Portail Captif Étude de Cas

inistre des Enseignements Secondaire et Suprieur
(MESS)
Secrtariat Gnral
Universit Polytechnique de Bobo-Dioulasso (U.P.B.)
Cycle des Ingnieurs de Travaux Informatiques (C.I.T.I)

Option: Rseaux et Maintenance Informatiques (RMI)
THEME : Etude et mise en place d'un portail captif sur le rseau de

l'Universit Polytechnique de Bobo-Dioulasso: Cas du Campus Numrique
Francophone Partenaire
cNtxfe au 06flout au 05 :NotJemiJre 2013
Auteurs:
lifou KDNANE & zakaria KINDA
Maitre de staee
M. SAND
Superviseyr
Dramane Edmond
Responsable du CNFP
Anne acadntique : 2012-2013
Dr PODA Pasteur
Enseignant chercheur l'ESI
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP
--~
DEDICACE
Nous ddions ce rapport

A nos trs chresfamilles qui ont totgours t l pour nous
soutenir tout au long de nos tudes et qui nous ont donn

un magniflque modle de labeur et de persvrance. Nous
esprons qu'elles trouveront dans ce travail toute notre
reconnaissance et tout notre amour
1
1
1
1
1
1
Rapport de fin de cycle ralis par Salifou KNANE & Zakaria KINDA
ESI/RMI2012-2013
Page i
REMERCIEMENTS
Nous remercions trs sincrement:

.:. L'cole Suprieure d'Informatique pour nous avoir
donn cette formation;
.:. Dr Pasteur PODA, notre superviseur, pour ses
encouragements, sa disponibilit et ses remarques
pertinentes et enrichissantes ;
.:. M. Dramane E. SANON, le responsable du CNFP;
notre matre de stage grce qui ce stage a t
possible au CNFP et pour ces prcieux apports, sa
sincrit et sa disponibilit;
.:. Mme OUATTARAIOUEDRAOGO Alizta,
intrimaire de l'assistante documentaliste au CNFP
pour sa disponibilit et sa sympathie;
.:. Nos amis qui nous ont toujours soutenus dans nos
diffrentes tches;
.:. Nos camarades d'cole avec qui nous avons pass tout
ce temps l'ESI pour leur collaboration.
Et enfin nous rendons grce DIEU TOUT PUISSANT qui
nous a permis de tenir jusqu' ce jour.
ESI/RMI2012-2013
Page ii
GLOSSAIRE
AP : Access Point
CARP : Common Address Redundancy Protocol
CPU: Central Processing Unit
DMZ : Demilitarized Zone
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name Service
FAI : Fournisseur d'Accs Internet
FTP : Foiled Twisted Pair
HTTP : HyperText Transfer Protocol
HTTPS : HyperText Transfer Protocol Security
HTML : HyperText Markup Language
IP : Internet Protocol
LAN: Local Area Network
MAC : Medium Access Control
NFS : Network File System
NTP : Network Time Protocol
NAT: Network Address Translation
NA3 : Network Access Server
PPTP : Point-to-Point Tunneling Protocol
1
PHP : Hypertext Preprocessor

RADIUS: Remote Authentification Dual-In User Service
RAM : Random Access Memory

SSL : Secure Sockets layers
SSH : Secure Shell

STP : Shielded Twisted Pair
TCP : Transfer Control Protocol

UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair

VPN : Virtual Private Network
WIFI : Wireless Fidelity
WAN : Wide Area Network
Rapport de fin de cycle ralis par Salifou KNANE & Zakaria KIN DA
ESI/RMI2012-2013
Page iii
LISTE DES TABLEAUX

Tableau I.l : Organisation des activits
Tableau II.l : Les postes de travail et leurs caractristiques
Tableau II.2 : Liste des serveurs matriels et caractristiques techniques
10
Tableau 11.3 : Liste des imprimantes et quelques caractristiques techniques
Il
Tableau lIA : quipements rseau et caractristiques techniques
Il
Tableau ILS: Systemes d'exploitation et logiciels d'application
12
Tableau IL6 : Services installs
13
Tableau IL7 : Aperu de l'adressage
14
Tableau II.8 : Tableau rcapitulatif des services installs
16
Tableau IlL 1 : Comparaisons des diffrentes solutions de portail captif
27
Tableau V.l : Cots d'implantation
63
Rapport de fin de cycle ralis par Salifou KONANE & Zakaria KIN DA
ESI/RMI2012-2013
Page
iv
LISTE DES FIGURES

Figure ILl : Schma du rseau actuel
15
Figure IlL 1 : Fonctionnement gnral d'un portail captif
23
Figure IV.l : Architecture rseau standard d'implantation de PFsense
32
Figure IV.2 : Architecture rseau du CNFP aprs implantation de PFsense
33
Figure IV.3 : cran de demarrage de FREEBSD
34
Figure IV A : Bote de dialogue pour la configuration de VLAN
34
Figure IV.5 : Validation des noms d'interface
35
Figure IV.6 : Ajout ou non de carte optionnelle
35
Figure IV.7 : Option d'installation de PFsense
36
Figure IV.8 : Confirmation de l'installation
36
Figure IV.9 : Type d'installation
37
Figure IV. 10 : Cration de partitions
37
Figure IV.11 : Lancement de l'installation
38
Figure IV.12 : Fin de l'installation
38
Figure IV.13 : Menu de configuration
39
Figure IV.14 : Configuration de l'adresse IP LAN
39
Figure IV.15 : Portail de connexion PFsense
40
Fig'lre IV.16 : Paramtres gnraux de PFsense
41
Figure IV.17 : Configuration gnrale
42
Figure IV.18 : Configuration de l'interface WAN
43
Figure IV.19 : Configuration de l'interface LAN
44
Figure IV.2 : Configuration du serveur DHCP
45
Figure IV.21 : Rgles sur l'interface WAN
46
Figure V.I : Activation du portail captif
49
Figrre V.2 : Paramtres de la page de redirection
49
Figure V.3 : Limitation de la bande passante
50
Figure VA: Importation de code HTML.
50
Figure V.5 : Importation d'image
51
Figure V.6 : Page d'accueil du portail
51
Figure V.7 : Page d'echec
52
ESI/RMI 2012-2013
Page v
----
Figure V.8 : Gestion de comptes avec FREERADIUS
54
Figure V.9 : Gestion de comptes en local
55
Figure V.lO: Activation de HTIPS pour l'accs scuris au webguid
56
Figure V.ll : Choix du type de certificat..
57
Figure V.12 : Paramtres du certificat..
57
Figure V.13 : Certificat tlcharg
58
Figure V.14 : Importation du certificat et de sa cl prive
58
Figure V.15 : Installation du paquet NTOP
60
Figl're V.16 : Configuration de mot de passe NTOP
60
Figure V.17 : Statistiques globales
61
Figure V.18 : Rapport du trafic sur l'interface d'coute
61
Figure V.19 : Vue des protocoles
62
Rapport de fin de cycle ralis par Salifou KONANE & Zakaria KINDA
ESIjRMI 2012-2013
Page vi
-----
AVANT-PROPOS
L'Ecole Suprieure d'Informatique (ESI) est l'une des coles que compte l'Universit
Polytechnique de BOBO-DIOULASSO. Cre en 1991 dans le but d'accompagner le Burkina
Faso dans son ambition de s'approprier les technologies de l'information et de la
communication (TIC), l'ESI est la seule cole suprieure d'informatique publique du pays.
Elle forme des ingnieurs de travaux informatiques en Analyse et Programmation (AP), et en
Rseaux et Maintenance Informatiques (RMI) ; des ingnieurs de conceptions ainsi que des
tudiants en cycle de DEA informatique. Les tudiants en fin de Cycle des Ingnieurs de
Travaux Informatiques (CITI) doivent effectuer un stage pratique d'au moins Trois (3) mois
dans une entreprise, lequel stage est sanctionn la fin par une soutenance publique. Le stage
de fin de cycle en RMI met l'accent sur une ralisation concrte pour laquelle l'tudiant met
en place un protocole de travail bien dtermin. Les thmes proposs impliquent une tude
approfondie dans les domaines balays par les rseaux et maintenance informatiques.
C'est ainsi que nous avons effectu, du 06 aot au 05 novembre 2013, au Campus Numrique
Francophone Partenaire de Bobo-Dioulasso (CNFP), un stage pratique au cours duquel nous
avons dvelopp un projet de fin d'tude pour lequel le prsent document tient lieu de rapport.
ESI/RMI2012-2013
Page vii
Etude et mise en place d'un portail captif sur le rseau de l'lIPB : Cas du CNFP - - - - -
TABLE DES MATIERES

DEDiCACE
REMERCIEMENTS
ii
GLOSSAIRE
iii
LISTE DES TABLEAUX
iv
LISTE DES FIGURES
AVANT-PROPOS
vii
INTRODUCTION GENERALE
Chapitre 1: PRESENTATION DU PROJET
1.1.
Structure d'accueil et contexte
1.2.
Prsentation du thme
1.2.1
Problmatique
1.2.2
Rsultats attendus
1.2.3
Organisation du projet
Chapitre Il : ETUDE DU SYSTEME INFORMATIQUE EXISTANT

11.1.
tat des ressources du systme informatique
Il.1.1
Les ressources matrielles
Il.1.2
Les logiciels
12
Il.1.3
Le rseau
13
11.2.
Analyse critique du systme
17
11.2.1
Aspects positifs du systme
17
11.2.2
Failles du systme
18
Il.3.
Solutions envisageables
19
Chapitre III : GENERALITES SUR LES PORTAILS CAPTIFS
21
111.1.
Dfinition
22
Il'.2.
Fonctionnement gnral des portails captifs
22
111.3.
Aperu des principaux portails captifs
.,
24
111.3.1
PFsense
24
111.3.2
ALCASAR
25
111.3.3
ZeroShell
25
111.3.4
ChilliSpot
26
111.4.
Comparaison des portails captifs
26
111.5.
Choix d'une solution de portail captif
27
ESljRMI2012-2013 Page viii
Etune et mise en place d'un portail captif sur le rseau de l'lIPB : Cas du CNFP
Chapitre IV: ETUDE TECHNIQUE DE PFSENSE
29
IV.l.
Qu'est-ce PFsense ?
30
IV.2.
Aperu des fonctionnalits et services de PFsense
30
IV.3.
Les versions du logiciel
31
IV.4.
Installation de PFsense
31
IV.4.1
Matriel et architecture rseau requis
31
:V.4.2
Installation
33
IV.5.
Configuration de PFsense
40
IV.5.1
Configuration gnrale
40
IV.5.2
Configuration des interfaces
43
IV.5.2.l.
Interface WAN
43
IV.5.2.2.
L'interface LAN
44
IV.5.2.3.
Configuration du serveur DHCP
44
IV.5.2.4.
Dfinition des rgles du firewall
46
CharJitre V: Implmentation du portail captif de PFsense
47
V.l.
Paramtres gnraux
48
V.2.
Authentification et gestion des utilisateurs
52
V.2.1
L'authentification par RADIUS
53
V.2.2
Gestion de comptes utilisateurs
54
V.3.
Scurit du portail captif
55
V.4.
Contrle de la bande passante
59
V.4.1
Introduction la QoS
59
V.4.2
Contrle de bande passante avec NTOP
59
V.5.
VA.2.l.
Installation de Ntop sur PFsense
60
VA.2.2.
Configuration du service Ntop
60
Cots d'implantation
63
CONCLUSION GENERALE
64
REFERENCES BIBLIOGRAPHIE
65
ANNEXES
66
Annexe A : Les options de la configuration en mode console
67
A:"mexe B: L'authentification RADIUS partir d'une base de donnes MySQL.
70
ESIjRMI2012-2013
Page ix
Etucie et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP
---------
INTRODUCTION GENERALE
Selon les statistiques mondiales [1], huit burkinab sur mille sont utilisateurs d'Internet (en
2008). Ce chiffre a quasiment tripl en 2012. Cet engouement l'utilisation des TIC impose
une augmentation de l'offre des services Internet. En effet, bon nombre de cette population
disposent aujourd'hui d'un appareil mobile (portable, PDA, Smartphone, ...) et souhaitent
pouvoir accder Internet dans la majorit des lieux qu'ils frquentent. Dans cette optique,
l'expansion trs rapide des points d'accs sans-fil permet la connexion des appareils nomades.
Nanmoins chaque rseau possde sa politique d'accs et ne souhaite pas laisser n'importe qui
accder aux ressources rseaux et plus particulirement les ressources Internet qui sont trs
limites.
Ainsi, il est ncessaire de mettre en place des systmes d'authentification sur ces rseaux qui
doivent cumuler de multiples avantages. Ces avantages sont entre autres : une compatibilit
avec la majorit des appareils mobiles du march, une scurit des changes entre les clients
et il: reste du rseau, une plus grande transparence offerte l'utilisateur aussi bien lors de la
phase d'authentification que lors de l'utilisation du rseau, une rduction de l'impact au niveau
des ressources matrielles et de la bande passante, etc.
Face ces enjeux, le portail captif s'est impos comme une solution frquemment utilise
dans les points d'accs payants ou non. Il peut se gnraliser tous les modes d'accs (sans-fil
ou filaire) ncessitant un contrle d'accs.
L'Universit Polytechnique de Bobo-Dioulasso (UPB) dispose d'un rseau informatique dont
la
g~stion
se complique avec la diversit et le nombre croissant des utilisateurs d'o la
ncessit de mettre en place un portail captif. L'tude et la mise en place d'une telle solution
sera effectue dans sa premire phase sur le rseau du Campus Numrique Francophone
Partenaire (CNFP). Elle sera par la suite gnralise tout le rseau de l'UPB. Ce document
synthtise nos travaux mens dans ce cadre et est organis en cinq chapitres.
Le premier chapitre de ce document prsente la structure d'accueil, le thme d'tude ainsi que
le contexte dans lequel s'inscrit le stage. Le deuxime chapitre est consacr l'analyse du
systme informatique de la structure d'accueil; ce qui permettra de l'valuer afin de proposer
une solution bien adapte. L'tude gnrale des portails captifs fait l'objet du troisime
chapitre; ce qui nous permettra de choisir la solution implanter. Le quatrime chapitre est
consacr l'tude technique de l'outil PFsense et le cinquime chapitre dtaille la mise en
uvre pratique et technique de la fonction captive de PFsense.
ESIjRMI2012-2013
Page 1
ESI/RMI 2012-2013
Page 2
Etude et mise en place d'un portail captif sur le rseau de l'lIPB : Cas du CNFP
Chapitre 1 :
PRESENTATION DU PROJET
ESI/RMI 2012-2013
Page 3
Le projet de portail d'accs captif est de crer une passerelle entre un rseau interne et le
rseau Internet. La finalit est de pouvoir dployer la solution dans toutes les structures de
l'Universit Polytechnique de Bobo-Dioulasso.
Le portail sera dot de fonctionnalits d'authentification qui permettent d'identifier les
usagers du service des fins de traabilit. Il sera quip d'un systme de filtrage d'adresses
internet, ce qui permettra ainsi d'viter l'utilisation des sites indsirables. Un filtrage
applicatif sera galement mis en place afin de limiter l'utilisation de certains logiciels.
Le dernier aspect important rside dans l'utilisation optimale de la bande passante, la
scurisation des connexions et la centralisation des donnes d'authentification.
1.1.
Structure d'accueil et contexte
L'Universit polytechnique de Bobo-Dioulasso (UPB) est une universit publique du Burkina

Faso. Son site principal est situ dans le village de Nasso, une quinzaine de kilomtres de
Bobo-Dioulasso, dans la rgion des Hauts-Bassins. Elle est constitue de six tablissements
d'enseignement suprieur et de recherche ayant en leur sein plusieurs dpartements ouvrant
sur des spcialits diverses. Ces tablissements sont placs chacun sous la responsabilit d'un
directeur assist d'un directeur adjoint. Ce sont:
>>>>>>-
l'cole Suprieure d'Informatique (ESI) ;

l'Institut Universitaire de Technologie (IUT) ;
l'Institut du Dveloppement Rural (lDR) ;
l'Institut des Sciences de la Sant (INSSA) ;
l'Unit de Formation et de Recherche en Science et Technique (UFR/ST) ;
l'Unit de Formation et Recherche en Sciences Juridique, Politique, conomique et de
Gestion (UFR/SJPEG).
L'Universit dispose aussi de trois coles doctorales.

