Securisation des données [Pfsense - Client]



  • Bonjour,

    wan –-- pfsense ---- lan
                    |
                    |
            Radius + AD

    Actuellement, mon portail wifi marche,
    Mes utilisateurs de active directory peuvent s'identifier au prés de pfsense par le reseau lan, mais le seul probleme c'est que les données echangées entre le serveur pfsense & les postes clients ne sont pas du tout cryptés lorsqu'ils surfent sur le web.

    Quel moyen me conseillez vous pour cryptés les données ?



  • Si le lan est en wifi alors WPA2, si le lan est en filaire alors IPSEC.



  • en effet mon lan est en wifi, et mon wan est en filaire

    donc si j'ai bien compris, il faut que j'active le wpa2 sur mon point d'access wifi pour que les données soit cryptées.
    mais le truc qui me derange, c'est que les utilisateurs doivent connaitre la clef wpa2 ? donc il n'y a plus aucun interet d'avoir un portail captif …



  • Je pense le mieu ca serait de sécuriser le surf tout en SSL, sur pfsense



  • Tu confonds deux fonctions, le portail captif permet de controler l'accès à une ressource (mais pas crypter les données) alors que le WPA2 permet de crypter la communication.
    Dans ton cas tu veux associer ces deux fonctions.

    Ca c'est une solution sans intrusion sur le poste client, pas d'install de soft. Après avec un soft côté client tu peux te reporter sur IPSEC ou SSL (openVPN).



  • Oui mais comment faire pour sécuriser les données entre le client et le portail? et après qu'il soit connecter au portail, comment peut on continuer a protéger les données?



  • Comme je l'ai déjà dit plus haut, ton besoin peut etre comblé :

    • par un cryptage lié au support : WEP,WPA etc
    • par un cryptage IP: IPSEC


  • Même problème, existe t'il en complément du portail captif un moyen de sécuriser la connection filaire entre l'ap et le client qui ne demande pas trop de configuration pour ce dernier (distribution de la clef WPA ou WEP).



  • Je suis un peu surpris par cette façon de voir les choses. On s'inquiète de la sécurité (ici confidentialité et éventuellement intégrité) des données transmises via un réseau Wifi alors qu'il est connu et établi que cette technologie est fondamentalement faible d'un point de vue sécurité. C'est un peu comme construire un blockhaus sur du sable.
    Ensuite d'après le schéma de ce réseau, les données des utilisateurs connectés via le portail vont, majoritairement, prendre la direction d'internet. Si le serveur accédé est en http, les données vont circuler en clair sur le réseau public, endroit encore moins sûr qu'un réseau wifi. Inutile de mettre une porte blindée de 30 cm en façade avec une baie vitré sur l'arrière.
    Si la sécurité est un enjeu fort alors pas de wifi. Cette technologie est proscrite dès lors que vous un agrément confidentiel défense pour l'entreprise, ce qui est un exemple d'enjeu de sécurité fort.
    La solution postée par Juve me semble tout à fait cohérente et convient à la situation. Si vous estimez qu'elle ne convient pas , c'est l'usage du wifi qu'il faut remettre en cause.
    Au mieux la sécurité d'un système ne vaut pas plus que le maillon le plus faible.



  • On voulait juste savoir quelles possibilités on avait pour sécuriser après notre Wifi.
    Vous nous avez citer un client IPsec VPN et comme pfsense gère l'ipsec, on va se pencher dessus


Log in to reply