/ / Routeur [HOSTA: ] [HOSTB: ]

Transcription

1 Master 1ère année Réseaux avancés I Projet Réalisation d un portail captif d accès authentifié à Internet Présentation du projet Le but du projet est de mettre en place un portail captif permettant : à un poste d un réseau privé d accéder à Internet après s être authentifié : le réseau privé sera défini dans l adresse ; les postes connectés seront configurés automatiquement à l aide d un serveur DHCP ; le service d authentification choisi est celui de l Université de Limoges utilisant CAS, «Central Authentication Service», et «LemonLDAP» ; l interception des connexions Web du poste (à destination du port 80 d une machine située hors réseau local) ; On parlera de «proxy transparent» puisqu il n est pas nécessaire de configurer le navigateur pour être pris en charge. la redirection de ces connexions de ce poste vers un serveur réalisant ce portail d accès : un formulaire de connexion, au format HTML, est retourné au client pour permettre la saisie du couple «loginmdp» ; une interrogation sécurisée par connexion SSL est réalisée vers le serveur cas.unilim.fr de l Université pour vérifier l existence du couple «loginmdp» : dans le cas d un succès : l accès du poste à Internet est autorisé ; dans le cas d un échec : le poste est maintenu dans son isolement. le filtrage ou non des connexions du poste et la prise en charge du SNAT nécessaire à l accès Internet par configuration du firewall présent sur le routeur. Synoptique du réseau privé Internet \ \-+** [ internal ] VM Routeur **** **+- \ [HOSTA: ] [HOSTB: ] La VM sera la même que celle utilisée durant les TPs, seul la configuration des containers et du «switch» les reliants sera modifiée. La plage d adresses, à affecter automatiquement par DHCP aux postes du réseau privé, est [ ]. Pour réaliser le travail demandé, on utilisera : les capacités de routage du noyau Linux ; le firewall NetFilter et la configuration par iptables ; dnsmasq pour le serveur DNS et le serveur DHCP ; un pont virtuel fournit par le package Linux «bridge-utils» ; le navigateur en mode texte «links» ; les containers LXC ; les connexions sécurisées par SSL. Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 17

2 LemonLDAP::NG Ce protocole permet de réaliser du «Single Sign On», c-à-d une authentification unique pour de multiples services au travers du Web, à travers l interface d un navigateur, en utilisant les techniques et protocoles suivant : SSL, HTML, HTTP et CGI. Une documentation ainsi qu une liste d organismes utilisant ce protocole est accessible à Ce service est proposé au sein de l Université de Limoges en complément de CAS, «Central Authentication Service», protocole réalisant le même travail, c-à-d du SSO, d une façon différente. Le protocole CAS était le seul utilisé avant la rentrée de septembre Dans le cadre de ce TP, nous ne présenterons que les éléments essentiels et suffisant pour pouvoir permettre l authentification d un utilisateur «légitime» des services offerts par l Université de Limoges. Autrement dit, seuls les utilisateurs disposants d un accès à l Université de Limoges, en tant qu étudiant ou personnel, pourront être authentifiés Déroulement du protocole d authentification Nous présenterons le protocole uniquement du point de vue du protocole d échange HTTP, «Hyper Text Transfer Protocol», sans tenir compte des document au format HTMLs échangés. Le but étant d obtenir une authentification automatique sans passer par le navigateur Web. L authentification initiale se fait par l intermédiaire du serveur Web hébergeant le programme CAS : la connexion directe à ce serveur Web, d adresse cas.unilim.fr, sur le port associé au protocole «https», c-à-d en établissant une connexion SSL, «Secure Socket Layer», sur le port 443, puis en échangeant suivant le protocole «http» ; envoi des données contenant les «login» et «mot de passe» de l utilisateur dans une requête HTTP de type «POST» ; réception d une réponse de la part du serveur, avec deux cas possibles : l authentification a fonctionné, c-a-d le login et mdp correspondent à un utilisateur autorisé, alors l entête HTTP de la réponse contient la définition du cookie : Set-Cookie: lemonldap= c f9c16308; domain=.unilim.fr; path=; secure; HttpOnly explications des champs paramètrant les cookies : «secure» : ces cookies ne peuvent être échangés qu en mode connexion sécurisée, «https» ; «HttpOnly» : ces cookies ne peuvent être échangés qu avec des requêtes de type «http», en interdisant leur accès par des scripts Javascripts ; «domain=.unilim.fr» : ces cookies ne concernent que le domaine «unilim.fr» l authentification n a pas fonctionné, c-a-d login etou mot de passe erronés, l entête HTTP ne contient pas de définition de cookie. L utilisation de connexion chiffrée à l aide de SSL permet de rendre confidentielle les données échangées entre la navigateur et le serveur Web (empêcher la récupération de l identifiant et du mot de passe associé permettant l authentification de l utilisateur). Les étapes de la procédure d authentification sont les suivantes : 1. établissement d une connexion sécurisée SSL vers le serveur Web réalisant l authentification, de TSAP :(cas.unilim.fr, 443) ; 2. envoi de la requête POST avec les données suivantes ; le champ : user qui contient votre identifiant d accès unilim.fr ; le champ : password qui contient votre mot de passe unilim.fr ; L envoi des données du formulaire suivant la méthode POST, sur la ressource, se fait en transmettant les données suivantes : POST HTTP1.0\r\n Host: cas.unilim.fr\r\n Content-Length: 12345\r\nContent-Type: applicationx-www-form-urlencoded\r\n\r\n immédiatement suivie des données du formulaires formatées comme pour la méthode GET (d où l indication MIME x-www-form-urlencoded) : user=toto&password=xxxx Il faudra bien sûr remplacer la valeur du Content-Length par la taille exacte des données transmises. Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 27

