local afin de pouvoir les leur fournir le plus rapidement possible. En effet, en informatique, le terme de "cache" désigne un espace de stockage temporaire de données (le terme de "tampon" est également parfois utilisé). Un serveur proxy ayant la possibilité de cacher (néologisme signifiant "mettre en mémoire cache") les informations sont généralement appelé "serveur proxy-cache". Cette fonctionnalité implémentée dans certains serveurs proxy permet d'une part de réduire l'utilisation de la bande passante vers internet ainsi que de réduire le temps d'accès aux documents pour les utilisateurs.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
16
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Filtrage D'autre part, grâce à l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en anglais loging ou tracking) via la constitution de journaux d'activité (logs) en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes
de
connexion
à
Internet.
Il est ainsi possible de filtrer les connexions à internet en analysant d'une part les requêtes des clients, d'autre part les réponses des serveurs. Lorsque le filtrage est réalisé en comparant la requête du client à une liste de requêtes autorisées, on parle de liste blanche, lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. Enfin l'analyse des réponses des serveurs conformément à une liste de critères (motsclés, ...) est appelé filtrage de contenu.
Authentification Dans la mesure où le proxy est l'intermédiaire indispensable des utilisateurs du réseau interne pour accéder à des ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs, c'est-à-dire de leur demander de s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est ainsi aisé de donner l'accès aux ressources externes aux seules personnes autorisées à le faire et de pouvoir
enregistrer
dans
les
fichiers
journaux
des
accès
identifiés.
Ce type de mécanisme lorsqu'il est mis en œuvre pose bien évidemment de nombreux problèmes relatifs aux libertés individuelles et aux droits des personnes...
2. Etudes comparatives des différentes solutions a. Portail captif
Toutes les solutions que nous avons étudiées sont des solutions libres et gratuites ce qui nous permet de réduire considérablement le coût de leur mise en place.
PFsense :
Rédigé par TCHETCHOUA WATCHEJO Hilaire
17
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 5 : image PFsense PFsense est une distribution FreeBSD développée en 2004. L'objectif de départ est d'assurer les fonctions de pare-feu et de routeur mais l'engouement généré par cet applicatif lui a permis d'étendre ses fonctionnalités et présente maintenant les fonctions de portail captif, serveur proxy, DHCP ... Son installation se fait facilement via une distribution dédiée et toutes les configurations peuvent se faire soit en ligne de commande (SSH) ou via l'interface web (HTTPS). La sauvegarde et la restauration de configuration est disponible à travers l'interface web et permet de générer un simple fichier d'une taille raisonnable. Le portail assure une évolution constante grâce à des mises à jour régulières dont l'installation est gérée automatiquement dans une partie du panneau d'administration. Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple utilisateur / mot de passe. Une documentation très complète est disponible sur Internet, un support commercial est désormais présent en cas de gros incident. PFsense dispose aussi d'une communauté très active. PFsense assure une compatibilité multi-plates-formes, une personnalisation complète des pages accessibles aux utilisateurs ainsi qu'une simplicité d'utilisation grâce à une page de connexion succincte où on ne retrouve que deux champs (utilisateur / mot de passe).
ALCASAR :
Figure 6 : ALCASAR
Rédigé par TCHETCHOUA WATCHEJO Hilaire
18
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau) est un projet français essentiellement dédié aux fonctions de portail captif. Cet applicatif s'installe via un script supporté par la distribution Linux Mandriva, les configurations se font via l’interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement sur le Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la création d'un ghost système (fichier système) dans le panneau d'administration, ce qui engendre tout de même un fichier d'une certaine taille. Les mises à jour régulières assurent la pérennité de la solution. L'authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de passe. Une documentation assez complète est disponible pour l'installation et la configuration et la communauté est active. Tout comme PFsense, ALCASAR est compatible avec de nombreuses plates-formes, la personnalisation des pages utilisateurs et la simplicité d'utilisation sont présentes.
