Portail Captif–> sécurisé ???
-
Bonjour,
Bon voila j'ai été séduit par pfsense, je l'ai installé afin de mettre en place le portail captif. Sur le pfsense j'ai actuellement deux cartes réseau, une vers le réseau interne et internet et une autre vers un point d'accés sans fil Cisco permettant de distribuer l'accés internet aux utilisateurs. Je souhaiterais sécuriser le segment sans-fil.
En effet avec le portail captif j'ai l'impression qu'il y a aucune technologie de cryptage mise en place, a part pour l'authentification en https, les informations sont diffusées en clair entre les clients et la borne.
Je cherche donc une solution simple a mettre en place et ne demandant pas trop de configuration pour l'utilisateur final afin de sécuriser ce segment Sans-Fil.
Je suis ouvert a toute vos propositions.
Merci d'avance.
-
Sur le pfsense j'ai actuellement deux cartes réseau, une vers le réseau interne et internet et une autre vers un point d'accés sans fil Cisco
Vous me faites peur avec le la lan et le wan sur la même interface ! Ou bien j'ai mal compris mais cela mérite un éclaircissement.
En effet avec le portail captif j'ai l'impression qu'il y a aucune technologie de cryptage mise en place, a part pour l'authentification en https, les informations sont diffusées en clair entre les clients et la borne.
C'est bien le cas. Le portail captif n'a pas pour objet de sécuriser la liaison wifi. Je ne vois qu'une solution, un vpn.
Pourriez vous décrire plus complètement les besoins ? Pour moi ce n'est pas très clair. A mon avis votre Pfsense devrait comporter 3 interfaces : Wan - Lan - Wifi, en supposant que vous n'avez pas besoin de dmz et que tous les utilisateurs Wifi sont soit des collaborateurs de l'entreprise, soit des extérieurs, mais pas un mélange des deux.
-
A part le VPN d'autre solutions car ça demande quand même a chaque utilisateur de se connecter via un client vpn, et le portail captif n'a plus d'intêret. Je cherche une solution simple de distribution de l'internet a des utilisateurs extérieur en wifi et de façon cryptée. C'est pour cela que le portail captif m'intéressait, pour sa simplicité mais si on ne peut pas mettre en place de cryptage ça m'intéresse beaucoup moins.
Pour l'accès internet sur le même réseau ne vous intéressez pas à cela, j'utilise l'accès internet a partir d'un réseau déjà existant, il s'agit d'une maquette (en réalité bien sur on aurait une interface réservée à l'accès internet).
La maquette consiste à mettre en place un point d'accés wifi dans un aéroport pour proposer l'internet de façon sécurisée a des clients.
-
il n'y aurait pas possibilité de passer par un proxy HTTPS après que l'utilisateur soir authentifier après un serveur radius? sa pourrait permettre de sécuriser les données ?
-
Il y a clairement un gros problème de compréhension des technologies et topologies.
Le portail captif ne sert qu'à une chose : authentifier les personnes.
La protection des données passant à travers le portail captif n'a rien a voir avec le portail captif.
Dans le cas du sans-fil, il a été développé plusieurs norme (WEP,WPA, WPA2) remplissant le rôle de cryptage du support.
Dans le cas du filaire, il est courant d'utiliser IPSEC ou tout autre technologie de VPN.
Apres…on peut tenter un proxy avec un stunnel en frontal... je n'ai jamais tenté....
-
J'ai bien sûr été imprécis dans ma réponse précédente. Le cryptage des échanges de données relève, comme l'a précisé Juve, des différentes normes wpa, wep, etc … Et je confirme à nouveau que le portail captif n'a rien à voir dans l'histoire.
-
Oui je demande simplement des conseils, pour sécuriser une connection wifi dans le cadre d'un point d'accés public. Je pensait seulement que vous seriez peut-être aptes a me conseiller.
-
Ce qui est le cas. Dans la cas d'un point d'accès public, il me semble difficile d'envisager de faire mieux que WEP, non pas que ce ne soit pas possible dans l'absolu, mais si vous coulez connecter tout ce qui se présente : Win 2000, Win XP SP1 (qui ne gère pas wpa), vous allez devoir vous caler sur le plus petit dénominateur commun. Sans compter la difficulté de faire configurer quelque chose par l'utilisateur qui peut aussi ne pas posséder de droits suffisant sur sa machine.
Si les points d'accès public étaient, ou pouvaient, être sécurisés réellement, cela se saurait. -
Les nomades voulant être sécurisé utilisent tous des VPN au travers des hotspot (SSL,IPSEC,PPTP…ce qui passe)
-
Le IPSEC (par exemple) on est obligé de le faire sur l'ap ou on peut le faire sur pfsense ?
-
Pfsense possède un serveur/moteur IPSEC très performant ;-)