JRaisin Retour d'expérience sur le choix d'un portail captif à l'inria Bordeaux 1 15/10/09
Contexte INRIA 2 2005 : déploiement d'accès Wifi visiteur ouvert dans tous les centres de recherche INRIA (SSID guest-inria) Janvier 2008 : création du CR Bordeaux Bornes Wifi Cisco AP1242G en mode autonome Un seul SSID «guest-inria» : authentification par clé partagée, gestion de clés TKIP et CCMP Accès Wifi visiteur restreint à Internet et serveur d'impressions CUPS Volonté de changement à la fois au niveau local sur Bordeaux et au niveau national DSI
Projet identifié Projet global d'évolutions des accès Wifi du centre Évolution de l'offre de service : Accès au réseau interne INRIA via 802.1X y compris pour les nomades Accès Internet et impressions pour les visiteurs via portail captif Accès Internet via 802.1X dans le cadre du partenariat Eduroam Sécurisation : Authentification individuelle et non par clé partagée Gestion de clé forte AES-CCMP et suppression de TKIP Respect des contraintes légales Volonté DSI de construire une offre de service homogène dans les différents CR : accès Internet + impressions pour visiteur et nomades via portail captif 3
Contraintes légales 1/2 4 Contraintes fortes : Wifi ouvert = FAI. Le RSSI INRIA demande aux CR de se mettre en conformité en 2009. Décret 2006-64 du 23 janvier 2006 relatif à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers Décret 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques
Contraintes légales 2/2 5 Archiver les bonnes informations durant 365 jours La directive européenne 2006/24/EC du 15/03/2006 permet d apporter des précisions : Informations utilisateurs : Nom, Identifiant Utilisateur, coordonnées,... Données relatives au terminal : Mac Adresse, IP Caractéristiques techniques : ID du lieu de connexion, date et heure début et fin de connexion Données relatives aux services complémentaires, données permettant d'identifier le ou les destinataires de la communication : IP destinataire, Protocole, Ports utilisés, email expéditeur, email destinataire Pas d archivage du contenu de la communication
Solution portail captif 1/2 6 Système attendu : attribution de ressources réseau IPv4 (DHCP, DNS) avec filtrage (firewall), une interface d'authentification sécurisée (portail Web via HTTPS), gestion d'une base de compte interne (SGDB, annuaire LDAP...) pour les visiteurs, possibilité d'interrogation d'une base de compte externe type LDAP pour les utilisateurs INRIA, conservation des traces nécessaires pour répondre aux contraintes légales, possibilité de déléguer la gestion des comptes internes (création, suppression...) à des opérateurs Facilité de déploiement et de gestion à privilégier
Solution portail captif 2/2 7 Tour horizon des autres CR fin 2008 Solution Aruba intégrée à l'infrastructure Wifi (controleur) Trapèze SmartPass : pas de délégation de compte, mono portail Netinary : trop lourd à déployer (prestation d'intégration, bugs, «OS»propriétaire...) Et ailleurs?? Plusieurs produits non maintenus : NoCat, Chillispot,... Produits particuliers ou limités : Wifidog (embarqué), Talweg (limité au HTTP/HTTPS)... Produits commerciaux incomplets : PatronSoft FirstSpot (testé rapidement), Antamedia Hotspot Deux produits retenus pour être testés : Alcasar (http://www.alcasar.info/) : solution libre Ucopia Advance (http://www.ucopia.com/) : solution commerciale
Alcasar 8 Pas un logiciel mais une installation préconfigurée d'une suite logicielle libre : socle système : Mandriva 2009.0 portail captif : Apache + PHP + Coova-chilli authentification : freeradius + base MySQL filtrage Web : Squid + DansGuardian filtrage + log réseau : Netfilter + firewalleyes Versions testées 1.6.3 et 1.7. Actuellement, version 1.8RC Solution de portail captif spécifiquement étudiée pour répondre aux contraintes légales
Ucopia Advance 9 Appliance commerciale basée sur Linux mais ne donnant pas accès au socle système Solution globale d'authentification réseau authentification de type portail Web captif authentification basée sur le protocole 802.1x (non testé) proxy radius compatible Eduroam (non testé) gestion de traces pour répondre aux contraintes légales
Fonctionnalités communes Installation rapide : scripts, appliance Gestion de session par popup Base de compte locale (MySQL, LDAP) Gestion avancée des utilisateurs : création de compte par lots (conférence), import de listing de noms... Gestion du cycle de vie utilisateur (création, modif, suppression...) et conservation des traces après suppression Traçabilité volontairement séparée en deux lots : Session : qui? quand? Traffic : quel service? Besoin de croisement des deux lots pour imputer un flux (réservé aux autorités judiciaires) sur Alcasar Statistiques de connexion, de traffic 10
Atouts 11 Alcasar Coût limité au temps humain de déploiement (solution virtualisable) Produits connus faisant référence : MySQL, Freeradius... Module de filtrage Web (liste blanche, noire, bypass) Ucopia Interrogation LDAP externe prévue Délégation de gestion de compte très avancée (tickets de connexion...) Fonctionnalités avancées zero configuration : NAT et proxy dynamique, serveur d'impressions, relais smtp Notion de profil de service (filtrage IP) Notion de zone de connexion : vlan d'entrée, de sortie Notion de profil utilisateur : profil de service + zones de connexion Gestion de session avancée (fermeture popup...)
Limites 12 Alcasar Interface LDAP non prévue de base à rajouter via configuration freeradius Pas de délégation de gestion utilisateur Gestion de session par popup (action utilisateur pour déconnexion) Sécurité de la plateforme : accès admin, SSH par mdp, mdp intercomposants prédéfinis, usurpation de sessions : produit sensible à l'usurpation par spoofing de l'adresse MAC Ucopia Coût important : 7300 euros HT pour 100 utilisateurs simultanés et 3 ans de maintenance Stockage de logs peu avancé (rotation par taille mais pas sur age)
Alcasar vs Ucopia 13 Ucopia Toutes les fonctionnalités attendues sont remplies Présence de fonctionnalités supplémentaires intéressantes Appliance : déploiement et administration simplifiés (cliquodrome...) Contrat de support avec le constructeur Alcasar Certaines fonctions non pourvues de base : besoin de modifications internes pour prise en compte Bug dans les versions testées : accounting, awstats, backup Sécurité à revoir (usurpation de sessions) Risque sur la pérennité du projet
Conclusion 14 Malgré son cout, la solution Ucopia a été retenue car seul produit prêt à être utilisé selon nos attentes. Déploiement en cours. Alcasar Projet reste dynamique et à suivre version 1.8RC : correction des problèmes de sécurité cités (mdp aléatoires, watchdog pour la gestion de session) nouvelles fonctionnalités intégrées à la roadmap : intégration LDAP, AD... Exposé des fonctionnalités non exhaustifs Portail Ucopia prochainement disponible pour être présenté.