Alcasar 2.9 Exploitation FR PDF
Alcasar 2.9 Exploitation FR PDF
Alcasar 2.9 Exploitation FR PDF
EXPLOITATION
Projet : ALCASAR
Version : 2.9
Document d'exploitation
ALCASAR 2.9
1/38
4.Filtrage...............................................................................................................................................................15
4.1.Liste noire et liste blanche.......................................................................................................................................15
4.2.Filtrer les flux rseau...............................................................................................................................................16
6.Sauvegarde........................................................................................................................................................20
6.1.Des traces des connexions.......................................................................................................................................20
6.2.De la base des usagers.............................................................................................................................................21
7.Fonctions avances............................................................................................................................................21
7.1.Gestion des comptes d'administration.....................................................................................................................21
7.2.Administration scurise travers Internet.............................................................................................................21
7.3.Mise en place du logo de l'organisme......................................................................................................................24
7.4.Manipulation avec le certificat serveur...................................................................................................................24
7.5.Utilisation d'un serveur d'annuaire externe (LDAP ou A.D.)...................................................................................25
7.6.Intgration dans une architecture complexe (A.D., DHCP externe, LDAP)............................................................26
7.7.Chiffrement des fichiers journaux...........................................................................................................................27
7.8.Gestion de plusieurs passerelles Internet (load balancing)......................................................................................28
7.9.Crer son PC ddi ALCASAR..............................................................................................................................28
7.10.Contournement du portail (By-pass).....................................................................................................................28
9.Diagnostics........................................................................................................................................................30
9.1.Connectivit rseau.................................................................................................................................................30
9.2.Espace disque disponible........................................................................................................................................30
9.3.Services serveur ALCASAR...................................................................................................................................30
9.4.Connectivit des quipements de consultation........................................................................................................30
9.5.Connexion ALCASAR par un terminal srie ..................................................................................................32
9.6.Problmes dj rencontrs.......................................................................................................................................32
10.Scurisation.....................................................................................................................................................33
10.1.Du serveur ALCASAR..........................................................................................................................................34
10.2.Du rseau de consultation.....................................................................................................................................34
11.Annexes...........................................................................................................................................................36
11.1.Commandes et fichiers utiles................................................................................................................................36
11.2.Exceptions d'authentification utiles.......................................................................................................................37
11.3.Fiche usager ....................................................................................................................................................38
Document d'exploitation
ALCASAR 2.9
2/38
1. Introduction
ALCASAR est un contrleur d'accs au rseau (NAC : Network Access Controler) libre et gratuit. Ce document
a pour objectif d'expliquer ses diffrentes possibilits d'exploitation et d'administration.
Concernant les utilisateurs du rseau de consultation, la page d'interception suivante est affiche ds que leur
navigateur tente de joindre un site Internet en HTTP. Cette page est prsente en 6 langues (anglais, espagnol,
allemand, hollandais, franais et portugais) en fonction de la configuration de leur navigateur. Tans qu'ils n'ont
pas satisfait au processus d'authentification, aucune trame rseau ne peut traverser ALCASAR.
Document d'exploitation
ALCASAR 2.9
3/38
2. Configuration rseau
Rseau de consultation
Rpteur WIFI
Commutateur (switch)
CPL
Adaptateur CPL
Internet
Les quipements de consultation peuvent tre connects sur le rseau de consultation au moyen de diffrentes
technologies (filaire Ethernet, WiFi, CPL, etc.). Pour tous ces quipements, ALCASAR joue le rle de serveur
de noms de domaine (DNS), de serveur de temps (NTP) et de routeur par dfaut (default gateway).
ATTENTION : Sur le rseau de consultation, il ne doit y avoir aucun autre routeur (vrifiez bien la
configuration des points d'accs WIFI).
Le plan d'adressage IP du rseau de consultation est dfini lors de l'installation du portail.
Exemple pour un rseau de consultation en classe C (propos par dfaut)
Document d'exploitation
ALCASAR 2.9
4/38
a) Configuration IP
Ces paramtres ne sont actuellement pas modifiables directement via l'interface graphique. Vous pouvez
nanmoins les changer via le mode console en ditant le fichier /usr/local/etc/alcasar.conf . Une fois vos
modifications effectues, activez-les en lanant la commande alcasar-conf.sh -apply .
b) Serveur DHCP
Le serveur DHCP (Dynamic Host Control Protocol) fournit de manire dynamique les paramtres rseau aux
quipements de consultation.
Vous pouvez rserver des adresses IP pour vos quipements exigeant un adressage fixe (ou statique) comme vos
serveurs, vos imprimantes ou vos points d'accs WIFI (cf. 2.2.d).
ALCASAR doit tre le seul routeur et le serveur DHCP sur le rseau de consultation. Dans le cas contraire,
assurez-vous de bien matriser l'architecture multi-serveur DHCP (cf. 8.6.a concernant la cohabitation avec un
serveur A.D. ).
Document d'exploitation
ALCASAR 2.9
5/38
Mozilla-Firefox
Microsoft-I.E.
