Mise en Place D'un Portail Captif Via Pfsense [PDF]

Zitiervorschau

REPUBLIQUE DE GUINEE Travail – Justice – Solidarité -------------MINISTÈRE DE L’ENSEIGNEMENT SUPÉRIEUR ET DE LA RECHERCHE SCIENTIFIQUE -------------CONFÉRENCE ÉPISCOPALE DE GUINÉE -------------UNIVERSITÉ CATHOLIQUE DE L’AFRIQUE DE L’OUEST UNITÉ UNIVERSITAIRE À CONAKRY (UCAO-UUCo) FACULTÉ DES SCIENCES FONDAMENTALES ET DE TECHNOLOGIES DÉPARTEMENT DE MATHÉMATIQUES ET INFORMATIQUE

MÉMOIRE DE FIN DE CYCLE EN VUE DE L’OBTENTION DU DIPLÔME DE LICENCE PROFESSIONNELLE EN GENIE INFORMATIQUE

THEME : ÉTUDE ET MISE EN PLACE D’UN PORTAIL CAPTIF VIA PFSENSE AU SEIN DE L’ECOLE NATIONALE DES ARTS ET METIERS DE GUINEE (ENAM) RÉALISÉ PAR : Saran CONDE Élève Ingénieure en Administration systèmes, réseaux et Télécommunications SOUS LA DIRECTION DE : M. Mao BILIVOGUI Administrateur système et réseau chez E.T.I S.A Année Académique 2019-2020

SOMMAIR

LISTE DES TABLEAUX.........................................................................................................2 LISTE DES FIGURES............................................................................................................3 GLOSSAIRE.............................................................................................................................5 DEDICACE...............................................................................................................................6 REMERCIEMENTS.................................................................................................................7 INTRODUCTION....................................................................................................................8 PREMIERE PARTIE : ENVIRONNEMENT ET CONTEXE D’EXÉCUTION............10 CHAPITRE I: Présentation et étude de l’existant de l’École Nationale des Arts et Métiers de Guinée (ENAM)...............................................................................11 DEUXIEME PARTIE : ETUDE TECHNIQUE.................................................................16 CHAPITRE I : Généralités sur les portails captifs..................................................17 TROISIEME PARTIE: DEPLOIEMENT DU PORTAIL CAPTIF CHOISI.................21 CHAPITRE I : Installation et Configuration de PFsense......................................22 CONCLUSION.......................................................................................................................43 BIBLIOGRAPHIE..................................................................................................................44 TABLE DES MATIÈRES......................................................................................................45 ANNEXE : Le prix des équipements informatiques...............................................48

LISTE DES TABLEAUX Tableau 1: Étude de l'existant..........................................................14 Tableau 2: Étude comparative des portails captifs...............................19 Tableau 3: Plan d'adressage réseau..................................................22 Tableau 4: Environnement de travail.................................................41 Tableau 5: Coûts de matériels..........................................................42

LISTE DES FIGURES Figure 1: Organigramme de l'ENAM..................................................13 Figure 2: Nouvelle architecture réseau de L’ENAM...............................15 Figure 3 : Fonctionnement Générique d'un portail captif.......................17 Figure 4: Menu de démarrage de PFsense..........................................23 Figure 5: Contrat de licence.............................................................24 Figure 6: Installation de PFsense......................................................24 Figure 7: Choix du clavier................................................................24 Figure 8: Choix du partitionnement...................................................24 Figure 9: Configuration manuelle......................................................25 Figure 10: Fin de l'installation..........................................................25 Figure 11: Menu textuel PFsense......................................................25 Figure 12: Page de connexion PFsense..............................................26 Figure 13: Menu Général de PFsense.................................................26 Figure 14: Configuration Générale de PFsense....................................27 Figure 15: Configuration du DNS Forwarder.......................................27 Figure 16: Configuration du DNS Resolver.........................................28 Figure 17: Configuration de l'interface LAN........................................28 Figure 18: Configuration de l'interface WAN.......................................29 Figure 19: Configuration de l'interface WIFI.......................................29 Figure 20: Configuration du serveur DHCP.........................................30 Figure 21: Règle de l'interface WAN..................................................31 Figure 22: Règle de l'interface WIFI..................................................31 Figure 23: Les rôles installés............................................................32 Figure 24: Création d’un compte utilisateur........................................33 Figure 25: Création d’un groupe et des utilisateurs..............................34 Figure 26: Installation du rôle NPS...................................................34 Figure 27: Inscription du serveur dans Active Directory.......................35 Figure 28: Création du client RADIUS................................................35 Figure 29: Nom de la stratégie.........................................................36 Figure 30: Choix de la condition.......................................................36 Figure 31: Ajout d'un groupe d'utilisateurs.........................................36 Figure 32: Spécification de l'autorisation d'accès.................................36

Figure 33: Méthodes d'authentification..............................................37 Figure 34: Paramètres de chiffrement...............................................37 Figure 35: Fin de l'installation du client Radius...................................37 Figure 36: Configuration de l’authentification RADIUS..........................38 Figure 37: Activation du portail captif................................................39 Figure 38: Paramètres de la page de redirection de l'utilisateur.............39 Figure 39: Choix du serveur d'authentification....................................40 Figure 40: Configuration des paramètres de compte RADIUS................40 Figure 41: Connexion à l’Internet via le portail captif...........................40 Figure 42: Accès à l’Internet............................................................41

