Hotspot — Portail captif
Hotspot, portail captif … Qu’est ce que c’est ?
1 — Définition d’un Hotspot et d’un portail captif
La dénomination exacte d’un hotspot est Wireless Internet hotspot. Il s’agit d’un lieu où la connexion vers un réseau Internet est possible via une connexion sans fil et grâce à un ensemble de technologies et de protocoles misent en œuvre. On parle également de borne ou de point d’accès Wi-fi. Les hotspot se sont rapidement développés à l’échelle mondial permettant ainsi à des utilisateurs nomades disposant d’équipements adaptés (ordinateurs ou téléphones portables compatibles, PDA et autres) à se connecter à Internet de partout avec beaucoup de simplicité. Si ces connexions Internet sont ouvertes au grand public, cela ne veut pas dire qu’il n’existe aucune protection à l’accès et pour les utilisateurs. Nous savons bien qu’une fois connectés sur un même réseau, les utilisateurs deviennent potentiellement vulnérables. La première des protections qui a été mise en place au sein des hotspot est le portail captif.
Le portail captif est un logiciel qui s’installe sur un hotspot et qui permet de gérer l’authentification des utilisateurs qui souhaitent se connecter à Internet. Il faut noter que tous les hotspot ne fonctionnent pas sur le principe d’un portail captif, mais pour des raisons de sécurité de plus en plus de hotspots souhaitent aujourd’hui disposer d’un portail captif.
Le portail captif a réussi à s’imposer comme la solution pour les réseaux sans fil publics qu’ils soient gratuits ou payants. Mais il faut noter que le portail captif peut également fonctionner sur des réseaux filières. Il n’y pas d’exception entre réseau sans fil ou réseau filière, le but est de forcer l’utilisateur à s’identifier avant d’accéder au réseau Internet. L’identification se fait généralement via une page Internet et pour les hotspots payant elle peut nécessité le paiement par carte bancaire.
Pour mieux comprendre le portail captif, nous vous invitons à passer à la deuxième partie de notre exposé dans laquelle nous traiterons exclusivement de la mise en œuvre et du fonctionnement d’un portail captif.
2 – Mise en ouvre et fonctionnement d’un portail captif
Installer un portail captif nécessite de faire le choix entre plusieurs solutions possibles. Cela veut dire qu’il existe plusieurs logiciels susceptibles de servir de portail captif. Ces logiciels sont souvent des solutions open source. Ils sont installer sur des équipements qui permettant de les faire fonctionner.
La technique du portail captif est plus ou moins la même quelque soit la solution utilisée, le but est de mettre en jeu plusieurs équipements et protocoles permettant à l’utilisateur de se connecter au serveur.
Théoriquement comment ça se présente ?
L’utilisateur commence par se connecter à un réseau (en filière ou en Wi-fi), cette connexion se fait sans problème grâce à des protocoles spécifiques. Une fois connecté, l’utilisateur est dirigé automatiquement vers un serveur DHCP qui lui attribut une adresse IP. L’adresse IP est une sorte d’identité pour l’utilisateur nécessaire également pour envoyer des informations (protocole TCP/IP).
Mais l’utilisateur n’a pas toujours accès à Internet pour le moment mais il est connecté au réseau. Il va donc lancer une page Internet. Cette page va envoyer une requête de type Web grâce au protocole HTTP vers le serveur, cette requête passe obligatoirement par la passerelle qui elle va renvoyer à l’utilisateur une page web d’authentification.
Si l’utilisateur dispose des paramètres nécessaires (Login/password) pour se connecter au réseau. Il va donc les saisir et transmettre ces informations sur le serveur. Il est important de noter que la page envoyée à l’utilisateur est cryptée grâce au protocole SSL qui permet de protéger les données qui sont transmises par l’utilisateur pour son authentification.
Il va ensuite se produire un ensemble d’opérations au sein de différents serveurs. Dans un premier temps les données cryptées sont envoyés dans le serveur de base de données qui vérifie que cet utilisateur existe bel et bien. Si le serveur de bases de données constate que l’utilisateur existe, selon le portail captif en œuvre, il envoie les informations vers le serveur d’authentification. Il s’agit du serveur radius. Les portails captifs cités dans ce dossier sont tous compatibles Radius et pour information nécessite tous le fonctionnement d’apache, MySQL et PHP. Mais cela n’est pas le cas pour tous les portails captifs.
Toutefois, après vérification sur le serveur d’authentification, des informations liées à l’adresse IP et l’adresse physique (adresse MAC) de l’utilisateur sont envoyées vers la passerelle afin d’ouvrir l’accès à l’utilisateur qui pourra par la suite se connecter au réseau Internet.