Google-chrome
Slectionnez Confirmer
cette AC pour identifier
des sites WEB.
Slectionnez Ouvrir
avec Kleopatra.
Mozilla-Firefox
Konqueror
1 Vous pouvez viter cette manipulation soit en achetant et en intgrant ALCASAR un certificat officiel reconnu par l'ensemble des
navigateurs (cf. 8.4), soit en dsactivant le chiffrement des flux d'authentification au moyen du script alcasar-https.sh {-on|-off} .
La dsactivation du chiffrement implique que vous matrisez totalement le rseau de consultation (cf. 11).
Document d'exploitation
ALCASAR 2.9
6/38
d) Configuration rseau en mode statique (serveurs, imprimantes, point d'accs WIFI, etc.) :
Pour les quipements configurs dans ce mode, les paramtres doivent tre :
routeur par dfaut (default gateway) : adresse IP d'ALCASAR sur le rseau de consultation ;
serveur DNS : adresse IP d'ALCASAR sur le rseau de consultation ;
suffixe DNS : localdomain
Windows Seven
e) Synchronisation horaire
ALCASAR intgre un serveur de temps (protocole NTP ) vous permettant de synchroniser les quipements
du rseau de consultation. Que ce soit sous
Windows ou sous Linux, un click droit sur
l'horloge du bureau permet de dfinir le serveur
de temps. Renseignez alors alcasar sous
Linux et alcasar.localdomain sous Windows.
Note : tous les flux NTP du rseau de
consultation sont redirigs sur ALCASAR.
importer des noms d'usager via un fichier texte ou via une archive de la base des
usagers ;
Document d'exploitation
ALCASAR 2.9
7/38
Document d'exploitation
ALCASAR 2.9
8/38
Affichage/masquage de
tous les attributs
Remarque : lorsqu'une date d'expiration est renseigne, l'usager sera automatiquement supprim une semaine
suivant aprs cette date. Le fait de supprimer un usager de la base ne supprime pas les traces permettant de lui
imputer ses connexions.
Document d'exploitation
ALCASAR 2.9
9/38
Attributs de l'usager
Informations personnelles
Suppression
Session actives
(possibilit de dconnecter l'usager)
Document d'exploitation
ALCASAR 2.9
10/38
dans le cas de LibreOffice , enregistrez au format Texte CSV (.csv) en supprimant les sparateurs
(option diter les paramtres de filtre ).
Une fois le fichier import, ALCASAR cre chaque nouveau compte. Si des identifiants existaient dj, le mot
de passe est simplement modifi. Deux fichiers au format .txt et .pdf contenant les identifiants et les
mots de passe sont gnrs et stocks pendant 24h dans le rpertoire /tmp du portail. Ces fichiers sont
disponibles dans l'interface de gestion.
Afin de facilit la gestion des nouveaux usagers, vous
pouvez les affecter un groupe.
aux logiciels antivirus et aux systmes d'exploitation de se mettre jour automatiquement sur les sites
Internet des diteurs (cf.11.2) ; sous Windows : le maintien actif de l'icne accs internet mme
quand personne n'est connect.
de joindre sans authentification un serveur ou une zone de scurit (DMZ) situe derrire ALCASAR ;
ALCASAR 2.9
11/38
Dans cette fentre, vous dclarez des adresses IP d'quipements ou de rseaux (pour les DMZ par exemple). Le
filtrage de protocoles (cf. 4.2.c) n'a pas d'action sur les adresses dclares ici.
Huawei E180
~ 30
Connectique : USB
Alimentation : USB
Fonctionnelle, mme si des problmes lis au micrologiciel embarqu (firmware) Huawei ont t
rencontrs.
Configuration : at19200
Document d'exploitation
ALCASAR 2.9
12/38
Configuration : at9600
b) Mise en marche :
Ce module est accessible en se rendant dans le
menuAuthentification, puis Auto enregistrement (SMS).
Attention, en cas de mauvais code PIN, votre carte SIM sera bloque. Le cas chant, veuillez vous
rfrencer la documentation technique d'ALCASAR (8.2 - Auto-inscription par SMS pour la dbloquer.
(3)
Ce champ permet d'indiquer la dure de validit des comptes crs de cette manire.
(4)
Afin de limiter le SPAM de SMS, la politique de blocage base sur les deux paramtres suivants est active :
le nombre d'essais autoris par GSM quand un mot de passe reu est considr comme invalide (le mot
de passe ne doit tre constitu que d'un mot unique).
la dure de blocage reprsente le nombre de jours durant lesquels les SMS en provenance d'un numro
bloqu seront ignors par ALCASAR.