3 3. récupération d une réponse avec l entête HTTP contenant ou non la définition de cookie : HTTP See Other Date: Sun, 13 Dec :37:44 GMT Server: Apache (Debian) X-FRAME-OPTIONS: DENY Set-Cookie: lemonldap= c f9c16308; domain=.unilim.fr; path=; secure; HttpOnly Pour savoir si l authentification s est bien passée, il suffit de trouver la chaîne «Set-Cookie: lemonldap» dans l entête de la réponse. Saisie de mot de passe & Connexion SSL Pour réaliser la saisie de votre mot de passe, sans le révéler à vos collègues qui regardent votre écran : 1 commands.getoutput("stty -echo") 2 password=raw_input("mot de passe CAS:") 3 commands.getoutput("stty echo") La connexion SSL Une connexion «SSL», correspond : à l établissement d une connexion TCP sur le port par défaut 443 ; à la négociation : d algorithmes de chiffrement disponibles chez le client et le serveur ; des paramètres de ces algorithmes ; à l authentification du serveur par l intermédiaire d un certificat électronique ; éventuellement, à l authentification du client par un certificat (cette authentification est très rarement faite). Vous pouvez tester la connexion SSL à l aide de l outil openssl : xterm $ openssl s_client -connect cas.unilim.fr:443 Vous obtiendrez un affichage similaire à : CONNECTED( ) depth=2 C = US, O = DigiCert Inc, OU = CN = DigiCert High Assurance EV Root CA verify return:1 depth=1 C = NL, ST = Noord-Holland, L = Amsterdam, O = TERENA, CN = TERENA SSL High Assurance CA 3 verify return:1 depth=0 businesscategory = Government Entity, jurisdictionc = FR, serialnumber = Government En tity, street = "33, rue Fran\C3\A7ois Mitterrand", street = Hotel de L Universite, postalcode = 87000, C = FR, ST = Haute-Vienne, L = Limoges, O = Universit\C3\A9 de Limoges, CN = cas.uni lim.fr verify return:1 Certificate chain 0 s:businesscategory=government EntityjurisdictionC=FRserialNumber=Government Enti tystreet=33, rue Fran\xC3\xA7ois Mitterrandstreet=Hotel de L UniversitepostalCode=87000C=FRST=Haute- VienneL=LimogesO=Universit\xC3\xA9 de LimogesCN=cas.unilim.fr i:c=nlst=noord-hollandl=amsterdamo=terenacn=terena SSL High Assurance CA 3 1 s:c=nlst=noord-hollandl=amsterdamo=terenacn=terena SSL High Assurance CA 3 i:c=uso=digicert IncOU= High Assurance EV Root CA Server certificate --BEGIN CERTIFICATE-- MIIHkTCCBnmgAwIBAgIQAn2cxsEgo+MdgOpMiYIznzANBgkqhkiG9w0BAQsFADBz... --END CERTIFICATE-- subject=businesscategory=government EntityjurisdictionC=FRserialNumber=Government Entitystreet=33, rue Fran\xC3\xA7ois Mitterrandstreet=Hotel de L Universitepostal Code=87000C=FRST=Haute-VienneL=LimogesO=Universit\xC3\xA9 de LimogesCN=cas.unilim.fr issuer=c=nlst=noord-hollandl=amsterdamo=terenacn=terena SSL High Assurance CA 3 No client certificate CA names sent Server Temp Key: DH, 1024 bits SSL handshake has read 4074 bytes and written 516 bytes New, TLSv1SSLv3, Cipher is DHE-RSA-AES256-SHA... SSL-Session: Protocol : TLSv1... Verify return code: 0 (ok)\stoptyping Vous serez alors connecté au serveur Apache, hébergeant le code réalisant l autentification ; vous pouvez essayer d envoyer la ligne «GET HTTP1.0», suivie d une ligne vide. En Python, vous pourrez établir une connexion sécurisée de la manière suivante : 1 #! usrbinpython 2 import socket, ssl 3 4 s = socket.socket(socket.af_inet, socket.sock_stream) 5 ssl_sock = ssl.wrap_socket(s) 6 Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 37