ZeroShell : ZeroShell est une distribution Linux conçue pour mettre en place une sécurité globale
au sein d'un réseau (Pare-feu, VPN, portail captif...). Son installation est simple via une distribution dédiée. Elle présente une interface de gestion web simple d'utilisation qui permet entre autres de sauvegarder la configuration du portail captif ou encore de personnaliser les pages de connexion et déconnexion dans un éditeur HTML intégré. Comme les deux autres solutions la page d'authentification est sécurisée et la connexion se fait via un couple utilisateur / mot de passe. On retrouve assez peu de documentation pour la gestion du système mais la communauté à l'air tout de même bien présente. Son utilisation reste identique aux autres solutions présentées.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
19
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Tableau VI : Comparaisons des différentes solutions de portail captif (source : ccmarche.net) Critères
SOLUTIONS Pfsense
Zeroshell
Chillispot
Mikrotik
HTTPS
HTTPS
HTTPS
HTTPS
Documentation
Plates-formes
Toutes
Toutes
Toutes
Toutes
Personnalisation
Facilitation
Installation
Installation
Installation
Installation
D’administration
Via
Sécurité et Authentification
o
Clientes supportées
une Via
une Via ram sur De la version
distribution
distribution
Red Hat et logicielle ou
dédiée
dédiée
fedora
à partie du routeur
Sauvegarde /restauration
Facilitations d’utilisation
Configuration Pérennité de la solution
Annuaire interne
Non
Non
o Oui
Oui
Légende : Disponibilité élevée
Moyennement disponible o Moins disponible
b. Serveurs proxy Proxy est un logiciel de serveur mandataire (proxy) pour Internet disposant d'un filtrage avancé pour protéger la vie privée des utilisateurs de votre ordinateur et rendre votre navigation dans Internet plus confortable. Proxy réalise cela en modifiant les contenus nonsécuritaires des pages Web, en gérant les témoins d'Internet (cookies), en contrôlant l'accès en entrée et sortie de votre ordinateur pour empêcher des communications inopportunes avec du
Rédigé par TCHETCHOUA WATCHEJO Hilaire
20
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
contenu non-sécuritaire, et en éliminant les publicités, les bannières incrustées dans les pages ou sous forme de pop-ups. Proxy est auto-configuré dès son installation. C'est un logiciel très flexible qui peut être paramétré pour répondre encore mieux à vos besoins, si la configuration de départ est insuffisante. Ce logiciel est utile autant dans un poste d'ordinateur individuel que dans une structure de réseau multi-systèmes.
Varnish :
Figure 7 : Image Varnish Varnish est directement activé en tant que reverse proxy pour le serveur Web où se trouve le contenu du site Web en question. Lorsqu’une page est chargée, le processus est d’abord traité par le serveur d’origine mais le proxy Varnish sauvegarde la requête et le contenu requis. Lors d’un nouveau chargement de ce genre, les données peuvent directement être chargées en partant du cache Varnish. Le programme stocke alors toutes les données dans la mémoire vive et laisse le système d’exploitation décider ce qui doit être déplacé sur le disque dur du serveur. Ainsi, il est possible d’éviter que le système ne sauvegarde en même temps des données dans le cache et sur le disque dur.
TINYPROXY :
Figure 8 : Image TINYPROXY
Rédigé par TCHETCHOUA WATCHEJO Hilaire
21
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
TINYPROXY est un proxy web très léger. Il permet notamment de bloquer des sites par domaine ou par URL. Il peut par exemple servir à bloquer les publicités ou des sites que vous ne voulez pas visiter. Il ne crée pas de cache des pages visitées. TINYPROXY peut s'installer sur votre propre machine, ou sur une machine serveur. Il peut être une alternative intéressante à Adblock si vous utilisez plusieurs navigateurs web et que vous souhaitez partager les règles de filtrage entre tous ces navigateurs. Tinyproxy est distribué avec la licence GNU GPL (version 2 ou supérieure).
Caractéristiques : Tinyproxy a un faible encombrement et nécessite très peu de ressources système. L'empreinte mémoire à tendance à être d'environ 2 Mo, et la charge du processeur augmente linéairement avec le nombre de connexions simultanées (en fonction de la vitesse de la connexion). Ainsi, Tinyproxy peut être exécuté sur une ancienne machine ou sur un équipement réseau telle qu'un routeur haut débit basé sur Linux, sans impact notable sur les performances. Tinyproxy ne nécessite qu'un environnement POSIX minimal pour être construit et utilisé. Il peut utiliser des bibliothèques supplémentaires pour ajouter des fonctionnalités. Tinyproxy permet le transfert des connexions HTTPS sans modifier le trafic de quelque façon que ce soit via la méthode CONNECT (voir la directive ConnectPort). Tinyproxy prend en charge la configuration en tant que proxy transparent, de sorte qu'un proxy puisse être utilisé sans nécessiter de configuration côté client. Vous pouvez également l'utiliser comme serveur frontal de proxy inverse pour vos sites Web.
En utilisant la directive AddHeader, vous pouvez ajouter / insérer des en-têtes HTTP dans le trafic sortant. Si vous souhaitez créer un proxy Web personnalisé, Tinyproxy est facile à modifier en fonction de vos besoins. La source est simple, conforme au principe KISS. En tant que tel, il peut être utilisé comme base pour tout ce dont vous avez besoin d'un proxy Web. Tinyproxy possède des fonctionnalités de confidentialité qui peuvent vous permettre de configurer les en-têtes HTTP à autoriser et ceux qui doivent être bloqués. Cela vous permet de restreindre à la fois les données provenant de votre navigateur Web à partir du serveur HTTP (par exemple, les cookies) et de restreindre les données autorisées par votre navigateur Web au serveur HTTP (informations de version, par exemple).
Rédigé par TCHETCHOUA WATCHEJO Hilaire
22
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Grâce à la fonction de surveillance à distance, vous pouvez accéder à des statistiques de proxy à distance, ce qui vous permet de savoir à quel point le proxy est occupé.