5)
Chaque Cl 3G possde sa propre vitesse de transfert. Le chapitre prcdent vous permet de connatre la
vitesse des cls testes. Si vous utilisez une autre cl, veuillez consulter la base de connaissance suivante :
http://fr.wammu.eu/phones/
Une fois que vous avez renseign toutes les informations, vous pouvez lancer le service en cliquant sur le
bouton Dmarrer . L'tat du service devrait alors tre le suivant :
Ce tableau vous indique l'tat du service, la force de rception du signal de votre cl 3G, l'IMEI (numro
d'identification unique de votre cl 3G) ainsi que le nombre de SMS reu depuis l'activation du service (ce
Document d'exploitation
ALCASAR 2.9
13/38
c) Interface utilisateur
Une fois que le service d'auto enregistrement est
fonctionnel, la page d'interception prsente aux utilisateurs
propose un lien complmentaire Auto-enregistrement .
Un problme au niveau de la carte SIM a t dtect. Est-elle prsente? Ce message apparait quand la carte SIM n'est pas prsente dans la cl 3G.
Attention, lors du dernier dmarrage, votre code PIN tait erron. La
carte SIM doit tre bloque (code PUK). Consultez la documentation.
Document d'exploitation
Attention, en cas de mauvais code PIN, votre carte SIM sera bloque. Le cas chant, le
code PUK vous permet de la dbloquer. Pour plus de dtail, veuillez vous rfrencer la
documentation technique d'ALCASAR (8.2 - Auto-inscription par SMS .
ALCASAR 2.9
14/38
4. Filtrage
ALCASAR possde plusieurs dispositifs optionnels de filtrage :
une liste noire et une liste blanche de noms de domaine, d'URL et d'adresses IP ;
Soit vous exploitez une liste blanche (whitelist). Les utilisateurs filtrs de cette manire ne peuvent accder
qu'aux sites et adresses IP spcifis dans cette liste blanche.
Soit vous exploitez une liste noire (blacklist). Les utilisateurs filtrs de cette manire peuvent accder
tous les sites et adresses IP l'exception de ceux spcifis dans cette liste noire.
Sur ALCASAR, ce filtre fonctionne sur la totalit des protocoles. Par exemple, si le domaine warez.com est
bloqu, il le sera pour tous les services rseau (HTTP, HTTPS, FTP, etc.)
ALCASAR exploite l'excellente liste (noire et blanche) labore par l'universit de Toulouse. Cette liste a t
choisie, car elle est diffuse sous licence libre (creative commons) et que son contenu fait rfrence en France.
Dans cette liste, les noms de domaines (ex. : www.domaine.org), les URL (ex. :
www.domaine.org/rubrique1/page2.html) et les adresses IP (ex : 67.251.111.10) sont classs par catgories
(jeux, astrologie, violence, sectes, etc.). L'interface de gestion d'ALCASAR vous permet :
de mettre jour cette liste et de dfinir les catgories de sites bloquer ou autoriser ;
de rhabiliter un site bloqu (exemple : un site ayant t interdit a t ferm puis rachet) ;
d'ajouter des sites, des URL ou des @IP non connus de la liste (alertes CERT, directives locales, etc.).
En cliquant sur le nom d'une catgorie, vous affichez sa dfinition ainsi que le
nombre de noms de domaine, d'URL et d'adresses IP qu'elle contient. En
cliquant sur un de ces nombres, vous affichez les 10 premiers sites concerns.
Vous pouvez rhabiliter des sites ou des adresses IP.
Vous pouvez ajouter des site ou des adresses IP directement dans l'interface ou via l'import de fichiers texte (un
nom de domaine ou une adresse IP par ligne).
Info : si vous faites des tests de filtrage et de rhabilitation, pensez vider la mmoire cache des navigateurs.
Document d'exploitation
ALCASAR 2.9
15/38
c) Filtrage spcial
La liste noire possde deux filtres spciaux
complmentaires pour le protocole HTTP. Le premier
bloque les URL contenant une adresse IP la place
d'un nom de domaine.
Le deuxime permet d'exclure du rsultat des moteurs de recherche les liens susceptibles de ne pas convenir
aux mineurs (fonction : safesearch ). Il est compatible avec Google , Yahoo , bing et
metacrawler .
Il peut fonctionner avec YouTube condition de rcuprer
un identifiant (ID) sur le site YouTube suivant :
http://www.youtube.com/education_signup. Une fois que votre
compte YouTube est cr, copiez l'identifiant qui vous est
Lors de la cration de votre compte Youtube,
Rcuprez votre identifiant (chane de
attribu dans l'interface de gestion ALCASAR et enregistrez les
caractres situe aprs le :).
modifications.
d) Liste blanche
Comme pour la liste noire, vous pouvez slectionner des catgories et ajouter vos propres noms de domaine et
adresses IP.
Note : liste_bu est une catgorie utilise par les tudiants franais (bu=bibliothque universitaire). Cette
catgorie contient un grand nombre de sites trs utiles et valids par les quipes enseignantes.