4 7 ssl_sock.connect((' 443)) 8 # Afficher les infromations relatives a la connexion 9 print (repr(ssl_sock.getpeername())) 10 print (ssl_sock.cipher()) # Envoyer une requete HTTP au serveur 13 ssl_sock.write("get HTTP1.0\r\nHost: 14 # Lire la reponse 15 data = ssl_sock.read() # Fermer la connexion SSL qui ferme egalement la socket associee 18 ssl_sock.close() d où le code d authentification complet : #!usrbinpython # coding= utf-8 import os, sys, commands, socket, ssl, re, sys # la fonction de lecture par ligne def lire_ligne(desc): ligne = '' while 1: car = desc.recv(1) if not car : break ligne += car if car == '\n' : break return ligne # la requête requete_post="post HTTP1.0\r\nHost: cas.unilim.fr\r\n" requete_post+="content-length: %d\r\ncontent-type: applicationx-www-form-urlencoded\r\n\r\n" # pour la soumission du formulaire donnees_post="user=%s&password=%s" # les différentes expressions régulières re_cherche_cookie = re.compile(r'set-cookie:\s*(.+)\r\n') # Obtention des identifiants CAS username = raw_input("nom de login CAS:") commands.getoutput("stty -echo") password = raw_input("mot de passe CAS:") commands.getoutput("stty echo") donnees = donnees_post%(username, password) # Soumission du formulaire avec nom et mot de passe # récupération du Cookie s = socket.socket(socket.af_inet, socket.sock_stream) ssl_sock = ssl.wrap_socket(s) ssl_sock.connect(('cas.unilim.fr', 443)) ssl_sock.sendall(requete_post%len(donnees)) ssl_sock.sendall(donnees) print requete_post%len(donnees) while 1: rep = lire_ligne(ssl_sock) if not rep : break #print rep res = re_cherche_cookie.search(rep) if res : cookie = res.group(1) print "Cookie : %s"%cookie print "Authentification reussie!" break ssl_sock.close() Configuration de dnsmaq, «DNS Masquerade», pour les services de DNS et de DHCP Pour installer dnsmasq sous votre VM, «Virtual Machine» : $ sudo apt-get install dnsmasq Pour utiliser dnsmasq, deux possibilités : à l aide du fonctionnement en mode «démon» activé à l installation : Pour le configurer, il faut éditer le fichier etcdnsmasq.conf ; Pour le redémarrer : $ sudo etcinit.ddnsmasq restart Pour le stopper, pour par exemple passer en mode «manuel» : $ etcinit.ddnsmasq stop en mode manuel, après l avoir préalablement stoppé : $ sudo dnsmasq -d -C fichier_dnsmasq_configuration Il se comporte dans ce cas comme un processus normal, que l on peut envoyer en tâche de fond ou bien interrompre avec un CTRL-C Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 47

5 Un exemple de contenu pour le fichier de configuration utilisé par dnsmasq : 1 interface=eth1 2 dhcp-range= , ,12h 3 server= server= Explications : ligne 1 : le nom de l interface où le service DNS offert par dnsmasq sera activé ; ligne 2 : la plage d adresse fournie par le serveur ; ligne 3&4 : pour l utilisation des serveurs de DNS. depuis un container, pour qu il se configure par DHCP, on lance la commande suivante : # dhclient eth0 Le container obtient depuis le serveur : son adresse IP, le préfixe réseau, la route par défaut passant par le routeur, le serveur DNS (le serveur DNS correspond, ici, au serveur dnsmasq s exécutant sur le serveur). Attention L utilisation de l outil dnsmasq entraîne la modification du fichier etcresolv.conf partagé par la VM et les différents containers. Pour éviter les «effets de bord», il est nécessaire d associer un fichier différent pour chaque container en lieu et place du fichier etcresolv.conf. Configuration d un container LXC avec des répertoires uniques associés Le but de cette configuration est de permettre à un container de disposer de son propre espace disque par rapport à celui de son hôte, afin de pouvoir y créermodifier des fichiers sans conflit : lxc.utsname = HOST1 lxc.network.type = veth lxc.network.flags = up lxc.network.link = bridge_internal lxc.network.name = eth0 lxc.mount.entry = pour_resolv_conf_host1 etc none rw,bind 0 0 Il faudra avant de lancer le container : créer les répertoires pour_resolv_conf_host1 ; copier les fichiers etcfstab, etcpasswd, etcresolv.conf dans le répertoire pour_resolv_conf_host1. Faites attention à lancer le container depuis le répertoire parent de «pour_resolv_conf_host1». Quelques commandes Unix utiles Pour la configuration du réseau par DHCP : sudo dhclient eth0 : lance la configuration dhcp pour l interface eth0 ; sudo dhclient eth0 -r : dé-configure l interface eth0 ; Pour la mise à jour de la distribution GNULinux Ubuntu : sudo apt-get update : met à jour la base de données des différents paquetages disponibles ; sudo apt-get dist-upgrade : met à jour le système avec les dernières versions disponibles des paquetages installés ; Pour obtenir des informations concernant les ports utilisés : $ netstat -ap affiche la liste des sockets (Unix ou IP) ainsi que les processus auxquels elles sont attribuées. Pour installer le navigateur links : sudo apt-get install links Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 57