GLOSSAIRE CPU: Central Processing Unit DHCP/PPP: Dynamic Host Configuration Protocol/Point-to-Point Protocol DNS: Domain Name System FreeBSD: Free Berkeley Software Distribution HTTP: Hypertext Transfer Protocol HTTPS: HyperText Transfer Protocol Security HDD: Hard Disk Drive ISO: International Standardization Organization LAN: Local Area Network MS-CHAPv2:

Microsoft-Challenge

Handshake

Authentication

version 2 IP: Internet Protocol NAT: Network Address Translation NAS: Network Access Server NPS: Network Policy Server PAP: Password Authentication Protocol RAM: Random Access Memory URL: Uniform Resource Locator VPN: Virtual Private Network WAN: Wide Area Network WIFI: Wireless Fidelity WPA-PSK: Wi-Fi Protected Access-Pre-Shared Key Www: World Wide Web

protocol

DEDICACE  Je dédie ce travail à mes très chers parents, à mes frères et sœurs, et à toute ma famille.

REMERCIEMENTS Je tiens à remercier toutes les personnes qui m’ont apporté leur soutien, aides et conseils durant la réalisation de ce travail. J’adresse également mes profonds remerciements et reconnaissances : -

À toute l’administration de l’Université Catholique de l’Afrique de l’Ouest à Conakry ;

-

À son président, l’Abbé François-Xavier DAMIBA et à son Viceprésident

chargé

des

études

M.

Raymond-Marie

Augustin

GNIMASSOU, pour les précieux conseils qu’ils m’ont donnés durant mes quatre années d’études. -

À M. Charles Lebon LAWSON, Chef du département Mathématiques et Informatique, ainsi que tout le corps professoral du département pour les connaissances qu’ils m’ont transmises pendant mon cursus ;

-

Au directeur général de l’École Nationale des Arts et Métiers de Guinée (ENAM), M. Alhassane SYLLA et à tout son personnel, pour leurs aimables accueils et les moyens qu’ils ont mis à ma disposition pour l’élaboration de ce travail ;

-

À mes très chers parents pour leur soutien durant toutes mes années d’études ;

-

À ma très chère tante Mme Camara Hadja Oumou BALDE et à toute sa famille, pour leurs aides et encouragements continus ;

-

À mon cher encadreur M. Mao BILIVOGUI, pour ses précieux conseils, son orientation et le temps qu’il m’a consacré pendant l’élaboration de ce mémoire.

INTRODUCTION Les réseaux informatiques sont devenus, depuis quelques années, des outils capitaux de communication. Aujourd'hui, les importantes évolutions des réseaux informatiques visent à faciliter la mobilité afin de répondre aux nouveaux besoins des individus et des entreprises utilisant des terminaux de plus en plus dynamiques tels que les smartphones, les ordinateurs portables, les tablettes, etc. De nos jours, avec l’implosion du phénomène de la cybercriminalité, la transmission de gros volumes d’informations sensibles et la nécessité de garantir la confidentialité, la sécurité des réseaux informatiques est devenue une préoccupation majeure pour les entreprises. Cependant, la diversité des politiques de sécurisation des réseaux, pour la plupart, assez complexes et parfois rébarbatives pour l’utilisateur, nécessite la mise en place de technologies additionnelles qui, tout en renforçant

la

sécurité

des

données,

créent

une

convivialité

pour

l’utilisateur. Les systèmes d'authentification constituent une alternative assez pratique puisqu’ils sont compatibles avec la plupart des terminaux mobiles disponibles sur le marché et assurent la sécurité des échanges entre les utilisateurs. Un des systèmes d'authentification les plus utilisés aujourd’hui est le portail captif. Il a l’avantage d’être utilisé aussi bien dans les points d'accès payants que gratuits et peut s’étendre à tous types de réseau (sans-fil ou filaire) exigeant un contrôle d'accès. La préoccupation majeure de l’École Nationale des Arts et Métiers de Guinée (ENAM) est la sécurisation de son réseau Internet et la bonne gestion, par l’administrateur, de tous les utilisateurs qui souhaitent s’y connecter.

Cette structure ne dispose d’aucune technologie lui permettant d’assurer une gestion sécurisée de son infrastructure informatique et de sa connexion à l’Internet. Pour pallier cette insuffisance et offrir à l’ENAM une solution permettant de sécuriser l’accès à l’Internet et faciliter la gestion des utilisateurs connectés, nous avons souhaité travailler sur le thème intitulé « Étude et Mise en place d’un portail captif via PFsense au sein de l’École Nationale des Arts et Métiers de Guinée (ENAM) ». Il s’agira pour nous d’étudier, dans une démarche rigoureuse, comment un portail captif implémenté via PFSENSE peut-il assurer la sécurité des données et l’administration d’un réseau informatique ? Pour atteindre notre objectif, ce thème sera traité en trois parties: -

La première partie traitera de la présentation et de l’étude de l’existant de l’École Nationale des Arts et Métiers de Guinée (ENAM);

-

Dans la deuxième partie, il sera question de faire une étude comparative de quelques solutions existantes afin d’en choisir une;

-

Nous consacrerons la troisième partie à l’implémentation de la solution retenue.

PREMIERE PARTIE : ENVIRONNEMENT ET CONTEXE D’EXÉCUTION

CHAPITRE I: Présentation et étude de l’existant de l’École Nationale des Arts et Métiers de Guinée (ENAM) I.1.