Document d'exploitation
ALCASAR 2.9
16/38
nombre de connexion par usager et par jour (mise jour toutes les nuits minuit) ;
Nombre
de connexion
Temps cumul
de connexion
Volume de donnes
changes
- Exemple de recherche N1. Affichage dans l'ordre chronologique des connexions effectues entre le 1er juin
et le 15 juin 2009 avec les critres d'affichage par dfaut :
Document d'exploitation
ALCASAR 2.9
17/38
- Exemple de recherche N2. Affichage des 5 connexions les plus courtes effectues pendant le mois de juillet
2009 sur la station dont l'adresse IP est 192.168.182.129 . Les critres d'affichage intgrent la cause de
dconnexion et ne prennent pas en compte le volume de donnes changes :
Cette vue du trafic rseau permet d'afficher les statistiques par heure, jour ou mois.
Document d'exploitation
ALCASAR 2.9
18/38
Trafic dtaill
Cette page permet dafficher les statistiques de trafic rseau sortant vers Internet (par jour, par semaine
et par mois). Les donnes sont actualises toutes les 5.
Via le menu details , il est possible de zoomer sur une zone particulire. Pour les flux HTTP, les adresses du
rseau de consultation sont anonymises et remplaces par ladresse dALCASAR.
Document d'exploitation
ALCASAR 2.9
19/38
La liste des usagers dconnect suite une dtection dusurpation de ladresse MAC de leur
quipement ;
La liste des adresses IP ayant t bannies pendant 5 par le dtecteur dintrusion. Les raisons dun
bannissement sont : 3 checs successifs de connexion en SSH - 5 checs successifs de connexion sur lACC 5
checs successifs de connexion usager 5 tentatives de changement de mot de passe en moins dune minute.
Malwares bloqus
- fichiers de test EICAR
- chevaux de Troie
- virus
6. Sauvegarde
6.1. Des traces des connexions
Le menu Sauvegardes de l'interface de gestion prsente, dans
la premire colonne, la liste des fichiers de traces d'activit des
usagers. Pour les exporter sur une autre support, effectuez un
clic droit sur le nom du fichier, puis enregistrer la cible
sous .
Ces fichiers sont gnrs automatiquement une fois par semaine
(dans le rpertoire /var/Save/archive/ du portail). Les fichiers de plus d'un an sont supprims.
En cas d'enqute judiciaire
Dans le cadre d'une enqute judiciaire, fournissez aux reprsentants de la loi le fichier de traces d'activit
correspondant la semaine couvrant la date de l'infraction. Si les enquteurs demandent le fichier de traces de
la semaine courante, crer ce fichier via le
menu.
Document d'exploitation
ALCASAR 2.9
20/38
7. Fonctions avances
7.1. Gestion des comptes d'administration
Votre serveur ALCASAR comporte deux comptes systme (ou comptes Linux) qui ont t crs lors de
l'installation du systme d'exploitation :
sysadmin : ce compte permet de prendre le contrle distance du systme de manire scurise (cf.
suivant).
Paralllement ces deux comptes systme , des comptes de gestion ont t dfinis pour contrler les
fonctions d'ALCASAR travers le centre de gestion graphique (ALCASAR Control Center - ACC). Ces
comptes de gestion peuvent appartenir aux trois profils suivants :
admin : les comptes lis ce profil peuvent accder toutes les fonctions du centre de gestion. Un
premier compte li ce profil a t cr lors de l'installation du portail (cf. doc d'installation) ;
manager : les comptes lis ce profil n'ont accs qu'aux fonctions de gestion des usagers et des
groupes d'usagers(cf. 3) ;
backup : les comptes lis ce profil n'ont accs qu'aux fonctions d'archivage des fichiers journaux
(cf. prcdent).
Vous pouvez crer autant de comptes de gestion que vous voulez dans chaque profil. Pour grer ces comptes de
gestion, utilisez la commande alcasar-profil.sh en tant que root :
ALCASAR
Port 22
Box1
Rseau de consultation
Box2
Port 52222
Internet
a) Configuration de la Box
Il est ncessaire de configurer la BOX2 pour qu'elle laisse passer le protocole SSH vers la carte ETH0
d'ALCASAR. Afin d'anonymiser le flux SSH sur Internet, nous dcidons de ne pas utiliser son numro de
port standard (22), mais un autre (52222 par exemple).
ALCASAR 2.9
21/38
Dans le menu DHCP, il faut attribuer une rservation IP votre quipement (cela dpend des box et n'est pas
toujours obligatoire pour crer une rgle de PAT).
Dans le menu NAT/PAT , renseignez les champs suivants et sauvegardez :
Le port externe (52222 dans notre cas) correspond au port sur
lequel les trames ssh arriveront. En interne, ALCASAR coute
SSH sur son port par dfaut (22).
Sous Windows, installez Putty ou putty-portable ou kitty et crez une nouvelle session :
Adresse IP publique de la BOX2
Port d'coute du flux d'administration sur la BOX2
Type de flux
Nom de la session
Terminez en sauvegardant la session
Document d'exploitation
ALCASAR 2.9
22/38
Sous Windows, entrez l'adresse IP et le port de l'quipement dans le formulaire Destination de Putty .
