Proxy ou portail captif?



  • Bonjour,

    je vous exprime la problématique.

    J'ai actuellement un réseau d'entreprise sous pfsense, avec derrière un LAN où sont connectés des équipements par ethernet ET par WIFI.
    Pour le moment, j'ai activé le filtrage MAC du DHCP pour contrôler les équipements autorisés à se connecter.

    Cependant, je vais devoir modifier cette politique là car on m'a demandé de pouvoir fournir un accès à des invités (fournisseurs ou autre), et j'ai pas envie de récupérer leurs adresses MAC à chaque fois pour enregistrer….

    j'aimerais donc:

    • activer un système d'authentification par compte utilisateur
    • que les MAC précédemment recensées et enregistrées n'aient pas besoin de s'authentifier
    • que je puisse avoir les logs dans SQUID avec les comptes utilisateurs associés et plus uniquement les IP

    Vaut-il mieux utiliser un proxy ou un portail captif pour cela?

    en vous remerciant par avance



  • Si tu veux des "log Squid" la question de la solution ne se pose pas, c'est Squid.

    Je n'ai pas trop le temps de développer (je le ferai ce soir) mais déjà ton approche sans invités ne me semble pas la plus pertinente.



  • Au lieu de faire un fil 'question', vous auriez du commencer par lire les nombreux fils sur le même sujet …
    Quel serait l'intérêt d'un forum qui, N fois répètent les mêmes questions ?
    Il est probable que, poser les arguments de chaque fil, permettrait de mieux comprendre la problématique ...

    Il est notable que 'proxy' et 'portail captif' sont 2 choses différentes et non équivalentes, et, qui sait, complémentaires.
    Ce n'est donc pas 'ou' mais sans doute comment on met les 2 ensemble pour résoudre un besoin ...



  • Je reviens vers toi avec quelques commentaires supplémentaires:

    @mehrunes:

    Pour le moment, j'ai activé le filtrage MAC du DHCP pour contrôler les équipements autorisés à se connecter.

    Au delà du fait que ça commence à être fastidieux dès lors que tu as plus de quelques machines, cette approche est inefficace sauf à t'assurer que personne ne peut, sur sa machine, changer l'adresse MAC pour une qui est autorisée par ton flitrage

    @mehrunes:

    Cependant, je vais devoir modifier cette politique là car on m'a demandé de pouvoir fournir un accès à des invités (fournisseurs ou autre), et j'ai pas envie de récupérer leurs adresses MAC à chaque fois pour enregistrer….

    Du coup, cette demande te pousse à aller dans la bonne direction

    @mehrunes:

    • que les MAC précédemment recensées et enregistrées n'aient pas besoin de s'authentifier

    J'avoue ne pas comprendre ce point

    @mehrunes:

    Vaut-il mieux utiliser un proxy ou un portail captif pour cela?

    Ces 2 composants n'ont pas du tout le même usage.
    Le portail captif va ouvrir des règles dans le firewall, éventuellement pour d'autres protocoles que ceux acceptés par le proxy HTTP alors que le proxy va se charger de relayer vers internet la requête de l'utilisateur.



  • @mehrunes:

    • que les MAC précédemment recensées et enregistrées n'aient pas besoin de s'authentifier

    En fait j'ai des postes de travail qui sont utilisés par pleins de personnes différentes pendant la journée, et je crains que ca ne soit un peu le bazar de gérer des comptes utilisateurs sur ces équipements là.

    @mehrunes:

    Vaut-il mieux utiliser un proxy ou un portail captif pour cela?

    Ces 2 composants n'ont pas du tout le même usage.
    Le portail captif va ouvrir des règles dans le firewall, éventuellement pour d'autres protocoles que ceux acceptés par le proxy HTTP alors que le proxy va se charger de relayer vers internet la requête de l'utilisateur.

    La problématique principale en fait c'est de proposer une méthode simple pour savoir qui fait quoi sur le réseau internet (on est sur un site sensible).

    Donc initialement, j'avais un parc de machines fixes avec lesquelles j'ai effectué des réservations MAC/IP dans le DHCP, qui me permettait ensuite de tracer les connexions via lightsquid vu que je savais quel IP était attribuée a tel poste.
    On m'a ensuite demandé de rajouter un réseau WIFI sécurisé pour un groupe très restreint de personnes, j'ai du coup garder le même fonctionnement.

    Mais comme maintenant on me demande de pouvoir autoriser des invités à se connecter (et ils sont bien plus nombreux) ce que j'ai fais avant ne tient plus du tout la route.