Présentation de l’École Nationale des Arts et Métiers de Guinée (ENAM)

L’École

Nationale

des

Arts

et

Métiers

de

Guinée

(ENAM)

sise

à

lanséboundji commune de Matam, est une grande école d’enseignement technique et de formation professionnelle. Elle est le support technique de l’économie guinéenne, à travers la formation dans tous les secteurs de développement, des aide-ingénieurs et des techniciens supérieurs.1

 Historique 1962 : Date de création de l’école des cadres techniques  Financement

USAID

(United

States

Agency

For

International

Development) Amérique  Assistant Technique ORT (l'Organisation de Reconstruction Travail) Genève 1966 : École Nationale des Arts et Métiers  1976 : Faculté des Sciences Techniques  1987 : Projet Enam I  Financé par le 6ème FED (Fédéral Reserve System)  Formation des techniciens supérieurs(BTS)  Création des filières : Électromécanique et Mécanique Auto Diesel  Assistant Technique SODETEG(France) 1992 : Projet Enam II  Financé par la 7èmeFED (Fédéral Reserve System)  Création de la filière et Mécanique Générale Maintenance  Assistant Technique CECOFORMA(Belgique) 2000 : Projet Enam III 1

Document ENAM 2010

 Financé par le 8èmeFED (Fédéral Reserve System)  Création de la filière Génie Civil  Assistant Technique GOPA Conseils (Allemagne)

 Mission L’ENAM a pour mission, de former pour le système industriel, des diplômés au Brevet de Techniciens Supérieur (BTS) en Électromécanique, Maintenance

générale,

Mécanique

auto

diésel,

Froid

climatisation,

Bâtiment, Topographie et Travaux public.

 Partenaires MAROC :  Institut Supérieur du Bâtiment(ISB) Casablanca  Institut Supérieur Inter Entreprise(ISTAE) Casablanca ALLEMAGNE :  École Inter entreprise(UABF) Francfort(Oder)  Bureau D’étude (IBC) Berlin GUINEE :  Compagnie de Bauxite de Guinée (CBG)  Alumina Company of Guinea (ACG)  SMD Lero (Société Minière de Dinguiraye)  SAG (Société Anglo Gold Ashanti)  SDV-SOCOPAO-SAGA  UMS (United Mining Supply)  EDG-SOBRAGUI-BONAGUI (Électricité de Guinée)-(Société des Brassières de Guinée)-(Boisson Non Alcoolisée de Guinée)  BCEIP (Bureau de Consultation d'enquêtes d'intérim et de Perfectionnement)  Ciment de Guinée

 Organigramme L’organigramme de l’École Nationale des Arts et Métiers de Guinée se présente comme suit:

Figure 1: Organigramme de l'ENAM

I.2.

Étude de l’existant de l’ENAM  Existants matériels et logiciels

Après une visite au sein de l’ENAM, nous avons répertorié les différents équipements informatiques dans le tableau ci-dessous : Designation Marque Caractéristiques Laptop HP Windows 8, Office 2010, Intel Core i3 2.0GHz, RAM 4Go, HDD 500Go Desktop HP Windows XP, Pentium(R) 4CPU 3.00GHz, RAM 504 Mo, HDD 80Go Desktop HP Windows 7, Office 2010, Intel(R) core ™) 2, CPU [email protected] GHz,

Quantité Etat 1 Bon

1

Bon

4

Bon

Imprimante

HP

Imprimante

HP

Router sans fil

D-LINK DWR712

RAM 8Go, HDD 100Go Deskjet 1010 print, scan, copy 1 A4 LaserJet, P2035 print, scan, 2 copy A4 Norme 802.11b (11Mbps) , 1 802.11g (54Mbps), 802.11n, Cryptage sans fil (WEP, WPA et WPA2)

Bon Bon Bon

Tableau 1: Étude de l'existant

 Existant humain : Il n’y a aucun informaticien qui gère le parc informatique.

I.3.

Critique de l’existant

Actuellement,

l’accès

au

réseau

Internet

de

l’ENAM

est

fait

par

authentification par clé WPA2-PSK, cela reste insuffisant puisqu’il existe de nos jours des logiciels qui parviennent à contourner cette méthode d’authentification

comme

par

exemple

le

logiciel

Aircrack-ng.

L’authentification par clé ne permet pas également de gérer de façon efficace les utilisateurs connectés au réseau Internet. D’où, la nécessité de mettre en place une solution de portail captif sur le réseau Internet de l’ENAM. De plus, l’ENAM n’a pas de réseau local et dans son parc informatique les ordinateurs dont elle dispose tournent sur des systèmes d’exploitation obsolètes, par exemple Windows XP.

I.4.

Architecture réseau proposée de l’École Nationale des Arts et Métiers de Guinée (ENAM)

Dans cette architecture, nous avons un serveur physique sur lequel nous avons installé un environnement virtuel. Sur cet environnement virtuel, nous avons créé deux machines virtuelles : sur la première machine, nous avons installé le routeur/pare-feu logiciel PFsense et sur la seconde machine, nous avons installé le contrôleur de domaine et le service Radius sous Windows Server 2016. Nous avons également un point d’accès qui partage le Wi-Fi et un routeur qui permet d’accéder à l’Internet.

Figure 2: Nouvelle architecture réseau de L’ENAM

DEUXIEME PARTIE : ETUDE TECHNIQUE

CHAPITRE I : Généralités sur les portails captifs I.1.

Généralité

Le portail captif est une page web, mise en place dans un réseau (sans fil ou filaire), obligeant tous les utilisateurs de ce réseau à s’authentifier avant d’accéder à l’Internet.

I.2.

