Bonjour à tous !
 
Je prépare un projet  « Accès wifi sécurisé » dans le cadre de ma 2eme année de BTS IG option ARLE et j’ai pas mal d’interrogation dans l’étude des différentes solutions, c’est pourquoi je viens vous sollicitez afin que vous puissiez me donner vos différents avis et me faire part éventuellement de vos expériences personnelles sur le sujet….C’est très important car le jour de mon oral approche à grand pas !!!
 
Je m’explique !   Je travaille pour un Groupe scolaire (3 établissements) et l’on ma chargé d’équiper « la Cafeteria/Foyer » d’un accès wifi sécurisé en couvrant trois points essentiels : l’authentification (mon questionnement se situe surtout sur ce point !!), la confidentialité et l’intégrité.  
 
Information réseaux sur le site :
Environnement serveur 2008 R2, Vlans nv1et  nv3, débit internet 18mega, routeur linksys internet basique, et Switch maître L3 + d’autres commutateurs gérant tous le vlan. Equipement wifi : contrôleur mobilité HP MSM710 + bornes légères MSMS422. NETASQ U250 (pas en service encore).
Salle  « Cafétéria/Foyer » : utilisateurs potentiels environ 40-50 ( pc portable, Smartphone et tablette confondus)
 
 
> Deux types d’utilisateurs et Deux types d’usage du wifi :  
 
Pour les « enseignants » un accès internet (navigation web + téléchargement + streaming) et un accès aux ressources du réseau local  comme en filaire (ex : lecteurs réseaux et fichiers personnels).
 
Pour les « élèves » un accès internet uniquement (navigation web + éventuellement accès youtube).
 
>Deux Vlans nv1 distinct seront crées et un SSid sera créer pour chaque Vlan :
 « enseignants » et « élèves ».
 
>On me demande la mise en place pour le réseau « élèves » d’un portail captif obligatoirement ! Pour le reste c’est à réfléchir !
>En ce qui concerne le réseau « enseignants » pas de portail captif mais une solution tout de même qui couvre les points essentiels cités plus haut sans pour autant avoir recours à une sécurité trop lourde !
 
Deux cas de figure possibles s’offre à moi concernant la mise en place de la bonne solution :
 
Partir de l’étude de « l’existant » ou partir de « zéro enfin presque »….mais toutefois aucun frais  ne doit être envisagés pour la mise en place de la solution choisie ! (contraintes CDC !)
 
L’étude  des solutions à partir de « zéro enfin presque » :
 
Concernant le réseau « élèves » (C’est la priorité de mon tuteur! Et du projet !)
>Solution 1 : Portail captif seul (possible ?)
>Solution 2 : Portail captif + serveur radius
>Solution 3 : Portail captif + serveur radius + annuaire active directory
>Solution 4 : Portail captif + annuaire active directory  
 
Interrogations ??!! Dans le cas de l’utilisation d’un portail captif « simple a mettre en place » et a configurer, lequel me conseillerez vous ?! (PfSense ? wifidog ?chilispot ?  alcasar ?) et concernant le serveur radius lequel me conseilleriez vous ?? ( wifiradis ? freeradius ? NPS de Microsoft ?)
 
Concernant le réseau « enseignants » ( secondaire dans le projet, bonus !  ! ) :
> Solution 1 : une simple PSK
> Solution 2 : serveur radius seul (possible ?)
>Solution 3 : serveur radius + annuaire active directory
 
Lesquelles de ces solutions, vous paraissent les plus cohérentes ? Plausibles ? Adéquates ?? Suffisantes ?! Je dois en retenir au moins trois à étudier et une que je mettrais en place pour chacun des Vlans/SSid.
 
 
L’étude des solutions à partir de « l’existant » (étude privilégiée par mon tuteur de stage !!!) :  
 
Concernant le réseau « éleves » (C’est la priorité de mon tuteur! Et du projet !) :
> Solution 1 : portail captif intégré au contrôleur wifi de mobilité HP MSM710 (??!! est ce bien ?! quelqu’un le connaît ?) + Serveur radius
>Solution 2 : portail captif intégré au controleur wifi de mobilité HP + annuaire active directory
>Solution 3 : Portail captif intégré au contrôleur wif de mobilité HP + serveur radius + AD
>Solution 4 : Portail captif intégré au Netasq U250 + serveur radius inclus apparement (quelqu’un l’a déjà utilisé ?!)
 