6 Travail demandé a. Configurez dnsmasq pour assurer la configuration par DHCP des containers connectés dans le réseau privé Vous mettrez dans votre rapport la configuration du serveur et une trace des échanges de paquets pour la configuration d un container avec le serveur DHCP obtenu à l aide de tcpdump. b. Configurez le firewall présent sur le routeur (la VM) pour : bloquer par défaut le trafic en provenance du réseau privé ; rediriger le trafic en provenance du réseau privé et à destination du Web (tcp et port destination 80) vers un serveur logiciel s exécutant sur le routeur et réalisant le travail du portail ; Vous mettrez dans votre rapport la liste des règles que vous avez employé pour configurer votre firewall : une sortie de la commande «iptables -nl» pour les différentes tables modifiées. c. Écrire un programme Python réalisant le travail du portail : il implèmente un serveur TCP discutant avec le poste client par l intermédiaire de son navigateur Web ; lors de la connexion d un client vers un site Web (depuis un container connecté au réseau privé) il répond par un formulaire de saisie de «loginmdp» ; il effectue l authentification sécurisée de ce «loginmdp» auprès du serveur CAS par l utilisation de LemonLDAP décrite plus haut ; si l authentification est correcte, alors le trafic provenant de ce poste : doit être autorisé à traversé le routeur ; doit subir du SNAT en version «masquerading» pour la prise en charge du trafic vers Internet ; Vous modifierez les règles du firewall en conséquence, en utilisant la commande iptables au sein de votre programme Python à l aide du module subprocess.check_output, voir dans le support de cours Python. Conseil : faites attention à l ordre des règles... Vous testerez votre serveur et le bon fonctionnement du portail à l aide de links lancé depuis le container. L appui sur la touche «Esc» permet d accèder à un menu en mode texte. rezo@ishtar:~résavi$ links File View Link Downloads Setup Help ++ Go to URL g Go back z History > Reload Ctrl-R Bookmarks s Save bookmarks Save as Save URL as Save formatted document Kill background connections Kill all connections Ctrl-S Flush all caches Resource info OS shell Exit q ++ Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 67

7 Allez sur Google : Recherche Images Maps Play YouTube Actualites Gmail Drive Plus >> Historique Web Parametres Connexion Google France Recherche avanceeoutils linguistiques [ Recherche Google ] [ J'ai de la chance ] Le domaine Google.fr est disponible en : English Solutions publicitairessolutions d'entreprisegoogle+a propos de GoogleGoogle.com Quittez avec la touche «q» : (c) Confidentialite et conditions d'utilisation + Exit Links -+ Do you really want to exit Links? [ Yes ] [ No ] +-+ Vous pourrez tester avec deux containers différents (pensez à adapter les fichiers de configuration). Vous mettrez dans votre rapport : une trace de la modification des règles de firewall avant et après le succès de l authentification d un client ; une capture d écran du navigateur avec le formulaire d authentification lors de la soumission, et après un succès & un échec ; une capture obtenue à l aide de tcpdump du segment «SYN» d une connexion d un container avant et après le passage du routeur. Remise du travail Le travail devra être remis sous forme d une archive à bonnefoi@unilim.fr. Vous mettrez le programme source Python du portail. Vous inclurez les différents fichiers de configuration des containers, ponts, routage, firewall etc. Pour les captures et commentaires sur votre programme, vous joindrez un rapport au format PDF à cette archive. Ce rapport peut être rédigé simplement : pas de plan, juste les éléments techniques demandés. Resp. UE : P-F. Bonnefoi, «Réseaux avancés I Projet» version du 14 décembre 2015, rédigé avec ConTEXt Don t Panic! 77