Vous pouvez configurer Tinyproxy pour contrôler l'accès en n'autorisant que les requêtes provenant d'un certain sous-réseau ou d'une certaine interface, garantissant ainsi que des personnes non autorisées et aléatoires n'utiliseront pas votre proxy.
Avec un peu de configuration (en particulier, en faisant des fichiers créés par Tinyproxy appartenant à un utilisateur non-root et en l'exécutant sur un port supérieur à 1024), Tinyproxy peut être exécuté sans privilèges spéciaux, minimisant ainsi les risques de compromission du système. En outre, il a été conçu dans le but de prévenir les débordements de tampons. La simplicité du code garantit qu'il est facile de repérer de tels bogues.
LE SQUID C’est un serveur proxy/cache libre très connu du monde Open Source. Ce serveur est très complet et propose une multitude d'options et de services qui lui ont permis d'être très largement adopté par les professionnels mais aussi dans un grand nombre d'école ou administrations travaillant avec systèmes de type Unix. SQUID est capable de relayer les protocoles HTTP, FTP, SSL et Gopher. Le protocole Socks, lui, n'est pas supporté par SQUID actuellement. Mis à part les fonctions essentielles d'un proxy, SQUID propose beaucoup d'autres services. Ces services ont très largement contribué à faire de SQUID une référence en matière de proxy dans le monde des serveurs de type Unix. SQUID offre la possibilité de filtrer les requêtes des clients. Ainsi, il est possible de restreindre l'accès aux ressources en fonction de plusieurs paramètres différents. Voici une liste de paramètre pouvant intervenir dans le rejet d'une requête répondant à l'un des critères :
L'URL contient un mot interdit. Cela permet de rejeter toute url contenant ;
L'adresse IP source/destinataire est interdite ;
Le domaine de source/destination est interdit ou contient un mot interdit ;
La date de la demande. Par exemple, SQUID peut interdire l'accès à Internet durant certaines heures (comme le soir entre 20h et 6h du matin) ;
Le port de destination ;
Rédigé par TCHETCHOUA WATCHEJO Hilaire
23
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Le protocole utilisé. Peut permettre de bloquer les transferts FTP par exemple ;
La méthode utilisée. Peut permettre d'empêcher les méthodes HTTP comme POST par exemple ;
Le type du navigateur utilisé. Peut permettre d'empêcher l'utilisation d'IE par exemple.
Ce filtrage est basé sur des ACL. Nous verrons plus loin plusieurs exemples d'utilisation des ACL. SQUID n'est capable de filtrer que les requêtes de ses clients, pas le contenu de ce qu'il relaye à ceux-ci (bien qu'un proxy filtrant le contenu de page revient à multiplier la charge d'administration par le nombre d'interdiction malencontreuse).
SQUID offre la possibilité d'être monitoré à distance via SNMP. Ainsi, les données collectées via ce protocole pourront permettre à l'administrateur de visualiser l'état courant de son proxy, d'avoir des statistiques d'utilisation, des statistique sur le cache, sur le temps processeur consommé, etc... Tableau VII : Comparaisons des différentes solutions du serveur proxy (source : ccmarche.net) Type de serveurs
fonctionnement
Serveur proxy http
Quand vous lancez -offre une couche de -vie prive exposée une
requête
votre
avantages
inconvénients
dans sécurité
car le serveur fait la
navigateur, supplémentaire
à copie
de
chaque
c’est le navigateur votre ordinateur ou à journal. qui
va
chercher votre réseau,
l’information ;
-masque
ensuite
c’est
serveur
proxy
s’en
charge
retransmettre information
votre
le adresse sur internet, qui -interdiction
de
de certains contenus aux votre utilisateurs
selon
vers leurs besoins.
votre poste. Serveur proxy cache
C’est un serveur qui -plus rapide, va
servir
C’est-à-dire
-toutes
cache. -réduction que l’utilisation
les
de informations ne sont de
la pas mis en cache.
lorsque vous allez bande passante
Rédigé par TCHETCHOUA WATCHEJO Hilaire
24
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
chercher
à
vous
rendre sur un site, le proxy
va
d’abord
vérifier que vous ne vous y êtes pas déjà rendu. S’il voit que vous avez déjà visité ce
site,
l’envoi
il
vous
directement
car il en a conservé’ une copie Serveurs
proxy Ce type de proxy est -bonne discrétion.
transparent
invisible
-utilisation pour des
aux
utilisateurs.
fins qui ne sont pas
Tout
très
morales(le
simplement, car il est
flicage
des
placé
utilisateurs sans les
stratégiquement entre
avoir informés.
les PC et le modem routeur. Le flux de donnée est donc Obligé
de
l’emprunter. Le reserve serveur
Il s’agit d’un serveur -filtre
toutes
les -difficile à mettre en
inversé comme son informations
œuvre.
nom l’indique. Au entrantes et les met lieu de s’occuper de en cache. ce qui sort sur le net, il va s’occuper de ce qui y entre. Il est principalement dans les
grosses
entreprises. Serveur proxy FTP
Le
serveur
proxy
Rédigé par TCHETCHOUA WATCHEJO Hilaire
25
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
FTP a exactement le même rôle que le serveur proxy http a la
différence
traite
le
qu’il
protocol
FTP.