 
Concernant le réseau « enseignants »  
> même solutions que pour le réseau « éleves » mais SANS le portail captif !!!
 
 
A nouveau, lesquelles de ces solutions, vous paraissent les plus cohérentes ? Plausibles ? Adéquates ?? Suffisantes ?! Je dois en retenir au moins trois à étudier et une que je mettrais en place pour chacun des Vlans/SSid.
 
 
Note importante, il est important que le Projet soit évolutif c'est-à-dire que le but final sera dans le courant de l’année d’après de couvrir tout la zone du groupe scolaire en accès « élèves » avec un accès internet, le projet « cafeteria » est en quelque sorte la maquette d’un plus gros projet !
 
 
Un grand Merci par avance pour vos réponses ! Je compte sur vous vraiment !!  pour m’apporter votre savoir et votre expérience, c’est très important pour moi d’avoir un projet cohérent et professionnel! (malgré mes difficultés évidentes encore aujourd’hui ! mais je suis justement la pour m’améliorer )
 
 
Ps : merci de votre indulgence concernant mes « longues » explications, j’ai fait du mieux que j’ai pu , j’espère simplement que cela ne vous empêchera pas de me  répondre !(>< )

Plus de 100 vues et personne pour m'aider? :-( ... est ce trop long a lire? trop confus? ... je suis la si besoin pour etre plus clair s'il faut.... svp n’hésiter plus lol , j'ai besoin de votre aide :-/

C'est le week-end

ah tu crois c pour ca bardiel??! ^^ .. si c que ca alors..lol je patiente ... ;p ... perso pr ma pa part jai que le week pour vraiment bosser vu jsuis en alternance donc c pr ca jsui o tacqué!!! bon est bien si le maître mot est patience ...qu'il en soit ainsi! en esperant que cela porte ces fruits dici mon exam =D ... bon week bardiel! et au forumeurs du hard

Je ne suis pas vraiment un expert (de mon point de vue de tech de base), mais à première vue je dirais:
 
- Pour les élèves: portail captif PfSense ou intégré à la solution HP avec authentification via un serveur radius (je pense à celui de votre serv 2008R2, les étudiants doivent avoir un login/MdP pour se connecter au domaine ?). Avec une page d'accueil en https, inutile d'y ajouter du WPA.
- Enseignants: WPA2 + Radius + Active Directory. Mais des experts te donnerons sans doute de meilleures idées et des explications plus poussées.

Merci a toi Power Nabot pour ta réponse ! )
 
Ap "expert ou pas" l'important c'est que tu donnes ton avis et le partage ) ... As tu déja mis en place de telles solutions?
 
 
En ce qui concerne tes choix de solutions:
 
-Eleve : oui les eleves ont un log/mdp , le serveur radius de Microsoft le connait tu ? est il simple a mettre en place? ( cette solution me semble pas mal mais j'ai du mal a comprendre comment tu met en place l'authentification avc radius microsoft?.. c via AD?? ) [moi j'aurai opter pr portail captif hp + AD t'en penses quoi? enfin mm si je sais pas comment fer le lien Ad et portail captif ://]
 
 
-Enseignants : peut tu mexpliquer pourquoi sur ta solution choisie tu y ajoute cet fois AD en + du radius??  
 
Et malgré le fait que mon tuteur m'a orienté vers une solution sans portail captif pour les enseignants, trouve tu toi que c'est meiux effectivement sans?
 
Merci encore pour avoir prise le temps de me repondre , du coup j’espère pas abuser en profitant un peu de ta "bonté" lol pour me rep anouveau ) et puis sinon tous autres avis conseils évidement est bienvenue!