Pour administrer via ssh, lancez ssh login@localhost:10000
Pour exploiter une interface WEB, connectez votre navigateur l'URL : http(s)://localhost:10000 .
- ouvrir PuttyGen
- cocher SSH-2 RSA
- entrer 2048 comme taille de cl
- cliquer sur generate
- Bouger la souris afin de crer de l'ala
Entrez votre mot de passe ; votre cl publique est copie dans l'architecture de
sysadmin/.ssh/authorized_keys automatiquement avec les bons droits.
Autre mthode : connectez-vous sur l'ALCASAR distant via ssh en tant que sysadmin et
excutez les commandes suivantes : mkdir .ssh puis cat > .ssh/authorized_keys ;
copier le contenu de la cl publique provenant du presse papier ( Ctrl V pour Windows, bouton
central de la souris pour Linux) ;tapez Entre puis Ctrl+D ; protgez le rpertoire : chmod 700
.ssh et le fichier de la cl chmod 600 .ssh/authorized_keys ;vrifiez le fichier : cat
.ssh/authorized_keys , dconnectez-vous exit .
Test de connexion partir de Linux : slogin [email protected]
Test de connexion partir de Windows :
chargez la session prcdente de putty ;
dans la partie gauche, slectionnez Connection/SSH/Auth ;
cliquez sur browse pour slectionner le fichier de cl ;
Document d'exploitation
ALCASAR 2.9
23/38
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
relancez le service sshd ( service sshd restart ) et fermez la session ssh ( exit ).
openssl req -newkey rsa:2048 -new -nodes -keyout alcasar.key -out alcasar.csr
Document d'exploitation
ALCASAR 2.9
24/38
En cas de problme :
soit vous revenez en arrire en inversant les oprations de la 2me ligne ; soit vous recrez des
certificats locaux tout neufs via la commande alcasar-CA.sh ;
Document d'exploitation
ALCASAR 2.9
25/38
Il est possible d'affecter l'ensemble des usagers dclars dans un annuaire externe (LDAP ou A.D.) des
attributs propres ALCASAR (bande passante, sessions simultanes, etc.).
Pour cela, dans l'interface de gestion du portail (menu Authentification/cration d'un groupe), dclarez un
groupe nomm ldap (attention bien respecter la casse) pour lequel vous rglez les attributs souhaits.
Il est aussi possible d'affecter des attributs ALCASAR un compte particulier authentifi sur un annuaire
externe. Pour cela, dans l'interface de gestion du portail, crez un usager ALCASAR portant le mme
nom/identifiant que celui de l'annuaire.
7.6. Intgration dans une architecture complexe (A.D., DHCP externe, LDAP)
ALCASAR peut s'intgrer dans une architecture existante comportant un domaine Windows, un serveur DHCP
et un serveur d'annuaire LDAP ou A.D. (cf. prcdent) .
EXT_DHCP_IP=<@IP_srv_externe>
RELAY_DHCP_IP=<@IP_interne_ALCASAR>
une plage d'@IP correspondant la plage autorise par ALCASAR (par dfaut 192.168.182.3-254/24) ;
Attention : depuis la version 2.7, le portail rserve l'adresse suivante celle sa patte interne :
192.168.182.1 ---> l'@IP 192.168.182.2 est galement rserve pour le portail mais non visible.
une adresse de passerelle correspondant l'adresse IP interne d'ALCASAR (par dfaut 192.168.182.1) ;
l'@IP du serveur DNS --> l'adresse IP interne d'ALCASAR (par dfaut 192.168.182.1) ;
l'@IP du serveur de temps (NTP) --> l'adresse IP interne d'ALCASAR (par dfaut 192.168.182.1) ou
celle du contrleur de domaine (pour viter les drives temporelles, veiller d'ailleurs positionner la
mise l'heure automatique de celui-ci sur un serveur identifi de l'Internet ou plus simplement sur le
portail ALCASAR).
Document d'exploitation
ALCASAR 2.9
26/38
Commentaires
- Connectez-vous en tant que root .
- Lancez le gnrateur d'entropie (d'ala).
Actions raliser
rngd -r /dev/urandom
killall rngd
1.
rm -f alcasar_key.priv
<nom_utilisateur>
Infos :
Document d'exploitation
ALCASAR 2.9
27/38
carte mre Gigabyte GA-J1900-D3V (2 cartes rseau et processeur Intel Celeron 4 curs) ;
4G de mmoire DDR3
Le cot de cette configuration avoisine les 250 TTC (frais de port compris).
La consommation ne dpasse pas 30W ; le cot li la consommation lectrique annuelle est de 35
(30*24*365/1000*0,1329).
ALCASAR est install au moyen dune cl USB selon la procdure habituelle.
Une fois dploy, le PC ne ncessite ni clavier, ni souris, ni cran.
Il est noter que le mode bypass n'est plus actif au redmarrage du serveur.
Document d'exploitation
ALCASAR 2.9
28/38
en se connectant sur la console en tant que root et en lanant la commande systemctl poweroff .