3. Choix d’une solution adéquate D’après l’étude comparative précédente entre les différents logiciels et matériels nous permettant de réaliser un portail captif avec redirection sur serveur proxy. L’étude théorique a permis de retenir les deux premières solutions à savoir MIKROTIK et SQUID car elles répondent toutes deux à nos besoins : solutions libres, peuvent s'installer sur un serveur comme sur un poste de travail, authentification des utilisateurs par login et mot de passe, contrôle la bande passante, filtrage des sites, facilité d'administration, d'installation et de configuration, facilité d'utilisation, documentation très détaillée et disponible, disponibilité de mises à jour,
I-
Présentation détaillée de la solution 1. MIKROTIK a. Généralité sur la technologie MIKROTIK
Mikrotik a été fondé en 1995 pour développer des routeurs et des systèmes de connexion sans fil pour les fournisseurs d'accès à internet. Mikrotik est muni des systèmes de connexion sans fils permettant d'avoir accès à internet dans plusieurs pays à travers le monde entier. L'expérience de l'entreprise Mikrotik dans l'utilisation du matériel des PC standard industriel et les systèmes complets de routage leur ont permis de créer le système logiciel Router OS Ce système permet de transformer un ordinateur personnel en routeur (incluant des fonctionnalités telles qu'un Pare-feu, un serveur et un client VPN), contrôler le trafic en fonction d'une qualité de service (QOS), un accès réseau sans-fil. Le système peut également être utilisé afin de créer un portail captif. Ce système d'exploitation possède une licence multiniveau, chaque niveau offrant davantage de fonctionnalités. Les frais de licence seront basés sur le niveau sélectionné. Une interface graphique, nommé Winbox, est également disponible afin de configurer le système. Enfin, une API permet de personnaliser le système et le surveiller.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
26
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
En 2002, l'entreprise a décidé de mettre sur pied son propre matériel et c'est ainsi qu'est née la RouterBoard. Actuellement, l'entreprise confectionne autour de 20 types de matériels routeurs différents et plus de 10 types d'interfaces ou équipements radio (Wireless). Les produits Mikrotik sont ainsi revendus à divers clients se trouvant dans presque tous les pays du monde entier.
b- Outils d’administration de MIKROTIK Comme outils d’administrations nous pouvons avoir :
WINBOX Winbox est un petit utilitaire qui permet l'administration de MikroTik Router OS en
utilisant une interface graphique simple et rapide. C'est un binaire Win32 natif, mais peut être exécuté sur Linux et MacOs (OSX) en utilisant Wine. Toutes les fonctions de l'interface Winbox sont aussi proches que possible des fonctions de la console, c'est pourquoi il n'y a pas de sections Winbox dans le manuel. Certaines des configurations avancées et critiques du système ne sont pas possibles à partir de winbox, comme le changement d'adresse MAC sur une interface Winbox changelog À partir de Winbox v3.14, les fonctionnalités de sécurité suivantes sont utilisées :
Winbox.exe est signé avec un certificat Extended Validation, délivré par SIA Mikrotīkls (MikroTik).
WinBox utilise ECSRP pour l'échange de clés et l'authentification (nécessite une nouvelle version de winbox).
Les deux côtés vérifient que l'autre côté connaît le mot de passe (aucun homme dans l'attaque du milieu n'est possible).
Winbox en mode RoMON requiert que l'agent soit la dernière version pour pouvoir se connecter aux routeurs de la dernière version.
Winbox utilise AES128-CBC-SHA comme algorithme de chiffrement (nécessite la version 3.14 ou supérieure de winbox).
Rédigé par TCHETCHOUA WATCHEJO Hilaire
27
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 9 : Présentation de l'interface de Winbox (source : captured’ecran) Pour vous connecter au routeur, entrez l'adresse IP ou MAC du routeur, spécifiez le nom d'utilisateur et le mot de passe (le cas échéant) et cliquez sur le bouton Connecter. Vous pouvez également entrer le numéro de port après l'adresse IP, en les séparant par deux points, comme ceci 192.168.88.1: 9999. Le port peut être changé dans le menu des services de Router OS. Vous pouvez également utiliser la découverte de voisins, pour lister les routeurs disponibles, utilisez l'onglet Voisins :
Rédigé par TCHETCHOUA WATCHEJO Hilaire
28
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 10 : Présentation de l'interface de Winbox avec détection des routeurs (source : capture d’écran) Dans la liste des routeurs découverts, vous pouvez cliquer sur la colonne Adresse IP ou MAC pour vous connecter à ce routeur. Si vous cliquez sur l'adresse IP alors IP sera utilisé pour se connecter, mais si vous cliquez sur Adresse MAC, l'adresse MAC sera utilisée pour se connecter au routeur.
