Salut,
Est-il possible d'utiliser iptables ou squid pour faire en sorte que la toute première page affichée par un utilisateur de mon réseau wifi soit une page définie, et ce quelle que soit l'url demandée ?
On m'a parlé aussi de nocat (http://nocat.net/(...)), qu'en pensez vous ? est-il possible de faire en sorte que l'authentification soit gérée de façon transparente : un accès -> affichage page accueil -> auth transparente -> accès total ?
Les utilisateurs du wifi sont isolés derrière un proxy transparent iptables+squid.
Je souhaite les informer par le biais de cette page d'accueil des différents services disponibles sur le réseau.
Merci.
# TLDP
Posté par niol (site web personnel) . Évalué à 7.
http://www.tldp.org/HOWTO/Authentication-Gateway-HOWTO/index.html(...)
# Nocat
Posté par Matthieu . Évalué à 3.
En gros, si tu utilises squid pour authentifier tes utilisateurs, il faut savoir qu'il n'y a pas de solution sécurisée d'authentification. En mode Basic le mot de passe transite en clair, en mode NTLM, le mot de passe ne transite pas en clair mais c'est tout comme (c un peu un base64 du mot de passe).
L'avantage de Nocat est que tu vas faire l'authentification via HTTPS.
En gros, l'utilisateur se connecte sur le wifi et tente d'aller sur internet via un navigateur (c'est obligé).
Il est alors la première fois redirigé sur une page HTTPS d'authentification. Si ça marche, alors des règles iptables lui permette de sortir. Sinon, il ne peut pas sortir. Il peut a tout moment fermer sa session (ou alors un timeout la ferme au bout d'un moment).
A savoir, cette méthode ne permet que d'authentifier les utilisateurs de manière sécurisée (via https), il n'y a aucune sécurité des informations qui transitent sur le réseau. Quelqu'un qui lit ses emails via pop fera transiter son mot de passe en clair. Si c'est le même pour l'authentification, on considère que c'est une faille.
Voila. Si tu as besoin de plus d'explication, n'hésites pas
(PS: il marche encore le correcteur orthographique ou alors je ne fais plus de fautes ?)
[^] # Re: Nocat
Posté par SubBass . Évalué à 3.
Mon idéal est d'ailleurs qu'il n'y ait aucune identification à effectuer pour l'utilisateur.
Mais il semble que je sois obligé de passer par là, sauf miracle...
L'objectif dans ce cas est de rendre l'authentification totalement transparente pour l'utilisateur.
Mon seul souhait est d'afficher à la première connexion un portail qui regroupe les différents services proposés, et qui permette d'étendre éventuellement ce réseau avec un appel à contribution.
Je ne sais pas si c'est possible ?
[^] # Re: Nocat
Posté par L. R. . Évalué à 1.
Et bien, tu pourrais faire une base de données qui regroupe les utilisateurs de ton réseau, et la coupler à Squid.
Quand un utilisateur demande une page, Squid interroge la base de données :
- Si l'utilisateur n'est pas référencé dans la base, on affiche une page web d'info qui s'occupera en background de l'ajouter à la base avec une durée de vie de par exemple 20 minutes
- Si l'utilisateur existe, Squid reseterra le timeout pour qu'il soit de nouveau à 20 minutes
- Si l'utilisateur existe mais qu'il a dépassé son temps de vie, on réaffiche la page.
Ca semble le plus simple pour ce que tu veux faire, non =
[^] # Re: Nocat
Posté par M . Évalué à 2.
[^] # Re: Nocat
Posté par lesensei . Évalué à 3.
[^] # Re: Nocat
Posté par Pierre . Évalué à 2.
Bon, et moi, je suis à coté bien gentiment en train de sniffer le reseau. Je repère l'adresse ip du gars, son addresse MAC sans probleme.
Rien ne m'empèche de me faire passer pour lui dès qu'il est parti s'il ne ferme pas sa session comme j'imagine 99% des gens (qui clique sur déloguer sur imp, yahoo ou linuxfr?)
re:PS: le correcteur n'est pas actif pour les commentaires (trop de charge).
[^] # Re: Nocat
Posté par Matthieu . Évalué à 2.
Parce que la sécurité WEP, ça ne dure que 5 minutes, et WAP c'est pas encore supporté par tout le monde, et je ne pense pas que ça va être hyper sécure.
Donc sniffer pour faire du re-jeu ne peut te permettre que d'accéder à internet, le reste n'est pas garanti au point de vue sécurité.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.