Lors du redmarrage du portail ALCASAR, une procdure supprime toutes les connexions qui n'auraient pas
t fermes suite un arrt non dsir (panne matrielle, coupure lectrique, etc.).
la configuration rseau ;
Document d'exploitation
ALCASAR 2.9
29/38
9. Diagnostics
Ce chapitre prsente diverses procdures de diagnostic en fonction des situations ou des interrogations
rencontres. Les commandes (italique sur fond jaune) sont lances dans une console en tant que root .
test de l'tat des cartes rseau : lancez la commande ip link pour connaitre le nom de vos deux cartes
rseau. Dans ce document, INTIF remplacera le nom de la carte connecte au rseau de consultation.
EXTIF est la carte connecte Internet. Lancez les commandes ethtool INTIF et ethtool EXTIF afin de
vrifier l'tat des deux cartes rseaux (champs Link detected et Speed par exemple) ;
test de connexion vers le routeur de sortie : lancez la commande route -n pour afficher l'@IP du routeur
de sortie (Box F.A.I). Lancez un ping vers cette @IP . En cas d'chec, vrifiez les cbles rseau et l'tat
du routeur ;
test de connexion vers les serveurs DNS externes : lancez un ping vers les @IP des serveurs DNS.
En cas d'chec, changez de serveurs ;
test du serveur DNS interne (dnsmasq) : lancez une demande de rsolution de nom (ex. : nslookup
www.google.fr). En cas d'chec, vrifiez l'tat du service dnsmasq . Vous pouvez relancer ce service via la
commande systemctl restart dnsmasq ;
test de connectivit Internet : lancer la commande wget www.google.fr . En cas de russite la page de garde
de Google est tlcharge et stocke localement (index.html). Le menu systme/service de l'interface de
gestion rend compte de ce test ;
test de connectivit vers un quipement de consultation : vous pouvez tester la prsence d'un quipement
situ sur le rseau de consultation via la commande arping -I INTIF @ip_quipement .
Vous pouvez afficher l'ensemble des quipements situs sur le rseau de consultation en installant le paquetage
arp-scan ( urpmi arp-scan et en lanant la commande arp-scan -I INTIF --localnet ;
00:1C:25:CB:BA:7B 192.168.182.1
00:11:25:B5:FC:41 192.168.182.25
00:15:77:A2:6D:E9 192.168.182.129
Si l'un de ces services n'arrive pas tre relanc, il vous est possible de tenter de diagnostiquer la raison de ce
dysfonctionnement. Connectez-vous en mode console sur le serveur ALCASAR (directement ou via SSH).
Vous pouvez contrler les services par la commande systemctl start/stop/restart nom_du_service . Visualiser en
mme temps le journal d'vnement (journalctl -f) qui affiche l'tat du systme.
ALCASAR 2.9
30/38
vrifiez que vos quipements de consultation possdent des paramtres rseau corrects (adresse MAC / adresse
IP). Si ce n'est pas le cas, supprimez l'ancienne adresse enregistre par ALCASAR et reconfigurez l'quipement.
Sur les quipements de consultation :
vrifiez les paramtres rseau : lancez ipconfig /all sous Windows, /sbin/ifconfig sous Linux ;
s'il ne sont pas corrects, modifiez-les. Pour les quipements en mode dynamique, relancez une
demande d'adresse : ipconfig /release suivie de ipconfig /renew sous Windows, dhclient eth0
sous Linux.
Si l'interface n'est pas configure, vrifiez les cbles et assurez-vous que les trames DHCP de l'quipement
transitent bien sur le rseau ( l'aide de l'analyseur de trames wireshark par exemple). Sur ALCASAR, vous
pouvez voir arriver les demandes d'adressage des quipements en lanant la commande journalctl -f ou en
affichant le terminal N12 (<Alt> + F12).
Test de connexion vers le portail : lancez un ping vers l'adresse IP d'ALCASAR. En cas d'chec, vrifiez les
cbles et la configuration de l'interface rseau.
Test de la rsolution de nom : Sous Windows ou Linux, lancez nslookup alcasar . Le rsultat doit tre
l'@IP d'ALCASAR. En cas d'chec, vrifiez qu'ALCASAR soit bien le serveur DNS des quipements de
consultation et que le suffixe localdomain est bien prsent dans les paramtres rseaux de la station
wibndows : ipconfig /all , ou cat /etc/resolv.conf sous Linux
l'interface de gestion : lancez un navigateur sur un quipement de consultation et tentez de vous connecter
sur ALCASAR (http://alcasar).
Test de connexion Internet : Testez la connexion vers un site Internet. ALCASAR doit vous intercepter et
prsenter la fentre d'authentification.