L'intérêt d'avoir un radius ou un AD ? Il y aura authentification ! Exit la solution 1.
Par rapport au matos en place, la solution 4 me semble la plus adaptée, ou la 3 (voir après)

Chilispot est abandonné. Enfin il survivote avec CoovaChili donc déjà 1 de moins.
WiFiDog dispose de son propre système d'authentification sur une base de donnée PostgreSQL et du PHP. S'il y a nécessité de partir sur de l'AD, hop 1 en moins dans la liste. Ou pas ... mais bon cela obligera à gérer une base en plus.
Pour Alcasar, je ne l'ai pas testé depuis un bon moment. Mais bon en 2008 on va dire que "ce n'était pas au point". A voir aujourd'hui, sachant qu'on peut le conjuguer avec un AD.
Enfin il reste pfSense. Perso je suis pour celui-là, et d'ailleurs c'est le plus simple d'installation à ma connaissance... en utilisant aussi un Radius
 
Mais ce qui me chiffonne un peu dans l'histoire, c'est :
- pour les élèves authentification
- pour les profs pas d'authentification
Je sais pas mais... y'a pas un soucis quelque part ?
Même par un réseau WiFi "dédié" avec login et mot de passe, c'est un peu multiplier les accès inutilement. Mieux vaut faire un "étagement" des accès, et une sécurisation des lecteurs réseaux par login AD, plutôt que de multiplier les projets.
 
Une autre solution serait de passer exclusivement par un presta pour faire l'accès élève. Et comme ça s'ils veulent accéder au net ils raquent (et en plus si c'est du WiFirst, ils râlent)

Salut Bardiel! merci pour ta participation ( j'espere que tu as passé un bon week ;p )
 
Une premiere question me vient?  avec wpa2 et aes cela ne fait pas office d'authentification ?? :@ ( en remplacement radius et ad? c pas ce que je veux faire mais je me pose la question des différences concrètes?! afin de mieux comprendre?!)
 
 
Oui effectivement pour l'AD, il m'a  pas été imposer je dirais plutôt que l' on ma laisser penser qu'une orientation vers AD serait interressant lol
 
En ce qui concerne t choix de solution:
 
tu opterais donc plus pour un portail captif "indépendant" (comme pfsense , d’ailleurs d’après mes recherches effectivement c'est un des plus plébiscité =D )...plutôt qu'un portail captif intégré (contrôleur HP ou Netasq) ...
Peut tu m'expliquer ta raison s'il te plaît?  
et accouplé donc soit :  à un radius + ad / soit juste AD ... quel est l'atout principal si je puis dire de mettre radius et AD plutôt que seulement AD ???
 
Pour l'authentification prof oui je sais pas trop non plus , disons qu'il y a plus de confiance accordé aux profs qu’aux élèves j’imagine, c'est un peu le pk mais bon , je pense qu'il me faut une solution d’authentification aussi ^^
 
 
Merci encore pour t conseils, c'est super d'être aidé , j’avoue c'est assez flou même si "grosso mierdo" je pige les grosses lignes  mais bon pour un projet faut je sois vraiment OP! Pi c super interressant!
 
Et pardon, j'ai oublié mais  qu'"entend" tu par "étagement" des accès? :-/

Du WPA2/AES, c'est pour bloquer au niveau de la borne WiFi, pas pour authentifier plus loin. Il faut tourner ça de la manière suivante :
Si un élève parvient à casser ou à avoir le code pour l'accès WiFi des profs, cela voudra dire qu'il pourra accéder aux ressources des profs ?
 
Pour le choix du portail captif, c'est simple : niveau HP je connais pas
Niveau Netasq c'est fonctionnel et efficace, mais bon bof quoi le matos crame, obligé de tout refaire ? Avec du pfSense, une fois la config en place, un clone du bouzin et ça repart.

Merci bardiel!
 
Oui wpa2 / aes c du cryptage enfait si j comprend bien
 
La question que tu soulèves est en effet toute "bete" mais fort de sens effectivement!! .. donc nécessité d'une authentification pour l'acces profs on est d'accord!
 
