Portail captif : Limiter le nombre d'authentifications



  • Bonjour,

    Lorsque l'on crée un portail captif pour du WiFi tout le monde peut se connecté dessus si on le laisse ouvert pour un accès invité. Cependant il y a de nombreuse personnes mal intentionné.
    Beaucoup vont s'amuser à attaquer le réseau, essayé de se connecté au portail captif par des méthode de brute force, …
    Je cherche dans Pfsense si il est possible à un endroit de pouvoir limiter le nombre de tentatives de connexions par adresse IP ou adresse MAC sur le portail captif. Et à limiter le temps de connexion d'une adresse IP sans authentification (que si une adresse IP ne s'authentifie pas au portail captif au bout de x temps, qu'elle soit déconnecter).

    Je n'ai pas trouver, cela n'est peut-être pas possible mais je tente quand même ici, peut-être quelqu'un possède une solution.

    Merci.

    A bientôt.



  • En pratique, pour les motifs que vous indiquez à raison, je ne pratique pas tout à fait ainsi.
    J'utilise le plus souvent la base de compte local. Avec quelque chose comme invité 1, etc et un mot de passe simple.

    Si vous activez le "Hard timeout", l'option "Disable concurrent logins" et que vous créez un nombre de comptes adapté, cela ne règle t il le problème en grande partie ?
    Login en https bien sur.

    Même si le portail captif est destiné aux invités, je pars du principe que je connais mes invités, que je leur donne un login + mot de passe simple, mais que je n'accepte pas les squatters.



  • En fait ce genre de possibilité est offerte par pf.
    Dans les propriétés avancées on peut déterminer le nombre de connexion et de tentative de connexion pour un flux.

    Maintenant, le cas du portail captif est un peut être un peu différent car le portail captif utilise un autre firewall (ipfw) car c'est un héritage direct de m0n0wall.
    Si je ne m'abuse, il faut créer une règle sur la carte posédant le portail captif pour autoriser les utilisateurs à atteindre la page de login (connexion vers por 8000 si je me trompe pas). C'est sur cette règle que j'ajouterais ce que vous voulez dans les paramètres avancés.
    Maintenant, cela fait un bout de temps que je n'ai pas activé un CP et je ne sais pas si dans la release actuelle cette règle n'est pas auto générée. Si c'est le cas, il faut trouver où (/etc/inc/) et réaliser un patch ;-).


Log in to reply