Fonctionnement Générique d’un portail captif

Un utilisateur a accès à l’Internet par le biais d’une connexion WIFI, puis un serveur DHCP lui attribue une adresse IP, à cet instant l’utilisateur a seulement accès au réseau portail captif. Lorsqu’il va lancer son navigateur web pour effectuer des recherches, la passerelle va le rediriger vers une page web où il va s’authentifier, en entrant son nom d’utilisateur et son mot de passe. Le serveur d’authentification va ensuite interroger la base de données où sont stockés, les comptes utilisateurs autorisés à accéder à Internet. Finalement, le serveur d'authentification indique, à la passerelle que l’utilisateur est authentifié sur le réseau. Ainsi, la connexion Internet est établie pour l’utilisateur et il est redirigé vers la page Web qu'il a demandée au début.2

Figure 3 : Fonctionnement Générique d'un portail captif

2

Tiré du site https://www.supinfo.com/articles/single/2064-portail-captif consulté en Mars 2019

Étude des principaux portails captifs libres et gratuits 3

I.3. I.3.1

PFsense

PFsense ou « Packet Filter Sense » est une distribution basée sur FreeBSD, conçue pour être utilisé comme pare-feu et routeur. Il s’installe via une distribution dédiée et sa configuration se fait à travers une interface web. PFsense permet une authentification sécurisée via le protocole HTTPS et un couple utilisateur / mot de passe. Il est simple à utiliser et dispose également d’une documentation très détaillée.

I.3.2

ALCASAR

ALCASAR

(Application

Libre

pour

le

Contrôle

d'Accès

Sécurisé

et

Authentifié au Réseau) est un produit français particulièrement consacré aux fonctions de portail captif. Il s'installe sur une distribution Mandriva à travers un script supporté par cette dernière et sa configuration se fait via une interface web. L’authentification est sécurisée par HTTPS et un couple utilisateur / mot de passe. La solution Alcasar est très bien documentée et simple à utiliser.

I.3.3

ZeroShell

ZeroShell est une distribution Linux qui assure une sécurité entière au sein d'un réseau (pare-feu, VPN, portail captif...). Son installation est simple via une distribution dédiée. Elle dispose d’une interface de gestion web simple d’utilisation et sa page d'authentification est sécurisée et la connexion se fait via un couple utilisateur / mot de passe. Zeroshell a une documentation très incomplète.

3

Tiré du site https://fr.scribd.com/document/330629234/Portail-captif-etude-de-cas consulté en Avril 2019

I.3.4

Étude comparative des solutions de portails captifs

Critères

Solutions ALCASAR HTTPS

Sécurité

PFsense HTTPS

Authentification Documentation

Disponibilité

Disponibilité

Moyennement

Plates-formes

élevée Toutes

élevée Toutes

Disponible Toutes

clients supportées Personnalisation

Disponibilité

Disponibilité

Moyennement

Facilité

élevée élevée Disponible Installation via Installation via Installation

d’administration

distribution

Script

distribution

Facilité d’utilisation

dédiée Disponibilité

automatisé Disponibilité

dédiée Disponibilité

Sauvegarde/

élevée Disponibilité

élevée Disponibilité

élevée Disponibilité

restauration

élevée

élevée

élevée

Disponibilité

Moyennement

élevée

disponible

configuration Pérennité de solution

la Disponibilité élevée

ZeroShell HTTPS

via

Tableau 2: Étude comparative des portails captifs

I.3.5

Choix d’une solution de portail captif

Au vu de ce comparatif, les solutions qui s’adaptent aux critères dont nous avons besoin sont : PFsense et ALCASAR. Cependant ALCASAR s'installe via un script automatisé, aussi ALCASAR est principalement dédié aux fonctions de portail captif. Alors que PFsense s'installe via une distribution dédiée et PFsense dispose également de nombreuses fonctionnalités qui apportent une sécurité complète au sein d’un réseau local. Ainsi, le portail captif retenu est PFsense. Le produit PFsense présente aussi une plus grande assurance, car l’assistance provient d’une communauté de personnes qui utilisent le logiciel et proposent régulièrement de nouvelles idées à implémenter.

I.3.6

Étude technique de la solution de portail captif choisi : PFsense4

PFsense est un routeur/pare-feu logiciel, à code source ouvert et personnalisé de FreeBSD. Il est complètement administrable par une interface Web et console.  La solution PFsense fournit plusieurs fonctionnalités qui sont entre autres:  Un portail captif ;  Un serveur DHCP et relais ;  La traduction d’adresses réseau (NAT) ;  Multi-WAN ;  Un DNS dynamique ;  La Haute disponibilité ;  Le filtrage des URL avec les packages Squid et SquidGuard ;  Un Réseau privé virtuel (VPN). Elle a l’avantage d’être robuste, modulable et sécuriser. PFsense est idéal pour les petites et moyennes entreprises qui ont besoin d’une plate-forme solide.

4

Tiré du site https://docs.netgate.com/pfsense/en/latest/book/intro/index.html consulté en Avril 2019

TROISIEME PARTIE: DEPLOIEMENT DU PORTAIL CAPTIF CHOISI

CHAPITRE I : Installation et Configuration de PFsense Ce tableau ci-dessous explicite le plan d’adressage réseau, pour la réalisation de cette solution de portail captif. Peripheriques PFsense Active Directory ClientWifi1

Interface WAN LAN WIFI LAN WIFI

Adresse IP DHCP 192.168.26.1 192.168.20.1 192.168.26.2 DHCP

Masque DHCP 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Passerelle N/A N/A N/A 192.168.26.1 192.168.20.1

ClientWifi2 ClientWifi3

WIFI WIFI

DHCP DHCP

255.255.255.0 255.255.255.0

192.168.20.1 192.168.20.1

Tableau 3: Plan d'adressage réseau

I.1.

