Post on 13-Sep-2018
I – Principe ◦ Portail Captif ◦ Législation
II – La solution ALCASAR ◦ Présentation ◦ Architecture
III – Ses composants
IV – Interface d’administration
Jérémy GIGUELAY - IMR1 2
Définition ◦ Équipement actif qui capte tous les flux sortants d’un réseau
◦ Passerelle entre un réseau interne et Internet
◦ Objectif : guider l’usager vers une page spécifique
Finalités : ◦ Fournir un accès internet dans les lieux publiques (Camping,
Bar …)
◦ Contrôler l’utilisation d’une connexion à Internet
I – PRINCIPE Po r t a i l C a p t i f
Jérémy GIGUELAY - IMR1 3
Loi Vigipirate ◦ Conservation des logs de navigation internet pendant 1 an
Loi HADOPI ◦ bloquer les logiciels de téléchargement illégal
CNIL ◦ Informer l’usager de l’enregistrement de données
personnelles
◦ Sécuriser l’accès aux données personnelles enregistrées
◦ Garantir l’anonymat des données après 365 jours
◦ Différencier l’identité de la personne physique avec l’historique de navigation
I – PRINCIPE L é g i s l a t i o n
Jérémy GIGUELAY - IMR1 4
I – Principe ◦ Portail Captif ◦ Législation
II – La solution ALCASAR ◦ Présentation ◦ Architecture
III – Ses composants
IV – Interface d’administration
Jérémy GIGUELAY - IMR1 5
Projet initié en 2008 par 3 enseignants-chercheurs
Portail captif avec des fonctionnalités avancées ◦ Authentification
◦ Enregistrement des historiques de navigation
◦ Filtrage WEB…
En accord avec la législation française
Communauté libre active
II – LA SOLUTION ALCASAR P r é s e nt at i o n
Jérémy GIGUELAY - IMR1 6
I – Principe ◦ Portail Captif ◦ Législation
II – La solution ALCASAR ◦ Présentation ◦ Architecture
III – Ses composants
IV – Interface d’administration
Jérémy GIGUELAY - IMR1 8
III – SES COMPOSANTS Te c h n o l o g i e s u t i l i s é s
Jérémy GIGUELAY - IMR1 9
•Support d’installation Distribution Mandriva
• Installeur Script UNIX
•Planification des entretiens (log) CRONTAB
•Pare-feu IPTABLES
•Gestion du sous-réseau DHCP
•Page du portail captif Apache2
•Authentification sécurisée FREERadius
•Gestion des usagers MySQL
•Proxy HTTP SQUID
•Portail Captif CoovaChilli
•Filtrage web DansGuardian
•Chiffrement des connexions internes OpenSSL
•Visualiseur de logs IPTABLES FirewallEyes
III – SES COMPOSANTS O p e n S S L – S e c u r e S o c ket L ay e r
Jérémy GIGUELAY - IMR1 10
Principe
1. Envoi des technologies de chiffrement supportées 2. Le serveur envoie son certificat (identité, clé publique, chiffrements supportés) 3. Génération d’une clé de session (clé publique du serveur + nombre aléatoire) 4. Le serveur décrypte le nombre aléatoire avec sa clé privée 5. Le nombre aléatoire chiffre les flux entre les 2 machines
2
Nombre aléatoire : 12345 Nombre aléatoire : 12345
III – SES COMPOSANTS O p e n S S L – S e c u r e S o c ket L ay e r
Jérémy GIGUELAY - IMR1 11
Implémentation dans ALCASAR
• Sécuriser la liaison entre chaque terminaux et le serveur ALCASAR • Certifie l’authenticité des 2 machines • Protège de l’usurpation d’identité (Spoofing ARP) • Réduit la surface de contournement de la solution
III – SES COMPOSANTS C o o va C h i l l i – Po r t a i l C a p t i f
Jérémy GIGUELAY - IMR1 12
Principe
• Écoute des connexions sortantes • Surcharge le serveur DHCP Linux (Authentification UAM)
Réseau Externe
CoovaChilli
2 statuts : authentifié non-authentifié
Page d’identification
Redirection
III – SES COMPOSANTS S Q U I D – P r ox y H T T P ( We b )
Jérémy GIGUELAY - IMR1 13
Principe
• Serveur mandataire de requêtes HTTP
Implémentation dans ALCASAR
• Accessible après l’identification • Optimise le chargement des pages (cache) • Permet de contrôler les requêtes émises : filtrage avec DansGuardian
Internet
SQUID
Accéder à www.google.fr Accéder à www.google.fr
Voila www.google.fr Voici la page ww.google.fr
Voici la page ww.google.fr
Accéder à www.google.fr
III – SES COMPOSANTS D a n s g u a r d i a n – F i l t ra g e d e c o nt e n u s
Jérémy GIGUELAY - IMR1 14
Principe
• Analyse de la totalité des pages (requêtes et réponses) • Filtrage des URL et/ou de mots-clés • Se greffe sur SQUID
…
… Blacklist URL
Sectes
Blacklist URL
Warez
Blacklist mots-clés
Drogue
Blacklist mots-clés
Adulte
Configuration de DansGuardian
III – SES COMPOSANTS F i r ewa l l Ey e s
Jérémy GIGUELAY - IMR1 15
Principe
• Visualiseur de logs IPTABLES
III – SES COMPOSANTS Ré c a p i t u l at i f d e s fo n c t i o n s p r i n c i p a l e s
Jérémy GIGUELAY - IMR1 16
I – Principe ◦ Portail Captif ◦ Législation
II – La solution ALCASAR ◦ Présentation ◦ Architecture
III – Ses composants
IV – Interface d’administration
Jérémy GIGUELAY - IMR1 17
IV – Interface D’aministration L é g i s l a t i o n – G e s t i o n d e s u s a g e r s
Jérémy GIGUELAY - IMR1 18