Document d'exploitation
ALCASAR 2.9
31/38
Pour voir la sortie de la squence de boot dans GRUB, modifiez le fichier /boot/grub/menu.lst
Connectez le PC d'administration ALCASAR avec un cble nul modem sur le port srie com1 (ou via un
convertisseur srie/USB). Paramtrez putty pour utiliser cette connexion srie com1 en vt100 .
enregistrer les adresses IP contenues dans ces liens comme domaines rhabilits (cf. 5.1.c). titre
d'exemple, pour le site leboncoin.fr , toutes les images pointent vers les adresses IP suivantes :
193.164.196.30, .40, .50 et .60 ainsi que 193.164.197.30, .40 et .50.
Document d'exploitation
ALCASAR 2.9
32/38
Sous IE6
Sous IE 7 - 8 et 9
Sous Mozilla
Ce phnomne est d au fait que les navigateurs essaient d'authentifier le portail ALCASAR l'aide d'un ancien
certificat.
Sur les navigateurs, il faut donc supprimer l'ancien certificat d'ALCASAR ( outils + options Internet ,
onglet contenu , bouton certificats , onglet autorits de certification racine ) pour le remplacer par le
dernier comme indiqu au 2.3.1.
les 3 valeurs affiches reprsentent la charge moyenne du systme pendant la dernire, les 5 dernires et
les 15 dernires minutes. Cette charge moyenne correspond au nombre de processus en attente
d'utilisation du processeur. Ces valeurs sont normalement infrieures 1 ;
Une valeur suprieure '1.00' traduit un sous-dimensionnement du serveur surtout si elle se rpercute
sur les 3 valeurs (charge inscrite dans la dure).
10. Scurisation
Sur le rseau de consultation, ALCASAR constitue le moyen de contrle des accs Internet. Il permet aussi de
protger le rseau vis--vis de l'extrieur ou vis--vis d'un pirate interne. cet effet, il intgre :
une protection contre le vol d'identifiants. Les flux d'authentification entre les quipements des usagers
et ALCASAR sont chiffrs. Les mots de passe sont stocks chiffrs dans la base ;
une protection contre les oublis de dconnexion. L'attribut dure limite d'une session (cf. 3.1)
permet de dconnecter automatiquement un usager aprs un temps dfini ;
une protection contre les pannes (rseau ou quipements de consultation). Les usagers dont l'quipement
de consultation ne rpond plus depuis 6 minutes sont automatiquement dconnects ;
une protection contre le vol de session par usurpation des paramtres rseau. Cette technique
d'usurpation exploite les faiblesses des protocoles Ethernet et WIFI. Afin de diminuer ce risque,
Document d'exploitation
ALCASAR 2.9
33/38
une protection du chargeur de dmarrage du portail (GRUB) par mot de passe. Ce mot de passe est
stock dans le fichier /root/ALCASAR-passwords.txt .
La seule prsence d'ALCASAR ne garantit pas la scurit absolue contre toutes les menaces informatiques et
notamment la menace interne (pirate situ sur le rseau de consultation).
Dans la majorit des cas, cette menace reste trs faible. Sans faire preuve de paranoa et si votre besoin en
scurit est lev, les mesures suivantes permettent d'amliorer la scurit globale de votre systme :
Choisissez un mot de passe root robuste (vous pouvez le changer en lanant la commande
passwd ) ;
protgez le serveur ALCASAR et l'quipement du FAI afin d'viter l'accs, le vol ou la mise en
place d'un quipement entre ALCASAR et la box du FAI (locaux ferms, cadenas, etc.) ;
configurez le BIOS afin que seul le disque dur interne soit amorable. Dfinissez un mot de passe
d'accs la configuration du BIOS.
Pour des stations sous Linux, vous pouvez installer le produit xguest .
Il est fourni nativement dans le cas des distributions Mandriva, Mageia,
Fedora, RedHat ou CENTOS ;
Pour les stations sous Windows, vous pouvez choisir un des projets non
gratuits suivants : Openkiosk, DeepFreeze, Smartshield and
reboot restore RX. Ils sauvegardent le systme et le restaure aprs un reboot . Microsoft fournissait pour
XP et Vista le produit Steady State qui nest plus soutenu aujourdhui
Sur les points d'accs WIFI (A.P.) :
activez la fonction DHCP snooping sur le port exploit par ALCASAR ainsi que sur les ports
interswitch. Cela permettra d'viter les faux serveurs DHCP (Fake DHCP servers).
b) Rseaux matriss
Sur ces rseaux, les postes doivent tre protgs par des mesures garantissant leurs intgrits physiques. L'accs
physique au rseau de consultation doit tre scuris par les mesures suivantes :
ALCASAR 2.9
34/38
activez la fonction DHCP snooping sur le port exploit par ALCASAR ainsi que sur les ports
interswitch. Cela permettra d'viter les faux serveurs DHCP (Fake DHCP servers).
Les quipements de consultation peuvent (doivent) intgrer plusieurs autres lments de scurit tels que le
verrouillage de la configuration du BIOS et du bureau, un antivirus, la mise jour automatique de rustines de
scurit (patch), etc. Afin de faciliter le tlchargement des rustines de scurit ou la mise jour des antivirus,
ALCASAR peut autoriser les quipements du rseau de consultation se connecter automatiquement et sans
authentification pralable sur des sites spcialement identifis (cf. 4.7.a).