Installation de PFsense

PFsense est installé sur une distribution FreeBSD, existante sous format ISO téléchargeable gratuitement sur le site http://www.pfsense.org/. La

configuration

matérielle

minimale

requise

pour

PFsense

est

la

suivante : 

CPU 600Mhz ou plus rapide;



RAM 512Mo ou plus;



4 Go HDD ou plus;



Une ou plusieurs cartes d’interfaces réseau compatibles.

Dans le but de faire une démonstration pratique lors de la présentation du projet, nous avons utilisé un poste de travail dont les caractéristiques physique sont : 

CPU 2.00GHZ;



RAM 8 Go;



500Go HDD;



Carte Réseau Realtek 8821CE Wireless LAN 802.11ac PCI-E NIC.

Sur ce poste de travail, nous avons installé le logiciel de virtualisation VMware Workstation et nous avons créé des machines virtuelles avec les caractéristiques suivantes : PFsense  

Trois Interfaces réseaux (LAN, WIFI, WAN);



1Go de RAM ;



10Go HDD.

Windows

Server

2016

(contrôleur

d’authentification RADIUS) 

Interfaces réseau (LAN);



2Go de RAM;



20Go HDD.

de

domaine

et

serveur

Windows 10 (client) 

Interface réseau (WIFI);



1Go de RAM;



60Go HDD.

Les différentes étapes de l’installation de PFsense Étape 1 : Installation du support sur la machine virtuelle. Après le chargement du système dans la machine virtuelle, nous avons accédé à l’écran de démarrage de FreeBSD, puis nous avons choisi l’option 1 et nous avons attendu la fin du redémarrage.

Figure 4: Menu de démarrage de PFsense

Étape 2 : Information sur PFsense

Figure 5: Contrat de licence

Étape 3 : Démarrage de l’installation de PFsense

Figure 6: Installation de PFsense

Étape 4 : Configuration du clavier

Figure 7: Choix du clavier

Étape 5 : Choix du partitionnement automatique ou manuel

Figure 8: Choix du partitionnement

Étape 6 : Configuration manuelle

Figure 9: Configuration manuelle

Étape 7 : Redémarrage de la machine pour que les changements soient effectif

Figure 10: Fin de l'installation

Après redémarrage, nous avons modifié l’adresse IP de l’interface LAN de PFsense. Nous avons procédé comme suit : Dans le menu de PFsense, nous avons choisi l’option 2 Set interface(s) IP adresse, puis nous avons entré l’adresse IP correspondante à notre LAN. Voici le menu de PFsense après modification de son interface LAN.

Figure 11: Menu textuel PFsense

I.2. I.2.1

Configuration de PFsense Configuration Générale

Pour configurer PFsense, nous avons entré dans la barre de recherche du navigateur web l’adresse IP de son interface LAN http://192.168.26.1 pour accéder à l’interface de connexion, puis nous avons entré un nom d’utilisateur par défaut (admin) et un mot de passe (pfsense) pour se connecter en tant qu’administrateur.

Figure 12: Page de connexion PFsense

Nous avons maintenant accès au menu général de PFsense.

Figure 13: Menu Général de PFsense

Pour faire la configuration générale de PFsense, nous avons procédé comme suit: Dans l’onglet System puis General Setup, nous avons entré le nom de la machine et l’adresse IP de notre serveur DNS, ensuite nous avons décoché l’option (Allow DNS server list to be overridden by DHCP/PPP on WAN), puis nous avons cliqué sur save pour sauvegarder les modifications effectuées.

Figure 14: Configuration Générale de PFsense

a. Configuration du DNS Forwarder Pour activer le DNS Forwarder, nous avons coché l’option Enable DNS Forwarder de la section DNS Forwarder dans l’onglet Service, puis nous avons cliqué sur save pour enregistrer les modifications effectuées.

Figure 15: Configuration du DNS Forwarder

b. Configuration du DNS Resolver Nous avons activé le DNS Resolver sur toutes les interfaces de PFsense. Dans l’onglet Service puis dans la section DNS Resolver, nous avons coché les options suivantes : Enable DNS Resolver, Enable DNSSEC Support, Register DHCP leases in the DNS Resolver et Register DHCP static mappings in the DNS Resolver. Puis nous avons enregistré les modifications effectuées.

Figure 16: Configuration du DNS Resolver

I.2.2

Configuration des Interfaces a. Interface LAN

Pour activer l’interface LAN, nous avons coché l’option Enable Interface de la section Interface LAN. Cette interface doit être obligatoirement en static et nous avons enregistré les modifications effectuées.

Figure 17: Configuration de l'interface LAN

b. Interface WAN Pour

activer

l’interface

WAN,

nous

avons

coché

l’option

Enable

Interface de la section Interface WAN, puis nous avons choisi le type d’adressage (DHCP) et nous avons cliqué sur save pour enregistrer les modifications effectuées.

Figure 18: Configuration de l'interface WAN

c. Interface WIFI Pour

activer

l’interface

WIFI,

nous

avons

coché

l’option

Enable

Interface de la section Interface WIFI, cette interface aussi doit être en static car c’est sur elle que nous avons activé le service DHCP.