II-
Le SQUID a. Généralité sur le SQUID
Squid est la solution de cache de proxy pour le Web plus connu et plus utilisé. C'est un logiciel sous GPL, il est donc libre. Une fois correctement paramétré, Squid permet de : Économiser la bande passante de la connexion Internet lors de la navigation sur le Web ; Réduire le temps de chargement des pages statiques ; Protéger les hôtes du réseau privé en agissant comme mandataire pour leur trafic Web ; Collecter des statistiques sur l'utilisation du Web pour le réseau privé ; Empiler les utilisateurs (mal intentionnés) de visiter des sites non disponibles sur leur lieu de travail ; Permettez aux utilisateurs, hôtes, ... a autorisé de naviguer sur le Web ; Améliorer l'intimité des utilisateurs en filtrant les informations sensibles des requêtes Web ; Rédigé par TCHETCHOUA WATCHEJO Hilaire
29
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Réduire la charge de son propre (s) serveur Web ; Convertir les requêtes cryptées (HTTPS) d'un côté, vers les requêtes claires (HTTP) vers l'autre extrémité.
b. Principe de fonctionnement du SQUID SQUID est à la fois un mandataire et un serveur de cache. Dans son rôle de mandataire, il agit au nom des clients pour répondre à leurs demandes Web, ce qui leur permet d'accepter, d'analyser et de suivre leur destination (vers le serveur Web de destination). Selon la stratégie en vigueur, les requêtes peuvent être consignées, rejetées et même être avant d'être envoyées à leur destination. En savoir plus sur la mise en cache, stockez les objets récemment téléchargés du Web, ce qui permet une utilisation plus tardive. Les requêtes subséquentes relatives à ces objets peuvent être directement soumises au cache des utilisateurs d'origine. Un point de vue conceptuel, SQUID possède deux « visages », un client qui lui permet de dialoguer avec des éléments clients tels que les navigateurs Web, les utilisateurs-agents et un serveur de dialogues avec les serveurs Web (HTTP, FTP, Gopher). Noter malgré, que côté client SQUID ne comprend que le protocole HTTP (et HTTPS et HTTP sur SSL / TLS), ce qui signifie qu'un client FTP ne peut pas dialoguer avec SQUID, à moins que ce client FTP soit aussi un client HTTP. De plus, SQUID n'est pas mandataire pour les protocoles de messagerie (SMTP, POP, IMAP), IM (messagerie instantanée) ou IRC (Internet Relay Chat).
SQUID tourne sur tous les environnements Unix-like et même sur d'autres environnements propriétaires, pour ma part et comme autres, si vous cherchez un conseil en matière d'OS sur lequel déployer Squid, alors tentez UBUNTU.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
30
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
III1.
Réalisation du projet Matériel et architecture réseau requis
Figure 11 : Architecture réseau standard d'implantation de la solution (source : capture d’écran)
Tableau VIII : Équipements réseau nécessaire pour la solution et caractéristiques techniques Matériel 1
routeur
Caractéristiques MIKROTIK
RB750G
Commentaire
CPU: Atheros AR7161 Router principal qui va 680MHZ
porter à l’une de ses
Memory :
32MB interfaces le portail captif
SDRAM
Ethernet: Five in depende 10/100/1000
Ethernet
ports 1 machine
Au moins 1 Go de disque Cette machine va jouer le dur (500 Mo pour les rôle de serveur radius. plates-formes embarquées) ;
Au moins 128 Mo de RAM, mais plus de 512
Rédigé par TCHETCHOUA WATCHEJO Hilaire
31
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Mo recommandés ;
Un CPU cadencé à au moins 100 MHZ (500 MHZ
ou
plus
recommandé) ;
système
d’exploitation
MIKROTIK 1 machine
Au moins 10Go ;
Au
moins
sur
laquelle
2 Go de nous allons installer notre serveur proxy.
RAM ;
Machine
Un CPU cadencé à au moins 2.7 MHZ ;
système
d’exploitation
Ubuntu 1 machine
Au moins 10 Go ;
Au
moins
2 Go de du routeur principal et le serveur RADUIS
RAM ;
Machine d’administration
Un CPU cadencé à au moins 2.7 MHZ ;
système
d’exploitation
Windows 7
2. Configuration des services à déployer Cette partie est consacrée à la configuration des services qui seront utilisée pour une bonne implémentation de la solution, pour cela nous allons diviser notre travail en deux étapes à savoir : Configuration du portail captif ; Configuration du serveur proxy.