L'UPB est une universit nationale qui a pour mission l'laboration et la transmission de la
connaissance par la formation des hommes et des femmes afin de rpondre aux besoins de la
Nation. Cette mission s'entend dans le cadre de la politique de dcentralisation de
l'enseignement suprieur du gouvernement burkinab et de la conqute du march de
l'emploi, la formation des cadres dans les filires professionnalisantes pour plus de
productivit dans les secteurs socio-conomiques et culturels. Pour y parvenir l'UPB
s'assigne les objectifs suivants:
.~
former des cadres dans tous les domaines en gnral et dans les filires
ESljRMI2012-2013
Page 4
professionnalisantes en particulier;
>>-
conduire des activits de recherches scientifiques et en vulgariser les rsultats;

lever le niveau technique, scientifique et culturel des tudiants pour une ouverture sur
le march de l'emploi et les secteurs de production;
dlivrer des titres et diplmes;
>-
valoriser les comptences dans tous les secteurs d'activit du pays.
Pour l'atteinte de ces objectifs l'utilisation des TIC/TICE est plus que ncessaire et l'UPB,
pour mettre profit ces TIC/TICE, s'est dote d'une direction pour la promotion des
Technologies de l'information et de la communication. En plus de cette direction, l'UPB
dispose d'un Campus numrique francophone partenaire (CNFP), fruit d'une convention de
partenariat avec l'Agence universitaire de la francophonie (AUF). C'est prcisment au CNFP
que s'est droul notre stage. Le CNFP met la disposition du public diffrents services
informatiques tels l'accs Internet, l'accs la documentation, la commande d'articles
scientifiques en ligne, les formations ouvertes et assistes distance, des formations grand
public, etc.
En outre, le CNFP uvre la promotion des logiciels libres. Le CNFP dsire optimiser
l'utilisation des ressources rseaux comme l'accs Internet, car celles-ci sont gnralement
limites si l'on veut assurer une meilleure qualit du service. En effet, vu le nombre et la
diversit des utilisateurs leur demande en ressources s'accrot et leur gestion se complique
davltntage. Ainsi c'est dans un objectif d'amlioration des services rseaux de l'UPB en
gnral, et du contrle d'accs au rseau du CNFP en particulier que s'inscrit ce projet.
1.2.
Prsentation du thme
1.2.1
Problmatique
Le rseau du CNFP, comme n'importe quel autre rseau n'est pas sans faille en termes de
scurit car ses utilisateurs sont de diverses origines.
En effet, bien que moderne, l'accs au rseau sans fil du CNFP se fait par authentification par
adresse MAC, et celui au filaire par la dtention d'un compte valide (identifiant/mot de passe)
sur les poste fixes. Cela reste insuffisant quand on sait qu'il existe de nos jours des logiciels
qui arrivent contourner l'authentification par adresse MAC. L'authentification par adresse
MAC a aussi cette particularit de ne pas permettre une gestion efficace des utilisateurs car,
hormis l'autorisation d'accs au rseau, on ne saurait qui est rellement connect, quelle est la
ESI/RMI2012-2013
Page 5
cause de la politique d'authentification dj existante. En outre, l'authentification par le filaire

autorise la connexion des machines externes la structure; c'est--dire qu'un utilisateur qui
venait brancher sa machine personnelle partir d'un cble du rseau, pouvait se connecter
san~
qu'il ne lui soit demand de s'authentifier. Ce qui n'est pas sans risque car un utilisateur
mal intentionn pourrait contourner facilement l'authentification d'o une remise en cause de
la politique d'accs. Ainsi l'volution du nombre croissant d'utilisateurs Wi-Fi et le contrle
d'accs de tous les utilisateurs font apparatre l'impratif de mise en place d'un systme
d'authentification transparent et simple d'utilisation. Voil autant de problmes auxquels nous
avons apport une solution grce cette tude de portail captif.
1.2.7.
Rsultats attendus
Prvu au dpart pour tre dploy sur toute l'Universit, nous avons d revoir cette
proposition initiale en concertation avec nos encadreurs. En effet, nous avons restreint la mise
en uvre pratique de la solution sur le rseau du CNFP pour des contraintes lies
l'architecture globale du rseau de l'UPB. L'objectif principal de ce projet est d'implanter une
solution technique permettant d'authentifier les utilisateurs et de partager de faon scurise
l'accs Internet, d'o le dploiement d'une solution de portail captif.
D'arrs le cahier de charge qui nous a t soumis, l'achvement de ce projet doit permettre
aussi au campus numrique de rendre effectif ce qui suit:
~
se doter d'un outil d'authentification libre issu du monde des logiciels libres;
pour se connecter, les clients n'ont besoin que d'un navigateur Web, d'un login et d'un
mot de passe ;
les paramtres du compte sont stocks dans une base de donnes existante et les
comptes dj existants doivent pouvoir tre utiliss;
toutes les requtes web des clients doivent tre automatiquement rediriges sur la page
d'authentification;
l'authentification des clients et des administrateurs doit se faire de faon scurise;
le point d'accs doit tre totalement transparent pour le client;
l'accs au portail captif et par ricochet au web doit tre indpendant du systme
d'exploitation du client;
de mme, les utilisateurs du rseau du CNFP ne doivent pas tre pnaliss pendant le
dploiement ;
ESI/RMI 2012-2013
Page 6
~ le systme doit permettre l'administrateur d'optimiser l'utilisation de la bande
passante; c'est--dire que l'administrateur peut par exemple limiter la bande passante
au niveau de chaque utilisateur pour viter que celle-ci soit surcharge ou il peut
mme filtrer des sites indsirables (tlchargements torrents, peer to peer, sites
pornographiques ... ).
Pour atteindre ces objectifs le portail captif est une solution candidate.
1.23
Organisation du projet
Pour bien mener ce projet, l'laboration d'un plan de travail s'avre ncessaire. Ce plan dcrit
les diffrentes tches raliser et le rle de chaque responsable impliqu au niveau des
ressources humaines. En effet un groupe de pilotage constitu du superviseur et du matre de
stage assure les activits administratives, le suivi et la fourniture des besoins du projet. Le
groupe de projet constitu des stagiaires que nous sommes a pour rle d'effectuer la partie
technique du projet. Il est assist dans ses tches par le groupe de pilotage.
Ainsi les
diffrentes tches ralises au cours de ce projet ainsi que leurs responsabilits sont
consignes dans le tableau LI.
Tableau 1.1 : Organisation des activits

Phases
Etude de
l'existant
Tches
Information sur la structure, analyse
des solutions actuelles, discussion
du thme propos
Priodes
Responsabilits
Deux
semaInes
Groupe de projet et
groupe de pilotage
Recherche de
solution
Etude du thme, comparaison de

solutions, choix d'une solution et de
l'architecture mettre en place
Quatre
semaines et
deux jours
Groupe de projet
Mise en place
de la solution
Acquisition des besoins,

implantations de la solution et
rdaction du rapport
Cinq
semaInes
Groupe de projet et
groupe de pilotage
ESI/RMI2012-2013
Page 7
Chapitre II :
ETUDE DU SYSTEME INFORMATIQUE
EXISTANT
ESI/RMI2012-2013
Page 8
Toute rvision, modification ou action visant apporter des amliorations au systme

informatique du CNFP doit passer par une connaissance pralable de l'ensemble des
diffrents lments constituant l'architecture de son systme informatique existant. L'analyse
de l'existant a pour but la fois d'valuer le niveau de performance et de disponibilit de
l'infrastructure rseau, et de dterminer quelles amliorations peuvent tre apportes afin de la
rendre plus performante tout en facilitant sa gestion.
II.1. tat des ressources du systme informatique

II.1.1 Les ressources matrielles
Le matriel qui constitue actuellement le systme informatique du CNFP peut se prsenter
comme suit:
~
des postes de travail: Ce sont les ordinateurs fixes du rseau partir desquels les
utilisateurs accdent leurs sessions. Ils sont lists dans le tableau II.1.
Tableau II.1 : les postes de travail et leurs caractristiques

Type de
Marque
Caractristiques Matrielles
tat
Nombre
)oste
HOD: 250GB
RAM:2GB
PC bureau
06 en
Transtec
moyen tour
06
CPU: Intel Core Duo CPU E7400 @2.8GHz*2
fonctionnement
ECRAN: 17
HDO: 250GB
RAM:4GB
PC bureau
moyen tour
14 en
Transtec CPU: Pentium(R) Dual-Core CPU E6500
14
fonctionnement
@2.93GHz*2
ECRAN: 17
des serveurs: Les serveurs matriels sont gnralement des ordinateurs de plus
grande capacit que les stations de travail ordinaires et disposent de mmoire
importante pour traiter simultanment les nombreuses tches actives ou rsidantes en
ESI/RMI2012-2013
Page 9
Etue et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP
mmoire. Les serveurs ont galement besoin d'espace disque pour stocker les fichiers
partags et pour servir d'extension la mmoire interne du systme. Les cartes
systme des serveurs ncessitent des connecteurs d'extension pour y connecter des
priphriques partags, tels que des imprimantes et plusieurs interfaces rseau. En
rsum ce sont des ordinateurs qui ont une grande puissance de traitement et qui sont
trs robustes afin d'assurer la disponibilit des services rseau. A titre indicatif, un
serveur peut rester en marche pendant toute une anne sans tre teint. Le tableau II.2
rcapitule les serveurs du CNFP.
Tableau II.2 : Liste des serveurs matriels et caractristiques techniques

1)rpe de poste
Marque
Caractristiques Matrielles Nombre
tat
DD: 500Go
Transtec
Serveur
RAM : 2Go, DDR2
CALLEO
121 Server
01
En fonctionnement
01
En fonctionnement
CPU : Intel Xeon Quad-Core

Anne d'acquisition: 2009
DD: 500Go
transtec
Serveur
RAM : 3Go, DDR2
CALLEO
121 Server
CPU : Intel Xeon Quad-Core

Anne d'acquisition: 2009
du matriel de visioconfrence: Le CNFP dispose d'un systme de visioconfrence

constitu d'un moniteur et d'un codec.
des imprimantes et scanners: Outils bureautiques par excellence, les imprimantes

peuvent constitues aussi des nuds d'un rseau. Les imprimantes et scanners sont
recenss dans le tableau II.3.
les quipements d'interconnexions: Ce sont les lments du rseau qui relient

plusieurs nuds. Ils sont rpertoris dans le tableau II.4.
le cblage: Le cblage constitue le support physique de transmission du rseau. Il est

essentiellement ralis avec de la paire torsade FTP, STP, UTP Fast Ethernet de
catgorie 5E et de la fibre optique.
ESIjRMI2012-2013
Page 10
Tableau Il.3 : Liste des imprimantes et quelques caractristiques techniques

Marque
Type
Caractristiques
Nombre
tat
01
En fonctionnement
01
En fonctionnement
01
En fonctionnement
matrielles
d'imprimantes
1
Imprimante Rseau HP laserJet 1300
500 feuilles
Imprimante, Scanner,
Imprimante simple
HP
Scanner
HP Scan Jet 5590
Copieuse, Fax
2400*4800ppp/48-bits
Tableau Il.4 : quipements rseau et caractristiques techniques

Type d'quipement
Marque
Caractristiques
Nombre
Etat
matrielles
Switchs
1
D-LINKDES-
10/1 00 Fast Ethemet,
104R
24 ports
D-LINK
08 ports
01
fonctionnement
DGS1216T
D-LINK
En
01
10/1 00 Fast Ethemet,
02
08 ports
ModemLS
NOKIA
01
En
fonctionnement
ModemADSL
D-LINK
DSL-520B
01
En
fonctionnement
Routeur
CISCO 1900
Gigabits/carte HWIC
01
Sries
Router sans fil
3COM
En
fonctionnement
54 Mbps
(firewall intgr)
01
En
fonctionnement
ESljRMI2012-2013
Page 11
II.1.2 Les logiciels
Il s'agit ici de faire l'inventaire des logiciels installs amSI que des diffrents servIces
installs.
~
Les systmes d'exploitation et logiciels d'application: Ils sont reprsents dans le
tableau 11.5.
Tatleau IL5 : Systmes d'exploitation et logiciels d'application

Types
Noms
Supports
Systme d'exploitation serveur
DEBIAN6.0
Postes serveurs
Systme d'exploitation client
Ubuntu 10.04 LTS
Tous les postes clients
Bureautique
OpenOffice.org
Postes clients
Les services: Avant de dresser le tableau (tableau II.6) des servIces installs, il
convient d'expliquer et d'expliciter ce que c'est qu'un service rseau. Les serveurs
matriels dfinis un peu plus haut sont des machines conues pour recevoir des
applications (logiciels) appeles applications serveur qui permettent aux autres
postes du rseau (machines clientes) d'accder des ressources (imprimantes, fichiers
partags...) ou des applications clientes. C'est donc par le terme de services qu'on
dsigne les applications installes.
ESIjRMI 2012-2013
Page 12
Tableau II.6 : Services installs

Service install
Admincompt-
Description
Serveur de gestion de compte d'utilisateur dvelopp par
l'AUF pour les CNF
Backuppc
Serveur de sauvegarde
CUPS
Serveur d'impression rseau
Connexion Internet
Partage de la connexion Internet tous les postes connects

au rseau
DHCP
Serveur d'attribution dynamique d'adresses IP
DNS
Serveur de nom de domaine
FTP
Protocole de transfert de fichiers
libnss+mysql
Serveur d'authentification+gestion dynamique des

utilisateurs
Messagerie+antivirus+antispam
Serveur de messagerie et protection antivirus
miroir local
Dpt local
Mrtg
Serveur de monitoring du trafic rseau
NFS-kernel-server
Serveur de partage de fichiers sous linux
netboot (tfpd-hpa, pxe...)
Serveur permettant l'installation de systme d'exploitation
+udpcast
en rseau local partir du dpt local.
SQUID
Serveur proxy
web (www, phplist, roundcube)
Serveur web
II.1.3 Le rseau
~
Plan d'adressage: Le rseau du CNFP est subdivis en quatre (04) sous-rseaux. Ce

type de rpartition est frquent dans de nombreux rseaux et prsente plusieurs
avantages. Le plan d'adressage du rseau peut tre reprsent dans le tableau II.7.
ESl/RMI2012-2013
Page 13
Tableau II.7: Aperu de l'adressage

Sous rseau
Hte
Adresse
Commentaire
212.52.149. y/x
Routeur "Onatel"
212.52.149. x
Cisco 1900 Series
Serveur nfs-bobo
212.52.149. x
Serveur mail-bobo
212.52.149. x
Serveur Vz www-
212.52.149. x
hberg sur mail-bobo
bobo et miroirs-bobo
-
Polycom Visio-bobo
212.52.149. x
192.168.0. y/x
Zone prive machines

duCNFP
192.168.1. y/x
Zone prive pour le

Centre de calcul
192.168.2. y/x
Zone prive pour le

wifi
Architecture: Le rseau du CNFP est un rseau rpondant aux normes Ethemet de

topologie toile. Son architecture peut tre reprsente la figure II.I.
ESI/RMI 2012-2013
Page 14
(.
- - - - -
Systme de
Visioconfrence
212.52.149.X
Mail-SOSO
212.52.149.X
212.52.149.X
Routeur
Cisco
Routeur wifi
Internet
EthO: 192.168.0.
Eth2: 10.0.0.2
LAN Infotheque/FAOD
192.168.0X
Internet
LAN CENTRE DE
CALC UL 192.168.1.X
Figure II.t : Schma du rseau actuel
Rcapitulatif des serveurs et services installs: Il s'agit de l'emplacement des

diffrents services sur les serveurs. Ils sont reprsents dans le tableau II.8.
_.'!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ESI/RMI2012-2013
Page 15
Tableau II.8 : Tableau rcapitulatif des services installs

serveur Distribution
Noyau
Backup (*)
Services
Commentaire
mail-
Debian
2.6.26- 2
Backupc sur
DNS principal,
Transtec CALLEO 121 Server, Processeur
bobo
GNU/Linux
openvz-
dd externe.
messagerie+antivirus+antispam (exim...)
Intel Xeon Quad-Core, 3GoDDR2, DD
6.0
amd64
+ mysql, backuppc
SOOGo, Anne d'acquisition: 2009
Debian
2.6.26-
nfs-bobo
GNU/Linux 2-amd64
6.0
Backuppc sur nfs, libnss-mysql+mysql, dns secondaire,
Transtec CALLEO 121 Server, Processeur
dd externe
dhcp, SQUID, admincomptes, mrtg,
Intel Xeon Quad-Core, 3GoDDR2, DD
partir de mail-
netboot (tfpd-hpa, pxe.)+udpcast
SOOGo, Anne d'acquisition: 2009
Web (www, phplist, roundcube), ftp,
Serveur Virtuel OpenVZ VElD 102, install
mysql, miroir local
sur mail-bobo
bobo
www-
Debian
bobo
GNU/Linux
2.6.26-2- Backuppc sur

amd64
6.0
dd externe
partir de mailbobo
"",IM
~,A*"'.;',,';.QQi!i.[!ip4A!i,M';::iJZ,iSiq
; ..RA
41.
Page 16
ESI/RMI2012-2013
14W4M)R.JMV4J.;;U.G;;;;;,lMt14Ak,MJm.9iafilllM.@i...8MM1t#.J\i",'J1_"#ZA.t,;&;
$fJl!i.'-WW4iMi44.
#i44l4L44!4JQQ.9.!.(..JAILthtt
an
w..;~.tdl",;';'
,Pp;;a,iII. 'tl.IU.,W$i,l..i,
"t:;e:a~,,,,,",,,
,.
~~"'l"""'_''','''1iTi
II.2. Analyse critique du systme

Afin de mieux apprhender le systme, il convient de savoir o rsident ses forces pour en
dduire ses faiblesses. Ce qui permettra d'apporter des amliorations aux ventuelles failles.
II.2.1 Aspects positifs du systme
Sur le plan physique nous avons apprci positivement le systme informatique du CNFP
sur les points suivants:
,. existence d'une charte d'utilisation des outils informatiques : Cela permet
d'informer l'utilisateur sur ses marges de manuvre, le dissuade de toute tentative

d'outrepasser ses droits d'utilisateur et l'observation des rgles lmentaires de scurit
car ne dit-on pas que 90% des risques sont le fait des utilisateurs internes;
~
installation lectrique : des prises de terre et des onduleurs permettent la protection
de l'quipement informatique contre les pics de courant, les surtensions et la

sauvegarde de donnes aprs une interruption lectrique. Le rseau lectrique interne
est protg par des goulottes et spar des cbles rseaux: ce qui pargne des risques
d'lectrocution et vite les interfrences lectromagntiques avec les cbles rseau car
cela peut tre source d'erreurs de transmission;
~
topologie du rseau: la topologie toile du rseau facilite la gestion du rseau et les
interventions physiques sur le rseau. Les cbles utiliss sont des paires torsades
blindes srp et non blindes urp de catgorie 5E qui sont reconnus pour leur fiabilit
et sont protgs par des goulottes;
~
existence d'un serveur DNS secondaire (physique) : permet la disponibilit des
services de nom de domaine rseau en cas de crash du DNS primaire ;

~
existence d'un second abonnement Internet: en cas de panne de la liaison ADSL, la
liaison spcialise sert de relais afin d'assurer la continuit du service Internet;

Sur le plan logique nous avons pu relever:
~
existence d'un outil d'authentification + gestion des comptes par une base de
donnes: cela permet une gestion centralise et dynamique des comptes utilisateurs;
politique de droit d'accs: La connexion un poste du rseau est conditionne par la
dtention d'un compte utilisateur valide;

~
existence d'un serveur NFS : permet une centralisation des fichiers d'utilisateurs, et
le partage de fichiers en rseau. Un utilisateur accde ses donnes depuis n'importe
ESIjRMI2012-2013
Page 17
Etude et mise en place d'un portail captif sur le rseau de l'lIPB : Cas du CNFP
- - - -
quel poste du rseau;

;.. configuration logique du rseau en des LANs: augmente le niveau de scurit,
permet une localisation plus simple de problmes, diminue l'tendue d'attaque et
l'ampleur d'ventuels dgts et permet une fluidit du trafic rseau;
~
systme de sauvegarde : les donnes sont sauvegardes quotidiennement sur disque

dur externe, toute chose qui limite la perte de donnes;
le systme : presque tous les postes tournent sur des plateformes Linux. Notamment
les serveurs tournent sur Debian reconnu pour sa fiabilit et sa robustesse. En outre les
distributions Linux sont quasiment invulnrables aux virus;
,. antivirus: Le serveur mail est dot d'un antivirus+antispam permettant d'viter la

contamination des supports de stockage amovibles des utilisateurs via les e-mails bien
que Linux soit trs rsistant aux virus.
Il.2.2 Failles du systme
Partant du fait qu'aucun systme informatique n'est parfait, c'est--dire que le risque zro
n'existe pas et que tout systme est vulnrable en matire de scurit informatique, alors nous
avons pu relever les failles suivantes:
~
les accs non autoriss: bien qu'il soit mentionn que l'accs la salle serveur est
interdit toute personne trangre au service, cela n'est pas suffisant pour la scuriser.
En effet, cette salle se trouve dans un local plafonn et la porte d'entre est en
contreplaqu; toute chose qui augmente le risque d'incendie et favorise l'aggravation
d'un ventuel incendie. Aussi la quasi-totalit des services installs ne se trouve
seulement que sur deux serveurs implants dans le mme local, ce qui constitue un
potentiel danger pour tout le rseau car le moindre incendie qui surviendrait dans ce
local serait susceptible de causer des pertes considrables pour tout le systme
informatique et par ricochet les donnes trs prcieuses;
la restriction de l'accs au WIFI: le point d'accs utilis prsentement pour

l'authentification par adresse MAC dj en place ne peut prendre en compte que
trente-deux adresses MAC maximum, ce qui limite le nombre d'utilisateurs WIFI. De
plus lorsqu'un utilisateur change de machine la configuration du point d'accs doit
tre modifie pour prendre en compte son adresse MAC;
,. le manque de traabilit et de contrle d'accs: l'authentification par adresse MAC
ESIjRMI 2012-2013
Page 18
- - - - -
ne permet pas la gestion efficace des utilisateurs, hormis l'autorisation d'accs au

rseau, on ne peut savoir qui est rellement connect, et quel est la dure
d'abonnement de l'utilisateur d'o une remise en cause mme de la politique
d'authentification (utilisateur et mot de passe) dj existant;
~
la sauvegarde de donnes : il n'existe pas de serveur redondant dlocalis pour
assurer la continuit des services en cas de panne grave. Dans un ventuel cas, il
faudra imprativement (acqurir du matriel nouveau en fonction de la panne)
rinstaller et reconfigurer tout le systme. Avec tous les services que compte ce
serveur il n'en faudra pas moins de 72 heures. Pendant tout ce temps, rien ne
fonctionnerait;
>
la conformit la rglementation interne et externe : une charte existe,
malheureusement elle n'est pas connue de tous les utilisateurs, car les utilisateurs ne
pensent pas souvent lire les affiches.
Au terme de cette analyse qui vient d'tre faite, il ressort que le CNFP est dot d'un rseau
informatique autonome. Cependant force est de reconnatre que des failles existent et
auxquelles il faut apporter des solutions.
II.3. Solutions envisageables

Vu les failles dcrites plus haut, nous prconisons les amliorations suivantes:
~
~
insistance sur la sensibilisation du personnel au respect des rgles de scurit;

renforcement de la scurit de la salle serveur en remplaant la porte en contreplaqu
par une porte mtallique afin de rduire le risque d'incendie ;
extension du rseau sans fil en particulier partir de rpteurs sans fil pour permettre
une plus grande mobilit des utilisateurs et du rseau global en gnral par un
largissement du parc informatique;
revoir la politique d'accs au rseau d'o la ncessit d'un portail captif;
uniformisation de la mthode d'authentification aussi bien pour les clients WI-FI que
pour les utilisateurs du rseau filaire; ici s'impose la ncessit d'un portail captif;
mise en place d'une gestion centralise du matriel et des donnes par les technologies
de virtualisation ou par redondance des sauvegardes pour servir de relais afin d'assurer
la continuit du service;
ESI/RMI2012-2013
Page 19
~
gestion efficace des utilisateurs aprs authentification du point de vue traabilit,

dtermination d'une dure de connexion, transparence vis--vis de l'utilisateur,
compatibilit avec plusieurs plates-formes. Ici aussi s'impose l'impratif d'utiliser un
portail captif.
Ainsi il existe une panoplie de solutions mais le portail captif est la mieux indique car il
permet, en plus d'authentifier les utilisateurs, de grer ces utilisateurs de manire efficace.
RaplJort de fin de cycle ralis par Salifou KONANE & Zakaria KINDA
ESI/RMI 2012-2013
Page 20
Chapitre III :
GENERALITES SUR LES PORTAILS CAPTIFS
ESIjRMI2012-2013
Page 21
Etude et mise en place d'un portail captif sur le rseau de l'l/PB : Cas du CNFP
111.1. Dfinition
Un portail captif est une application qui permet de grer l'authentification des utilisateurs d'un
rseau local qui souhaitent accder un rseau externe (gnralement Internet) [2]. Il oblige
les utilisateurs du rseau local s'authentifier avant d'accder au rseau externe. Lorsqu'un
utilisateur cherche accder Internet pour la premire fois, le portail capte sa demande de
connexion grce un routage interne et lui propose de s'identifier afin de pouvoir recevoir son
accs. Cette demande d'authentification se fait via une page web stocke localement sur le
portail captif grce au serveur HTTP. Ceci permet tout ordinateur quip d'un navigateur
web et d'un accs Wifi de se voir proposer un accs Internet. Au-del de l'authentification,
les portails captifs permettent d'offrir diffrentes classes de services et tarifications associes
pour l'accs Internet (Par exemple: Wifi gratuit, filaire payant, 1 heure gratuite,...). Cela est
obtenu en interceptant tous les paquets quelles que soient leurs destinations jusqu' ce que
l'utilisateur ouvre son navigateur web et essaie d'accder Internet. Lors de l'tablissement de
la connexion, aucune scurit n'est active. Cette scurit ne sera active que lorsque
l'ordinateur connect tentera d'accder Internet avec son navigateur web. Le portail captif
va, ds la premire requte HTTP, rediriger le navigateur web afin d'authentifier l'utilisateur,
sans quoi aucune demande ne passera au-del du serveur captif. Une fois l'utilisateur
authentifi, les rgles de firewall le concernant sont modifies et celui-ci se voit autoris
utiliser son accs Internet pour une dure fixe par l'administrateur. A la fin de la dure fixe,
l'utilisateur se verra redemander ses identifiants de connexions afin d'ouvrir une nouvelle
sesdon.
Ce systme offre donc une scurit du rseau mis disposition, il permet de respecter la
politique de filtrage web de l'entreprise grce un module proxy et permet aussi grce un
firewall intgr d'interdire l'accs aux protocoles souhaits.
111.2. Fonctionnement gnral des portails captifs

Le fonctionnement type d'un portail captif peut tre reprsent par la figure III.! [3].
ESI/RMI2012-2013
Page 22
-----
.~qUte web initial'.

Redirection de la requte
-
Requte d'authentification
,._.... . .
'. ,.~~--,,,,,,, . ''''~''> . .'"i,;j,<:I"
,"," -,.;- "" ,,,,
~'., _<~_-~
']~"' _l
._'"?c~ '"' -
1 - - - - -.. - - - - - - - - - - - - - - - - - - - " " " ' ]
Login/mot de passe. ..
.....
Redirige la requte vers la

passerelle pour le couple mac/ip
._ .... """;&0111.... &
. Ji ... ,
Figure 111.1 : fonctionnement gnral d'un portail captif

Le client se connecte au rseau par l'intermdiaire d'une connexion filaire ou au point d'accs
sans fil pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les
paramtres de la configuration du rseau. A ce moment-l, le client a juste accs au rseau
entI~
lui et la passerelle, cette dernire lui interdisant, pour l'instant, l'accs au reste du rseau.
Lorsque le client va effectuer sa premire requte de type web en HTTP ou HTTPS, la

passerelle le redirige vers une page web d'authentification qui lui permet de s'authentifier
ESljRMI2012-2013
Page 23
grce un login et un mot de passe. Cette page est crypte l'aide du protocole SSL pour
scuriser le transfert du login et du mot de passe. Le systme d'authentification va alors
contacter une base de donnes contenant la liste des utilisateurs autoriss accder au rseau.
Enfin le systme d'authentification indique, plus ou moins directement selon les portails
captifs, la passerelle que le couple MAC/IP du client est authentifi sur le rseau.
Finalement le client est redirig vers la page Web qu'il a demand initialement; le rseau
derrire la passerelle lui est dornavant accessible. Le portail captif, grce divers
mcanismes comme une fentre popup sur le client rafrachie intervalles rguliers ou des
requtes ping vers le client, est en mesure de savoir si l'utilisateur est toujours connect au
rseau. Au bout d'un dlai d'absence sur le rseau, le portail captif va couper l'accs cet
utilisateur.
III.~.
Aperu des principaux portails captifs
Toutes les solutions que nous avons tudies sont des solutions libres et gratuites ce qui nous
permet de rduire considrablement le cot de leur mise en place.
III.3.! PFsense
PFsense est une distribution FreeBSD dveloppe en 2004. L'objectif de dpart est d'assurer
les fonctions de pare-feu et de routeur mais l'engouement gnr par cet applicatif lui a
perrnis d'tendre ses fonctionnalits et prsente maintenant les fonctions de portail captif,
serveur proxy, DHCP ...
Son installation se fait facilement via une distribution ddie et toutes les configurations
peuvent se faire soit en ligne de commande (SSH) ou via l'interface web (HTTPS). La
sauvegarde et la restauration de configuration est disponible travers l'interface web et
permet de gnrer un simple fichier d'une taille raisonnable. Le portail assure une volution
constante grce des mises jour rgulires dont l'installation est gre automatiquement
dans une partie du panneau d'administration.
Cette solution permet une authentification scurise via le protocole HTTPS et un couple
utilisateur / mot de passe.
Une documentation trs complte est disponible sur Internet, un support commercial est
dsormais prsent en cas de gros incident. PFsense dispose aussi d'une communaut trs
ESI/RMI2012-2013
Page 24
active.
PFsense assure une compatibilit multi-plates-formes, une personnalisation complte des
pagl:s accessibles aux utilisateurs ainsi qu'une simplicit d'utilisation grce une page de
connexion succincte o on ne retrouve que deux champs (utilisateur / mot de passe).
111.3.2 ALCASAR
ALCASAR (Application Libre pour le Contrle d'Accs Scuris et Authentifi au Rseau)

est un projet franais essentiellement ddi aux fonctions de portail captif. Cet applicatif
s'installe via un script support par la distribution Linux Mandriva, les configurations se font
via .me interface de gestion scurise (HTTPS) ou bien en ligne de commande directement
sur le Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la
cration d'un ghost systme (fichier systme) dans le panneau d'administration, ce qui
engendre tout de mme un fichier d'une certaine taille. Les mises jour rgulires assurent la
prennit de la solution.
L'authentification au portail est scurise par HTTPS et un couple utilisateur / mot de passe.
Une documentation assez complte est disponible pour l'installation et la configuration et la
communaut est active. Tout comme PFsense, ALCASAR est compatible avec de nombreuses
plates-formes, la personnalisation des pages utilisateurs et la simplicit d'utilisation sont
prsentes.
111.3.3 ZeroShell
ZeroShell est une distribution Linux conue pour mettre en place une scurit globale au sein
d'un rseau (Pare-Feu, VPN, portail captif... ). Son installation est simple via une distribution
ddie. Elle prsente une interface de gestion web simple d'utilisation qui permet entre autres
de sauvegarder la configuration du portail captif ou encore de personnaliser les pages de
connexion et dconnexion dans un diteur HTML intgr.
Comme les deux autres solutions la page d'authentification est scurise et la connexion se
fait via un couple utilisateur / mot de passe. On retrouve assez peu de documentation pour la
gestion du systme mais la communaut l'air tout de mme bien prsente. Son utilisation
reste identique aux autres solutions prsentes.
ESI/RMI2012-2013
Page 25
Etud,e et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP
111.3.4 ChilliSpot
ChilliSpot est un applicatif ddi la gestion de l'authentification sur les rseaux, son
installation est assez simple via un package applicatif disponible sur les distributions Red Hat
et Fedora. La sauvegarde de la configuration est disponible mais elle implique de copier les
fichiers de configuration et donc de les connatre. La page de connexion est disponible en
HTTPS condition d'avoir configur le serveur web (Apache) au pralable en coute sur le
port 443. On retrouve une documentation complte et une communaut assez active, mais le
projet est en rgression, la dernire version stable date d'octobre 2006 et le projet est mis en
suspens depuis le dpart du dveloppeur principaL L'utilisation est la mme que les autres
solutions proposes, page de connexion avec champs utilisateur et mot de passe.
111.4. Comparaison des portails captifs

