Journal Page d'accueil réseau Wifi

Posté par .
Tags : aucun
0
4
jan.
2005
Salut,

Est-il possible d'utiliser iptables ou squid pour faire en sorte que la toute première page affichée par un utilisateur de mon réseau wifi soit une page définie, et ce quelle que soit l'url demandée ?

On m'a parlé aussi de nocat (http://nocat.net/(...)), qu'en pensez vous ? est-il possible de faire en sorte que l'authentification soit gérée de façon transparente : un accès -> affichage page accueil -> auth transparente -> accès total ?

Les utilisateurs du wifi sont isolés derrière un proxy transparent iptables+squid.

Je souhaite les informer par le biais de cette page d'accueil des différents services disponibles sur le réseau.

Merci.
  • # TLDP

    Posté par (page perso) . Évalué à 7.

    Voir sur TLDP (The Linux Documentation Project) le Authentification Gateway Howto.

    http://www.tldp.org/HOWTO/Authentication-Gateway-HOWTO/index.html(...)
  • # Nocat

    Posté par . Évalué à 3.

    Nocat est pour moi la seule solution (autre que VPN) de sécurité pour le wifi avec authentification (ne me parlez pas de WEP, ça ne sert à rien). Ce n'est pas forcément la meilleure solution, mais je n'ai pas trouvé mieux.

    En gros, si tu utilises squid pour authentifier tes utilisateurs, il faut savoir qu'il n'y a pas de solution sécurisée d'authentification. En mode Basic le mot de passe transite en clair, en mode NTLM, le mot de passe ne transite pas en clair mais c'est tout comme (c un peu un base64 du mot de passe).

    L'avantage de Nocat est que tu vas faire l'authentification via HTTPS.
    En gros, l'utilisateur se connecte sur le wifi et tente d'aller sur internet via un navigateur (c'est obligé).
    Il est alors la première fois redirigé sur une page HTTPS d'authentification. Si ça marche, alors des règles iptables lui permette de sortir. Sinon, il ne peut pas sortir. Il peut a tout moment fermer sa session (ou alors un timeout la ferme au bout d'un moment).

    A savoir, cette méthode ne permet que d'authentifier les utilisateurs de manière sécurisée (via https), il n'y a aucune sécurité des informations qui transitent sur le réseau. Quelqu'un qui lit ses emails via pop fera transiter son mot de passe en clair. Si c'est le même pour l'authentification, on considère que c'est une faille.

    Voila. Si tu as besoin de plus d'explication, n'hésites pas
    (PS: il marche encore le correcteur orthographique ou alors je ne fais plus de fautes ?)
    • [^] # Re: Nocat

      Posté par . Évalué à 3.

      Justement (je me suis mal expliqué) la sécurité au sein du réseau wifi ne me pose aucun problème... actuellement, n'importe qui qui se trouve dans la zone couverte par mon ap a accès au net directement, sans aucune authentification, via le proxy transparent.

      Mon idéal est d'ailleurs qu'il n'y ait aucune identification à effectuer pour l'utilisateur.

      Mais il semble que je sois obligé de passer par là, sauf miracle...
      L'objectif dans ce cas est de rendre l'authentification totalement transparente pour l'utilisateur.

      Mon seul souhait est d'afficher à la première connexion un portail qui regroupe les différents services proposés, et qui permette d'étendre éventuellement ce réseau avec un appel à contribution.

      Je ne sais pas si c'est possible ?
      • [^] # Re: Nocat

        Posté par . Évalué à 1.

        Salut,

        Et bien, tu pourrais faire une base de données qui regroupe les utilisateurs de ton réseau, et la coupler à Squid.

        Quand un utilisateur demande une page, Squid interroge la base de données :

        - Si l'utilisateur n'est pas référencé dans la base, on affiche une page web d'info qui s'occupera en background de l'ajouter à la base avec une durée de vie de par exemple 20 minutes
        - Si l'utilisateur existe, Squid reseterra le timeout pour qu'il soit de nouveau à 20 minutes
        - Si l'utilisateur existe mais qu'il a dépassé son temps de vie, on réaffiche la page.

        Ca semble le plus simple pour ce que tu veux faire, non =
    • [^] # Re: Nocat

      Posté par . Évalué à 2.

      pourquoi pas utiliser WPA en plus pour pas que tout transite en clair ?
      • [^] # Re: Nocat

        Posté par . Évalué à 3.

        Parce que WPA n'est pas encore bien supporté sur tous les OS, parec que WPA nécessite de racheté du matos pour tous les gens qui en ont du un peu trop vieux, bref, parce que WPA n'est pas une solution...
    • [^] # Re: Nocat

      Posté par . Évalué à 2.

      Il peut a tout moment fermer sa session (ou alors un timeout la ferme au bout d'un moment).
      Bon, et moi, je suis à coté bien gentiment en train de sniffer le reseau. Je repère l'adresse ip du gars, son addresse MAC sans probleme.
      Rien ne m'empèche de me faire passer pour lui dès qu'il est parti s'il ne ferme pas sa session comme j'imagine 99% des gens (qui clique sur déloguer sur imp, yahoo ou linuxfr?)



      re:PS: le correcteur n'est pas actif pour les commentaires (trop de charge).
      • [^] # Re: Nocat

        Posté par . Évalué à 2.

        D'un autre coté, si tu sniffes, tu vois les mots de passe qui transiste... a moins que l'utilisateur se connecte via ssl sur linuxfr, mais sous yahoo je doute que ça existe.

        Parce que la sécurité WEP, ça ne dure que 5 minutes, et WAP c'est pas encore supporté par tout le monde, et je ne pense pas que ça va être hyper sécure.

        Donc sniffer pour faire du re-jeu ne peut te permettre que d'accéder à internet, le reste n'est pas garanti au point de vue sécurité.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.