  • @mehrunes:

    En fait j'ai des postes de travail qui sont utilisés par pleins de personnes différentes pendant la journée, et je crains que ca ne soit un peu le bazar de gérer des comptes utilisateurs sur ces équipements là.

    la réponse à "qui fait quoi" signifie identifier des utilisateurs et non pas des machines, ce qui impose un login / password, ou autre mécanisme d'identification par utilisateur. Mais cela ne signifie nullement de gérer des comptes en local sur chaque machine. tu pourrais, par exemple, imaginer un poste en "libre service" qui demande à l'utilisateur de s'authentifier lorsqu'il accède au proxy.

    @mehrunes:

    Vaut-il mieux utiliser un proxy ou un portail captif pour cela?

    Mais comme maintenant on me demande de pouvoir autoriser des invités à se connecter (et ils sont bien plus nombreux) ce que j'ai fais avant ne tient plus du tout la route.

    Et le vrai soucis, derrière ta question est, selon moi, la gestion des identifiants des comptes invités.

    J'imagine plus, mais je ne connais pas exactement tes besoins, une solution de proxy avec authentification pour les comptes "gérés" et un mécanisme différent pour les invités si tu ne peux pas géré un login pour chacun d'entre eux.
    Peut-être une solution de type NAC ? ou si c'est du wifi, des SID différents avec des VLAN différents (en WPA2) et à ce moment là un portail captif pour les invités, par exemple bien sûr  :)



  • Effectivement ce type de fonctionnement serait intéressant pour les postes en libre service.
    En fait le proxy demande les identifiants lorsqu'on lance une page internet c'est cela? un peu comme le portail captif en soi.

    Effectivement il serait plus simple d'avoir des fonctionnements différents pour les personnes "autorisés" et les invités.

    Mais une question me vient à l'esprit. J'avais vu qu'avec le portail captif on pouvait voir dans les logs quel IP avaient été attribuée à tel utilisateur à telle date/heure.
    Du coup en combinant ces informations avec celles de lightsquid (qui "filtre" par IP), je pourrais être en mesure de savoir qui a fait quoi…

    c'est peut-être plus compliqué pour tracer des connexions, mais on me le demande pas tous les jours non plus...
    Et un portail captif serait je pense adaptable pour tous mes "types" d'utilisateurs



  • @mehrunes:

    Mais une question me vient à l'esprit. J'avais vu qu'avec le portail captif on pouvait voir dans les logs quel IP avaient été attribuée à tel utilisateur à telle date/heure.
    Du coup en combinant ces informations avec celles de lightsquid (qui "filtre" par IP), je pourrais être en mesure de savoir qui a fait quoi…

    au delà du fait que la corrélation est un peu compliquée sans outils spécialisés (est-ce raisonnable de monter une plateforme elasticsearch pour ça  par exemple ?) il faut bien te mettre dans la tête que le portail va te dire qui a déclenché la règle qui permet l'accès au travers du FW mais la corrélation avec le log du proxy n'est qu'une pure supputation: si mon jeton pour le portail captif est valable 4H, que je m'authentifie, accède à internet et laisse le poste à un autre utilisateur, que vas-tu voir dans le log du proxy ?
    une IP n'est en aucun cas, jamais, égale à une personne. Le principe même de cette approche n'est, selon moi, pas bon.

    De plus, je suppute, dans ce que tu décris, que ton proxy est en mode transparent. Ce qui signifierait qu'il ne supporte pas l’authentification.



  • Mais une question me vient à l'esprit. J'avais vu qu'avec le portail captif on pouvait voir dans les logs quel IP avaient été attribuée à tel utilisateur à telle date/heure.
    Du coup en combinant ces informations avec celles de lightsquid (qui "filtre" par IP), je pourrais être en mesure de savoir qui a fait quoi…

    Rappelons, encore une fois, à tous les amateurs de portails captifs et autres proxy (notamment transparents) que ni l'adresse mac, ni l'adresse ip ne sont des éléments d'authentification fiables de quoi que ce soit. Ces éléments ont une raison d'être qui n'a rien à voir avec les questions d'authentification. Dans le domaine judiciaire, qui est susceptible de concerner n'importe quelle structure n'importe quand, il n'est pas possible d'imputer une action à un utilisateur sur la base d'une adresse ip ou mac. Au mieux on peut établir une présomption, mais pas une preuve.
    Si l'on parle d'authentification utilisateur de manière sérieuse tout cela ne tient pas la route.
    Si l'on souhaite authentifier une machine ce n'est pas vraiment mieux.