Dans l'tude comparative des solutions nous avons mIS en vidence plusieurs critres
importants que doivent prendre en compte les diffrentes solutions:
~
Scurit des changes lors de l'authentification: pour viter la rcupration de mot

de passe sur le rseau ;
Prsence d'une documentation complte: pour assurer la rapidit de mise en place

de la solution;
Simplicit d'administration: pour permettre diffrentes personnes d'administrer le

logiciel;
Simplicit d'utilisation: pour permettre tous les visiteurs (expriments ou non) de

se connecter au rseau Wi-Fi ou filaire;
Compatibilit multiplate-formes : pour permettre la conneXIOn depuis les

Smartphones, diffrents navigateurs web et diffrents systm50.d'exploitation.
Prsence de sauvegarde et restauration de configuration : pour permettre un

redmarrage du systme trs rapidement en cas de problmes;
Prennit de la solution : pour pallier les failles de scurit et augmenter les

fonctionnalits de la solution via des mises jour ;
Possibilit de personnaliser la page de connexion : pour adapter le logiciel la

charte graphique de l'entreprise et ainsi le rendre plus conviviaL
Le tableau IlL 1 fait un rcapitulatif des critres de comparaison.
ESIfRMI2012-2013
Page 26
- -
TabJ.eau 111.1 : Comparaisons des diffrentes solutions de portail captif

Solutions
Critres
PFsense
ALCASAR
ZeroShell
ChilliSpot
HTTPS
HTTPS
HTTPS
HTTPS
Documentation
10
Plates-formes Clientes
Toutes
Toutes
Toutes
Toutes
Personnalisation
fi
iL,;
(~)
(J
Facilit d'administration
Installation
Installation
Installation via
Installation via
Via
via script
distribution
.rpm sur Red
distribution
automatis
ddie
Hat et Fedora
"e
Scurit
Authentification
Supportes
ddie
Facilit d'Utilisation
Sauvegarde/Restauration
et
"
"
Copriguration
Prennit de la solution
(1)
C-~}
'-.;1'
."
Lgende:
Disponibilit leve
Moyennement disponible
Moins disponible
111.5. Choix d'une solution de portail captif

Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer, l'tude
thorique permet de retenir les deux premires solutions savoir PFsense et ALCASAR car
elles rpondent toutes deux nos besoins: solutions libres, peuvent s'installer sur un serveur
comme sur un poste de travail, authentification des utilisateurs par login et mot de passe,
con~rle
de la bande passante, facilit d'administration, d'installation et de configuration,
facilit d'utilisation, documentation trs dtaille et disponible, disponibilit de mises jour,
ESI/RMI2012-2013
Page 27
etc.
Les deux solutions rpondent tout fait au cas tudi mais ALCASAR s'installe uniquement
via une distribution Mandriva. Aussi ALCASAR s'installe via un script automatis, par
contre PFsense s'installe via une distribution ddie ; ce qui rend impratif le choix de
PFsense. De plus PFsense prsente une interface plus conviviale et une page principale en
tableau de bord o l'on retrouve toutes les informations essentielles et que l'on peut modifier
en fonction des besoins. Ce produit prsente aussi une plus grande assurance car la
communaut des utilisateurs est trs active.
ESIjRMI2012-2013
Page 28
1
1
1
1
1
1
1
1
Chapitre IV :
ETUDE TECHNIQUE DE PFSENSE
ESIjRtMI2012-2013
Page 29
IV.I. Qu'est-ce PFsense?

Dvelopp par Chris Buechler et Scott UlIrich, PFsense ou Packet Filter Sense est un
applicatif qui fait office de routeur/firewall open source bas sur le systme d'exploitation
FreeBSD et Monowall. Il est une reprise du projet Monowall auquel il rajoute ses propres
fonctionnalits. PFsense est bas sur PF (packet filter) , comme iptables sur GNU/Linux et il
est rput pour sa fiabilit [4]. C'est une distribution ddie qui peut tre installe sur un
simple poste de travail, un serveur ou mme sur un botier en version embarque.
Ce qui sduit chez PFsense est sa facilit d'installation et de configuration des outils
d'administration rseau. En effet, aprs une installation en mode console, il s'administre
ensuite simplement depuis une interface web et gre nativement les VLAN (802.1q).
La distribution PFsense met ainsi la disposition de l'administrateur rseau une multitude
d'outils open source et de services permettant d'optimiser ses tches. Parmi ces services,
figure Captive Portail (portail captif) qui fait l'objet de ce projet.
IV.Z. Aperu des fonctionnalits et services de PFsense

En :':onction de la version du logiciel, le nombre de services et/ou de fonctionnalits peut
varier. Pour ce projet, la version 2.0.3 est utilise. Ainsi cette version dispose entre autres de:
~
Support des VLAN tagus, c'est--dire qu'elle permet de crer et grer nativement les
VLAN;
Routage IPv4 et (depuis la version 2.1) IPv6 ;
NAT (Network Address Translation) pour faire correspondre un nombre restreint

d'adresses IP publiques un nombre plus lev d'adresses prives locales;
Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP ... ) pour
faire office de pare-feu;
Limitation des connexions pour empcher un utilisateur de se connecter la fois avec

son seul compte ;
"Load Balancing" pour la transposition de charge en cas de surcharge;
"Failover" pour le basculement d'une ligne l'autre si l'on possde par exemple
plusieurs abonnements Internet;
Proxy transparent qui joue le rle de serveur mandataire;
DNS dynamique pour la gestion dynamique des noms de domaines;
ESIjRMI2012-2013
Page 30
~
Portail captif;
Serveur DHCP;
Contrle d'accs par adresses MAC ou authentification RADIUS;
Serveur ou relay DHCP / DNS qui est relais du serveur DHCP / DNS ;
etc.
IV.3. Les versions du logiciel

Depuis sa mise en route en 2004, le projet PFsense ne cesse d'voluer et diffrentes versions
du logiciel se sont succdes. Pour chaque version, il en existe pour les architectures i386 (32bits) et amd64 (64-bits). De mme elles sont disponibles en Live CD ou en plate-forme
embarque. Ainsi on a:
~
PFsense 2.1: disponible depuis le 15/09/2013, elle est la plus rcente mais toujours en
test;
PFsense 2.0.3 : disponible depuis le 15/04/2013, elle est la plus stable;
PFsense 2.0.2 : disponible depuis le 21/12/2012 ;
PFsense 2.0.1 :disponible depuis le 21/12/20 Il ;
PFsense 2.0:disponible depuis le 17/09/2011 ;
PFsense 1.0 : premire version sortie le 14/10/2006.
Il existe aussi des versions intermdiaires non stables (bta et RC) qUI ne sont pas
mentionnes ici.
IVA. Installation de PFsense

IV.4.1 Matriel et architecture rseau requis
Pour le matriel sur lequel PFsense doit s'installer, on a besoin d'un minimum qui soit
compos d'une machine dote d'au moins deux cartes rseau et dont les caractristiques sont:
~
au moins 1 Go de disque dur (500 Mo pour les plates-formes embarques) ;
au moins 128 Mo de RAM, mais plus de 512 Mo recommands;
un CPU cadenc au moins 100 MHZ (500 MHZ ou plus recommand).
Mais dans notre cas nous avons utilis un poste de travail avec les caractristiques suivantes:
ESI/RMI2012-2013
Page 31
Etude et mise en place d'un

portail captif sur le rseau
de l'UPB : Cas du CNFP
.
.
._---_._-----_._-----_..
_"."'---~------
disque dur : 40 OB ;
Processeur: 1350 Mhz ;
RAM: 768 MB.
L'architecture rseau le plus souvent dploy est reprsente par la figure IV. 1
GatewayWAN
plsene:
192.168.0.1
Gateway switch:
192.168.3.1
192.168.3.10
192.168.3.1
Internet
Modem ADSl
Plsense
Pla ge pour le
DHCP:
192.168.3.11
192.168.3.254
Gateway:
192.168.3.1
Figure IV.I : Architecture rseau standard d'implantation de PFsense
Rappelons ici qu' la place du switch il est plac gnralement un point d'accs sans fil.
Pour la phase de test de ce projet, nous avons eu besoin d'un point d'accs sans fil, d'un
Switch, d'un PC avec carte wifi pour le test et d'un autre PC pour l'administration via le web.
L'architecture du rseau existant est reprsente par la figure II.1
et celle aprs
implmentation de PFsense est reprsente par la figure IV.2.
ESI/RMI2012-2013
Page 32
._-.-----
Systme de
Visioconfrence
212.52.149.X
Mail-BOBO
212.52.149.X
212.52.149.X
Rouleur
Cisco
ModemLS
Routeu r wifi
LAN:
192.168.3.X
Elh3: 212.52.149.X
Internet
(0)
o
a:i
Elh2: 10.0.0.2
ci
a:i
<0
<0
al
al
..c:
LU
LAN Infotheque/FAOD
et Ce nlre de calcul
192.168.3.X
Figure IV.2: Architecture rseau du CNFP aprs implantation de PFsense
On remarque une lgre modification dans cette architecture pour l'utilisation de la fonction
captive de PFsense. Nous avons ainsi regroup les trois sous-rseaux en un seul rseau. Si
nous voulons prendre en compte plusieurs sous-rseaux pour l'authentification des
utilisateurs, il va falloir augmenter le nombre de cartes rseau sur la machine PFsense.
IV.4.2 Installation
Pour une mise en uvre pratique nous avons dcrit pas pas les diffrentes tapes de
l'installation. En effet, on peut utiliser le logiciel de deux faons : installer directement sur le
disque dur ou utiliser le logiciel via un live CD sans l'installer.
Cette dernire option est trs rapide et efficace. Le chargement se fait automatiquement ainsi
que la configuration. Mais elle possde tout de mme des inconvnients tels que le
chargement long, manque de fiabilit et l'impossibilit d'ajouter des packages (logiciels)
car on ne peut pas toucher la structure du CD [5].
Vu les inconvnients du live CD, pour l'implantation dans le rseau, nous allons l'installer sur
le disque dur pour plus de scurit.
Tout d'abord, vrifier que l'ordinateur possde les caractristiques requises, puis insrer le
CD au dmarrage de la machine. On accde ensuite l'cran de dmarrage de FreeBSD
ESljRMI 2012-2013
Page 33
Tout d'abord, vrifier que l'ordinateur possde les caractristiques requises, puis insrer le
CD au dmarrage de la machine. On accde ensuite l'cran de dmarrage de FreeBSD
(figure IV.3) et on choisit l'option 1 (par dfaut) ou on attend la fin du compte rebours.
Figure IV.3 : cran de dmarrage de FreeBSD
Nous n'allons pas configurer de VLAN pour le moment, la rponse la question de la figure
NA sera donc <<Il.
Figure IV.4: Boite de dialogue pour la configuration de VLAN
Ensuite vient la configuration des interfaces rseaux. On remarque ici que FreeBSD dtecte le
nombre de cartes rseau et leur attribue des noms (dans notre cas les interfaces dtects sont :
sise et xlO). Une fois les interfaces dtectes, il est ncessaire de dfmir l'interface LAN (dans
notre cas sisO) et l'interface WAN (xlO) et de valider ces changements en appuyant sur la
ESIjRMI20122013
Page 34
touche ENTREE (voir figure IV.5).
Figure IV.S : Validation des noms d'interface
Si l'on veut ajouter une DMZ, ou configurer d'autres interfaces on les ajoute dans Optional
interface juste aprs. Dans notre cas, nous n'avons que deux interfaces et il suffit d'appuyer
sur la touche ENTREE (figure IV.6).
Figure IV ~6 : Ajout ou non de carte optionnelle
Une fois les interfaces dfinies, il est ncessaire d'installer PFsense en dur sur le disque dur.
L'installation sur le disque se fait en tapant le choix 99 pour les versions antrieures
PFsense2.0 et tapant la lettre i depuis la version V2.0. Cette tape est reprsente par la
figure IV.?
ESljRMI2012-2013
Page 35
- - - -
Figure IV.7 : Option d'installation de PFsense
Il faut continner l'installation sur le disque dur (voir figure IV.8).
Figure IV.8 : Confirmation de l'installation -
Une fois l'installation lance on a diffrentes procdures d'installation (figure IV.9) et nous
optons ici pour l'installation rapide puis continnons.
ESI/RMI 2012-2013
Page 36
Figure IV.9 : Type d'installation
Les tapes suivantes sont obligatoires. Elles permettent la cration des partitions accueillant
l'installation de PFsense (voir figure IV.I 0).
Figure IV.I0 : Cration de partition
Il faut choisir l'option Accept and Install Bootblocks puis valider en tapant sur la touche
EN'l'REE pour lancer l'installation (figure IV.II).
ESI/RMI2012-2013
Page 37
Figure IV.ll : Lancement de l'installation
Une fois les partitions cres et paramtres, il est ncessaire de redmarrer l'ordinateur
(figure IV. 12) pour que les changements soient effectifs.
Figure IV.I2 : Fin de l'installation
Aprs redmarrage on a le menu de la figure IV.B qui nous pennettra de configurer PFsense.
Rap'Jort de fin de cycle ralis par Salifou KNANE & Zakaria KINDA
ESljRMI2012-2013
Page 38
Figure IV.13 : Menu de configuration
Avant tout il est conseill de changer l'adresse IP LAN de PFsense pour plus de simplicit par
la suite; son adresse IP LAN par dfaut tant le 192.168.1.1. Elle sera par la suite modifie
pOUl tre dans notre rseau local. Pour cela, dans le menu de configuration, taper le choix 2:
Set LAN IP address et changer l'adresse IP de PFsense (voir figure IV.l4).
Figure IV.14 : Configuration de J'adresse IP
LAL~
ESI/RMI 2012-2013
Page 39
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Caslfu CNFP
.------
Ainsi prend fin l'installation et on peut ds maintenant commencer configurer soit en mode
console, soit partir de l'interface web. Nous avons choisi ici la configuration via l'interface
web car cela offre plus de convivialit; les options de la configuration en mode console tant
dtailles en annexe A de document.
IV.5. Configuration de PFsense

IV.5.t Configuration gnrale
Pour la configuration via l'interface web, il faut connecter un PC l'interface LAN de

PFSense. Commencer par ouvrir un navigateur web et entrer l'adresse IP LAN de la machine
(pFSense) dans la barre d'adresse: http://ip-pfsense. Dans notre cas, nous ferons
http://192.168.x.x pour accder l'interface de connexion (figure IV.15) o il est demand
d'entrer un nom d'utilisateur et un mot de passe. Entrer ensuite le nom d'utilisateur par dfaut
(admin) et le mot de passe (pfsense) pour se connecter en tant que administrateur.
Figure IV.15 : Portail de connexion PFsense
On accde au menu gnral de PFsense (figure IV16) qui donne des infonnations globales sur
ESI/RMI2012-2013
Page 40
Etude et mise en place d'un portail captif sur le rseau de l'LIPB : Cas du CNFP
le logiciel (version, date de sortie, version du noyau, le nombre d'interfaces connectes etc.).
status: Dashboard
~vstem Informdtton
NaIne
- _ _----'_
..
Version
B []
GO
Interfaces
pr.er-.bobo.bf.rere- ,erg
... ----_.-
2.0.3 Rll.USE 0386)

builton Fri Apr 1210:22:21EDT 2013
FreeB50 B.I-RfI.E'ISE-pIJ
Ob_1lQ update slatus...

