Accéder à Open-Campus

Contact @SUPINFO

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAIRIES PUBLICATIONS Naviguer sur la page

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAIRIES PUBLICATIONS

LE PORTAIL CAPTIF
Par Eric MARTIN • Publié le 29/08/2016 à 20:12:45 • Noter cet article: ★★★★☆ (4 votes)
Avis favorable du comité de lecture

Eric MARTIN

PRESENTATION
PRESENTATION
FONCTIONNEMENT

La dénomination exacte d'un hotspot est Wireless Internet hotspot. Il s'agit

SECURITE
d'un lieu où la connexion vers un réseau Internet est possible via une
connexion sans fil et grâce à un ensemble de technologies et de protocoles mis Faille
en œuvre. On parle également de borne ou de point d'accès Wi-fi. Les hotspots
Protocoles utilisés pour la sécurité
se sont rapidement développés à l'échelle mondiale permettant ainsi à des
utilisateurs nomades disposant d'équipements adaptés (ordinateurs ou Détection d'intrusions
téléphones portables compatibles, PDA et autres) de se connecter à Internet de
partout avec beaucoup de simplicité. Si ces connexions Internet sont ouvertes DIFFERENTES SOLUTIONS
au grand public, cela ne veut pas dire qu'il n'existe aucune protection à l'accès
et pour les utilisateurs. Nous savons bien qu'une fois connectés sur un même réseau, les utilisateurs deviennent potentiellement
vulnérables. La première des protections qui a été mise en place au sein des hotspots est le portail captif. Le portail captif est un logiciel
qui s'installe sur un hotspot et qui permet de gérer l'authentification des utilisateurs qui souhaitent se connecter à Internet. Il faut noter
que tous les hotspots ne fonctionnent pas sur le principe d'un portail captif, mais pour des raisons de sécurité de plus en plus de
hotspots souhaitent aujourd'hui disposer d'un portail captif. Le portail captif a réussi à s'imposer comme la solution pour les réseaux
sans fil publics qu'ils soient gratuits ou payants. Mais il faut noter que le portail captif peut également fonctionner sur des réseaux
filières. Il n'y pas d'exception entre réseau sans fil ou réseau filière, le but est de forcer l'utilisateur à s'identifier avant d'accéder au
réseau Internet. L'identification se fait généralement via une page Internet et pour les hotspots payants elle peut nécessiter le paiement
par carte bancaire.

FONCTIONNEMENT
L'utilisateur commence par se connecter à un réseau (en filière ou en Wi-fi), cette connexion se fait sans problème grâce à des protocoles
spécifiques. Une fois connecté, l'utilisateur est dirigé automatiquement vers un serveur DHCP qui lui attribue une adresse IP. L'adresse
IP est une sorte d'identité pour l'utilisateur, nécessaire également pour envoyer des informations (protocole TCP/IP). Mais l'utilisateur n'a
toujours pas accès à Internet pour le moment mais il est connecté au réseau. Il va donc lancer une page Internet. Cette page va envoyer
une requête de type Web grâce au protocole HTTP vers le serveur ; cette requête passe obligatoirement par la passerelle qui elle va
renvoyer à l'utilisateur une page web d'authentification. Si l'utilisateur dispose des paramètres nécessaires (Login/password) il peut alors
se connecter au réseau. Il va donc les saisir et transmettre ces informations sur le serveur. Il est important de noter que la page envoyée
à l'utilisateur est cryptée grâce au protocole SSL qui permet de protéger les données qui sont transmises par l'utilisateur pour son
authentification. Il va ensuite se produire un ensemble d'opérations au sein de différents serveurs. Dans un premier temps les données
cryptées sont envoyées dans le serveur de base de données qui vérifie que cet utilisateur existe bel et bien. Si le serveur de base de
données constate que l'utilisateur existe, selon le portail captif en œuvre, il envoie les informations vers le serveur d'authentification. Il
s'agit du serveur radius. Les portails captifs cités dans ce dossier sont tous compatibles Radius et pour information nécessitent tous le
fonctionnement d'apache, MySQL et PHP. Mais cela n'est pas le cas pour tous les portails captifs. Toutefois, après vérification sur le
serveur d'authentification, des informations liées à l'adresse IP et l'adresse physique (adresse MAC) de l'utilisateur sont envoyées vers la
passerelle afin d'ouvrir l'accès à l'utilisateur qui pourra par la suite se connecter au réseau Internet. Ces opérations se font en quelques
secondes, elles sont quasiment invisibles pour l'utilisateur qui restera ainsi connecté un bon moment mais des requêtes ping lui seront
régulièrement envoyées afin de vérifier qu'il est toujours connecté. Si le serveur constate un moment d'absence, l'utilisateur sera
déconnecté et devra par la suite relancer la procédure d'authentification.
Maintenant examinons à l'aide d'un schéma ce qui s'est techniquement passé :

