ZeroShell    Forum
   Feed RSS Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      Qu'est ce que c'est?
      Screenshots
      Licence
      Annonces
      Liste de diffusion
      Forum
      Documentation  
      FAQ
      Hardware
      Download
      On-line Updates
      Kerberos Tutorial  
      Conditions d'utilisation
      Contactez-moi


  Dans plus de détails:
      Performances
      Net Balancer
      UMTS Routeur
      Proxy avec Antivirus
      Point d'accès WiFi
      OpenVPN Client
      OpenVPN Server
      QoS
      OpenDNS
      Kerberos 5
      NIS et LDAP
      Certificats X.509
      RADIUS
      Captive Portal
      VPN
      Firewall


Captive Portal pour l'authentification HotSpot

Dans certaines circonstances, les protocoles visant à protéger la couche 2 du réseau sans fil, tels que WPA ou WPA2 ne sont pas applicables car elles ne sont pas facile à configurer pour les utilisateurs finaux, si le bureau d'aide n'est pas disponible. D'autre part, vous pouvez utiliser ces protocoles que si le hardware (points d'accès et cartes réseau) et les systèmes d'exploitation les soutenir. Dans d'autres cas, vous avez besoin pour protéger non seulement les accès sans fil, mais aussi le réseau local câblé. La solution à ces problèmes peuvent être de passer le contrôle de l'accès de couche 2 à la couche 3 du réseau, par exemple en utilisant un portail captif. Avec cette technique, l'utilisateur doit insérer ses lettres de créance (nom d'utilisateur et mot de passe ou certificat électronique) dans son navigateur Web pour être autorisé à utiliser le réseau.

Un portail captif consiste en une passerelle qui est le routeur par défaut pour le sous-réseau à protéger. Ces blocs IP de la passerelle paquets destinés vers l'extérieur et capte les requêtes http et https sur les ports TCP 80 et 443 les rediriger vers un serveur Web (appelé serveur d'authentification) que montrer à l'utilisateur une page d'authentification. Si l'utilisateur d'insérer les informations d'identification droit, l'authentification du serveur communique à la passerelle que l'hôte de l'utilisateur est autorisé et la passerelle transmet les paquets à l'extérieur du réseau de protection. ZeroShell met en œuvre un portail captif de manière native, sans utiliser d'autres logiciels tels que NoCatAuth, NoCatSplash ou Chillispot. Les principales caractéristiques du portail captif de ZeroShell sont décrits ci-dessous:

  • il permet de faire une structure dans laquelle multigateway un serveur d'authentification ne peut fournir l'authentification weblogin à plus Gateway. Le serveur d'authentification et de la passerelle peuvent coexister sur la même machine;
  • la porte d'entrée en captivité peut fonctionner soit en mode routé ou en mode bridge (ou en mode transparent):
    • en mode routé la passerelle doit nécessairement être le routeur par défaut pour le sous-réseau protégé par le portail captif. De cette façon, seuls les paquets IP peut être transmis d'un filet à l'autre si l'authentification se passe correctement, alors que les autres protocoles qui sont encapsulés directement dans la couche 2, tels que IPX, AppleTalk, NetBEUI et le niveau 2 diffusées restent isolés;
    • En mode Bridge, cependant, la porte d'entrée en captivité agit comme un pont sur ​​2 ou plusieurs interfaces réseau (y compris de site à site VPN) dans un weblogin protégées. Avec cette modalité n'importe quel type de protocole et de la diffusion peut être transmis si l'authentification réussit. En mode bridge (ou en mode transparent) dans le réseau protégé peut partager avec le reste du réseau local du sous-réseau, le routeur par défaut et le serveur DHCP permet à un client d'avoir toujours la même adresse IP sur la protection et sur le réseau non protégé;
  • le portail captif peut également être activé pour protéger un VLAN 802.1Q plutôt que toute une interface réseau;
  • toutes les interactions entre le navigateur web de l'utilisateur et le serveur d'authentification sont cryptées en utilisant https pour éviter que les informations d'accès sur le net;
  • les clients sont identifiés par leur adresse IP et MAC. Toutefois, ces deux paramètres peuvent être facilement usurpée. Afin de résoudre le problème plus tard, la porte d'entrée en captivité nécessite que le navigateur web de l'utilisateur ont un authentificateur , qui est un message crypté généré par le serveur d'authentification et qui a régulièrement afin d'être renouvelé et envoyé à la passerelle. L'authentificateur est chiffrée en utilisant l'algorithme de chiffrement AES 256 et ne peut pas être facilement contrefaits avant son expiration. La validité de l'authentifiant peut être configuré par l'administrateur. Notez que la gestion de l'authentificateur est transparent pour l'utilisateur final du portail captif qui pourrait ignorer sa présence.
  • le serveur d'authentification est en mesure de valider les informations d'identification des utilisateurs en utilisant les locaux de base de données Kerberos 5, un externe Kerberos 5 KDC et cross-authentification entre domaines Kerberos V. Notez que, les utilisateurs de Windows de domaine Active Directory sont Kerberos 5 authentifié et donc vous pouvez les autoriser à utiliser le réseau en utilisant Internet connexion authentifiée par le KDC Active Directory.
    L'utilisateur a la possibilité de choisir le bon domaine (ou royaume) en le sélectionnant dans une liste dans la page de connexion Internet ou en utilisant un nom d'utilisateur de la forme username@domaine.
    Partir de la version 1.0.beta6 de ZeroShell, le Captive Portal est capable d'authentifier les utilisateurs en utilisant des serveurs RADIUS externes et les certificats X.509. La dernière fonctionnalité permet d'utiliser les cartes à puce pour la connexion réseau avec portail captif.
  • il est possible de déclarer une liste des clients libres pour lequel l'authentification n'est pas nécessaire;
  • il est possible de définir une liste de services gratuits fournis par des serveurs externes que les clients peuvent utiliser sans authentification;
  • la page de connexion web et la langue à utiliser pendant la phase d'authentification peut être configuré par l'administrateur;
  • après l'authentification, une fenêtre apparaît à l'utilisateur pour garantir le renouvellement de l'authentificateur et de lui permettre de forcer une demande de déconnexion en cliquant sur un bouton. ZeroShell utilise des techniques spéciales afin d'éviter que les systèmes anti-popup, qui sont présents dans la plupart des navigateurs, bloquer cette fenêtre provoquant une déconnexion prématurée en raison de l'expiration de l'authentifiant;
Dans les prochaines versions de la comptabilité est gérée et vous permettra de connaître la durée et le trafic de la connexion d'un utilisateur.



    Copyright (C) 2005-2012 by Fulvio Ricciardi