~"--"._---"--,-'"
P1atfonn'_,
~_~e~~
CPI/ Type
AM[)
Up1le
-'--_._--
Cum!nt
date/1Ie
DItS
, server(s)
=:flv
state table
sIze
7 HIlUF Usage
_._--,_ .... _.. _ - _ . _ -
pfSense
Ath!on(T"M) XP 22llO+
D9:42
Ffi Jan 17 2O:4J:29 ure 2014
127.0.0.1
192.168.0.1
- - - -
- - ----
38{72000
Show states:
2fi2/2~'IJ
"
Hemory
c::='-:iaiUi, iiiiiii'
U5Ige
l8%
SWAP usage
--
Ffi Jan 1715:lB:59lITC 20H
etitwiiJt&AtU
azz,
Figure IV.16: Paramtres gnraux de PFsense
Pour le paramtrage gnral, aller dans l'onglet System, puis General Setup pour voir la
configuration gnrale de PFsense. Entrer ici le nom de la machine, le domaine et l'adresse IP
du serveur DNS (dans notre cas le nom: PFsense, domaine: bobo.bf.refer.org, l'IP du DNS :
192.168.0.x). Attention il faut dcocher l'option se trouvant en dessous (A1low DNS server
Iist to be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits
puisque le DNS des clients n'est plus PFsense mais un DNS du WAN inaccessible par le
LA~..;r.
Ensuite, modifier le nom et le mot de passe permettant de se connecte PFsense. On peut

autoriser l'accs ces pages, via une connexion SSL. Pour cela activer HTTPS en cochant sa
case puis entrer le port 443 dans WebGuid (port correspondant SSL). On peut ensuite
modifier le serveur de temps NTP et le fuseau horaire pour rgler l'horloge (voir figure IV. 17).
ESI/RMI2012-2013
Page 41
Etuue et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP
- - - - -
System: General Setup
--
S.,stem
l'. pfSense
of
NlIme !he fRwaII hosl, without donIai1lWt

g. ltr!wI
-=Doma==In----~"=\=bobo=.b=f.re=f=er=.o=r9=======------------=--------
Do not .... IoaI' ... donIai1.-.It'" """" local hosts ""*'lI aa5 (avo/i, bonjcor, et) 10 be lOlIbI. 10
lSlIve local hosts no! ""*'lI 1riJ'jS.
e.g. ",yqM3Jm, hanf!, ofb', pt'9t1!, ~tG
1:"l1li5_50
Uoo_
'
1", 192.168.0.1
1",212.52.149.157
1",
fntl!l' II' adlRsoes 10 by UIl!d by !he systl!I'n b' [JG resolJlion.~...... used b' !he [)1CP _ . OOS
~ nib' PPTP VPN <ionls.
ln Ilddtian, optD:1aIy select !he ga_y b' .am OOS .......,.. V\hon "'*'lI nU~ W/lN arnedions 1her. sI10Ud
be
al'" one '"*"'" OOS.......,.
pel' ga_y.
LJ AIaw DItS server Ist to Ile ovenidden bv DHCPJppp lift WAIl
Ifltis~5
set, pI!iense MI use IMservers as9lJ1ed byaDiO',4W servel' al WAN fur ils own purposes
(idldilg the lM furwI'der). However, they MI not be ~ ID DiO';nl PI'TP VPN dents.
LJ Do DOt use the DItS folWllrr Ils B DItS servel' far tIN! fftwaII
By cIefiIlit locat105t (U7.0.0.1) MI be used as the mtlM _
where the ONS furwarder is e1abIed, 50 sysm
canuse the ONS forwMler la perm 1oolcL4Js. 01ecb1g ttis boxomits IoclIt1ost fi'om the ist of ONS servers.
TllIlI!zone
A~
Select the location dosest ID yw

NTPtineserver
l', O.pfsense.pool.ntp.org
Use B spa ID ~atr nUtiR tlosts Canly one req.nd). Rernember ln set ~ at Ieast one lM serve' If yw entrr
a hast name l1erel
Them...
... 1hIs. . c:bange tIN! look BAd tee! of p(Smse.
Figure IV.17 : Configuration gnrale
Aller ensuite dans l'onglet Service puis dans la section DNS forwarder, pour cocher l'option
Enable DNS forwarder. Cette option va permettre PFsense de transfrer et d'mettre les
ESI/RMI2012-2013
Page 42
- - - - - - -
requtes DNS pour les clients.

Remarque: Aprs chaque modification de paramtres il ne faut pas oublier de sauvegarder
en cliquant sur Save qui se trouve en bas.
IV.S.2 Configuration des interfaces
Interface WAN
IV.S.Z.i.
Dans l'onglet Interfaces, slectionner WAN puis l'activer en cochant Enable Interface;
sle~tionner ensuite
le type d'adressage Static ou DHCP. Ici nous avons assign une adresse
Static. Ensuite prciser son adresse MAC au format indiqu, son adresse IP public (ici
192.168.0.x/24) et sa passerelle (ici 192.168.0.x) dans les cases prvues cet effet. Puis
laisser les autres paramtres par dfaut. Cette tape est reprsente par la figure IV. 18.
Interfaces: WAN
"---
----------
MSS~--__.;::I\=~===-~---.
---
" ...... lhit &IId. tbwl MSS c:J.mpng for TCP nnI:iClnI ta tt. v. . . . . . . . .o.n. minuI 040 rre:'PIIP
behlllllfhct.
If you
........)
A~ced
c;tatir. W r.onfiglJration
IPMId....
1',192.168.0.10
- - - - - - - - _ _ _ 0 -
~192.1~~!];] -or. -.id. I*N one.
le..,.. il . . ~ ~ ............. ~*'..,,6omthe kt or.ld OllIe usng the t.ftk. aboy.

PnYdl~ I~lwurn
.~-;..--
When ... IhiI.gption bIocb traffic from lit .tdr--. tNt ... ,.......c far pli". . n.tworia _ pel'" RF<: 1'18 (10/1..
172.16/ll.192.l68l16). _ ...
(127fS). You shouId-"'v ...... !ha option lu<nd.,.,.""'" yeur
WAN 1Mbvork Ms in a d priy.ta ~ ~ tco.
0B1oc;k",,-_
'W'b.n
Bogona
1hiI option bIocb traffil: from lP -=Id:nsIIs th.t ... rwservc (but not RFC DU) or not ..,.t aIoSQPIId by l"-NA.
~ th:IhouId ..-y.. ~ fl the ~ routing tab'e .-nef: obyioulty...-.ould nal fi"poN" _ the source
adcfJ'IUII in..,y
JMdceb VOU
~ ..
Figure IV.IS : Configuration de l'interface WAN
ESI/RMI2012-2013
Page 43
L'interface LAN
IV.52.2.
Il faut maintenant activer l'interface LAN de la mme manire qu'onl'a fait avec le WAN
mais cette interface doit tre ncessairement en Static pour le type d'adressage car, tant celle
sur laquelle sera active le serveur DHCP, il faut que son adresse soit fixe. Puis assigner son
adresse MAC au format indiqu, son adresse IP tant dj dfinie plus haut, sa passerelle est
laisse par dfaut, c'est--dire sa propre adresse IP car celle-ci constitue la passerelle des
clients (voir figure IV.19).
Interfaces: LAN
l'. LAN
Erltler il deKnpban (r1ame) for Ihe ntertke e.
- - - - - - - - - - - - - ' - ----------------------------------
----------------------------
St.t< [;]
TwMAC:~
-~~~=---====
r\.,OO:eO:18:fb:35:14
lnMr1: my iQQI MAC"""
".
(-.y
eror
_....s
....
Pnvate nctworks
c.n Ile UMdllO lftOdfy ("~) ttMI MAC ~ clvw. ~

......-..cf
_~~)
C
in"~ bn.t: ..~:lOU.XUCllltxlt:xxor...... tJa.nk
l',
U,.ou
huder
" .... in Itt. f.Id. th... MSS cJ.rnpwtg for TCP con~ tg tt. .........
Ile ft eIhct.
-m-f'l8d.oo- f'lOinUII40 (TGP/IP
I_ted l-_odv--'_
[]-----
When .... thai optian btcdu trWI'ic (rom 1P

1.72:.1"1l2,. IU.la/a.) _
th.t ....
- - ' _ ~ k -*1...- (117,8)..
v--r""" ...".
lof' pn....... .........-orks ... pet'" RF<: nUI (10i8~

ttUs opt;u." h.rn.cf on ....".... yQl.Ir
Vou.t-Jfd
WAN~"''"-..:h.~~~'boc:lI.
in'"
-wh.1 .... .,.~ bIvcka tI"IIIIk fronllllP ~ th.I;.".~. . (boutnct RFC 1'918) or nc:4: yM _aognAd bylANIL
Bcgons . . ~ t h .nou'd ~ r ~
~ f'OUbng~ .-1d iCJbo"olOUllly ~ net ~.f"
t:heo M:M.It"C.
~I'I~PKk_you~
Figure IV.19 : Configuration de l'interface LAN
IV.5.2.3.
Configuration du serveur DHCP
Il ne reste plus qu' configurer le serveur DHCP pour le LAN, afin de simplifier la connexion
des clients. Pour cela, aller dans l'onglet Service, puis dans la section DHCP serveur. Cocher
la c~se Enable DHCP serveur on LAN interface. Entrer ensuite la plage d'adresses IP qui
sera attribue aux clients. Avant d'activer le service DHCP de PFsense, il faut s'assurer
qu'aucun autre serveur DHCP n'est activ sur le rseau afin d'viter les conflits d'adresse.
Rapport de fin de cycle ralis par Sali fou KONANE & Zakaria KINDA
ESI/RMI 2012-2013
Page 44
Il faut par la suite entrer l'adresse IP du serveur DNS et le nom de domaine qui sera attribu
aux dients. Entrer ensuite l'adresse de la passerelle pour les clients. Celle-ci sera l'adresse du
portail captif: 192.168.3.x, puis les autres paramtres peuvent tre laisss par dfaut (figure
Iv'20).
servIces: DHCP server
_.
---
tf ... llch1da1c:1.criy . . ew... . . .
'o _
....
.,...,..DHCP....
hm . . SW\W.
_ .
-_._- --
.......
255.255.2$5..0
----- ----
~~---
--~
..
---~--_
l'. L92..168.3.10
_--
=-=-=-:..:---=----
tD K.192.160.3.254
- ---o=r:;=--,----=---=---
~
f'~ 192.Ui8.0.1
r<l212.52.149.157
NOTE; ....... tMr*
ta u."1YIW'l defaaacs ........ -"~'51P"'ONS ~ iI..--d. 0.......
..
1Iw~.~on"'o..- ~.
192.168.).1
'!he ~t"lD~ . . . on It*hllrr. of....... _Itw gIIt1!W1trt. 5pedfr ........... gII-..a,.I1eI"eIf .....
rd h,aII'ftd - - . , b ..-.r ...tflIaIk.
~~
bobo.bf.refer.org
'The defiIuIt .. lla .-e the ~ " . . . of thIa system _ the def8ult domaIn 4'Wn'W ~ by Dt-ICP. You may spedfy
eneltemill ~,.,..here.
!"
The 0ttCP
optionaIIy prO'lllde
ca"I
""'. 7200
-....do
"T1'1Is .. ..-ed f"or dienb ttwt da

