Solution libre de portail captif authentifiant

I – Principe ◦ Portail Captif ◦ Législation

II – La solution ALCASAR ◦ Présentation ◦ Architecture

III – Ses composants

IV – Interface d’administration

Jérémy GIGUELAY - IMR1 2

Définition ◦ Équipement actif qui capte tous les flux sortants d’un réseau

◦ Passerelle entre un réseau interne et Internet

◦ Objectif : guider l’usager vers une page spécifique

Finalités : ◦ Fournir un accès internet dans les lieux publiques (Camping,

Bar …)

◦ Contrôler l’utilisation d’une connexion à Internet

I – PRINCIPE Po r t a i l C a p t i f

Jérémy GIGUELAY - IMR1 3

Loi Vigipirate ◦ Conservation des logs de navigation internet pendant 1 an

Loi HADOPI ◦ bloquer les logiciels de téléchargement illégal

CNIL ◦ Informer l’usager de l’enregistrement de données

personnelles

◦ Sécuriser l’accès aux données personnelles enregistrées

◦ Garantir l’anonymat des données après 365 jours

◦ Différencier l’identité de la personne physique avec l’historique de navigation

I – PRINCIPE L é g i s l a t i o n

Jérémy GIGUELAY - IMR1 4

I – Principe ◦ Portail Captif ◦ Législation

II – La solution ALCASAR ◦ Présentation ◦ Architecture

III – Ses composants

IV – Interface d’administration

Jérémy GIGUELAY - IMR1 5

Projet initié en 2008 par 3 enseignants-chercheurs

Portail captif avec des fonctionnalités avancées ◦ Authentification

◦ Enregistrement des historiques de navigation

◦ Filtrage WEB…

En accord avec la législation française

Communauté libre active

II – LA SOLUTION ALCASAR P r é s e nt at i o n

Jérémy GIGUELAY - IMR1 6

II – LA SOLUTION ALCASAR A rc h i t e c t u r e F o n c t i o n n e l l e

Jérémy GIGUELAY - IMR1 7

I – Principe ◦ Portail Captif ◦ Législation

II – La solution ALCASAR ◦ Présentation ◦ Architecture

III – Ses composants

IV – Interface d’administration

Jérémy GIGUELAY - IMR1 8

III – SES COMPOSANTS Te c h n o l o g i e s u t i l i s é s

Jérémy GIGUELAY - IMR1 9

•Support d’installation Distribution Mandriva

• Installeur Script UNIX

•Planification des entretiens (log) CRONTAB

•Pare-feu IPTABLES

•Gestion du sous-réseau DHCP

•Page du portail captif Apache2

•Authentification sécurisée FREERadius

•Gestion des usagers MySQL

•Proxy HTTP SQUID

•Portail Captif CoovaChilli

•Filtrage web DansGuardian

•Chiffrement des connexions internes OpenSSL

•Visualiseur de logs IPTABLES FirewallEyes

III – SES COMPOSANTS O p e n S S L – S e c u r e S o c ket L ay e r

Jérémy GIGUELAY - IMR1 10

Principe

1. Envoi des technologies de chiffrement supportées 2. Le serveur envoie son certificat (identité, clé publique, chiffrements supportés) 3. Génération d’une clé de session (clé publique du serveur + nombre aléatoire) 4. Le serveur décrypte le nombre aléatoire avec sa clé privée 5. Le nombre aléatoire chiffre les flux entre les 2 machines

2

Nombre aléatoire : 12345 Nombre aléatoire : 12345

III – SES COMPOSANTS O p e n S S L – S e c u r e S o c ket L ay e r

Jérémy GIGUELAY - IMR1 11

Implémentation dans ALCASAR

• Sécuriser la liaison entre chaque terminaux et le serveur ALCASAR • Certifie l’authenticité des 2 machines • Protège de l’usurpation d’identité (Spoofing ARP) • Réduit la surface de contournement de la solution

III – SES COMPOSANTS C o o va C h i l l i – Po r t a i l C a p t i f

Jérémy GIGUELAY - IMR1 12

Principe

• Écoute des connexions sortantes • Surcharge le serveur DHCP Linux (Authentification UAM)

Réseau Externe

CoovaChilli

2 statuts : authentifié non-authentifié

Page d’identification

Redirection

III – SES COMPOSANTS S Q U I D – P r ox y H T T P ( We b )

Jérémy GIGUELAY - IMR1 13

Principe

• Serveur mandataire de requêtes HTTP

Implémentation dans ALCASAR

• Accessible après l’identification • Optimise le chargement des pages (cache) • Permet de contrôler les requêtes émises : filtrage avec DansGuardian

Internet

SQUID

Accéder à www.google.fr Accéder à www.google.fr

Voila www.google.fr Voici la page ww.google.fr

Voici la page ww.google.fr

Accéder à www.google.fr

III – SES COMPOSANTS D a n s g u a r d i a n – F i l t ra g e d e c o nt e n u s

Jérémy GIGUELAY - IMR1 14

Principe

• Analyse de la totalité des pages (requêtes et réponses) • Filtrage des URL et/ou de mots-clés • Se greffe sur SQUID

…

… Blacklist URL

Sectes

Blacklist URL

Warez

Blacklist mots-clés

Drogue

Blacklist mots-clés

Adulte

Configuration de DansGuardian

III – SES COMPOSANTS F i r ewa l l Ey e s

Jérémy GIGUELAY - IMR1 15

Principe

• Visualiseur de logs IPTABLES

III – SES COMPOSANTS Ré c a p i t u l at i f d e s fo n c t i o n s p r i n c i p a l e s

Jérémy GIGUELAY - IMR1 16

I – Principe ◦ Portail Captif ◦ Législation

II – La solution ALCASAR ◦ Présentation ◦ Architecture

III – Ses composants

IV – Interface d’administration

Jérémy GIGUELAY - IMR1 17

IV – Interface D’aministration L é g i s l a t i o n – G e s t i o n d e s u s a g e r s

Jérémy GIGUELAY - IMR1 18

IV – Interface D’aministration F i l t ra g e Ré s e a u

Jérémy GIGUELAY - IMR1 19

IV – Interface D’aministration F i l t ra g e d e c o nt e n u

Jérémy GIGUELAY - IMR1 20

IV – Interface D’aministration Pe r s o n n a l i s at i o n

Jérémy GIGUELAY - IMR1 21

IV – Interface D’aministration Pe r s o n n a l i s at i o n

Jérémy GIGUELAY - IMR1 22

IV – Interface D’aministration Pe r s o n n a l i s at i o n

Jérémy GIGUELAY - IMR1 23