Mise en place d’un portail captif sans authentification sous Pfsense

I. Contexte

Dans certaines entreprises, certains employés utilisent leurs terminaux mobiles dans le cadre de leur travail (pc portables, smartphones, tablettes…) et ont besoin d’un accès à internet. Ces terminaux utilisent le wifi pour se connecter à internet. Cependant, pour éviter tout abus dans le cadre du travail, l’usage d’internet est règlementé et des lois imposent aux administrateurs de pouvoir identifier et tracer les navigations des utilisateurs.

II. Problématique

Pour leur besoin d’un accès à internet sans fil, un point d’accès wifi est installé. Pour des raisons de sécurité et de traçage, l’idée retenue a été la mise en place d’un portail captif. L’utilisation du portail captif permet d’obtenir des informations sur les utilisateurs et d’avoir connaissance des utilisateurs connectés.

Il existe plusieurs méthodes d’authentification à un portail captif. En premier lieu nous allons mettre en place un portail captif sans authentification de la part de l’utilisateur. La méthode sans authentification est utile dans des endroits publics et ça permet de savoir qui est connecté ou récupérer les mails des utilisateurs pour des raisons de publicité.

Nous réaliserons ce projet en virtuel avec VirtualBox.

III. Configuration matérielle

Une machine Pfsense avec 3 cartes réseaux dont : Une WAN en NAT Une LAN en réseau privé hôte Une OPT pour l’accès wifi en réseau interne

Une machine Windows pour tester la connexion wifi et le portail captif

IV. Mode opératoire

Configuration IP de Pfsense :

Pour administrer Pfsense avec notre propre machine physique on configure la carte VirtualBox Host-Only Network :

La carte réseau de la machine cliente Windows doit être en réseau internet pour qu’il reçoive automatiquement une adresse IP de OPT.

Création du portail captif

Sur l’interface graphique on se rend sous l’onglet Services > Captive Portal.

On clique sur « Add » en bas à droite. On coche la case « Enable captive portal ».

Le portail captif doit se trouver sur l’interface OPT.

Pour la méthode d’authentification on choisit « No authentification » puis on sauvegarde.

Puis on met une adresse de redirection après authentification, ici www.google.com.

Pour empêcher une même machine de se connecter deux fois on limite le nombre de connexion à 1.

Ajout de règles sur l’OPT :

Une règle pour permettre aux machines qui sont sur le même réseau que OPT de pouvoir communiquer avec l’interface.

Et une règle pour empêcher aux machines qui sont sur ce réseau d’accéder à l’interface d’administration de Pfsense via l’adresse de OPT.

Les machines clientes peuvent aussi accéder à l’interface d’administration Pfsense via l’adresse IP du LAN, pour des raisons de sécurité on bloque cet accès avec une règle.

Test de connexion sur la machine cliente

Dans Windows on ouvre internet explorer, il nous emmène automatiquement à la page d’authentification puis on clique sur « continuer » sans mettre d’identifiants et on doit être redirigé vers Google.