Ces opérations se font en quelques secondes, elles sont quasiment invisible pour l’utilisateur qui restera ainsi connecté un bon moment mais des requêtes ping lui seront régulièrement envoyées afin de vérifier qu’il est toujours connecté. Si le serveur constate un moment d’absence, l’utilisateur sera déconnecté et devra par la suite relancer la procédure d’authentification.
Maintenant examinons à l’aide d’un schéma ce qui s’est techniquement passé :
Sur ce schéma il apparaît de nouveau élément qui n’ont pas été mentionné dans la partie théorique. Cela est tout a fait normal car nous estimons qu’il est plus facile de détailler un mécanisme à l’aide d’un schéma.
En fait, il y a pas grand chose de nouveau par rapport à ce qui a été dit dans la partie théorique. Il y a le pare-feu et le LDAP au niveau du serveur d’authentification qui n’ont pas été cités. D’autres éléments comme les routeurs et autres qui rentrent en jeu n’ont également pas été cités sur ce schéma. Notre but est de synthétiser le fonctionnement d’un portail captif.
Donc si on résume le schéma, l’utilisateur essaye de se connecter, il passe par la passerelle qui va chercher la page d’authentification disponible dans le portail captif. La passerelle renvoie à l’utilisateur cette page d’authentification. Ensuite c’est la procédure qui s’enchaine jusqu’à l’accès Internet. Par contre nous souhaitons également parler du LDAP. Il s’agit du protocole mis en jeux au niveau du serveur d’authentification permettant d’interroger ou de modifier l’annuaire. Pour ce qui est du pare-feu, pas grand chose à dire, il s’agit simplement d’une protection mise en place lorsque l’accès à Internet est effective. Mais nous tenons quand même à signaler que le pare-feu est géré par des iptables, ce qui permet classer le trafic et d’identifier grâce au tables mangle et au filter un trafic pouvant correspondre à un couple adresse MAC/adresse IP. C’est une partie lié à la sécurité que nous souhaitions mettre en évidence.
3 – Les protocoles utilisées dans le cadre d’un portail captif
Dans le cadre d’un portail captif, de nombreux protocoles sont mis en service. Les principaux sont les suivants :
- Le protocole HTTP et HTTPS : Il permet la communication entre le client et le serveur. Grâce au HTTPS, les communications peuvent être sécurisé. Il est utilisé lors de l’envoie des données sensibles comme les mots de passe.
- Protocole IP : Pour l’adressage des machines et l’acheminement des données
- Le protocole SSL : Utilisé spécialement dans le transmission des paramètres de connexion ou le paiement pour carte bancaire (Pour les hotspot payants). Il permet de transporter les données chiffrées.
- Le protocole EAP : Spécialement utilisé pour contrôle d’accès. Il permet d’établir l’accès à un réseau pour l’utilisateur.
- LDAP : Il permet interroger et de modifier les services de l’annuaire au niveau pour le serveur d’authentification.
4 – Avantages et inconvénients
Malheureusement, un portail captif présente plusieurs inconvénients mais il y a également quelques avantages.
Parmi les inconvénients on note :
- Il n’existe malheureusement pas un système entièrement sécurisé avec un risque zéro.
- On ne peut pas se fier à la fiabilité des utilisateurs.
- Une fois connecté l’usurpation d’identité reste possible car les adresses MAC et IP d’un utilisateur sont facilement imitables.
- Même si l’authentification se fait sur un protocole sécurisé, il se peut que la transmission des données se fassent en clair.
Malheureusement, malgré toutes les mesures que l’on peut prendre le risque zéro n’existe pas et même si un portail captif permet de filtrer l’accès au hotspot, cela ne veut pas dire que l’on a réussi à se mettre à l’abri.
Mais il faut dire qu’un portail captif a réussi à réduire considérablement les risques, d’attaque sur les réseaux public. C’est un système qui permet de dissuader les utilisateurs malveillants à bien se tenir. Son principal avantage est l’authentification obligatoire. Lorsqu’on se connecte à un hotspot via un portail captif, les informations demandées ont très souvent un rapport avec notre identité.
Cette technique est mise ne place au sein des portails captifs afin de garantir la traçabilité de toutes les actions effectuées sur le serveur.
Mais comment assurer la traçabilité de chaque activité ? Cette question nous amène au dernier point de notre exposé lié à la sécurité :
5 – Les services de sécurité offerts.
La première sécurité qu’offre un portail captif est l’authentification, cela permet par la suite de mettre en place tout un de service de sécurité car les utilisateurs sont tous identifiables. Cette partie lié aux service de sécurité nous permet de répondre sur les possibilités offertes par le logiciel libre. Il faut savoir que la plupart des portails captifs sont open source, mais le logiciel libre met également à la disposition des administrateurs réseaux une panoplie de logiciels liés à la gestion et la surveillance des réseaux.
