Thomas.G TS2 SIO - 2012/2013 Solution Wifi Visiteurs Lycée Bahuet - Sodecaf Brive la Gaillarde 5/12/2012 Lycée Bahuet Présentation PPE - Avancement Sommaire I. Le a) b) c) d) portail captif…………………………………………………………………………………………………. 3 Présentation d’Alcasar…………………………………………………………………………………… 3 Les composants logiciels……………………………………………………………………………….. 4 Schéma de principe………………………………………………………………………………………. 7 Fonctionnement du système d’authentification………………………………………………… 8 II. Configuration matérielle du serveur…………………………….………………………………………. 9 a) Processeur, mémoire, disque............................................................................ 9 b) Les cartes réseaux……………………………………………………………………………………….. 9 III. Intégration d’Alcasar sur le réseau Sodecaf…………………………………………………………..10 a) Schéma du réseau……………………………………………….………………………………………. 10 b) Le plan IP……………………………………….……………………………………….………………….. 10 c) Configurer Alcasar……………………………………………………………………………………….. 11 d) Configuration carte réseau……………………………………………………………………………. 12 IV. Configuration du point d’accès WIFI……………………………………………………………………. 13 V. Test des configurations……………………………………………………………………………………… 14 a) Serveur……………………………………………………………………………………………………….. 14 b) Client………………………………………………………………………………………………………….. 15 VI. Annexe…………………………………………………………………………….……………………………… 16 a) Informations……………………………………………………………………………………………….. 16 b) Sources………………………………………………………………………………………………………. 17 Thomas.G TS2 SIO - 2012/2013 Page | 2 Lycée Bahuet Présentation PPE - Avancement 1) Le portail captif a) Alcasar ALCASAR est un portail libre et gratuit de contrôle d'accès à Internet. Il authentifie et protège les accès des usagers indépendamment des autres équipements du réseau. Ses nombreuses fonctions permettent de répondre au besoin de exprimé dans le cahier des charges. ALCASAR est constitué d’un ordinateur intégrant toutes les fonctions d'un portail captif authentifiant. Les équipements situés sur le réseau de consultation peuvent être de tout type (PC, Smartphones, tablettes, etc.). Ils n'ont besoin d'aucune modification spécifique. Thomas.G TS2 SIO - 2012/2013 Page | 3 Lycée Bahuet Présentation PPE - Avancement b)Les composants logiciels d’Alcasar : Alcasar est composé de nombreux composants(ou modules) connectés entre eux. Système d’exploitation : Alcasar a été conçu pour fonctionner sur Mandriva Linux. Il ne peut être installé de façon simple sur un autre environnement car les fichiers ne sont pas situés aux mêmes endroits. Passerelle d’interception : CoovaChilli permet de rediriger les clients vers une page web qui demande une authentification. Serveur DNS/DHCP : Dnsmasq permet de faire correspondre une adresse IP a un nom de domaine. C’est lui qui gére le nom de domaine local ‘alcasar’. Il fait aussi office de serveur dhcp qui permet d’attribuer des adresses IP à tous les clients qui se connectent à Alcasar. Serveur Web : Apache permet d’afficher les pages spécifique à Alcasar(Page d’interception, panneau administrateur…) Chiffrement du flux : La page d’interception d’alcasar utilise le protocole https afin de chiffrer les informations (notamment de connexion) qui circulent entre le serveur Web et les clients. C’est OpenSSL qui s’en occupe. A noter que par défaut il utilise un certificat auto signé. Serveur d’authentification: Free Radius donne la possibilité d’utiliser un annuaire externe (Comme LDAP ou encore A.D). Il n’est en aucun cas obligé d’utiliser un annuaire externe. Thomas.G TS2 SIO - 2012/2013 Page | 4 Lycée Bahuet Présentation PPE - Avancement Serveur de base de données usagers: Mysql permet de stocker les informations concernant les utilisateurs d’Alcasar(Nom d’utilisateur, mot de passe….) Proxy (Mode cache web) : Alcasar utilise Squid (Proxy) en mode cache web afin d’accélérer l’exécution des requêtes fréquemment demandées. Serveur de temps : Il est primordial qu’un serveur soit toujours à l’heure ! C’est pour cela qu’il intègre Ntpdate . Journalisation : Ulogd permet de journaliser les événements qui se