 
Sans vouloir insister (mais un peu :s ) ... tout à l'heure je te demandais si tu pouvais m'expliquer la "différence" ou "l'atout" dune ou l'autre solution : entre le fait de choisir "radius + ad " ou "juste ad"  (avec portail captif biensur)??
 
Ap le netasq oui c vrai que sil crame pas dans la merde , enfin c'est mon tuteur qui me demande de voir un peu l'engin ossi dc a voir ( et puis c surtout qu'il faut que je me décide sur 3 solutions on va dire à étudier dans le cadre de mon projet )
 
 
Je te remercie! "force et courage" plz!

- Oui, je travaille là-dessus Ce n'est pas moi qui ai développé la solution actuelle, mais je suis en train de tout refondre de zéro, j'ai quelques billes
- En liant ton portail captif au radius M$ (que je ne connais pas, je travaille uniquement sur du Linux ), tu vas pouvoir récupérer les identifiants/MdP des élèves pour qu'ils soient valables sur le portail captif
- Pour les enseignants, je proposait du WPA2 en premier, pour éviter des connexions parasites aux AP (en plus d'ajouter une couche de sécurité), et radius/AD pour authentifier les enseignants et leur donner accès aux ressources du réseau
 
PS: soigne ton orthographe et ta syntaxe
 

Merci encore Power Nabot
 

 
Qu'entends tu par là?! je suis désolé, je n'ai pas compris , mille excuses, c'est peut être que je commence à fatiguer :@ ... peux-tu être plus clair s'il te plaît?
 
 
En ce qui concerne tes réponses fort intéressantes :
Je me pose la question : quel est l’intérêt? , l'atout? ... d'utiliser un serveur radius, qu'apporte t-il de plus que l'authentification directe par un AD sans utiliser un serveur Radius?
Car l'authentification via l'Active Directory constitue déjà une authentification , alors qu’apporte en plus le serveur radius dans ce cas ??!
 
Est ce vraiment utile dans ma situation  le serveur radius?? , je veux dire au sein d'un groupe scolaire et en fonction du projet que je dois monter??
 
 
Au programme des mercredi , test de NPS, pfsense... et ne les oublions pas ^^ ... les solutions intégrées, de mon contrôleur wifi HP et Netasq ) ... il faut que je m’imprègne un peu de ces différentes solutions
 
 
Merci, j’espère ne pas trop abusé de ton temps et ta patience
 
 

C'est juste une réponse rapide, c'est soit tu utilises un AD soit tu utilises un serveur Radius, à savoir que ton serveur radius ne contient pas d’utilisateurs et c'est pour cela qu'il va se connecter à l'AD.
Maintenant je sais que pfSense supporte directement l'authentification par l'AD (http://forum.pfsense.org/index.php?topic=43611.0).
D'ailleurs de souvenir mettre en place un serveur radius sur 2008R2 c'est chiant.
 
J'espère avoir été clair.

salut roondar merci de ta participation à mon post c cool ^^
 
Oui je commence doucement a comprendre certaines choses grâce à tous les avis et conseils des forumeurs comme toi =) , plus bien évidement beaucoup de recherche perso! rien de plus normal en même temps !!
 
Donc effectivement je pense m'orienter juste sur une solution de "portail captif + AD"  après selon si mon portail captif ne gère pas l'authentification AD directement a ce moment la alors! j'utiliserais un serveur Radius! ... Donc la il va falloir j'étudie plus concrètement ces solutions!  
 
Demain je suis chez mon employeur donc je vais tester les différents portails captif, ceux "intégrés" aux "contrôleur wifi HP" et "Netasq" puis enfin, j'étudierais surement le pfsense comme 3éme solution .
 
Tu as déjà mis en place toi ce type de solution pour ta boite? si oui tu as utiliser quoi? et quel est ton retour d'expérience dessus?
 
Et oui très clair, enfin comme t dit ça l'ai un peu plus ces derniers jours pour moi donc la quand on me parle c'est forcement plus clair
 
Merci!