Sur ce schéma il apparaît de nouveaux éléments qui n'ont pas été mentionnés dans la partie théorique. Cela est tout à fait normal car
nous estimons qu'il est plus facile de détailler un mécanisme à l'aide d'un schéma. En fait, il n'y a pas grand chose de nouveau par
rapport à ce qui a été dit dans la partie théorique. Il y a le pare-feu et le LDAP au niveau du serveur d'authentification qui n'ont pas été
cités. D'autres éléments comme les routeurs et autres qui rentrent en jeu n'ont également pas été cités sur ce schéma. Notre but est de
synthétiser le fonctionnement d'un portail captif. Pour résumer le schéma, l'utilisateur essaye de se connecter, il passe par la passerelle
qui va chercher la page d'authentification disponible dans le portail captif. La passerelle renvoie à l'utilisateur cette page
d'authentification. Ensuite c'est la procédure qui s'enchaine jusqu'à l'accès Internet. Par contre nous souhaitons également parler du
LDAP. Il s'agit du protocole mis en jeux au niveau du serveur d'authentification permettant d'interroger ou de modifier l'annuaire. Pour
ce qui est du pare-feu, il s'agit simplement d'une protection mise en place lorsque l'accès à Internet est effectif. Mais nous tenons quand
même à signaler que le pare-feu est géré par des iptables, ce qui permet de classer le trafic et d'identifier grâce au tables mangle et au
filter un trafic pouvant correspondre à un couple adresse MAC/adresse IP. C'est une partie lié à la sécurité que nous souhaitions mettre
en évidence.

SECURITE

Faille
Malheureusement, un portail captif présente plusieurs inconvénients. Parmi les inconvénients on note :

Il n'existe pas de système entièrement sécurisé avec un risque zéro.

On ne peut pas se fier à la fiabilité des utilisateurs.
Une fois connecté, l'usurpation d'identité reste possible car les adresses MAC et IP d'un utilisateur sont facilement imitables.
Même si l'authentification se fait sur un protocole sécurisé, il se peut que la transmission des données se fasse en clair.

Malgré toutes les mesures que l'on peut prendre le risque zéro n'existe pas et même si un portail captif permet de filtrer l'accès au
hotspot, cela ne veut pas dire que l'on a réussi à se mettre à l'abri. Mais il faut dire qu'un portail captif a réussi à réduire
considérablement les risques, d'attaque sur les réseaux publics. C'est un système qui permet de dissuader les utilisateurs malveillants.
Son principal avantage est l'authentification obligatoire. Lorsqu'on se connecte à un hotspot via un portail captif, les informations
demandées ont très souvent un rapport avec notre identité.

Protocoles utilisés pour la sécurité

Dans le cadre d'un portail captif, de nombreux protocoles sont mis en service. Les principaux sont les suivants :

Le protocole HTTP et HTTPS : Il permet la communication entre le client et le serveur. Grâce au HTTPS, les communications peuvent
être sécurisées. Il est utilisé lors de l'envoie des données sensibles comme les mots de passe.
Protocole IP : Pour l'adressage des machines et l'acheminement des données
Le protocole SSL : Utilisé spécialement dans la transmission des paramètres de connexion ou le paiement pour carte bancaire
(pour les hotspots payants). Il permet de transporter les données chiffrées.
Le protocole EAP : Spécialement utilisé pour le contrôle d'accès. Il permet d'établir l'accès à un réseau pour l'utilisateur.
LDAP : Il permet d’interroger et de modifier les services de l'annuaire pour le serveur d'authentification.

