Retour portail Captif

Motivation

Pour des raisons de sécurité, les ordinateurs du réseau pédagogique doivent tous, sans exception, être intégrés au domaine MAGRET. C'est très contraignant et il y a de fortes demandes d'exceptions :

  • accès internet d'ordinateurs personnels d'élèves internes,
  • enseignement de l'informatique. Robert Cabane, Inspecteur Général, membre du groupe d'experts pour la mise en place de la spécialité ISN en terminale S dit que cet enseignement n'est pas envisageable dans un réseau paranoïaque.

Solution choisie

Le gestionnaire réseau de mon établissement a reproduit ce qui avait été fait dans le lycée pôle d'appui du bassin : Portail captif pfsense

Cette solution est celle utilisée dans les lieux publics (hôtels …) pour l'accès wifi et elle a l'avantage de ne pas avoir à entretenir un annuaire d'utilisateurs puisque qu'elle exploite l'annuaire Active Directory magret ( et malheureusement pas l'annuaire ENT ).

LACUNE : elle ne répond pas à l'obligation de garder les traces de QUI a visité QUOI sur intermet depuis l'établissement (logs de connexion). Les logs du serveur SLIS enregistrent les sites visités mais, pour lui, toutes ces visites sont effectuées par le portail captif et c'est insuffisant.

Les logs

Bien que très complète la version de pfsense utilisée (1.2.3 dernière version stable) ne propose pas :

  • de proxy : les logs produits auront les adresses IP visitées mais pas les noms des sites (SLIS les connait) ;
  • de gestion des logs : il faut une solution externe.

En revanche on peut :

  • mettre en place un pare-feu, la mission TICE académique a d'ailleurs choisi pfsense pour protéger nos réseaux pédagogiques ;
  • envoyer l'activité de ce pare-feu à un serveur de logs.

Détails

Serveur pfsense

  • Firewall , Rules

Signification des icones : vert = règle non bloquante , bleu = on garde trace du trafic géré par la règle dans les logs

  • Status , System logs , Settings

On active les logs pour l'authentification et l'activité du pare feu.

Pfsense genère des logs mais ne les conserve pas. La solution retenue est de les envoyer à un ordinateur chargé de les archiver.

Serveur de logs

Il est placé dans le réseau pédagogique (“wan pour pfsense”), le service installé est syslog-ng

Voici ce que j'ai ajouté au fichier de configuration “/etc/syslog-ng/syslog-ng.conf

source s_pfsence { udp( port(514) ) ;}; 

destination dpfs_auth {
        file("/var/log/pfsence/$YEAR/$MONTH/$DAY/auth.log"
        create_dirs(yes));
};
destination dpfs_firewall {
        file("/var/log/pfsence/$YEAR/$MONTH/$DAY/firewall.log"
        create_dirs(yes));
};

filter f_login{ host("192.168.0.3") and message("LOGIN:") or message("LOGOUT:");};
filter f_visites{ host("192.168.0.3") and message("proto TCP") ;};

log {  source(s_pfsence); filter(f_login);  destination(dpfs_auth);  };
log {  source(s_pfsence); filter(f_visites);  destination(dpfs_firewall);  };

Une fois mis à jour le fichier de configuration, il faut relancer le service (“sudo service syslog-ng restart” sur ubuntu)

Il faudrait améliorer cette configuration pour rendre le log plus lisible. Il faudrait aussi gérer la rotation des logs.

Des liens :

http://wiki.auf.org/wikiteki/Syslog-ng

http://www.hsc.fr/ressources/breves/syslog-ng.html.fr

Retour portail Captif

 
reseaux/station_non_integree_au_domaine_pf.txt · Dernière modification: 2014/10/23 08:30 (modification externe)
 
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki