[Tuto]Rédacteur invité: Portail captif avec PfSense

Merci à Julien pour ce tuto très utile pour sécuriser un hotspot WiFi !

Tout d’abord, qu’est-ce qu’un Portail Captif ?

Un portail Captif est une infrastructure qui redirige les connexions des utilisateurs vers une page d’authentification. Le portail captif propose à l’utilisateur d’entrer un nom et un mot de passe, qui lui permettra d’accéder à une ressource en fonction de son statut. Cette page d’authentification est stockée sur le portail captif, que l’on accède via un navigateur internet. Les identifiants de connexion (nom et mot de passe) sont stockés dans une base de données locale ou à travers un serveur distant via le protocole RADIUS. Quand l’utilisateur est connecté, le portail captif autorise la connexion pour une durée déterminée, sinon celui-ci ne peut pas se connecter. Ce type d’infrastructure est particulièrement bien adapté dans le cadre de réseaux sans-fils.

Dans la pratique il existe une dizaine de solution de Portails Captifs, mais nous allons nous intéresser à PfSense.

C’est parti:

Les utilisateurs connectés sur une borne d’accès sans-fils voulant accéder à internet sont redirigés vers une page d’authentification du portail captif.

Note : Tous les protocoles sont « refusés » tant que l’utilisateur n’est pas authentifié.

L’utilisateur devra saisir un « login » et un mot de passe pour s’authentifier et ainsi sortir sur Internet.

PfSense est un pare-feu comprenant une fonction de Portail Captif. Il est téléchargeable à l’adresse suivante : www.pfsense.com.

Une fois PfSense téléchargé, gravez-le sur un CD-ROM et démarrez la machine en bootant sur le CD-ROM.

Entrez 99 pour installer Pfsense sur le disque dur de la machine.

Une fois l’installation effectuée, entrez « 1 » pour définir les interfaces. Spécifiez quelles cartes correspondent à l’interface LAN et WAN.

Rappel : Vous devez disposer de deux cartes réseau, une pour la connexion à Internet et l’autre pour la connexion au réseau locale.

Ensuite, il faut configurer l’adresse IP de l’interface locale « LAN ». Entrez une adresse IP dans le même plan d’adressage que votre réseau local. Exemple : 192.168.1.252.

A l’aide d’une machine dans le réseau « LAN », connectez vous sur l’interface graphique de PfSense en entrant dans un navigateur Web l’adresse IP locale définie plus haut : http://192.168.1.252

Un assistant nous guide pour la configuration de PfSense. Entrez le « HOSTNAME » (exemple : pfsense), le « DOMAIN » (laissez « local »). Si vous avez un serveur DNS, entrez son adresse IP ici.

Puis cliquez sur « Next », puis « Next » à nouveau. Enfin choisissez un mot de passe administrateur pour le portail captif. Vous êtes à présent sur l’interface de configuration de PfSense.

Dans la partie « SERVICES », vous trouverez un onglet « DHCP server ». Cochez la case « Enable DHCP server on LAN interface ».

Sélectionnez une plage d’adresse, et remplissez le champ « Gateway » avec l’adresse IP locale de PFSense, soit 192.168.1.252 dans notre cas.

Note : PfSense fait office de Pare-feu authentifiant, c’est lui qui doit gérer les services d’attribution dynamique d’adresses IP (DHCP).

Ensuite, toujours dans la partie « SERVICES », l’onglet « Captive Portal » va nous permettre de configurer l’authentification des utilisateurs.

Cochez la case « Enable captive portal ». Et choisissez l’interface à écouter, ici l’interface LAN .

Vous pouvez spécifier une URL de redirection : une fois les utilisateurs authentifiés, ils seront automatiquement redirigés vers la page en question. (exemple : le site de votre entreprise).

Cochez ici « Local user manager » si vous n’avez pas de serveur dédié pour l’authentification. Cliquez sur le lien « user manager » en bleu afin d’être redirigé vers la création des utilisateurs.

Vous pouvez créer votre propre page d’authentification, avec le logo de l’entreprise par exemple.

Par défaut, copiez-collez le texte commençant par « <form method=’post’…. » et terminant par </form> dans un fichier index.html.

Cliquez sur « parcourir » et ajoutez votre fichier index.html.

Le portail Captif est opérationnel. Connectez-vous à internet depuis une machine et vous devriez voir deux champs pour l’authentification (login/mot de passe).

Note : Pour aller plus loin, pensez à activer l’authentification HTTPS et à générer les certificats correspondants ainsi que l’installation d’un serveur RADIUS pour l’authentification des utilisateurs.

Je remercie Julien pour ce tuto et je rajouterais juste un conseil: Penchez vous sur les extensions assez nombreuses qui sont diponibles directement par l’interface de PFSense. Je pense notamment à Freeradius pour consolider la sécurité du portail.

Et si vous voulez suivre Julien c’est ici!

Articles Similaires:

• [Tuto]LTSP: Serveur Linux et clients légers…
• [Tuto]Centralisation et gestion des logs avec rsyslog et Loganalyzer
• [Tuto] Proxy IpCop: Filtrage d’URL
• Mise au point sur IPv4 et IPv6
• [Tuto]Se connecter au VPN OVH avec Ubuntu