INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE Aurelien.jaulent@educagri.fr
TABLE DES MATIERES Contexte :... 2 Introduction :... 2 Prérequis réseau :... 2 Choix de configuration :... 2 Configuration d un serveur Microsoft Windows 2008 R2 :... 3 Création d un groupe et d un utilisateur dans Active Directory (Windows server 2008) :... 3 Installation de Radius (Windows server 2008) :... 3 Modification d une stratégie d accès à distance :... 8 Configuration de Pfsense :... 10 Configuration du portail captif :... 10 Cryptage de la demande d authentification entre le serveur Radius et le serveur Pfsense.... 14 Installation de ADCS :... 14 Création du certificat pour Radius :... 20 Modification de la stratégie d authentification réseau du rôle NPS (Radius).... 25 Conclusion... 26 P a g e 1 26
CONTEXTE : Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet. L authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits. INTRODUCTION : La problématique rencontrée dans les lycées agricole est la sécurisation du point d accès sans fils ainsi que la difficulté pour l administrateur à gérer tous les utilisateurs qui souhaite s y connecter. La mise en place d un portail captif permet à l administrateur de gérer l authentification et le temps de chaque utilisateur, De plus, grâce au portail captif, le wifi n aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web d authentification PREREQUIS RESEAU : Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une configuration spécifique. Il sera configuré de la manière suivante : Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de l établissement. Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi Interface Wan : En mode static, directement connecté sur internet Ensuite vient la méthode d'authentification au portail captif. 3 possibilités s'offrent à nous : Sans authentification, les clients sont libres Via la base locale Via un serveur RADIUS Via un code voucher CHOIX DE CONFIGURATION : Une méthode d authentification a été retenue, via un serveur radius. La méthode d authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient pas de compte dans le domaine administratif ou pédagogique. Attention : Par défaut un seul choix d authentification via le portail captif est possible. P a g e 2 26
CONFIGURATION D UN SERVEUR MICROSOFT WINDOWS 2008 R2 : CREATION D UN GROUPE ET D UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) : Sur le serveur Windows 2008, aller dans le menu «Démarrer», «Outils d administration» et «Utilisateurs et ordinateurs Active Directory». Il faut dérouler le menu du domaine et double-cliquer sur le dossier «Users». Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner «Groupe». Entrer les configurations qui correspondent au groupe à créer (Le nom, l étendue de groupe, type de groupe ). «OK». Refaire un clic droit et nouveau. Sélectionner «Utilisateur». Saisir les configurations qui correspondront à l utilisateur qui va être créé. Après la création de l utilisateur, il faut double-cliquer sur celui-ci et aller dans l onglet «Membre de». Cliquer sur «Ajouter» et entrer le nom du groupe qui a été créé précédemment. Il faut «Vérifier les noms» et valider. Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l utilisateur. Le mot de passe pour l utilisateur est «pfsense». INSTALLATION DE RADIUS (WINDOWS SERVER 2008) : Création d un nouveau rôle «Services de stratégie et d accès réseau». P a g e 3 26
Le serveur NPS est le serveur qui prendra en compte Radius. Configuration du rôle NPS en tant que serveur Radius. P a g e 4 26
Création d un nouveau client Radius. En secret partagé, nous avons mis «pfsense». P a g e 5 26
Sélectionner la méthode d authentification Déclaration du groupe utilisateur pouvant s authentifier, nous utiliserons le groupe précédemment crée. P a g e 6 26
Fin du paramétrage du serveur radius. P a g e 7 26
MODIFICATION D UNE STRATEGIE D ACCES A DISTANCE : Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de «Stratégies». P a g e 8 26
Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur «propriété». Dans l onglet «Contrainte» sélectionner «Méthodes d authentification». Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n est pas cryptée, les noms d utilisateurs et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les données entre le serveur Pfsense et le serveur Radius. P a g e 9 26
CONFIGURATION DE PFSENSE : Nous considèrerons que l installation est déjà effectuée ainsi que le paramétrage de base. CONFIGURATION DU PORTAIL CAPTIF : Dans Services > Captive Portal, configurer comme les captures d écrans suivantes : P a g e 10 26
P a g e 11 26
P a g e 12 26
Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l aide d un poste et d un compte utilisateur, par exemple avec le compte «pfsense-01» crée précédemment. Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n est pas cryptée, les noms d utilisateurs et leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif. P a g e 13 26
CRYPTAGE DE LA DEMANDE D AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR PFSENSE. INSTALLATION DE ADCS : Création d un nouveau rôle «Services de stratégie et d accès réseau». P a g e 14 26
Sélection de l autorité de certification. P a g e 15 26
Selection du type d architecture. Sélection du type d autorité de certification. P a g e 16 26
Création de la clé. Configuration du type de chiffrement de la clé. P a g e 17 26
Laisser le nom du domaine et du serveur de domaine par défaut. Sélection de la durée de validité du certificat. P a g e 18 26
Configuration à ne pas modifier de la base de données du certificat. Récapitulatif de l action d installation qui va être effectuée. P a g e 19 26
Fin de l installation de ADCS. CREATION DU CERTIFICAT POUR RADIUS : Exécuter la console mmc via «démarrer». Sélection de composant logiciel enfichable P a g e 20 26
Sélection de «Certificats/Un compte d ordinateur». Sélection «ordinateur local». P a g e 21 26
Demande d un nouveau certificat pour l authentification radius. Début de la création du/des certificats. P a g e 22 26
Sélection de la stratégie d inscription de certificat par défaut. Sélection des certificats a créer. P a g e 23 26
Fin de la création des certificats. P a g e 24 26
MODIFICATION DE LA STRATEGIE D AUTHENTIFICATION RESEAU DU ROLE NPS (RADIUS). Lancer la console NPS située dans les «outils d administration», sélectionner «stratégie», «stratégie réseau». Faire un clic droit sur la stratégie précédemment créé et cliquer sur «propriété». Dans l onglet «Contrainte» sélectionner «Méthodes d authentification». Ajouter le protocole «PEAP», le sélectionner, et cliquer sur modifier, une fenêtre apparait. P a g e 25 26
Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante. Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée. CONCLUSION PfSense est donc un moyen efficace pour gérer, protéger, l accès au Wifi d un lycée agricole. Les différentes options qui nous sont proposées permettent d intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour l identification des utilisateurs Active Directory via un serveur Radius. P a g e 26 26