Détection d'intrusions
La première sécurité qu'offre un portail captif est l'authentification, cela permet par la suite de mettre en place tout un service de
sécurité car les utilisateurs sont tous identifiables. Cette partie liée aux services de sécurité nous permet de répondre sur les possibilités
offertes par le logiciel libre. Il faut savoir que la plupart des portails captifs sont open source, mais le logiciel libre met également à la
disposition des administrateurs réseaux une panoplie de logiciels liés à la gestion et la surveillance des réseaux. La liste des logiciels de
surveillance n'est pas exhaustive, et l'utilisation de tel ou tel logiciel dépend des besoins de l'administrateur, chargé d'assurer la
surveillance et le bon fonctionnement du serveur. Voici une liste non exhaustive :
Sebek : outil de surveillance du système, permet de capturer et d'analyser le trafic, les sondes IDS, et analyser de logs. C'est un outil de
surveillance en profondeur. Il donne une vision plus ou moins complète des activités suspicieuse.
Hflow : outil de surveillance des flux réseau. Il permet d’identifier la quantité de données échangées.
Tcpdump: outil qui permet d’enregistrer toutes les trames réseau.
Netsat: outil permettant d’indiquer l’état des connexions réseaux en cours en indiquant les connexions TCP et UDP. Il permet également
d'afficher toutes les connexions y compris celles des serveurs en attente de connexion. Il affiche aussi le nom de l’utilisateur utilisant un
programme et le port utilisé par le programme.
Walleye: outil qui permet de consulter les informations recueillies après inspection d’un système attaqué.
Chkrootkit: outil qui permet de détecter les traces d’une attaque en recherchant la présence de rootkit sur un système infecté.

DIFFERENTES SOLUTIONS

NoCatSplash

Compatible Radius, LDAP, MySQL

Ecrit en Perl et exige plusieurs modules.
Communique avec la passerelle pour informer si l'utilisateur peut passer.
Peut régler le débit et spécifier des règles de pare-feu pour un utilisateur.
Sécurisation du transfert entre le système authentification et la passerelle par clé pgp. La documentation conseille de séparer le
serveur d'authentification (droits limités) de la passerelle (droit root pour pouvoir modifier les règles iptables).
Fenêtre de saisie du mot de passe en https.
Simplicité au niveau utilisateur, performance.
A besoin d'un navigateur avec pop-up, donc inutilisable sur un point d’accès.

Talweg

Compatible Radius
Récupère les demandes d'accès aux pages web et les retourne dans une connexion https
Limite l'accès aux ports 80 et 443 de par son fonctionnement

Wi Dog

Compatible Radius
Nécessite Apache, php, PostgreSql, Pear.
Faible consommation en ressources réseau et faibles ressources de la passerelle lui permettant d'être installé sur certains
routeurs/points d'accès comme le WRT54G.
Contrôle iptable pour définir les règles de passage du pare-feu.
Adapté à une communauté et à une gestion d'un parc conséquent de points d'accès avec un monitoring poussé.
Vérifie l'activité grâce à un ping. Evite d'avoir un pop-up comme dans noCat.

CoovaChilli

Compatible Radius
Nécessite Apache, Mysql, php
Perte au niveau de la bande passante et consommation de ressources système
Authentification WPA possible

Public

Ce système est capable d’offrir, outre l’accès authentifié (ou non) à l’Internet, un serveur proxy, un filtre de contenu et un serveur
web/DHCP/cache DNS. Seuls 128 Mo de mémoire vive sont requis pour l’installation et la gestion de l’accès. C’est une interface web
classique qui permet à l’administrateur de gérer les accès à l’Internet après authentification sur le portail : création, suppression,
suspension et filtres pour le web (ce qui comprend par exemple le blocage de certains ports, notamment ceux utilisés par les logiciels de
messagerie instantanée). L’interface d’accès peut être personnalisée, le hotspot peut donc être par exemple multilingue.

MonoWall

MonoWall est un projet visant la création d'un système de firewall complet qui peut être utilisé sur un PC. Son important lot de
paquetage lui procure une sécurité accrue. Basé sur FreeBSD4, il intègre toutes les fonctionnalités des firewalls professionnels vendus
sur le marché.

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir

SUPINFO International University

Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels