Mise en place du portail captif pfsense dans un hôpital
-
Bonjour,
Je suis actuellement en stage de deuxième année BTS IG et mon projet est de mettre en place un portail captif afin de sécuriser une connexion à un point d'accès. J'ai choisi d'installer pfSense sur une machine qui va donc être le serveur et que je vais placer entre le contrôleur WIFI (côté LAN) et le switch HP lui même étant relié à un boitier Fibre Optique qui est relié à un routeur CISCO firewall (côté WAN). Le réseau est segmenté par des VLANs, nous avons deux points d'accès (VLAN 27 : Interne , VLAN 28 : Visiteur), je dois faire en sorte que quand quelqu'un se connecte sur le point d'accès Visiteur, il soit redirigé vers la page d'authentification du portail captif pfSense (accès uniquement WAN) et que quand quelqu'un se connecte sur le point d'accès Interne, il sorte directement sur Internet (accès au réseau+WAN). Mon souci se situe au niveau du paramétrage de pfSense, dois je configurer les VLANs ? J'aimerais que selon le VLAN où l'on se connecte, le serveur DHCP distribue une adresse IP en concordance (j'aimerais utiliser la fonction relai DHCP afin de me servir du serveur DCHP déjà en place). Egalement, je me pose le problème de l'authentification, suis je obligé de passer par un serveur Radius ou est ce que je peux passer directement par pfSense (j'ajoute les users) et stocker les logs dans un fichier.Merci d'avance pour vos réponses, j'espère avoir été assez clair.
-
que je vais placer entre le contrôleur WIFI (côté LAN) et le switch 3COM L3 (côté WAN).
Ce qui signifie que vous allez court-circuiter le firewall qui se trouve normalement entre ces deux zones ? Un schéma avec les autres équipements réseaux serait intéressant.
-
Voici un schéma que j'ai trouvé sur Internet et qui correspond exactement à notre installation.
-
Ok c'est clair pour le schéma. Le terme wan est totalement inapproprié d'où mon interrogation. Dans votre besoin le portail devrait être connecté à une interface du firewall (physique ou non -vlan) de tel façon que le réseau wifi soit parfaitement isolé (compte tenu des risques qu'il comporte) du reste du réseau de l'établissement. Il n'y a pas de proxy ?
J'aimerais que selon le VLAN où l'on se connecte, le serveur DHCP distribue une adresse IP en concordance (j'aimerais utiliser la fonction relai DHCP afin de me servir du serveur DCHP déjà en place)
On ne choisi pas de se connecter à un vlan ou un autre tel que vous l'entendez. Votre point d'accès doit gérer les SSID multiples. Ensuite votre problématique relève des technologie NAC (Network Access Control) http://en.wikipedia.org/wiki/Network_Access_Control
Pour cela vous aurez besoin d'utiliser du 802.1x et des switchs appropriés qui pourront placer la machine (je dis bien la machine) dans le bon vlan en fonction de l'authentification fournie ou pas.
Globalement je pense que les besoins de sécurité ne sont pas assez bien défini pour décider des technologies à mettre en œuvre. Existe t il une PSSI dans cet hôpital (il y a des données sensibles dans ce genre d'établissement …) -
Selon le SSID choisi, on est bien mis dans le bon VLAN (ex: je souhaite me connecter au point d'accès Interne (VLAN27), je récupère une adresse ip via DHCP de type 192.168.27.X), tout ça est déjà fonctionnel. En ce qui concerne les VLANs, ils sont paramétrés sur le switch HP L3 qui est relié au routeur cisco firewall étant lui le dernier rempart (on arrive sur Internet après). Je ne pense pas qu'il existe de PSSI.
-
Mon souci se situe au niveau du paramétrage de pfSense, dois je configurer les VLANs ?
Pas obligatoirement. par contre veillez à séparer l'interface d'administration de Pfsense réseau Wifi. A priori si l'on résonne en interfaces physiques il en faut 3 sur Pfsense. Sinon Vlan.
J'aimerais que selon le VLAN où l'on se connecte, le serveur DHCP distribue une adresse IP en concordance
Finalement le problème ne se pose pas ? Du moins d'après ce que vous écrivez :
Selon le SSID choisi, on est bien mis dans le bon VLAN (ex: je souhaite me connecter au point d'accès Interne (VLAN27), je récupère une adresse ip via DHCP de type 192.168.27.X), tout ça est déjà fonctionnel.
-
Le portail captif semble marcher puisque nous sommes en train de le tester directement sur un pc portable. J'aimerais savoir comment obtenir la page d'authentification… Quand il est activé, nous n'avons pas d'accès internet, quand nous le désactivons nous sortons sur Internet, quand nous le laissons activer en ajoutant une adresse autorisée (celle du pc port) nous passons...
-
Voila le portail captif marche avec l'authentification sur le pc portable, seul souci c'est qu'il faut lui dire de rediriger vers la page d'authentification (nous n'arrivons pas à y accéder par la redirection). Apparemment il faudrait créer une règle dans le firewall ?