a. Configuration du portail captif Il est à noter que pour toutes les configurations à suivre, elles peuvent réalisées soit par interface graphique ou console
Rédigé par TCHETCHOUA WATCHEJO Hilaire
32
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Renommer les interfaces ; Adressage des interfaces ; Configuration du serveur DHCP ; Configuration du NAT ; Configuration de la route vers internet ; Configuration du Hotspot ; Configuration du serveur RADUIS ; Personnalisation de l’interface du portail captif
b. Renommer les interfaces C’est une pratique assez simple qui consiste à affecter différents noms aux interfaces du routeur, en effet cela permet une maintenance facile et surtout une bonne visibilité. Nous avons : Ether1 : interface qui reçoit la connexion du FAI, Ether1=>Internet ; Ether2 : interface ou est connecte le réseau local, Ether2=> Lan ; Ether3 : interface de connexion du serveur RADUIS et la machine administrateur du routeur principal et le serveur RADUIS, Ether3=>Admin ; Ether4 : interface de connexion du serveur proxy, Ether4=>Proxy ;
Rédigé par TCHETCHOUA WATCHEJO Hilaire
33
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 12 : Renommer les interfaces du routeur (source : capture d'écran)
c. Adressage des interfaces
Figure 13 : Adressages des interfaces (source : capture d'écran)
Rédigé par TCHETCHOUA WATCHEJO Hilaire
34
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
d. Configuration DHCP Le protocole DHCP (Dynamic Host Configuration Protocol) est nécessaire pour faciliter la distribution des adresses IP sur un réseau. L'implémentation de MikroTik RouterOS comprend à la fois des composants serveur et client. Les composants du DHCP : DHCP client
Figure 14 : Configuration DHCP client (source : capture d'écran)
DHCP serveur
Rédigé par TCHETCHOUA WATCHEJO Hilaire
35
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Un serveur DHCP (ou service DHCP) est un serveur (ou service) qui délivre des adresses IP aux ordinateurs qui se connectent sur le réseau. Ici nous aurons besoin d’attribuer dynamiquement les adresses aux machines clientes.
Figure 15 : Configuration DHCP serveur (source : capture d’écran) Puis nous choisissons l’interface ou est connecte les machines clientes >.
Figure 16 : Configuration DHCP serveur avec choix d'interface (source : capture d’écran) Puis nous cliquons suivant, jusqu’à la configuration du DNS. Le Domain Name System, généralement abrégé DNS, qu'on peut traduire en « système de noms de domaine », est le service informatique distribué utilisé pour traduire les noms de domaine Internet en adresse IP ou autres enregistrements. Nous allons configurer ici des adresses des serveurs DNS vers lesquels notre routeur devra se tourner pour la recherche des ressources.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
36
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 17 : Configuration DNS (source : capture d’écran) NB : Les adresses IP suivantes , sont respectivement les adresses principal et secondaire de Google.
Figure 18 : Fin configuration DHCP serveur (source : capture d’écran)
Rédigé par TCHETCHOUA WATCHEJO Hilaire
37
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
e. Configuration du NAT NAT (Network Address Translation) est une méthode permettant à une adresse IP publique de devenir plusieurs adresses IP locales. Cette traduction d'adresses réseau est une norme Internet qui permet aux hôtes des réseaux locaux d'utiliser un ensemble d'adresses IP pour les communications internes et un autre ensemble d'adresses IP pour les communications externes. Un réseau local utilisant NAT est appelé réseau natted. Pour que NAT fonctionne, il doit y avoir une passerelle NAT dans chaque réseau natted. La passerelle NAT (routeur NAT) effectue une réécriture d’adresse IP sur la manière dont un paquet voyage depuis vers le réseau local. Il existe deux types de NAT :
Source NAT ou srcnat. Ce type de NAT est effectué sur les paquets provenant d'un réseau natted. Un routeur NAT remplace l'adresse source privée d'un paquet IP par une nouvelle adresse IP publique lors de son passage dans le routeur. Une opération inverse est appliquée aux paquets de réponse circulant dans l'autre sens.
Destination NAT ou dstnat. Ce type de NAT est effectué sur les paquets destinés au réseau natted. Il est surtout utilisé pour faire des hôtes sur un réseau privé accessible depuis Internet. Un routeur NAT exécutant dstnat remplace l'adresse IP de destination d'un paquet IP lorsqu'il traverse le routeur vers un réseau privé.
Figure 19 : Configuration du NAT (source : capture d’écran) Rédigé par TCHETCHOUA WATCHEJO Hilaire
38
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
f. Configuration du hotspot
Figure 20 : Configuration Hotspot (source : capture d’écran) Sélectionner l’interface ou déployer le Hotspot
Rédigé par TCHETCHOUA WATCHEJO Hilaire
39
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
L’adresse de l’interface est ajoutée automatiquement
Faut-il utiliser le certificat ensemble avec HotSpot ou non ?
g. Configuration du serveur RADUIS
RADIUS, abréviation de service d'annonce d'authentification, est un protocole réseau client-serveur utilisé pour gérer (authentification, autorisation et comptabilisation) les utilisateurs qui se connectent et utilisent les services réseau. Le serveur RADIUS s'exécute dans la couche application et peut utiliser TCP ou UDP comme transport. De nombreuses applications serveur RADIUS sont aujourd'hui disponibles, mais parmi ces dernières, le
Rédigé par TCHETCHOUA WATCHEJO Hilaire
40
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
gestionnaire RADIUS Server développé par MikroTik est spécialement utilisé pour l'authentification et l'autorisation des utilisateurs MikroTik.