"T'he dcfMA. 7200.econcb.
--,_.,--,---------
III
not" rc...
dom..in
III ttPedflc eJq:Willt6on '*"'e.
- - - -
"'.36000
ch ht..
~~~~~ ~--~-~~-----------~----~------
......-
"ft1III. the: ........., ~ ~ fW cIcr"tG thel" t'Or III &pedfk: ~..Uon CIme.
The deftlutr .. lI5'lIOO ~
Fl ...... a-kl.AIlP _____

1lIaCBa0000tl.. . . . . . . . . . . . . . . . . . _
__
D,.."...,w:ONS
" __ 0 ' _ "
_ ' _ _ O'"
......... ~ wiIh
""'~on
d-. NIC.
t' ActWnCeco -..................

1lNS
_._,---"' ....
.....
_._------~--,._,,-
---------
TFTPIIeI"'Wer
lDN'URI
1.Advanced I-Show __ BOOlP,biCP ep-..

----,-----------~-~--~--,--,-----_._----
I.. sav e.l
....
'The ONS ~ enred in SySlen; _
... Rb.c> (or the ONS fi>r_dor. if enIlbIed) wiI be
lO5S91ed ID cfien15 by the
DHCPSiI!nl'e".
Figure IV.20: Configuration du serveur DHCP
ESI/RMI 2012-2013
Page
45
----
IV.S.2.4.
Dfinition des rgles du firewall
PFsense tant aussi un firewall, il faut dfinir certaines rgles lmentaires sur les interfaces
pour leur permettre de communiquer entre elles, et avec l'extrieur. Pour cela, aller dans
l'onglet Firewall puis dans la section Rules, puis slectionner une interface sur laquelle on
veut dfinir des rgles [6].
Ainsi sur l'interface LAN, il faut laisser les rgles par dfaut car elles autorisent tous les
paquets IP de source LAN n'importe quelle destination. Pour le WAN, il faut modifier car
tout est bloqu par dfaut, ce qui empche les deux interfaces de se communiquer. Alors
cliquer sur le symbole e pour diter une rgle qui va permettre le passage des paquets du
WAN vers le LAN. Pour cela, dans Action, choisir l'option PASS; dans Protocol, choisir
ANY; dans Interface, slectionner WAN ; dans Source, slectionner WAN Subnet puis dans
Destination choisir LAN (figure IV.21).
Dans certains cas il peut tre ncessaire de dfinir des rgles flottantes, c'est--dire des rgles
indpendamment des interfaces. Pour cela, dans l'onglet Rules, puis dans le sous-onglet
Floatting, cliquer sur le symbole e pour diter cette rgle (le symbole + permet
d'ajouter une nouvelle rgle et le symbole x permet de supprimer une rgle).
Firewall: Rules: Edit
I:drt tltCWdll rule
Action
pas,;
Choose what tg do \Nilh packets thal match the criteria spetified below.
Hnt: the differen bet.ween bIock and reject if;; that with reJect. a packet (TeP RST or I01P port unread'lL!ble for UDP) is.
retLlmed ta the sender. whereas 'Mth black the padtet 15 dropped sdenl:1v. In el'ther case, the on.gtnal oacket IS cbcarded.
---------
-_ ... _._~----~-- .... _ - - - - - -
Cl
DisoI bis this roie

set thIs optIOn to dlSable thIs
- - - - - - - - ---_ ... _.-._-----.--Intl!l'fa
Protocol
~ W1'lOut
removlI'lQ It fram the
WAN
O1oose on whKh Interface padcets must come
ln
~s t.
to match thts rue.
any
O1oose whch IP protocol this rule should matctl.
Hint: in most cases. yeu shouId speofy TeP l'lere.
LJ not
Use this opbon to invert the sense of the ""tch.
Type:
Address:
L:J
WAA oubnet
f~
not
Use th .. option to invert the sense of the ""tch.

Type:
LAN St.Ibnel
Adaess: 1
t131 .....
Figure IV.2I : Rgles sur l'interface WAN
Ainsi PFsense est correctement configur, mais pour le moment il sert uniquement de firewall
et de routeur. Il reste activer l'coute des requtes sur l'interface LAN et contraindre les
utilisateurs s'authentifier pour traverser le firewall.
ESI/RMI2012-2013
Page 46
Chapitre V:
Implmentation du portail captif de PFsense
ESI/RMI2012-2013
Page 47
Etude et mise en place d'un portail captif sur le rseau de l'li PB : Cas du CNFP
V.l.
Paramtres gnraux
Pour activer le portail captif sur l'interface LAN de PFsense, il faut aller dans l'onglet Service
puis dans la section Captive portal. Ensuite il faut cocher la case Enable Captive portal,
puis choisir l'interface sur laquelle le portail captif va couter. Ici nous avons choisi LAN
puisque nous voulons que les utilisateurs de notre rseau local passent par le portail captif
pour aller sur Internet [7].
Dans les options suivantes, il faut d'abord dfinir le nombre de clients demandant la page
d'authentification la fois, ensuite le temps au bout duquel le client sera automatiquement
dconnect s'il est inactif et le temps au bout duquel il sera dconnect quel que soit son tat
puis se voir redemander les paramtres d'authentification. Ainsi Maximum concurrent
connections dfini le nombre de clients demandant la page captive la fois ; Idle Timeout
dfi~l
le temps au bout duquel un client inactif sera automatiquement dconnect et Hard
Timeout dfini le temps au bout duquel il sera dconnect quel que soit son tat.
Nous avons choisi de mettre 10 pour le nombre de connexions simultanes, 1 heure pour
l'inactivit et 72 heures pour les dconnections brutales.
Ensuite il est possible d'activer ou non une fentre popup qui va servir aux clients de se
dconnecter. Nous avons prfr ne pas mettre cette option, car de nombreux utilisateurs
utilisent des anti-popup et donc ne verront pas ce message. Il est ensuite possible de rediriger
un client authentifi vers une URL spcifie, sinon il est redirig vers la page demande
initialement. Nous avons choisi de rediriger le client vers l'URL suivante: http:
//www.google.com.
Le paramtre suivant Concurrent user login, permet d'viter les redondances de connexions.
En effet, l'utilisateur ne pourra se connecter qu' un seul compte actif la fois. Cela va donc
viter les usurpations d'identit. En cochant ce paramtre, seule la dernire connexion sera
active. Il est aussi possible de filtrer les clients par adresse MAC (figure. VI, figure V2).
Rapnort de fin de cycle ralis par Salifou KONANE & Zakaria KIN DA
ESI/RMI2012-2013 Page 48
Etude et mise en place d'un portail captif sur le rseau de \'UPB : Cas du CNFP
H~
~ chec de la traduction en raison d'un problme de connexion rseau 1 Ressayer
services: captiVe portal
WAN
~:
1'.20
........ IP_Io .... ...",
lit'"
1htI.-Iti'Ig hbtheftUftllMl r:#coneurJWltCl:ll"ll'*llOnIlO rN~.ponaIHTTP(S)~.,. Thil:cto.Inot Mtt'ow tnany

uan c::.I he bgpd ln tI' the aptiYe poftaI, but ,.,.. how runy lIMII c:an bd the portII p.ge or ~
~
tiI! PoIIlJl. MI:"IIJ ~: ~ 4 ~ ~ dent LP MIch& witt .1dIl rnaiITMn d 100 CClf1f"iCtionI.
Idlo_
1':4320
d_.11oov_1oo"_ ............. Ihouh.too,.
Oonto ... b o _ ...... . - d
... f'IkI bIInk ror no Nrd ~{nctNCOImIIndId...m.- .,
.1lIMOUt il.).
-~--~._----
1':
""'"'
GonIo........ _ _
..... _lotfoo ........ _ _ tI>;,_d_ ..... _
.... fi""
_lIoio_bool>vvo....... f ~ . . -. . _
Figure V.I : Activation du portail captif
ID
E. .1lle -.os,,.rIod _oa,-""", _ _

Ir - - . .... .-.g poriod;, . - ID .... original dur-.. f _
---.
ID .............. _lIIiold.-
If onIIblecI.. _ . . . - wIII_ '"'- _
il -..pIed ........ d paMhrouqh ..od'" hav ~
- - - _..
_~~._-_
_-~.
... oIIowed through .... aptiv. ~ This oIows den.. ID expiciIy
_ - . . . - . . .......... _ _ CCUI1I.
li
IJIethO_"' .. $PORTAl_IOIRURl.$ v_ _ an boe-.d uW>g yow-apliY--'>l indlo><.php poge or
........ -.
--- =-------;:;;=:=========================._--_.
. _ . . ._--_._-_..
18
AIr~
http://www.google.com
_ _ UIll
If l'OU "",WIo ~ UIll horo. dion will be rodil1lCllld IIllhot URL _
cllile one lIlev ilitialIv tnod '" ocass.r thoy've
~.
o llIu&Ie _ _ Iagi-.
. per.....". . . will b e _ SUbooqunt . . . will ..... ~ p<av;g",jy
1110_.-.-'"be_
Iftllll cpllon.'" cnlr ....1ag;ecI.. vdh

MACf!bmv
DIMbIe MAC llIt.mog

I/tlllI cpllon iI ....... -..,a will be..-"'
Ihot .........c _ _ cldenb ..... 1lle _ _ thoy'", Iogged
...ThGIo---''"'- .... MAC _ _ d
_~bo_ C
......... beauMthent ..........rs betweon
be ueed.
pISon.. .-<1 .... denbJ. Ifthil ..-et 1W)IUS MAC...tl..-. _
ID Enal>/e _ - i I o - " M A C _ . . w -
U tIRs cpllon il .... MAC pesoIhrough enlry il ouliomolQIy eddod ................... succaefulv outhonticd. lJsers cllhot
MA.C addI1III wlllnev... have te ~ egoft. To ......"". .... ~ folA.C enIry VOU e.lI1er have '" log in ..<1
_ " " il ........... '"'"' .... ~rough Inc lob -.l. POST '"'"' .......... oyotem 10 _ve il. If 1f,~ ~ ....b:od.
RADIUS MAC euIhentation aMd Ile ....s. A.1so,
Iogoul window "dl nClI Ile Ihown.
o Enal>/e ....-tII-" MAC _ . . w - _ _.........

JflM cpllon iuet. with 1lle..-..liQly MAC pa!lhlOUllh ...try crwDd lM me."....., U!Od ~ _entic0500, Vii! he
!IIVOd. To _eIMpa!IIhrough MACenlryvou _
ha.ete log .. end renc>\'el ~,",",IhePass-Ihrough MAC
!lib ... oend POST '"'"' onaIiler S\'!I!nl '" ....".. iL
Figure V.2 : Paramtre de la page de redirection
ESI/RMI 2012-2013
Page 49
Etue et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP
---~.
Le paramtre de la figure V.3 Enable per-user bandwidth restriction permet de fixer un

dbit maximum montant et descendant de flux Internet par utilisateur afin d'viter qu'un
utilisateur surcharge la bande passante disponible.
Pr-\ar~ lIItricticn
~ EMII
...-.. lIaDdwidtJI NItrtctioIl
l\" 20
!loi
o.rut upbod
l>tIs
l', 5
~s
JI thiooplicn i; ..... the gpt;vl por1iI wiI rlIlitri<I""", uotr who logo in ID the opec&cI
lM dmut lIlIi1gJ. Luve lftlIlIy or IlIIID 0 for no limI.
dol"". ~/<lIh. RAOIIJS an Oy.nido
Figure V.3 : Limitation de la bande passante
Une fois cette configuration sauvegarde, le portail captif devrait tre fonctionnel. On peut
aussi modifier la page d'accueil du portail pour l'adapter au besoin de l'entreprise (figure
Y.6), ainsi que la page de redirection (figure Y.7) en cas d'chec d'authentification en
impqrtant un code HTML ou PHP dans les champs prvus cet effet (figure VA). Tout ceci
_-
dans un souci de rendre plus conviviale la page captive.
.......
i l [ Choisissez un fichier) index5.html

ViMrt cunwnt JM98
<&.-:a ~ .. acd.ocP".ICI8r.lI._.w:rIOl"-:'<iJIpa ...--..

.....-z- ..,...
-.)
<1npa: _ _ . - * ~... ~
n":,<~
- -......_ ~ .
~ .. ~->
<i,.a _ " ~ ~ - val. . ."'PCanL..RUlDIIIU.S",

<inpD;
~"'acapt.-
't:".--I1JIIai't-
v~c~->
<I.f.ao
Ci
- - - - - - -.. _-_._---_._._.
Choisissez un fichier) index5 - ...ple.html
\Iiow culTllll_
Q [ Choisissez un fichier
-.
up_
Aucun fichier choiSi
1lwl _ _ 01 !ho HNIJPHP liIt """ vou
he....... cIirjlloyed on
suo.:tlS5 """'"
thologout POPUP 5
Note:
.Qllll1gS>g lInY ... ~ on tfojs """" wi c5scDmect: .. dients! Oon't forg~t ID enllble the DHCP server on )'OU' captiv~
portal inm.! Mal SlI~ that 1h~ defalltftnaximum OHCP leaR lime is 1ger !han the limeout enter~ on lhis pag~.
AllO, the ONS fbrwlltder ne~ ID be enebIed for ONS ~ Dy lIlaUthenlicZld dents to work.
Figure V.4 : Importation de code HTML
Il est possible d'insrer des images telles qu'un logo de l'Universit dans la page d'accueil.
Pour cela, aller dans le sous onglet File Manager pour tlcharger l'image afficher.
Toutefois la taille de cette image ne doit pas excder 1MB (voir figure Y.5).
ESljRMI 2012-2013
Page 50
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Cas ~~_E~~~
Services: Captive portal
iJl
821(sl:iJ
captiveport.l-tie.d.)P9
821CB
, TOTAl
I~---~--
;;.j ~jsissez un fichier 1 He~d.jpg

Ik>te:
Any files h l you uPload here Wlth the filenane prefu< of captiveporta! WIll be made available., 1he rool directcry of the captive portal KTTP(S) server, Vou
m.y refl!rence them di'eetly from your porlZl' page H1M. code usng relative path EXarnpIe: you've uploaded an inage wit!1!he n.me 'aoptiveportalsl,iJg' using the file lI\llI"lagel. The:1 VOU can ndude il" )'OlS portal page iI !hi.,
In addition, VOU can aIso upload ,php nies for exeaJtion. You can paoo the fienan<: to YOUl" aJS!om page lTom the Initial page by uoing text simlar txI:
The total me ml for .1 fies io 1.00 MS,
Figure V.S : Importation d'image
Le paramtre Pass-through MAC sert dfinir les adresses MAC autorises traverser
PFsense sans authentification. Allowed IP address sert dfinir les adresses IP autorises
se connecter sans authentification. Allowed Hostnames sert dfinir les noms d'htes
autoriss traverser PFsense sans authentification et Vouchers sert dfinir les groupes
d'utilisateurs autoriss se connecter PFsense. En revanche ces paramtres ne sont pas
utilhs l'tape actuelle de l'tude.
Aprs importation de nos pages ct image d'accueil, voici ce que nous obtenons:
\' ~"Il
'1 ~.
~;)
L'Y
-.
BIENVENUE SUR LE PORTAIL DU

CAMPUS ~-mIERIQUE
FWL~COPHONEPARTEN.~
(CNFP)/
UNIVERSITE POL \~ECH..~lQUEDE
i-o
....1
BOBO(UPB)
_-
VtuWtZ 'ous IdtDt1Der!!:
CODDUHa -
lt1hs.nem
~ot
de passe
l"-~~_
Figure V.6 : Page d'accueil du portail
ESI/RMI2012-2013
Page 51
----
BIENVENUE SUR LE PORTAIL DU

CA1\{PUS NUMERIQUE
FRANCOPHONE PARTENAIRE
(CNFP) 1
UNIVERSITE POL1:"TECHNIQUE DE
LBOBO(UPB)
......
AG
UfllU{sn~ilf{t
-" -_ _-
Df LR fRAnCOPHOniE
....
CODD~.
Utilisaur
Motdepus-c=
EnIJe'
Figure V.7 : Page d'chec
V.2.
Authentification et gestion des utilisateurs
L'authentification est un point essentiel de PFsense puisqu'elle dfinit l'autorisation d'accs

vers l'extrieur; une sorte de portail physique ferm accessible par cl. Ainsi trois mthodes
d'authentification sont offertes:
~
sans authentification (No authentification) : les clients sont libres ; ils verront le
portail mais il ne leur sera pas demand de s'authentifier;
authentification via un fichier local (Local User manager) : les paramtres des
comptes utilisateur sont stocks dans une base de donnes locale au format XML ;
authentification via un serveur RADUIS (RADIUS Authentification) : ce niveau,

nous avons le choix entre utiliser un serveur embarqu FreeRADIUS et utiliser un
serveur RADIUS distant du serveur PFsense.
Pour ce projet nous avons test les trois types d'authentification avec succs et nous avons
retenu l'authentification RADIUS embarqu car non seulement cela permet de grer un grand
nombre d'utilisateurs, mais aussi pour des raisons de scurit. A ce stade, le portail est dj
accessible, c'est--dire que pour un utilisateur qui se connecte au rseau local et partir de son
navigateur, demande une page web, il sera redirig vers la page captive qui lui demandera de
s'authentifier avant d'avoir accs la page demande initialement.
NB : Si le portail apparat et que l'utilisateur entre correctement ses identifiants mais qu'il n'a
pas accs Internet, il peut tre ncessaire de dfinir une route statique qui permet
ESI/RMI2012-2013
Page 52
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Cas du_~I'.1~~
l'intr;rface LAN d'accder au serveur de nom de domaine. Pour cela, aller dans l'onglet
System >Route > Static Routing.
V.2.1 L'authentification par RADIUS
RADUIS (Remote Authentification Dial-In User Service) est un protocole client-serveur

permettant de centraliser des donnes d'authentifications ['8]. Le client RADIUS appel NAS
(Network Access Server) fait office d'intermdiaire entre l'utilisateur final et le serveur. C'est
le standard utilis aujourd'hui surtout par les fournisseurs d'accs Internet car il est trs
mallable et trs scuris.

PFsense intgre un paquet radius libre (FreeRadius) coupl avec une base de donnes pour
stocker les informations des utilisateurs. Mais on peut aussi utiliser une base de donnes
externe pour y stocker ses donnes d'utilisateurs. De mme, on peut utiliser un serveur
RADIUS distant pour authentifier les utilisateurs. Ainsi le CNFP utilise une base de donnes
MYSQL sur un autre serveur pour enregistrer ses utilisateurs. Dans ce cas nous pouvons soit
installer un serveur RADIUS sur le serveur MySQL pour stocker les donnes d'identification
dam la base MySQL, soit installer le serveur RADIUS sur le serveur PFsense pour y stocker
localement les donnes d'identification. Dans tous les cas le serveur d'authentification
(RADIUS) sera l'intermdiaire entre le portail captif et la base de donnes (locale ou
distante). Pour la phase de test, nous avons exploit le second cas c'est--dire installer un
serveur embarqu FreeRadius sur le serveur PFsense.