Je rejoint Bardiel:  après avoir eliminé certaines solutions,  moi je verrais "authentification AD" (le netasq est capable de le faire) et en fonction des profils élèves/prof/Vrobaina/Invité/...etc...  je ferais des "accès list" avec "white" et "black" list au sein du netasq (c'est le seul point à valider auprès de la marque, car je n'ai pas touché à un netasq depuis qq années).  
 
=> si c'est OK, alors, tu paramètres le netasq pour une authentification avec ton AD et puis tu ne gères que les accès au niveau de celui-ci et de ses O.U.

Aahh oui, autant pour moi. J'avais le lien vers la démo d'install de pfSense sur une authentification sur du 2003, mais sur du 2008R2 tu as plus vite fait de te pendre

Salut vrobaina! Merci de venir alimenter mon post
 
Sur l’authentification "AD" c'est vraiment sur quoi je vais me pencher car en regroupant tous les avis/conseils que j'ai pu avoir (merci!) et ma recherche perso comme j'ai dit plus haut , c'est vraiment je pense une solution cohérente et adapté mon contexte  
 
Après pour le Netasq , au taff, on a renouvelé licence que dernièrement car mon tuteur l'avait laisser de cote ne sen servait pas ... donc nous je n'ai pas encore pu me l'approprier et voir ce dont il  est capable ( j'espère pouvoir le faire cette semaine ^^ )...
 
Quelles sont les grosses lignes de la configuration à mettre en place de mémoire pour l'utilisation du portail captif et AD de souvenir en dehors des black et white list éventuelles , te souviens tu de mémoire ^^ ?
 
Merci pour t réponses c sympa

@ bardiel
 
C'est si terrible que ça?? sur 2008R2 ... Quelles en sont les raisons principales , s'il te plaît?!  
 
J'avoue que cela m'intrigue surtout si j'opte pour cette étude de solution ( quoi qu' à ce moment la je pourrais faire part justement de ce côté apparemment négatif de l'installation et de la config si c'est ce à quoi vous faîtes allusion avec roondar ?! )
 
Merci pour ton avis )

NPS en gros, il est en carton... alors l'utiliser comme serveur Radius  
Bon après, c'est pas impossible à faire non plus (voir ici pour une création d'un VPN) mais bon sur 2003, en quoi... 3 clics et l'ajout de son pfSense et c'est fait ? (cf au milieu de la vidéo)

Idem :  "Tout est possible, tout est réalisable...."  mais bon, c'est une vraie prise de Tete....

OK ! merci!
bon je verrais bien ,pour le moment je vais étudier les 2 solutions intégrés de portail captif et puis je verrais ensuite pour solution pfsense
 
Merci de votre participation , ce fût constructif!! très!!  
 
Je pense qu’après avoir étudié les solutions , d’autres question se poseront mais on verra à ce moment la j’espère qu'il y aura toujours du monde

salut!
 
Juste un petit mess pour remercier les gens qui m'ont repondu et pour informer de ma réussite à l'examen de mon BTS IG option arle ++

Bravo maintenant c'est le plus dur : tu n'as plus qu'à t'inscrire comme chercheur au pôle emploi  
 
Plus sérieusement, n'hésite pas à regarder du côté des concours de la fonction publique, pas mal doivent ouvrir prochainement.

Merci Bardiel
 
LoL j'y suis déjà inscris depuis "quelques" années à la "maison" de l'emploi
 
Merci du conseil pour les concours, tu as des sites ou je peux m'informer à ce sujet?

MP

Merci bardiel! je vais "zyeuter" ton MP

Ahhh la fonction publique, l'espoir d'une carrière riche et pleine de rebondissements, le rêve d'une vie

Surtout les seuls où tu peux espérer avoir du boulot stable et valorisant en sortie d'école, comparé à très (trop) nombreuses entreprises, surtout dans le domaine de l'informatique.
Si c'est pour qu'il trouve un truc dans la fromagerie du coin pour s'occuper de 20 PC et servir de secrétaire en plus voilà quoi enfin étant en Bouches-du-Rhône, entre Toulon, Marseille, Aix ou plus loin Nice et Montpellier, il y a de quoi faire.