Figure 21 : Configuration du serveur RADIUS (source : capture d’écran)
Rédigé par TCHETCHOUA WATCHEJO Hilaire
41
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 22 : Création d'un utilisateur (source : capture d’écran) Serveur RADIUS MikroTik User Manager User Manager est un package de serveurs RADIUS MikroTik Router OS optionnel et totalement distinct, utilisé pour gérer l'authentification, l'autorisation et la comptabilité des utilisateurs MikroTik. L'administrateur de l'entreprise ou du réseau ISP peut utiliser le Gestionnaire
des
utilisateurs
comme
authentification
d'utilisateur
de
connexion,
authentification d'utilisateur PPP et authentification d'utilisateur Hotspot, ainsi que pour la facturation. Mais avant d'utiliser le package du serveur RADIUS du gestionnaire d'utilisateurs sur votre réseau, vous devez connaître la configuration système minimale requise pour ce package. Prérequis : L'installation du serveur RADIUS du gestionnaire d'utilisateurs doit avoir une configuration minimale requise.
MikroTik RouterOS et User Manager Package doivent avoir la même version.
MikroTik User Manager fonctionne sur les routeurs basés sur processeurs x86, MIPS, PowerPC et TILE et sur les périphériques CHR.
Le routeur doit avoir au moins 32 Mo de RAM et 2 Mo d'espace disque libre.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
42
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Fonctionnement du serveur RADIUS Server RouterOS Client et User Manager MikroTik User Manager fonctionne comme un juge. Il reçoit la question du client RADIUS et doit répondre. Par exemple, lorsqu'un utilisateur (par exemple, Bob) comme le diagramme de réseau ci-dessous souhaite se connecter au réseau, le client RouterOS RADIUS vérifie d'abord sa base de données utilisateur locale et s’authentifie à partir de la base de données locale. "L'utilisateur 'bob' est-il autorisé à établir un réseau ?»
Figure 23 : Architecture minimal d’implémentation d’un serveur RADIUS Si l'utilisateur 'bob' est présent dans la base de données utilisateur du serveur RADIUS, il répond : "Oui mais avec une limitation de profil". Si l'utilisateur n'est pas dans la base de données utilisateur du serveur RADIUS, le serveur répond par NON. Ouvrez maintenant votre navigateur Web préféré et tapez l’adresse IP /userman. Si tout se passe bien, vous trouverez une invite de connexion telle que l'image ci-dessous pour vous connecter à votre serveur RADIUS User Manager.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
43
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Figure 24 : Page par défaut du hotspot
Par défaut, User Manager crée un client propriétaire nommé admin sans mot de passe. Donc, mettez admin comme identifiant et mot de passe laisser vide et cliquez ensuite sur le bouton Log in. Vous allez maintenant trouver User Manger Dashboard où nous ferons toute notre activité de gestion des utilisateurs. Dans User Manager RADIUS Server, nous allons d'abord ajouter un routeur client qui communiquera avec ce serveur RADIUS, puis nous ajouterons un utilisateur qui sera authentifié. Ainsi, la configuration du serveur RADIUS pour l’authentification utilisateur RouterOS peut être divisée en deux étapes. Ajouter un routeur client dans la liste RADIUS Server Router. Les étapes suivantes vous montreront comment ajouter un routeur client dans le serveur RADIUS du Gestionnaire des utilisateurs. Apres êtres Connecte à l'interface Web du serveur RADIUS du Gestionnaire des utilisateurs avec le navigateur,Cliquez sur le bouton Routeurs dans le panneau de boutons gauche, puis cliquez sur Ajouter> Nouvel élément de menu dans la barre de menus supérieure. La fenêtre Détails du routeur apparaîtra maintenant.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
44
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Placez un nom significatif pour votre routeur client dans le champ de saisie Nom. Choisissez
également
le
propriétaire
dans
le
menu
déroulant Propriétaire. Mettez l'adresse IP de votre routeur client (192.168.1.1) dans le champ de saisie de l’adresse IP. Fournissez maintenant un mot de passe dans le champ de saisie Secret partagé. Ce mot de passe est important et doit être fourni lors de la configuration du client RADIUS dans Client RouterOS. Cliquez sur le bouton Ajouter pour ajouter ce routeur à la liste RADIUS Server Router. Notre routeur client a été ajouté à notre serveur RADIUS. Nous allons maintenant créer un utilisateur qui sera authentifié par RADIUS Server. Ajouter un utilisateur dans la liste d'utilisateurs du serveur RADIUS. Chaque utilisateur doit avoir au moins un profil utilisateur. Nous devons donc créer un profil utilisateur avant de créer un utilisateur. En revanche, chaque profil peut contenir une ou plusieurs limitations. Ainsi, avant de créer un profil, nous devons également créer une limitation de profil. Créer une limitation de profil dans le serveur RADIUS du gestionnaire d'utilisateurs Les étapes suivantes vous montreront comment créer une limitation de profil dans User Manager RADIUS Server.