Pour installer le paquet FreeRaduis sur PFsense, il faut aller dans l'onglet System, puis
Packages, puis Available packages, puis FreeRadius ou FreRadius2. Aprs l'installation
(ici nous avons install FreeRadius2), la configuration se fait en trois tapes:

". d'abord configurer l'interface d'coute (ici LAN) : pour cela aller dans l'onglet
Service, puis Freeradius2, puis dans le sous onglet Interface. Le symbole +
permet d'ajouter une nouvelle interface; puis entrer l'adresse IP de l'interface (LAN),
puis cliquer sur Save pour enregistrer;
ensuite ajouter un client NAS : alors dans l'onglet NAS/Client entrer l'adresse locale
127.0.0.1 et les autres paramtres.
enfin crer un compte utilisateur pour tester la configuration: alors dans l'onglet User,
cliquer sur le symbole + pour ajouter un nouveau compte utilisateur puis entrer le
nom d'utilisateur et le mot de passe du compte.
Et pour tester la configuration il suffit d'entrer la commande 'radtest testuser testpassword

ESI/RMI2012-2013
Page 53
127.0.0.1:1812 0 testingl23'dans Diagnostic, puis Command prompt; testuser tant

l'identifiant, testpassword le mot de passe, 127.0.0.1 l'adresse locale du client NAS, 1812 le
numro de port du service RADIUS et testing123 la cl scrte entre le serveur et le client
RADIUS.
Ceci est une configuration pour enregistrer les utilisateurs dans la base locale de FreeRadius.
La configuration de la base de donnes MySQL distante [9] est fournie en annexe B de ce

document.
V.2.?
Gestion de comptes utilisateurs
Pour ajouter un compte avec authentification Radius, il faut aller dans l'onglet Service, puis
Freeradius, puis User pour entrer les paramtres du compte. (Figure v'8)
FreeRADIUS: Users: Edit
1
GEllERAl COllflGURATlOtl
Usema11e
1\ test
Enter the usemame. ~ is posstJle. If yw do net want ID use usemamefpasswcrd but QJStom options then Ieave ltis
field ~ty.
Password
l~)
....
Enter the passwad fur tI'is usmame. If )'OU da IlOt want ID use usemamefpassword boJt Olsm options then 1eiM! ltis field
empty.
'
Figure V.8 : Gestion de comptes avec FreeRadius
1
Quant l'authentification via le fichier local il faut aller dans l'onglet System de la figure v'9,
puis dans la section User Manager. Ici, on a une liste des utilisateurs existants dans la plateforme. Pour crer un nouvel utilisateur, cliquez sur le symbole
+ et une nouvelle page
s'ouvre sur laquelle certains champs sont complter:

Il faut en premier lieu activer ou dsactiver le compte en dcochant ou en cochant la case
Disabled.
).>
entrer le nom d'utilisateur pour le compte utilisateur ;
).>
entrer le mot de passe utiliser pour la connexion;
';> entrer le nom complet pour le compte utilisateur;

).>
entrer la date d'expiration du compte au format indiqu;
ESljRMI2012-2013
Page 54
~
slectionner le groupe dont le compte utilisateur doit faire partir (utilisateur ou

administrateur) ;
cliquer sur Save pour enregistrer le compte.
La figure V.9 illustre cette partie.

System: User Manager
Demedby
USER
---~
lkemame
Passwon!
[]
li test
f~) ....
~
fiJMIlI!
....
(confrmation)
~\
User's f\J narne, for YlMI' own i'Ifcnnallon onIy
Expration date
l'"
1/221201411I
Leave blar1c if !he lKtllUIlt sIxdi1't expire, olherwise enter !he expiraliOn date i'I the ~ format rrrnfddfyyyy
llot _ _ rOf
,.------------
'i
~1
-1
Figure V.9 : Gestion de compte en local
V.3.
Scurit du portail captif
Dans cette partie il est question d'une part de scuriser l'accs l'interface web de
configuration de PFsense (webguid) par le protocole SSL et d'autre part permettre un
cryptage des mots de passe des utilisateurs pour assurer une certaine confidentialit des
transactions aprs authentification [10]. Pour se faire l'utilisation d'un certificat est plus que
ncessaire. Un certificat lectronique (aussi appel certificat numrique ou certificat de
cl publique) tant vu comme une carte d'identit numrique. TI est utilis principalement
pour identifier une entit physique ou morale, mais aussi pour chiffrer des changes. Il est
sign par un tiers de confiance qui atteste du lien entre l'identit physique et l'entit numrique
(Virtuel). Le standard le plus utilis pour la cration des certificats numriques est le X.59.
ESljRMI2012-2013
Page 55
Etude et mise en place d'un portail captif sur le rseau ~e l'UPB : Cas du CNF~
Ainsi le certificat va pennettre de crypter les donnes changes entre le navigateur et le

serveur d'authentification PFsense.
Pour la scurisation de l'accs au webguig, il faut aller dans l'onglet System> Advanced de
la figure Y.I 0, puis dans la section Admin Access pour activez le service HTTPS avec son
numro de port 443 (SSL) dans TCP port.
System: Advanced: Admin Access
AdminAaess
,iIB'HfEI'!$I@O_ mt!fflibBI11=ijmlll
NOR: 1heoplionscn
thlsJlillleni1~ filr~b'~lIld
,
J'
usmorr,.
webConfNJurdlor
captiVe Portal Cert

TcPport
1'443
En!l' a wslDm portlUlter far the webConfigtralDr above jfvou want ID override the default (BO far HJllI, 443 far
HTlPS). 0w1ges MI; tII eflKt inmecHtely afier save.

Max Prosses
1\:2
Enter the numer of~figuralllr JrCl(eSIleS VOU want ID 1111. This defal:lts ID 2. Jnaeasing this wiI aIow more
user~owsers ID ~ the GUI ClIIlCmendy.
@ DIsabIe _~urator redired nde

When ths Is LR:hecked, aa:ess ID the webCcnfigtrelllr Is aIways permitd even on port BO, r~arcless of the ~
port CllIIfigured. 01etk this box ID cisaille this automaticaly added redrect rUe.
webGUI I.ogil AutDcon1llete ,
[] DIsabIe ~tDr Iogin automplete

When lIis Il LR:hecked' Jogn aedenllals far the webCcnfigtralllr JIIIY be savel! by the browser. wnle CllI'IVeIient,
same secuity standaRls re<J,i'e this ID be lisabIed. Oledc this box III cisaille auli:laln'plele on the Iogin fonn 50 that
browsers \lImt~ lsave aedenllals trrE: 50IIle Ixowsers do mt r~ Ihis option).
Figure V.I0 : Activation de HTTPS pour l'accs au webguid
De mme pour crypter les mots de passe des utilisateurs et les changes aprs leur
authentification, il faut crer un certificat pour pouvoir activer HTTPS. Ce qui se fait en trois
tapes: choix du type de certificat (autogr ou proclam par une autorit de certification),
cration et tlchargement du certificat puis activation du certificat sur le portail. Pour ce faire
aller dans l'onglet System puis Cert Manager (voir figure Y.U et figure Y.I2).
ESI/RMI2012-2013
Page 56
System: Certificate Authority Manager

CAs
'$ tiifit*,
Certi6cate Revoc.aton
l'. Captive---_._------_._----_._.
Portal CA
-----"-'"--
Helhod
Create
-.--.- .....
....
_------_ _----
..
~---_
.'--
an ,nlemill Cerbflcate Authority
..
Internai Certmcate Authontv

Keyk:ngtb
2048 bits
-------------------------_._---_._---Llfetime
' " 3650
days
e:..-v QxIo ,
5Ia .. Pm..... ,
Ory,
0Ig00iDIl0n'
EmoI .........
~Nima,
BF
"'~-o-ug-a-do-u-g-ou----------
~ Ouagadougou
l'\ auf org
.,
My Oompony ln:.
"~a-dm-in-@-lIuf-.o-rg---- ... ~......
"
captiVeportal-ca
Figure V.ll : Choix du type de certificat
System: certlficate Manager
1!3 certlflcates
Certiftcate Revocation
Creale llI1 intemal cerbfialte
InternaI Certmcate
Cerbfialt Portai Captif
- - - - ' - - - - - - _ . - - - - _ . _ - -.. _ - - -
---~._-------
_-~.
2048 bits
CerliIir.ate Type
lifetime
User Cerbflcate
Type of rtificate te generate.
1'13650
Usee! for pIaoog restrictillns on !he usage of !he generated rtificate.
days
._---_._----_._-----,------------_._----------<.. ..__.. _--._._.-------- .'._-------_.__._~
"'-"_.okI-.I Mme
~~...--
c.o.dryOlde. 1~ BF
_~_! "-B-urt-in-ll- F a - s o - - - - - - - - - Ory:
"ouagadougou
~I ~,AUF
EmlIiiI A"",""
eommon_:
~......
" - ,a-uf-@-y-a-ho-o-J-r----
...
~. pfsense.localdomain
"'" www.-nplo..".,
Figure V.12 : Paramtres du certificat
ESl/RMI2012-2013
Page 57
Il faut vrifier que le certificat a t bien cr puis il suffit de le tlcharger (figure V 13).
System: Certificate Authority Manager
CAs
"'MMd
("rl:ificate R""ocation
1 emadAddress=auf@yahoo.tr, ST=BU'iona Faso, O=AUF,
i L=OUagadougou, CN=192.
16S.3.
1. C=llF
..
.....
. __. --
_L .
_~
~_
Figure V.13 : Certificat tlcharg
Aprs le tlchargement du certificat aller dans Service puis Captive Portal pour l'insrer
avec sa cl. Cocher ensuite Enable HTTPS login en donnant le nom du serveur HTTPS
(HTTPS server Name). (Figure V14).
HT1PS Iogin
~ filable HJlPS Iogin

If _1lIed:, lt1e usen_ and passward wI be transnitted over an HT1l'5 mmection ID )lrOtect agnt
eav~s. ASlIVef ncne. r1ific:ate and mall:hilg private lyllllJSl:asobe sped1led beIow.
HTlPSservername
-----N;(;D1 RrIFIa:rE----IIIIE'j CCAsIlqA_mA<lIEAtWlBqkqlliG~05AQ11!'ADI!"WQ'wC<JYINQOGI:_JOIj

f:V - J
II!!.1al~Vya~luY!!.GYX!lvtGtQvEtJ~v'ePd"il'!'Il.ntR.,.dMd.,.t:ITD6lAoG .- ~
AlUEChHOQV'"J'GiJIIlbwGQYJKoZIhvcllAQl...BFqxh.d.'"1Ii2Aeiirob28uZnlKf"IlAS1).qlF.."'BMlT
cae~:Jtit.xNjguH14.Jd.4XDIl:.xrlyWDA5NIl:.Clilo:torI.xr:IxODA.5l1t't.OHlov
.eL
KU.GA1UEBWtC'QJr.y..l"T~Jlc:.,"pbaE.gbE.kla.E:OHBla111E5.nT3\1"b.
z.2rlb3Vn.b3tbtD~oTAOlVRj
~lGCSqG'!baDQEJU,.nfYXVlllQHlhilG9-v IaZ.yJGl.OWE9YOVW".xOT lwaY4-LjlltuKI'CCA5Iwt'QYJ'KoZlh.,.engu,eADggt:;P
HT1l'5 privat!! Iy
-----I!EGDJ 1UI1l plUV1.n
1tl:Y-----
JI1Il.pAI:Il.AJXCAQEAJ'e:~'eu'e"l!lhXTCkrAt:.COOu.loD1A.15froECIbJ{uAwlJd.;ladAb
Qtllj~1.p
..PbSiQOiehz~1.9la7d'..i.eAc.f1.civZ1.EolfV3Wl+t'ClGu.~
QW&i7bdj cHqe ynut TqX~9MN..-weOLQvuJl.Dl!bht.g'Z flI;rr.SGIOuwlAuQis
T091Gl\l9XJqr.IocnrIi.'K"If'F.-.:tu~i3txfqPEnbvr&/UFUJr.lu/".h05~lQJr.I
jByjrLV'l.YC'e.Is.Jt~Vqd5r'QOwlE-CAG~n;dLOu.:t1'ZqhZHNZAb:r4J5~OoO
GUo/ flrb8QK.e~oSTEJWQlCYhD3%pd:i.VNbRc.lyULoqt'WnfgSG!.221l~o:rlKyP
Cq:b!lll'eJtOTh...tfPHJkW_!O!l.a.azPZ:ajYSbJlheQlDAQA!.Ao:mA~~yLY1.i;qu:a
Pa5te jJIl R.SA prlva !tey r. PEM format here.

-----J!l;(;!B CEAI'IrlCAn-----
HIn; fDCCAll S91l- :tJlAqI.ll.Anl9k,"">..G!1v06>.QllTADI!'WQ~YD'l'QQG&,,JOljE V j

1elGA1~Vya21uY9"5GYlQf~.f:g:~.t.PcDn'uY'liill'l"dWd?"dTDlO.oG
--
1l1ll'E~y~.zIh
..cllAQurphdW:u..lirob.. e1>ZA1xFlWl~
CoEelti bdij ...... r_4llOTf:o>ft"IytlI)E.mlOHlollC!IaHrlXODE>dmlOVloweaE1.
Nll.caltrEmlMCQJr.Y""~lJ'I'DEJt~pbBE9IIal"ab.Emlfa1.I7E&JdG.T;Vh
Z.. ru.~Vzb30zD~.UGE'V1ljEblkGCSqGSn.~O\lEJARnmlVioQ!lJ.h.G"" LmZ}"'~I:9~m:.w .orluXI'Y4LjuM!'Cl::ASI.DQYJltoZlhv~P
PII5te a a:rlificat!! in 1.509 PEM format t..re.
Figure V.14 : Importation du certificat et de sa cl prive
A prsent le portail autorisera l'accs aux pages web scurises et sa scurit semble renforce
ESljRMI2012-2013
Page 58
dans la mesure o la rcupration des mots sur le rseau est quasiment impossible.
Cependant pour le test nous n'avons pas utilis de certificat car la plupart des certificats sont
payants mais nous esprons que l'entreprise se dotera de certificat pour le dploiement
dfinitif.
V.4.
Contrle de la bande passante
V.4.1
Introduction la QoS
Le terme QoS (acronyme de Quality of Service , en franais Qualit de Service )

dsigne la capacit fournir un service (notamment un support de communication) conforme
des exigences en matire de temps de rponse et de bande passante [11]. C'est la capacit
vhiculer dans de bonnes conditions un type de trafic donn, en termes de disponibilit, de
dbit, de dlai de transmission, de gigue, de taux de perte de paquet. La mise en place de la
QoS peut se faire sur la base de nombreux critres mais dans notre cas elle va se baser sur la
consommation de la bande passante. La qualit de service se ralise au niveau de la couche 3
du modle OS!. Elle doit donc tre configure sur les routeurs ou la passerelle relie
Internet. Ainsi PFsense tant aussi dot de fonction de routeur, des paquets y sont intgrs
pour la gestion de la bande passante. Ce sont entre autres :
~
Traffic Shapper ou regulateur de flux qui permet de contrler le volume des changes
sur le rseau;
Bandwitch qui liste les usages du rseau et construit des fichiers HTML sous forme
de graphique et de rsums ;
Pftop qui donne une vue en temps rel des connexions au pare-feu, et la quantit de
donnes qui sont envoyes et reues. Il peut aider identifier les adresses IP qui
utilisent actuellement de la bande passante ;
>
Ntop qui permet aussi d'avoir une vue globale sur la consommation de la bande
passante. Cet outil sera exploit par la suite pour sa simplicit d'administration;
V.4.2
etc.
Contrle de bande passante avec NTOP
Ntop est un applicatif libre crit de manire portable afin de pouvoir fonctionner sur toutes les
plateformes Unix. Il permet d'avoir une vue globale sur la consommation de la bande
passante, il est capable de dtecter jusqu' o les connexions ont t faites par les ordinateurs
ESI/RMI2012-2013
Page 59
locax et combien de bandes passantes ont t utilises sur des connexions individuelles. Il
fait partie des paquets disponibles sur PFsense et nous l'avons cet effet exploit.
V.4.Z.1. Installation de Ntop sur PFsense
Comme l'installation de tout autre paquet sur PFsense, se connecter sur l'interface de PFsense
partir du LAN, le WAN tant connect Internet, puis dans l'onglet System> Packages
>Avaible Package (figure V.IS) pour voir les paquets disponibles et slectionner Ntop pour
l'installer.
L
Figure V.15 : Installation du paquet Ntop
V.4.LZ. Configuration du service Ntop
Une fois l'installation termine, il faut se rendre dans l'onglet Diagnostics> Ntop Settings de
la figure Y.16 pour initialiser Ntop et lancer le service correspondant. Les paramtres
disponibles ici sont moindres, et permettent seulement de configurer le mot de passe
administrateur pour accder la configuration avance de Ntop, ainsi qu' l'interface
d'coute.
Diagnostics: ntop 5ettings
nt:r;p5ettings
':gg=gj"iji
ntao Admin PaAlWOfd
t~
Enter the pe~d fOr the NTOP Web GUI. MIrWnl.MTl 5 c:heracters.
ntop Admin Passwot"d

AGAIN
Interface
Allaw mef'"gW'lg .,terfaces

(pet: Do not: mer..-e)
-----
Figure V.16: Configuration de mot de passe Ntop

ESI/RMI2012-2013
Page 60
-----------
Dsormais
Ntop
est
accessible
Via
le
navigateur
l'adresse
suivante
http://<@pfsense>:3000 (mais aussi en cliquant directement sur le bouton Access ntop

ci-dessus, ou encore via le menu PFsense Diagnostics> ntop ). En se connectant cette
adresse, on accde aux statistiques gnrales de notre rseau comme le montre la figure V.I?,
la figure V.I8 et la figure V.I9 :
~
Des informations concernant Ntop (interface d'coute, le nom du domaine ...)

sisO Ikport
Protocol DistributIon
_ Application Protocols
14
!LoaI DomAia _
0_00_0
bobo_bf.r~fer.oro
Mon Jan 201028-202014152-34)
l12 actl've ~ [26
total~]
41 [Max 156J
.sisO
Figure V.17 : Statistiques globales
~ Un rapport concernant le trafic sur l'interface d'coute (paquet, trafic ou la charge)
Protocol DIstribution
At:iplKaban Protocoh.
Unican
.. Broadcau
Multica~1
Figure V.IS : Rapport du trafic sur l'interface d'coute

ESI/RMI2012-2013
Page 61
~
La rpartition totale des protocoles
Global Stallsti(5
5150 Report
__
Pro[ocolO1strlbunon
ApplicatIOn Protocols
12~L3I'n1oom1~__ ~.
IP
."""'"_......
-I--------I~p140_6MByte'~_5"1=~~II
1
lJIlP
I0Il'
4o.8MBY,
99.9%
lCM'II6
1
1
IGloIP
i-(alAIU'~----'~7
12179KByte, 0.5~1
1
1.7 KByt.. 0_0% - - - - - - - - - 1 1
KByt., 10 0%
lMi
0.1%
OOher
0.0%
0.6 KByte,
~i-I ~~~~--~~1 o.o~
0.5 KByte,~r-1 ~-~~~----II
~LLlKByt ~L_
-_.-. __ . - - - - - - . . _ ~ - - - - ' - - - - - - _ . -
..
----._.-._-
-------
.TCP
~
UOP
ICMP
lher IP
{RIARP
.1...6
.IGMP
Figure V.19 : Vue des protocoles
Sur l'interface de Ntop se trouvent beaucoup d'autres options qui ne sont pas dtailles ici.
Et pour finir, la configuration proprement dite de Ntop ne sera pas dtaille, mais reste
relativement simple et est fonction des besoins personnels tant l'outil tel qu'install est dj
entierement exploitable. Dans tous les cas, le menu admin offre toutes les options
ncessaires pour personnaliser Ntop.
ESI/RMI2012-2013
Page 62
---------,.
V.5.
-.
Cots d'implantation
La solution qui vient d'tre mise en place peut tre dploye en deux semaines par deux