Document d'exploitation
ALCASAR 2.9
35/38
11. Annexes
11.1. Commandes et fichiers utiles
L'administration d'ALCASAR est directement exploitable dans un terminal par ligne de commande (en tant que
'root'). Ces commandes commencent toutes par alcasar-... . Toutes ces commandes (scripts shell) sont situes
dans les rpertoires /usr/local/bin/ et /usr/local/sbin/ . Certaines d'entre elles s'appuient sur le fichier central
de configuration d'ALCASAR ( /usr/local/etc/alcasar.conf ). Avec l'argument -h , chaque commande fournit
la liste des options qu'elle possde.
Chaque service rendu par le serveur est pris en charge par un daemon , dont le dmarrage est gr
automatiquement :
Voir ltat dun dmon particulier (fonctionne pour la majorit des dmons)
/etc/init.d/<nom du service> status
Relancer/stopper un dmon :
/etc/init.d/<nom du service> {start|stop|restart|reload}
Info : un super dmon vrifie chaque 10 minutes l'tat des services (alcasar-daemon.sh).
Si vous avez besoin de modifier un fichier, vous aurez srement besoin de connatre quelques fonctions de base
de l'diteur de texte vi . Vous pouvez alors judicieusement vous appuyer sur un rsum des commandes
usuelles sur le site : http://wiki.linux-france.org/wiki/Utilisation_de_vi .
Sauvegarder un fichier - quitter vi
:w
sauvegarde le fichier (penser write)
:wq
sauvegarde le fichier et quitte vi (write and quit) quivallent :x
:q
quitte vi sans sauvegarder les modifications (quit)
:q!
quitte immdiatement, sans rien faire d'autre
:w <nom_de_fichier> sauvegarde le fichier sous le nom <nom_de_fichier>
:w
sauvegarde le fichier (penser write)
:wq
sauvegarde le fichier et quitte vi (write and quit) quivallent :x
:q
quitte vi sans sauvegarder les modifications (quit)
:q!
quitte immdiatement, sans rien faire d'autre
:w <nom_de_fichier> sauvegarde le fichier sous le nom <nom_de_fichier>
Copier-Coller
Y
copie une ligne, donc la place dans un tampon, pour
pouvoir ensuite la coller (yank, tirer)
nY
copie n lignes
p
colle les lignes aprs le curseur (paste, coller)
Insrer du texte
i
Supprimer du texte
x
supprime un caractre (faire une
croix dessus)
dd
supprime une ligne
ndd
supprime n lignes
Rechercher et remplacer
/motif
recherche motif en allant vers la fin du document
n
rpte la dernire recherche (next, suivant)
N
retourne au rsultat de la prcdente recherche effectue
:%s/motif/motif2/g
recherche le motif et la remplace par motif2
Document d'exploitation
ALCASAR 2.9
36/38
...
Les sites, @IP ou URLs sont configurables via l'interface de gestion ou via le fichier :
/usr/local/etc/alcasar-uamallowed :
uamallowed="activation.sls.microsoft.com"
uamallowed="www.msftncsi.com"
uamallowed="crl.microsoft.com"
uamallowed="download.microsoft.com"
uamallowed="download.windowsupdate.com"
uamallowed="go.microsoft.com"
uamallowed="ntservicepack.microsoft.com"
uamallowed="stats.update.microsoft.com"
uamallowed="update.microsoft.com"
uamallowed="update.microsoft.com.nsatc.net"
uamallowed="pccreg.trendmicro.de"
uamallowed="pmac.trendmicro.com"
uamallowed="tis16-emea-p.activeupdate.trendmicro.com"
uamallowed="update.nai.com"
uamallowed="download.mozilla.org"
Les domaines sont configurables via l'interface de gestion ou via le fichier : /usr/local/etc/alcasar-uamdomain :
uamdomain=".download.microsoft.com"
uamdomain=".download.windowsupdate.com"
uamdomain=".ds.download.windowsupdate.com"
uamdomain=".microsoft.com"
uamdomain=".update.microsoft.com"
uamdomain=".update.microsoft.com.nsatc.net"
uamdomain=".windowsupdate.com"
uamdomain=".windowsupdate.microsoft.com"
uamdomain=".trendmicro.com"
uamdomain=".activeupdate.trendmicro.com"
uamdomain=".akamaiedge.net"
uamdomain=".akamaitechnologies.com"
uamdomain=".clamav.net"
Il est ncessaire de relancer le service chilli si les fichiers sont modifis directement.
Document d'exploitation
ALCASAR 2.9
37/38
Le portail possde un systme anti-malware protgeant les flux WEB. Il intgre aussi un dispositif de filtrage
des sites. Il vous averti quand la connexion Internet est impossible (panne d'un quipement ou lien vers le
Fournisseur d'Accs Internet dfectueux). Les pages suivantes sont alors affiches :
Document d'exploitation
ALCASAR 2.9
38/38