PfSense, firewall et portail captif



  • Bonjour tout le monde !

    Je suis un étudiant et je m'occupe du réseau d'un petit foyer d'étudiant, environ 150 étudiants l'utilisent quotidiennement.

    La configuration actuelle est un réseau Wi-Fi ouvert avec un portail captif, Ucopia. Nous rencontrons certains problèmes actuellement, particulièrement avec un paramètre sur le serveur embarqué LDAP, hérité sur le RADIUS (lui aussi embarqué sur l'Ucopia) qui déconnecte les utilisateurs. Impossible de modifier ce paramètre car je ne peux pas accéder au fichier, accessible uniquement en root, et le compte root Ucopia n'est pas disponible.

    Une solution serait d'utiliser un serveur externe pour l'annuaire et le radius, j'y réfléchis encore.

    Une autre solution serait de remplacer le serveur Ucopia par un serveur pfSense, et c'est la raison pour laquelle je suis venu poser des questions. :)

    Quelques nécessités de base :

    • Est-ce qu'il y a un système d'authentification (type couple annuaire/radius) qui permet de gérer les utilisateurs facilement ?
    • Est-ce que l'on peut accéder à un historique de navigation par utilisateur ? (nécessité légale)
    • Est-ce qu'on peut sortir facilement des données statistiques, par exemple l'utilisation de la bande passante par utilisateur, sur une échelle d'heures, jours, semaines et mois ? (Il me semble que pour cela, ça se base sur ntop non ?)
    • Je suis uniquement bénévole car domicilié à mon foyer d'étudiant, est-ce qu'une partie de l'administration (au moins celle des utilisateurs, création, blocage ect…) est suffisamment instinctive, pour qu'un étudiant pas forcément en informatique/réseau puisse prendre ma suite quand je partirai ?
    • On ne devrait avoir besoin que d'une interface de sortie et une interface d'entrée, et je souhaiterai utiliser un boitier tout fait en tant que pare-feu. Lesquels des produits proposés sont capables de supporter 150 connexions spontanées (même si ce pic n'est jamais atteint) ? https://netgate.com/products/sg-2440.html

    Voilà, je crois que j'ai à peu près fait le tour des questions que je me posais. Merci à ceux qui me lisent de m'accorder leur attention. :)



  • Salut salut

    Vous avez deja bien dégrossi la problématique bien que ne suivant pas strictement la charte de la section.

    Si je suis bien votre souhait qui est de substituer un router/parefeu/portail captif par un pf et ajouter à coté un serveur radius/ldap si non existant dans votre réseau.

    web (accès internet)

    =

    pf === wifi ==== point d'accès wifi

    =

    =
    lan filaire + serveur ldap/radius

    En terme de puissance le produit que vous avez cité est adéquat avec ce que vous voulez faire.
    Deux options s'offre à vous :

    • faire l'acquisition du produit cité.
    • monter une machine (de récupération ou neuve) avec 3 interfaces réseau (wan/wifi/lan)

    Ne par perdre de vu que pour un portail captif accessible au public (étudiant ou visiteurs) il faut que vous puissiez fournir les log à toutes organismes de contrôles ou judiciaire (du moins en France se dont je suis sûre) et conserver les log entre un à deux ans si je ne me trompe pas.
    Cela implique de fait une conservation des log du pf et du serveur d'authentification.

    Autre chose que cela implique aussi est je pense d'ajouter en fonction des problématique d'ages et de responsabilité judiciaire, un traçage des log des sites web visiter, et la pour ma part cela implique aussi un proxy qui ne pourra pas évidemment être sur le pf mais redirigé vers le proxy par le pf. idéalement sur une machine autre ou sur le serveur radius/ldap si vous ne pouvez pas faire autrement.

    Cordialement.



  • Salut Tatave ! Merci pour votre réponse ! :)

    Vous avez plutôt bien saisi la problématique. La connexion des utilisateurs, actuellement, que ce soit en filaire ou en Wi-Fi, se fait par le portail captif. Le portail Ucopia reçoit un lien trunk et est capable de gérer les différents VLANs, il me semble. pfSense en est capable également ?

    J'étais au courant pour la nécessité d'être en capacité de fournir des logs, mais je ne savais pas qu'il fallait les garder aussi longtemps, c'est bon à savoir.

    Okay pour le proxy et les logs. Vous êtes sûr que l'on ne peut pas utiliser le pfSense en tant que proxy ? Si c'est un firewall, il est en capacité de faire du NAT, donc d'agir comme proxy, non ?