ingnieurs de travaux informatiques. Ainsi le cot de mise en uvre de ce projet, compte tenu
de sa dure, de la main d' uvre et des quipements ncessaires sa ralisation; est estim
1 900000 FCFA ; les dtails tant consigns dans le tableau VI.
Tableau V.I : Cots d'implantation

Dsignations
Cots en F CFA
Cot du matriel
600000
Apport technique
1000000
Formation de l'administrateur
300000
Total
1 900000
ESI/RMI2012-2013
Page 63
CONCLUSION GENERALE
Pour authentifier les utilisateurs de son rseau afin de partager la connexion Internet de faon
scurise, l'UPB travers le CNFP s'est oriente vers une solution de portail captif. Aprs
une prsentation de la structure d'accueil, la dmarche suivie pour cette tude a permis
d'ar.alyser d'abord son systme informatique pour connatre ses forces et faiblesses. Ensuite
une tude comparative de portail captif a permis de choisir une solution implanter. C'est
ainsi que la solution PFsense a t retenue. Cet applicatif libre a t ensuite tudi de faon
technique et sa fonction captive a t implante de faon effective. Enfin le paquet Ntop
intgr PFsense a t install et configur pour avoir une vue globale sur la consommation
de la bande passante.
Nous pensons que le but de ce projet est atteint car, il nous aura permis de savoir d'abord
l'existence de solutions libres de portail captif, ensuite de mener une tude comparative et de
fair~
enfin l'implmentation concrte de la solution libre PFsense.
Pour finir, l'outil PFsense tel que conu, propose d'autres services rseau qui peuvent tre mis
profit en fonction des besoins.
ESI/RMI2012-2013
Page 64
REFERENCES BIBLIOGRAPHIE
[1] http://www.statistique-mondiale.com :
Visiter le 03/09/2013
[2] http://wifihotspot888.com/?page_id=181. wifi Hostspot 888 :
[3] http://fr.wikipedia.org/wikiIPfsense principe:
Etude faite le 12/08/2013
[4] http://www.generationlinux.fr/index.php?post/2009111130IPresentation-de-pfSense :
[5]h~tp://www.memoireonline.com/02/ 10/3156/m_Implementation-dune-infrastructure-securisee-
dacces-intemet-portail-captifO.html :
Visiter le 08110/2013
[6] https://forum.pfsense.org/index.php?topic=43451.0 pfSense Forum:
[7] https://www.totorux.info/weblog/?p=I64. totorus & Hnux :
Etude faite le 21110/2013/
[8] http://blog.stefcho.eu/?p=854 blog pfsense authentification:
Visiter le 2911 0/20 13

[9] http://blog.stefcho.eu/?p=814 blog pfsense HTTPS :
Visiter le 04/1112013
[10] http://www.osnet.eu/frlcontent/qos-avec-pfsense-20-hfsc-dans-le-d%C3 %A9tail :
Visiter le 11111112013
[11] http://pfsensesolution.blogspot.com/2013/01/bandwidth-usage-probe.html:
RapIJort de fin de cycle ralis par Salifou KDNANE & Zakaria KINDA
ESI/RMI2012-2013
Page 65
~----
ANNEXES
ESI/RMI2012-2013
Page 66
Anr:.exe A : Les options de la configuration en mode console
A.t Assign Interfaces
Cela va redmarrer la tche d'affectation des interfaces, qui a t couvert prcdemment dans
l'installation. Vous pouvez crer des interfaces VLAN, raffecter les interfaces existantes, ou
en crer de nouvelles.
A.2 Set interface(s) IP adress
Cette option peut tre utilise de manire vidente pour dfinir l'adresse IP des interfaces mais
il y a aussi d'autres tches utiles qui surviennent lors de l'utilisation de cette option. Par
exemple, quand ce paramtre est choisi, vous obtenez galement la possibilit d'activer ou
de dsactiver le DHCP sur l'interface, et de rgler la plage d'adresses IP DHCP.
A.3 Reset web Configurator password
Cette option permet de rinitialiser le nom d'utilisateur et mot de passe WebGUI,

respectivement admin et PFsense.
A.4 Reset to factory default
Cel" permet de restaurer la configuration du systme aux paramtres d'usine. Cela n'apporte
cependant pas de modifications au systme de fichiers ou aux paquets installs sur le systme
d'exploitation. Si vous souponnez que les fichiers systme ont t endommags ou modifis,
le meilleur moyen consiste faire une sauvegarde, et rinstaller partir du CD ou autre
support d'installation.(galement possible dans le WebGUI, onglet Diagnostic puis Factory
de fauIts).
A.S Reboot system
Arrte proprement pfSense et redmarre le systme d'exploitation.(galement possible dans le

Wel: GUI, onglet Diagnostic puis Reboot).
A.6 Hait system
Arrte proprement pfSense et met la machine hors tension (galement possible dans le
WebGUI, onglet Diagnostic puis Haltsystem).
A.7 Ping host
Joint une adresse IP, qui seront envoyes trois demandes d'cho ICMP. Le rsultat du ping
sera montr, y compris le nombre de paquets reus, les numros de squence, les temps de
rponse et le pourcentage de perte de paquets.
A.8 Shell
Dmarre une ligne de commande shell. Trs utile, et trs puissant, malS a aussi le
ESI/RMI2012-2013
Page 67
potentiel d'tre
trs dangereux.
Certaines tches
de configuration
complexes
peuvent
ncessiter de travailler dans le shell, et certaines tches de dpannage sont plus faciles
accomplir du shell, mais il y a toujours une chance de provoquer des prjudices irrparables
au systme s'il n'est pas manipul avec soin. La majorit des utilisateurs pfSense ne
toucheront peut-tre jamais au shell, ou mme ignoreront qu'il existe. Les utilisateurs
de FreeBSD pourront se sentir l'aise, mais il y a beaucoup de commandes qui ne sont pas
prsentes sur le systme pfSense, puisque les parties inutiles de l'OS ont t supprimes pour
des contraintes de scurit ou de taille.
A.9 pffop
Pftop vous donne une vue en temps rel des connexions du pare-feu, et la quantit de donnes
qu'ils ont envoyes et reues. Il peut aider identifier les adresses IP qui utilisent actuellement
de 11. bande passante et peut aussi aider diagnostiquer d'autres problmes de connexion
rseau.
A.IO Filter Logs
En utilisant cette option vous verrez toutes les entres du journal de filtrage apparaissant en
temps rel, dans leur sous forme brute. Il est possible de voir ces informations dans le
WebGUI (onglet Status puis System Logs et enfin onglet Firewall), avec cependant moins de
renseignement par lignes.
A.ll Restart webConfigurator

Red,smarre le processus du systme qui excute le WebGUI. Dans de rares occasions, un
changement sur ce dernier pourrait avoir besoin de cela pour prendre effet, ou dans des
conditions extrmement rares, le processus peut avoir t arrt pour une raison quelconque,
et le redmarrer permettrait d'y rtablir l'accs.
A.12 PFsense Dveloper Shell
Le shell du dveloppeur est un utilitaire trs puissant qui permet d'excuter du code PHP dans
le contexte du systme en cours d'excution. Comme avec le shell normal, il peut aussi tre
trs dangereux utiliser, et les choses peuvent rapidement mal tourner. Ce shell
est 9rincipalement utilis par les dveloppeurs et les utilisateurs expriments qui sont
familiers avec la fois le code PHP et le code de base de PFsense.
A.13 Upgrade from console
En utilisant cette option, il est possible de mettre niveau le firmware de PFsense, et ce en
entrant l'URL de l'image PFsense mettre niveau, ou grce un chemin d'accs local
vers une image tlcharge d'une autre manire.
A.14 Enable Secure Shell (sshd)
Raprort de fin de cycle ralis par Salifou KONANE & Zakaria KIN DA
ESIjRMI 2012-2013
Page 68
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP- - - - -
Cette option vous pennettra de changer le statut du dmon Secure Shell, sshd. Son activation
par le WebGUI est dtaille dans la suite de ce document. Il est maintenant possible de se
connecter l'interface web en prenant comme URL l'adresse LAN de la machine.
ESIfRMI 2012-2013
Page 69
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CN~P
Annexe B: L'authentification RADIUS partir d'une base de donnes MySQL
Installation du paquet RADIUS

Nous allons prsent installer les paquets "freeradius" "freeradius-utils" et "freeradius-mysqI".
aptitude install freeradius
aptitude install freeradius-utils
aptitude install freeradius-mysql
Installation du client/serveur MySQL.

Installons le paquet "mysql-server" et "mysql-client". Lors de l'installation de la partie Server,
vous allez devoir spcifier le mot de passe "administrateur". Retenez-bien ce mot de passe
afin de pouvoir vous connecter ensuite au serveur.
aptitude install mysql-server
aptitude install mysql-client
Cration d'une base "radius" et d'un compte d'administration "admin_radius".

Connexion au serveur MySQL :
Mysql -u root -p
Cration de la base de donnes "radius

Create database radius
Criation de l'utilisateur d'administration:

rant all on radius.* to admin_radius@'%' identified by 'adminadmin'
Application des droits sur la base:

Flush privileges
Injection SQL pour la cration des tables.
Injection de la table "schema" :

mysql -u admin_radius -p radius < /etc/freeradius/sqI/mysqI/schema.sq!
ESI/RMI2012-2013
Page 70
Injection de la base "nas" :

mysql -u admin_radius -p radius < /etc/freeradius/sql/mysql/nas.sql
Cration des NAS (Network Access Server).
-1
r'C';~ation du NAS local pour les tests

IINSERT INT nas (nasname, shortname, secret) VALUES
!('127.0.0.l','10calhost','testing123'); Cration du NAS distant (correspond notre routeur 1

1
Idans notre exemple).
SERT INT nas(nasname,shortname,secret) VALUES
('192.168.10.254' ,'cyberoam','zXv73gm24');
1
1
Cration des utilisateurs d'accs.

..._-!
fC-;~ation de l'utilisateur toto avec un password en clair.

INSERT INT radcheck (Username, Attribute, op,Value) VALUES ('toto' ,'CleartextPassword',':=','toto 123');
Cration de l'utilisateur tata avec un password crypt.

1
INSERT INT radcheck (Username, Attribute, op,Value) VALUES ('tata','Crypt-
r~ssword',':=',~NCRYPT('tata123';
._.
.__1
Configuration RADIUS sur la partie MySQL.

Pou" ce faire nous allons modifier le fichier de configuration /etc/freeradius/sql.conf. Dans
votre fichier spcifiez le login et password de connexion au serveur MySQL ainsi que le nom
de la base de donnes (dans notre exemple "radius"). Attention l'option "ReadClient" qui
permet d'utiliser la table NAS de notre MySQL est lu seulement au dmarrage du service. De
ce fait, si vous ajoutez un nouveau priphrique, pensez relancer votre service RADIUS.
Pour la table radcheck (les comptes utilisateurs) vous n'avez pas besoin de redmarrer le
servIce.
Reboot du service:
/etc/init.d/freeradius restart
login = adminJadius
password = adminadmin
radius db = radius
ESIjRMI 2012-2013
Page 71
Etude et mise en place d'un portail captif sur le rseau de l'UPB : Cas du CNFP - - - - - -
ReadClients = yes
Configuration RADIUS.
Nous allons procder quelques modifications au niveau du fichier de configuration du
RADIUS letc/freeradius/radius.conf
Dcommentez les lignes suivantes:

$INCLUDE sql.conf
$INCLUDE sqIlmysqIlcounter.conf
Commentez la ligne suivante pour grer vos utilisateurs sur la base:

$INCLUDE clients.conf
Reboot du service RADIUS.

Une fois toutes les modifications apportes, nous procdons au redmarrage du servIce
RADIUS. Afin de visualiser ce qui se passe sur le serveur nous allons utiliser une commande
particulire. Le but est de dmarrer le service en mode "Debug". Saisissez la commande
suivante:
Arrt du service:
letc/init.dlradius stop
Execution du service en mode "Debug"

freeLadius -X
Test de connexion en local.

On se rappelle que, lors de l'intgration des NAS sur notre base MySQL, il a t ajout un
Routeur et le serveur lui-mme "localhost". Nous allons donc tester la connexion au serveur
depuis lui-mme. Pour ce faire, depuis un autre "tty" excutez la commande suivante:
user@debian-IabOl:-$ radtest toto toto123 127.0.0.1 0 testing123
SendingAccess-Request ofid 94 to 127.0.0.1 port 1812
Us(r-Name = "toto"
User-Password = "totoI23"
ESI/RMI2012-2013
Page 72
-----
user@debian-labOI :~$ radtest toto toto 123 127.0.0.1 0 testing123

NAS-IP-Address = 192.168.10.1
id=94, length=20
Si tout est OK on doit avoir ce type de retour. Access-Accept.
Gestion de la base de donnes.

Voici quelques commandes retenir afin de grer les utilisateurs.
[ii~ter les utii;ateurs :

1
'select
* from radcheck;
Supprimer un compte utilisateur:

delete from radcheck where id='3';
IAjouter un compte utilisateur avec password clair:

jINSERT
INTO
VALUES
radcheck(Usemame,Attribute,op,Value)
('nomutilisateur' ,'Cleartext-Password',':=','votremotdepasse');
Ajouter un compte utilisateur avec password crypt:

iINSERT INTO radcheck (Usemame, Attribute, op, Value) VALUES ('nomutilisateur','Crypt-1
[Password',':=',ENCRYPT ('votremotdepasse'))
jAjouter un NAS :
IN~ERT
INTO nas (nasname, shortname, secret) VALUES
('IPDeVotreNAS,'NomDuNAS','MotDePasse');
L . _.
. _. J
Voil si tout est OK, alors le serveur RADIUS est oprationnel. On peut prsent configurer
l'quipement rseau (ici PFsense) pour faire ses requtes sur le serveur RADIUS.
ESI/RMI2012-2013
Page 73

Portail Captif Étude de Cas

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Portail Captif Étude de Cas

Enviado por

Direitos autorais:

Formatos disponíveis

inistre des Enseignements Secondaire et Suprieur

Cycle des Ingnieurs de Travaux Informatiques (C.I.T.I)

THEME : Etude et mise en place d'un portail captif sur le rseau de

lifou KDNANE & zakaria KINDA

Anne acadntique : 2012-2013

Nous ddions ce rapport

soutenir tout au long de nos tudes et qui nous ont donn

esprons qu'elles trouveront dans ce travail toute notre

reconnaissance et tout notre amour

Nous remercions trs sincrement:

PHP : Hypertext Preprocessor

RAM : Random Access Memory

SSH : Secure Shell

TCP : Transfer Control Protocol

UTP : Unshielded Twisted Pair

LISTE DES TABLEAUX

Tableau II.l : Les postes de travail et leurs caractristiques

Tableau II.2 : Liste des serveurs matriels et caractristiques techniques

Tableau 11.3 : Liste des imprimantes et quelques caractristiques techniques

Tableau lIA : quipements rseau et caractristiques techniques

Tableau ILS: Systemes d'exploitation et logiciels d'application

Tableau IL6 : Services installs

Tableau IL7 : Aperu de l'adressage

Tableau II.8 : Tableau rcapitulatif des services installs

Tableau IlL 1 : Comparaisons des diffrentes solutions de portail captif

Tableau V.l : Cots d'implantation

LISTE DES FIGURES

Figure IlL 1 : Fonctionnement gnral d'un portail captif

Figure IV.l : Architecture rseau standard d'implantation de PFsense

Figure IV.2 : Architecture rseau du CNFP aprs implantation de PFsense

Figure IV.3 : cran de demarrage de FREEBSD

Figure IV A : Bote de dialogue pour la configuration de VLAN

Figure IV.5 : Validation des noms d'interface

Figure IV.6 : Ajout ou non de carte optionnelle

Figure IV.7 : Option d'installation de PFsense

Figure IV.8 : Confirmation de l'installation

Figure IV.9 : Type d'installation

Figure IV. 10 : Cration de partitions

Figure IV.11 : Lancement de l'installation

Figure IV.12 : Fin de l'installation

Figure IV.13 : Menu de configuration

Figure IV.14 : Configuration de l'adresse IP LAN

Figure IV.15 : Portail de connexion PFsense

Fig'lre IV.16 : Paramtres gnraux de PFsense

Figure IV.17 : Configuration gnrale

Figure IV.18 : Configuration de l'interface WAN

Figure IV.19 : Configuration de l'interface LAN

Figure IV.2 : Configuration du serveur DHCP

Figure IV.21 : Rgles sur l'interface WAN

Figure V.I : Activation du portail captif

Figrre V.2 : Paramtres de la page de redirection

Figure V.3 : Limitation de la bande passante

Figure VA: Importation de code HTML.

Figure V.5 : Importation d'image

Figure V.6 : Page d'accueil du portail

Figure V.7 : Page d'echec

Figure V.8 : Gestion de comptes avec FREERADIUS

Figure V.9 : Gestion de comptes en local

Figure V.lO: Activation de HTIPS pour l'accs scuris au webguid

Figure V.ll : Choix du type de certificat..

Figure V.12 : Paramtres du certificat..

Figure V.13 : Certificat tlcharg

Figure V.14 : Importation du certificat et de sa cl prive