Figure 19: Configuration de l'interface WIFI

d. Configuration du serveur DHCP Nous avons activé le service DHCP sur l’interface WIFI pour faciliter la connexion des utilisateurs. Dans l’onglet Service, puis dans la section DHCP server, nous avons coché la case Enable DHCP server on WIFI interface. Nous avons ensuite entré la plage d’adresse IP qui sera attribuée aux utilisateurs dans notre cas, notre plage d’adresse sera 192.168.20.20-192.168.20.50.Nous avons aussi renseigné

l’adresse

IP de notre serveur DNS qui sera attribuée aux utilisateurs, dans notre cas nous avons entré l’adresse IP du WIFI, qui sera aussi la passerelle des utilisateurs, puis nous avons enregistré les modifications effectuées.

Figure 20: Configuration du serveur DHCP

e. Définition des règles du firewall Nous avons défini certaines règles sur les interfaces de PFsense pour leur permettre de communiquer entre elles et avec l’extérieur. Sur l’interface LAN le trafic est déjà autorisé par défaut. Nous avons édité de nouvelles règles sur les interfaces WAN et WIFI. Sur l’interface WAN : Dans l’onglet Firewall, puis dans la section Rules, nous avons choisi l’interface WAN, puis nous avons édité la nouvelle règle qui va permettre le passage des paquets du WAN vers le LAN. Dans Action, nous avons choisi l’option PASS, dans Protocole ANY, dans Interface WAN, pour la source nous avons choisi WAN net et pour la destination LAN net. Puis nous avons enregistré les modifications effectuées.

Figure 21: Règle de l'interface WAN

Sur l’interface WIFI : Nous avons mis une règle sur l’interface WIFI, qui va autoriser la connexion Internet. Pour cela, nous avons copié la règle IPv4 qui autorise le LAN à joindre toutes les autres interfaces et nous l’avons appliqué à l’interface WIFI. Dans l’onglet Firewall, puis dans la section Rules, nous avons choisi l’interface LAN, ensuite nous avons cliqué sur l’icône copier (icône avec deux carrés superposés), puis sur l’interface WIFI nous avons collé la règle et nous avons enregistré et appliqué les modifications effectuées.

Figure 22: Règle de l'interface WIFI

I.3.

Portail Captif A. Authentification et gestion des utilisateurs

Pour

authentifier

les

utilisateurs

dans

PFsense

trois

méthodes

d’authentification s’offrent à nous :  Sans authentification, les utilisateurs sont libres ;  Authentification via un fichier local, les identifiants de connexion des utilisateurs sont stockés dans une base de données locales;  Authentification via un serveur RADIUS. Dans notre cas, nous avons choisi l’authentification via un serveur RADIUS.

RADIUS (Remote Authentification Dial-In User Service) est un protocole client-serveur très sécurisé, permettant de centraliser les données d’authentification et de gérer les connexions utilisateurs à des services distants.5

 Authentification Active Directory Nous nous sommes servi de Windows Server 2016 afin de créer un nom de domaine (enam.com) et d’installer un serveur d’authentification (RADIUS) qui va permettre de lier PFsense au répertoire Active Directory.

Figure 23: Les rôles installés

 Création d’un groupe et des utilisateurs Pour créer un utilisateur dans Active Directory, nous avons procédé comme suit : Dans le Gestionnaire de serveur, puis dans l’onglet Outils, nous avons cliqué sur utilisateurs et Ordinateurs Active Directory, ensuite nous avons fait un clic-droit sur le dossier Users, puis nous avons cliqué sur l’icône utilisateur et nous avons créé l’utilisateur EnamUser.

5

Tiré du site https://www.cisco.com/c/fr_ca/support/docs/security-vpn/remote-authentication-dial-userservice-radius/12433-32.pdf consulté en Octobre 2019

Figure 24: Création d’un compte utilisateur

Voici une copie d’écran de notre Active Directory où nous avons créé un groupe

PortailCaptif,

qui

contient

les

utilisateurs

(D-Enam

EnamUser) qui doivent pouvoir s’authentifier sur le portail captif.

et

Figure 25: Création d’un groupe et des utilisateurs

 Installation

et

configuration

du

serveur

d’authentification (RADIUS) Pour installer le serveur RADIUS, nous avons ajouté le rôle NPS (Network Policy Server) et nous avons procédé comme suit: Dans le Gestionnaire de serveur, puis dans l’onglet Gérer, nous avons cliqué sur Ajouter des rôles et fonctionnalités, ensuite nous avons coché Services de stratégie et d’accès réseau et nous avons cliqué sur installer.

Figure 26: Installation du rôle NPS

Dans le Gestionnaire de serveur à gauche, nous avons développé les services de stratégie et d’accès réseau, puis dans NPS (local) nous avons fait un clic-droit sur NPS, nous avons cliqué ensuite sur : Inscrire un serveur dans Active Directory puis ok.

Figure 27: Inscription du serveur dans Active Directory

Nous avons ensuite créé un client RADIUS, nous avons procédé comme suit: Dans Client et serveurs RADIUS (sous NPS (local)), nous avons effectué un clic-droit sur Client RADIUS puis nouveau, ensuite nous avons attribué un nom au client RADIUS, une adresse IP, dans notre cas, nous avons mis l’adresse IP de l’interface LAN de PFsense et nous avons ensuite défini un secret partagé qui sera réécrit dans PFsense. Nous avons enregistré en cliquant sur ok.

Figure 28: Création du client RADIUS

Nous avons aussi créé une stratégie réseau, qui va permettre au NPS d'authentifier et d'autoriser les demandes de connexion des utilisateurs. Nous avons procédé comme suit: Dans stratégie, nous avons effectué un clic-droit sur stratégies réseau, puis nouveau nous avons entré le nom de la stratégie.

Figure 29: Nom de la stratégie

Nous avons spécifié une condition, qui va déterminer cette stratégie réseau dans notre cas, nous avons choisi Groupes d’utilisateurs.