    Egalement, il n'est pas possible d'auto-générer le serveur ldap/radius sur le pfSense lui-même ?

    À voir également en bonus, si il serait possible, pour avoir un réseau plus sécurisé, de remplacer la connexion portail captif par du WPA2-TLS enterprise pour sécuriser le réseau local.



  • Salut salut

    bon à vos réponse et intérrogations vous n'avez pas les compétences et les notions adéquates pour comprendre ce qu'est un pare-feu

    Vous avez plutôt bien saisi la problématique. La connexion des utilisateurs, actuellement, que ce soit en filaire ou en Wi-Fi, se fait par le portail captif. Le portail Ucopia reçoit un lien trunk et est capable de gérer les différents VLANs, il me semble. pfSense en est capable également ?

    Oui pfsense le fait si vous aviez lu la documentation et présentation du produit, encore un point qui saute aux yeux, votre non recherche.

    J'étais au courant pour la nécessité d'être en capacité de fournir des logs, mais je ne savais pas qu'il fallait les garder aussi longtemps, c'est bon à savoir.

    Ici aussi pas de recherche ni de vrai intérrogations

    Okay pour le proxy et les logs. Vous êtes sûr que l'on ne peut pas utiliser le pfSense en tant que proxy ? Si c'est un firewall, il est en capacité de faire du NAT, donc d'agir comme proxy, non ?

    Un pare-feu qui fait router n'a pas pour vrai vocation de faire tout, c'est sous la pression que quidam comme vous que cela est possible, mais pas sécure pour votre réseau cela ouvre des trous en plus dans un pare-feu, libre a vous de le faire, je m'en lave les mains dans ce cas.

    Egalement, il n'est pas possible d'auto-générer le serveur ldap/radius sur le pfSense lui-même ?

    Non c'est a proscrire pour la bonne et simple raison que c'est une application a rajouter qui n'est pas pour autant prévu pour.
    Je vous ai donné la bonne marche a suivre pour un établissement scolaire du moins en France.

    À voir également en bonus, si il serait possible, pour avoir un réseau plus sécurisé, de remplacer la connexion portail captif par du WPA2-TLS enterprise pour sécuriser le réseau local.

    les bras m'en tombent, oui les deux sont a utiliser.

    Bref il nous manque la géolocalisation de votre établissement chose où vous ne répondez pas. Cela déclenche d'autres questions, donc j'en reste la : débrouillez vous renseignez vous, formez vous et seulement ensuite revenez vers nous.

    Que faire des personnes qui sont des consommateurs et pas des personnes qui réfléchissent pour lesquels la compréhension des concepts est inutile d'assimiler pour savoir ce qu'ils font et pourquoi il le font.

    Non cordialement.



  • @Tatave:

    Ne par perdre de vu que pour un portail captif accessible au public (étudiant ou visiteurs) il faut que vous puissiez fournir les log à toutes organismes de contrôles ou judiciaire (du moins en France se dont je suis sûre) et conserver les log entre un à deux ans si je ne me trompe pas.
    Cela implique de fait une conservation des log du pf et du serveur d'authentification.

    Autre chose que cela implique aussi est je pense d'ajouter en fonction des problématique d'ages et de responsabilité judiciaire, un traçage des log des sites web visiter, …/...

    Il serait certainement intéressant de citer le ou les articles de loi concernés  ;)

    D'autant que c'est compliqué et parfois contradictoire  :P

    Dans tous les cas, cela n'a rien à voir avec la technologie mise en œuvre (du moins du point de vue de la loi): i.e. la loi ne se soucie pas de savoir si c'est un portail captif, un proxy ou autre, ni même qu ce soit filtré ou pas.
    Il existe des document dont la structure est intéressante, comme celui-ci par exemple mais qui trop ancien pour être vraiment utilisé car la loi autour d'internet a évolué très rapidement ces dernières années.

    Lorsque j'écris que la loi n'impose pas de filtrage, cela ne signifie pas qu'il n'y a pas des préconisations de la part des ministères concernés, mais même ces ministères renvoient, en ce qui concerne l'école, vers des liens qui sont obsolète (mon tout premier lien dans ce message en fait partie… 2003  ::))

    A lire quand même: internet responsable.
    et définitivement: informatique et liberté
    et dans le même ordre d'idée.



  • Le tracking des logs, authentifications, etc… Ainsi que le stockage de ses données doit aussi faire l'objet d'une déclaration à la CNIL car dans l'absolu on peut savoir qui fait quoi où quels jours à quelle heure. Déterminer les habitudes de chacun pour faire du mailing, publishing, etc...