produisent sur le système. Filtrage web : Dansguardian permet de filtrer les sites demandés par les clients. Il repose sur une base de données fournis par « Toulouse ». Il y a la possibilité de la compléter. Statistiques de consultation : Awstat permet d’avoir des statistiques sur les clients, leurs consultations, nombre de connexion, la durée ect. Journaux du parefeu : FirewallEyes permet d’avoir de consulter de façon simple et efficace les journaux du pare feu. (Sites bloqués…) Information du système : Phpsysinfo est une interface web, écrite avec le langage PHP, qui permet d'afficher des informations concernant le système et le matériel sur lequel elle est installée. Thomas.G TS2 SIO - 2012/2013 Page | 5 Lycée Bahuet Présentation PPE - Avancement Connexion distante sécurisé : Openssh-serveur permet à un administrateur de se connecter et administrer le serveur Alcasar à distance en utilisant un logiciel tel que Putty. Note : L’option est désactivé par défaut, il faut l’activer au préalable dans la configuration des services du portail afin de pouvoir sa connecter. Passerelle antivirus Web : HAVP permet de faire analyser à un anti-virus toutes les pages web consultés par les clients afin de les protéger des dangers extérieurs. Antivirus : (Lib)Clamav est un anti-virus qui analyse le trafic consulté par les clients. Thomas.G TS2 SIO - 2012/2013 Page | 6 Lycée Bahuet Présentation PPE - Avancement Thomas.G TS2 SIO - 2012/2013 Page | 7 Lycée Bahuet Présentation PPE - Avancement d)Fonctionnement du système d’authentification : Thomas.G TS2 SIO - 2012/2013 Page | 8 Lycée Bahuet Présentation PPE - Avancement II/Configuration matérielle du serveur : a) Composants de base CPU : Intel, AMD en x86 ou x64. RAM : 2Go recommandés. Disque dur : 160 Go Minimum pour assurer un confort de travail. b) Les cartes réseaux Nous utilisons 2 cartes réseaux pour la liaison Alcasar - PFSENCE et Alcasar - Point d’accès Wifi. L’OS utilisé est Mandriva One Linux 2010 en version 32 bit disponible sur le site officiel de Mandriva. www.mandriva.com/fr/downloads/ Thomas.G TS2 SIO - 2012/2013 Page | 9 Lycée Bahuet Présentation PPE - Avancement III/Intégration d’Alcasar sur le réseau Sodecaf : a) Schéma du réseau b) Plan d’adressage IP : Par DHCP: 172.20.21.10 a 172.20.21.255 (255.255.255.0) IP statiques: 172.20.21.1 à 172.20.21.6 (255.255.255.248) Borne Wifi : 172.20.21.2 Serveur ALCASAR : eth0 : 172.20.20.1 // eth1: 172.20.21.1 PFSENSE : ethx : 172.20.20.254 Thomas.G TS2 SIO - 2012/2013 Page | 10 Lycée Bahuet Présentation PPE - Avancement c) Configurer Alcasar Pour reconfigurer la plage IP d’alcasar il faut faire une désinstallation / réinstallation complète d’Alcasar. Pour cela: alcasar-Bahuet:~# cd alcasar.x.x.x alcasar-Bahuet:~ /alcasar.x.x.x# sh alcasar.sh --uninstall Vous pourrez si vous le désirer réaliser une sauvegarde de la configuration. Quand Alcasar est complètement désinstallé, taper: alcasar-Bahuet:~# cd alcasar.x.x.x alcasar-Bahuet:~ /alcasar.x.x.x# sh alcasar.sh --install Rentrer le nom de l’organisme (Sodecaf) Rentrer le plan d’adressage IP (Choisir configuration manuelle) : 172.20.21.1/24 Rentrer le nom d’utilisateur et mot de passe (alcasar / alcasar) Quand l’installation est terminé, il faut configurer de façon plus précise le DHCP afin d’attribuer une plage d’adresse d’ip fixes. alcasar-Bahuet:~# vi /etc/chilli.conf Il se peut que le fichier soit en cour d’utilisation (message l’indiquant) dans ce cas taper “e” pour continuer et modifier quand même. Rentrer en mode insertion avec la touche “i” Dé-commenter la ligne “statip” rajouter 172.20.21.1/29 (soit 6 ips fixes) Modifier la ligne dynip pour 172.20.21.10/24 Quitter le mode insertion avec un “echap”. Enregistrer en tapant “:w” Pour quitter, effectuer un CTRL+Z Pour que toutes les modifications soit prisent en compte redémarrer complètement la machine (reboot) Thomas.G TS2 SIO - 2012/2013 Page | 11 Lycée Bahuet Présentation PPE - Avancement d) Configuration de la carte réseau eth0 connecté au routeur: alcasar-Bahuet:~# vi /etc/sysconfig/network-scripts/ifcfg-eth0 Rappel des commandes de base Vi: Taper “i” pour passer en mode insertion. “Echap” pour quitter le mode insertion. “:w” pour enregistrer. Liste des paramètres à modifier si besoin: DEVICE=eth0 (interface - Il n’y a normalement rien à modifier) IPADDR=172.20.20.1 NETMASK=255.255.0.0 GATEWAY=172.20.20.254 DNS1=127.0.0.1 Thomas.G TS2 SIO - 2012/2013 Page | 12 Lycée Bahuet Présentation PPE - Avancement IV) Configuration du point d’accès WIFI : Le point d’accès wifi a son DHCP de désactivé. Elle a pour IP fixe l’adresse 172.20.21.2 et pour masque 255.255.255.0 (/24). La passerelle utilisée et le serveur DNS ont pour adresse 172.20.21.1. La borne Wifi est connectée sur le port eth1 du serveur ALCASAR. Note : Il s’agit d’une borne WIFI D-link DWL-G700AP. Pour remettre la configuration a zero, elle dispose d’un bouton à l’arrière. Afin de pouvoir accéder à la configuration il faut s’y connecter dessus directement en filaire. L’ip par défaut de la borne est: 192.168.0.50 Il faut configurer sa carte réseau afin d’être sur le même réseau de la borne: IP Fixe: 192.168.0.1 Masque: 255.255.255.0 Nom d’utilisateur: admin(Par défaut – Le changer) Mot de passe: Aucun (Par défaut – Le changer) Une fois connectée dessus, allez dans les configurations réseau “Lan”: Thomas.G TS2 SIO - 2012/2013 Page | 13 Lycée Bahuet Présentation PPE - Avancement V) Test des configurations. a)Tests serveur : On peut s’assurer que tous les paramètres sont corrects de deux façons : - Lors du démarrage du serveur – et donc des services – tous doivent êtres « ok ». - Note : Exception pour la connexion mysql de httpd qui échoue. Vous pouvez effectuer un « ifconfig » pour contrôler les paramètres réseaux. Coté réseau IPCOP Coté réseau clients Thomas.G TS2 SIO - 2012/2013 Page | 14 Lycée Bahuet Présentation PPE - Avancement b) Test clients : Connectez un poste test client au réseau Alcasar, le serveur DHCP doit pouvoir attribuer une adresse sur la plage que vous avez définie. Un simple ipconfig permet de vérifier. Puis il suffit d’ouvrir le navigateur : Thomas.G TS2 SIO - 2012/2013 Page | 15 Lycée Bahuet Présentation PPE - Avancement VI) Annexes a) Fichiers configurations utilisés par Alcasar : Il s’agit des fichiers de configurations, toutes modifications non maitrisé aura pour conséquence immédiate le disfonctionnement du système. Configuration du DHCP : /etc/chilli.conf FreeRadius : /etc/raddb/radiusd.conf (Principal) /etc/raddb/sql.conf (Connexion bdd) /etc/raddb/sites-available/alcasar (Fichier dédié) Dnsmasq : /etc/dnsmasq.conf (Principal) Parefeu : /etc/alcasardnsfilter-available (Fichier contenant la liste complète des domaines par classe issue de la liste noire de Toulouse) /bin/alcasar-bl.sh (Activer/désactiver le filtrage web) /bin/alcasar-iptables.sh (Fichier principal du parefeu d'Acasar) /etc/alcasar-iptables-local.sh (Règles personnalisées du parefeu) Dansguardian : /etc/dansguardian/dansguardian.conf (Principal) Le répertoire « list » contient tous les fichiers de filtrage – seul « blacklist » est utile. Il contient la liste noire de Toulouse et de OSSI. Squid : /etc/squid/squid.conf (Paramétré en mode proxy transparent) Dépôts mandriva: /etc/urpmi/urpmi.cfg (Sources des mirroirs) urpmi –auto-update –auto (Permet de mettre à jour rapidement) urpme –auto-orphans –auto (Permet de faire le ménage…) Thomas.G TS2 SIO - 2012/2013 Page | 16 Lycée Bahuet Présentation PPE - Avancement Web Alcasar : /var/www/html/ (repertoire) Note : De bonnes connaissances en PHP/Css/Html sont nécessaires pour modifier les fichiers ! IPCOP Login page : https://cerbere.sodecaf.local:8443/cgi-bin/index.cgi User : Admin Password : Manager1 (base) b) Sources http://www.alcasar.net/fr/telechargement?func=fileinfo&id=40 http://www.alcasar.net/fr/telechargement?func=fileinfo&id=39 http://www.alcasar.net/fr/telechargement?func=fileinfo&id=38 http://www.alcasar.net/fr/telechargement?func=fileinfo&id=41 Thomas.G TS2 SIO - 2012/2013 Page | 17