Figure 30: Choix de la condition

Nous avons ensuite ajouté le groupe PortailCaptif, tous les utilisateurs appartenant à ce groupe pourront accéder à Internet via leur identifiants.

Figure 31: Ajout d'un groupe d'utilisateurs

Nous avons également autorisé l’accès au réseau.

Figure 32: Spécification de l'autorisation d'accès

Nous avons aussi spécifié des méthodes d’authentifications nécessaires, pour

que

la

demande

de

connexion

corresponde

à

la

stratégie

PortailCaptif. Dans notre cas, nous avons coché les options ci-dessous: 

Authentification chiffrée (CHAP) ;



Authentification non chiffrée (PAP, SPAP).

Figure 33: Méthodes d'authentification

Pour finir, nous avons décoché l’option chiffrement

Aucun du paramètre de

de la stratégie PortailCaptif. Pour cela, nous avons fait un

clic-droit sur la stratégie, puis dans l’onglet paramètres, dans chiffrement nous avons décoché la case : Aucun chiffrement et nous avons enregistré en cliquant sur Terminer.

Figure 34: Paramètres de chiffrement

Voici un récapitulatif des options de la nouvelle stratégie.

Figure 35: Fin de l'installation du client Radius

 Configuration

de

l’Authentification

RADIUS

sur

PFsense Pour configurer l’authentification RADIUS sur PFsense, nous avons procédé comme suit: Dans l’onglet System, nous avons sélectionné User Manager, dans la section Authentification servers, nous avons cliqué sur Add, nous avons accédé à la page de configuration, dans laquelle nous avons entré le nom descriptif PortailCaptif, le type de serveur nous avons choisi le RADIUS, l’adresse IP de notre serveur Radius nous avons entré celui du Windows Serveur donc (192.168.26.2), nous avons sélectionné le protocole MS-CHAPv2, dans shared secret nous avons écrit le secret partagé définit lors de la création du client RADIUS, pour les services offerts par RADIUS nous avons choisi Authentication and accounting et leurs ports d’écoute respectifs 1812 et 1813.Le délai d’expiration de l’authentification est par défaut 5 secondes et l’attribut IP RADIUS NAS : LAN-192.168.26.1 puis nous avons cliqué sur save pour enregistrer les modifications effectuées.

Figure 36: Configuration de l’authentification RADIUS

B. Mise en place du portail captif Pour mettre en place le portail captif, nous avons procédé comme suit: Dans l’onglet Service, puis dans la section Captive portal, nous avons créé une nouvelle zone, que nous avons configurée en cochant la case Enable Captive portal, puis nous avons choisi l’interface sur laquelle le portail captif va écouter. Dans notre cas, c’est l’interface WIFI. Nous avons aussi défini les temps à partir desquelles les utilisateurs seront déconnectés, Idle Timeout définit le temps à partir duquel un utilisateur inactif sera automatiquement déconnecté et Hard Timeout définit le temps à partir duquel il sera déconnecté quel que soit son état, puis se voir redemander les identifiants de connexion. Nous avons choisi de mettre 3 minutes pour l’inactivité et 3 minutes pour les déconnexions brutales.

Figure 37: Activation du portail captif

Nous avons ensuite redirigé les utilisateurs authentifiés vers l’URL suivante: http://www.enamguinee.com. Nous avons aussi activé l’option Concurrent user logins pour éviter les usurpations d’identité.

Figure 38: Paramètres de la page de redirection de l'utilisateur

Dans la partie authentification, nous avons sélectionné la méthode d’authentification (Use an Authentication backend), puis nous avons choisi notre serveur d’authentification PortailCaptif.

Figure 39: Choix du serveur d'authentification

Dans la partie paramètre de compte RADIUS, nous avons activé les options Send RADIUS accounting packets et Interim. Puis nous avons cliqué sur save pour sauvegarder les modifications effectuées.

Figure 40: Configuration des paramètres de compte RADIUS

Le portail captif de PFsense est maintenant fonctionnel, nous avons testé l’accès à l’Internet via le portail captif, en ouvrant notre navigateur web et en essayant d’accéder à une page web. Nous avons été automatiquement redirigé vers la page d’authentification du portail captif, puis nous avons entré les identifiants de connexion d’un utilisateur se trouvant dans notre Active Directory.

Figure 41: Connexion à l’Internet via le portail captif

Après authentification, l’utilisateur a maintenant accès à l’Internet.

Figure 42: Accès à l’Internet

I.4.

Évaluation financière du projet Pour la réalisation de ce projet, nous utiliserons : 

Un serveur,



Un Switch,



Quatre mètres de câble réseau.

Désignations Caractéristiques Server HP ProLiant Intel Xeon Silver 4114-2.2GHZ ML350 Gen10

Mémoire:32Go DDR4 SDRAM-ECC Disque Dur : 2To Adaptateur

réseaux :

4x

Ports

10/100/1000

Mbits Nombre de ports : 24 ports

Switch TP-Link

Normes Réseau : 10/100/1000 Mbps Nombres de Ports combo SFP (RJ45/Fibre) : 4 Câble réseau Ct6 RJ45 FTP L’ensemble de ces équipements est décrit dans le tableau ci-dessous. Tableau 4: Environnement de travail

Le tableau ci-dessous illustre le coût total des équipements. Les détails des prix sont en annexe du document. Désignations

Server HP ProLiant ML350 Gen10 Switch TP-Link Câble réseau Ct6 Total prix des équipements

Quantit

Prix unitaire

Prix total en

é

en francs

francs

1 1 4 mètres

en

guinéens(GNF) guinéens (GNF) 34 600 000 34 600 000 2 800 000 5 000

2 800 000 20 000

37 420 000

francs guinéens (GNF) Tableau 5: Coûts de matériels

Main d’œuvre = 6 000 000 GNF. Alors, le coût total de la réalisation de cette solution est de : 43 420 000 francs guinéens (GNF).