Cliquez sur le bouton Profils dans le panneau de gauche, puis cliquez sur Limitations
Cliquez maintenant sur Ajouter>Nouvel élément de menu dans la barre de menus supérieure. La fenêtre des détails de la limitation apparaîtra.
Mettez un nom significatif pour cette règle de limitation dans le champ de saisie Nom et choisissez également le propriétaire dans le menu déroulant Propriétaire.
Cliquez sur le panneau Contraintes et mettez le nom du groupe disponible dans Client RouterOS (complet par défaut, lecture et écriture disponibles) et que vous souhaitez affecter à ce profil les utilisateurs dans le champ de saisie Nom du groupe.
Cliquez sur le bouton Ajouter pour ajouter cette limitation dans la liste des limitations.
Votre première limitation a été créée si vous suivez attentivement les étapes cidessus. De même, vous pouvez créer autant de limitations que vous le souhaitez. Vous pouvez
Rédigé par TCHETCHOUA WATCHEJO Hilaire
45
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
également modifier votre limitation créée à l'aide du menu Edition de la barre de menus supérieure. Créer un profil utilisateur dans le serveur RADIUS du gestionnaire d'utilisateurs, les étapes suivantes vous montreront comment créer un profil utilisateur dans User Manager RADIUS Server.
Cliquez sur le bouton Profils dans le panneau de boutons gauche et cliquez sur le bouton PLUS SIGN (+). Créer une fenêtre de profil apparaîtra maintenant.
Mettez un nom de profil significatif dans Nom d’entrée classé et cliquez sur Créer Votre nouveau profil créé sera disponible dans le menu déroulant Profil, mais il n'y aura pas de limitation.
Pour ajouter une limitation à ce profil, cliquez sur Ajouter une nouvelle limitation. La fenêtre de la pièce de profil apparaîtra maintenant.
Dans le panneau Limites, cochez la case de limitation que vous avez créée précédemment.
Cliquez sur le bouton Ajouter pour ajouter cette limitation à votre nouveau profil.
Vous pouvez ajouter autant de profils que vous le souhaitez en suivant attentivement les étapes ci-dessus. Après avoir créé la limitation et le profil, nous allons maintenant créer des utilisateurs qui seront authentifiés pour se connecter à RouterOS client. Créer un utilisateur dans le serveur RADIUS du gestionnaire d'utilisateurs Les étapes suivantes vous montreront comment créer des utilisateurs dans User Manager RADIUS Server.
Cliquez sur le bouton Utilisateurs du panneau de boutons gauche.
Cliquez sur Ajouter> Un élément de menu dans la barre de menu supérieure. La fenêtre de détails de l'utilisateur apparaîtra maintenant.
Mettez le nom d'utilisateur et le mot de passe respectivement dans le champ Nom d'utilisateur et Mot de passe. Ce nom d'utilisateur et ce mot de passe seront utilisés pour se connecter au client RouterOS. Choisissez également le propriétaire du menu déroulant Propriétaire.
Dans le menu déroulant Attribuer un profil, choisissez le profil utilisateur que vous avez créé précédemment.
Cliquez sur le bouton Ajouter pour ajouter cet utilisateur à la liste des utilisateurs.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
46
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
Un utilisateur a été créé avec succès dans User Manager RADIUS Server. Vous pouvez créer autant d'utilisateurs que vous le souhaitez en suivant attentivement les étapes cidessus. De même, vous pouvez désactiver, activer, modifier ou supprimer tout utilisateur à l'aide du menu Modifier.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
47
MISE EN PLACE D’UN HOTSPOT MIKROTIK (portail captif) AVEC REDIRECTION SUR SERVEUR PROXY : CAS DE L’INFOGENIE
CONCLUSION GENERALE Pour authentifier les utilisateurs de son réseau afin de partager la connexion internet de façon sécurisée, INFOGENIE s’est oriente vers une solution de portail captif. Après une présentation de la structure d’accueil démarche suivie par cette étude a permis d’abord d’analyser son système d’information pour connaitre ses forces et ses faiblesses. Ensuite, une étude comparative des portails captifs nous a permis de choisir une solution à implanter. C’est ainsi qu’on a choisi le routeur MIKROTIK vu les différents avantages qu’il offre. Nous pensons que le but de ce projet est atteint car, il nous aura permis de savoir d’abord l’existence des solutions libres des portails captifs, ensuite de mener une étude comparative et de faire enfin l’implémentation concrète e la solution. Pour finir, l’outil MIKRITIK tel conçu, propose ‘autres services réseau qui peuvent être mis en profit en fonction des besoins.
Rédigé par TCHETCHOUA WATCHEJO Hilaire
48