CONCLUSION Notre travail a consisté à mettre en place un portail captif sur le réseau Wi-Fi de l’ENAM dans le but de sécuriser l’accès au réseau Internet. Pour ce faire, nous avons présenté de manière générale les portails captifs puis nous avons étudié les principaux portails captifs libres et gratuits, que nous avons ensuite comparés afin de choisir la solution la plus optimale à implémenter. C’est ainsi que la solution PFsense a été retenue. La solution de portail captif libre et gratuite est un moyen efficace pour gérer et protéger l’accès à l’Internet. Les différentes parties traitées dans ce travail nous ont permis d’intégrer parfaitement PFsense comme un moyen de sécurité essentiel, notamment l’authentification des utilisateurs via un serveur RADIUS. La réalisation de ce travail a été enrichissante, car elle nous a permis d’approfondir nos connaissances dans le domaine de la sécurité des réseaux. En guise de perspectives, nous proposons le déploiement d’autres fonctionnalités avec le rajout des packages suivants : les packages Squid et SquidGuard pour filtrer les URL et le package Ntopng pour la supervision de la bande passante.

Ceci n’étant qu’un travail humain, toutes critiques constructives et suggestions pourront, dans l’avenir, nous aider à l’améliorer.

BIBLIOGRAPHIE 

Claude SERVIN, Réseaux et télécoms, Edition Dunod, 20 Mars 2013.



Serge BORDÈRES, Authentification réseau avec Radius, EYROLLES, édition 2006.



Jérôme BEZET-TORRES et Nicolas BONNET, Windows Server 2016, Editions ENI, Avril 2017.



The PFsense Book Netgate Mars 06, 2019.

WEBOGRAPHIE 

{consulté en Mars 2019}.



{consulté en Avril 2019}.



{consulté

en

Octobre 2019}. 

{consulté en Avril 2019}.



{consulté en Octobre 2019}.

TABLE DES MATIÈRES SOMMAIRE..............................................................................................................................1 LISTE DES TABLEAUX.........................................................................................................2 LISTE DES FIGURES............................................................................................................3 GLOSSAIRE.............................................................................................................................5 DEDICACE...............................................................................................................................6 REMERCIEMENTS.................................................................................................................7 INTRODUCTION....................................................................................................................8 PREMIERE PARTIE : ENVIRONNEMENT ET CONTEXE D’EXÉCUTION............10 CHAPITRE I: Présentation et étude de l’existant de l’École Nationale des Arts et Métiers de Guinée (ENAM)...............................................................................11 I.1. Présentation de l’École Nationale des Arts et Métiers de Guinée (ENAM)................................................................................................................................11 

Historique...................................................................................................................11



Mission.........................................................................................................................12



Partenaires.................................................................................................................12



Organigramme.........................................................................................................13

I.2. Étude de l’existant de l’ENAM.........................................................................13 I.3. Critique de l’existant..........................................................................................14 I.4. Architecture réseau proposée de l’École Nationale des Arts et Métiers de Guinée (ENAM)..........................................................................................15 DEUXIEME PARTIE : ETUDE TECHNIQUE.................................................................16 CHAPITRE I : Généralités sur les portails captifs..................................................17 I.1. Généralité...............................................................................................................17 I.2. Fonctionnement Générique d’un portail captif.........................................17 I.3. Étude des principaux portails captifs libres et gratuits........................18 I.3.1

PFsense................................................................................................................18

I.3.2

ALCASAR.............................................................................................................18

I.3.3

ZeroShell.............................................................................................................18

I.3.4

Étude comparative des solutions de portails captifs..........................19

I.3.5

Choix d’une solution de portail captif......................................................19

I.3.6

Étude technique de la solution de portail captif choisi : PFsense.20

TROISIEME PARTIE: DEPLOIEMENT DU PORTAIL CAPTIF CHOISI.................21 CHAPITRE I : Installation et Configuration de PFsense......................................22 I.1. Installation de PFsense.....................................................................................22 I.2. Configuration de PFsense.................................................................................26 I.2.1

Configuration Générale..................................................................................26

a.

Configuration du DNS Forwarder...............................................................27

b.

Configuration du DNS Resolver..................................................................27

I.2.2

Configuration des Interfaces.......................................................................28

a.

Interface LAN.....................................................................................................28

b.

Interface WAN...................................................................................................29

c. Interface WIFI.......................................................................................................29 d.

Configuration du serveur DHCP.................................................................30

e.

Définition des règles du firewall.................................................................30

I.3. Portail Captif..............................................................................................................32 A.

Authentification et gestion des utilisateurs...............................................32



Authentification Active Directory...................................................................32



Configuration de l’Authentification RADIUS sur PFsense.....................38

B.

Mise en place du portail captif....................................................................39

I.4. Évaluation financière du projet......................................................................41 CONCLUSION.......................................................................................................................43 BIBLIOGRAPHIE..................................................................................................................44 TABLE DES MATIÈRES......................................................................................................45 ANNEXE : Le prix des équipements informatiques...............................................48

Annexe: Le prix des équipements informatiques 

Serveur et accessoires



Commutateur et accessoires