Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 12-05-2011 09:48:31

cseb95
N00b
Inscription : 12-05-2011
Messages : 3

Authentification sur un Hotspot à partir d'un poste sécurisé

Bonjour,

Nous utilisons des portables PC "sécurisés" : une fois la connexion wifi établie, seule notre passerelle VPN SSL est accessible. Du coup, lors de la connexion sur un hotspot (hotel, gare, aeroports..), impossible de s'authentifier sur le portail puisque le firewall local en bloque l'acces.

Nous avons envisagé plusieurs solutions :
- un navigateur virtualisé, tournant dans une bulle fermée (sandbox), qui aurait plus de droits niveau réseau (toutes adresses sur ports 80 et 443) et donc pourrait se connecter sur le portail pour permettre l'authentification.
- ouvrir les acces sur les ports 80 et 443 pour les adresses de la RFC 1918, mais les hotspots ne sont pas forcement sur ces plans d'adressage.
- utiliser un outil spécifique ???

Auriez-vous une idee sur le meilleur moyen de répondre à ce problème tout en maintenant un bon niveau de sécurité sans compliquer la vie à l'utilisateur ?

Merci,
Seb

Dernière modification par cseb95 (12-05-2011 09:49:30)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 12-05-2011 11:03:54

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Authentification sur un Hotspot à partir d'un poste sécurisé

Salut cseb95, bienvenue sur le forum ! smile

La question est intéressante, et je ne m'y connais pas assez en gestion de VPN pour te donner une solution complète mais voilà sans doute quelques pistes ;

- faire passer le DNS hors du VPN. Ainsi, tous les hotspots qui utilisent une redirection DNS (je pense qu'il y en a un certain nombre) devraient pouvoir amener l'utilisateur sur la page d'authentification. Ça représente un "risque" de sécurité (puisque les requêtes DNS passeraient en clair), à toi de voir s'il est acceptable

- écrire un script bash qui se lance juste après la connexion WiFi, vérifie la connectivité au net (ex : ping sur ta passerelle VPN), et en cas de non-connectivité qui désactive temporairement certaines règles iptables pour autoriser au moins l'accès réseau local. 2 problèmes : certains services stockent leurs pages hotspot en dehors du LAN (FON, etc) donc tu devras peut-être faire une ouverture large, et ensuite  c'est de nouveau une brèche de sécurité puisque tu désactives le firewall (tu pourrais forcer la réactivation dès que le VPN est actif).

- utiliser des règles "au cas par cas" qui parse le SSID du réseau WiFi et qui adapte les règles iptables pour les hotspot principaux (Free, 9box, FON, SNCF,...) => c'est du boulot et je n'aime pas les scripts qui modifient le pare-feu à la volée...

- utiliser des techniques "avancées" comme le DNS tunneling pour contourner totalement le hotspot, mais les débits seront misérables.

- fournir une clé 3G prépayée à chaque utilisateur pour utilisation en extérieur si pas de connexion dispo tongue

Je pense que le navigateur en sandbox est la solution la plus "simple", mais tu risques de devoir ouvrir + de ports que les classiques 80 et 443 (Nocatsplash utilise le 5280, par exemple). De plus, comme je le disais plus haut, tu ne peux pas vraiment le restreindre au LAN, donc au final tu fournis à l'utilisateur un navigateur "classique" et complet qu'il risque de préférer à la solution sécurisée hmm Solution possible : le navigateur en sandbox a une session par défaut de 5 minutes, après laquelle il faut attendre 1 minute pour en relancer une. Ça devrait suffire pour qu'il s'authentifie, mais être suffisamment pénible pour qu'il utilise ce navigateur le moins possible smile

Hors Ligne

#3 12-05-2011 12:22:52

cseb95
N00b
Inscription : 12-05-2011
Messages : 3

Re : Authentification sur un Hotspot à partir d'un poste sécurisé

Merci, beaucoup pour ta réponse.

La clé 3G ils ont déjà mais pas tous et ils ne trouvent pas ça assez rapide et peu pratique (on passe par le client Buisness Everywhere d'orange (grosse daube) et un VPN IPSEC transpac, pour ouvrir un VPN SSL ensuite lol) Ca devrait changer d'ici peu et se simplifier ;-)

La modification des règles du FW "à la volée" a été refusée par notre service sécurité, j'y avais pensé aussi.

Il me semble avoir vu dans mes recherches un logiciel qui recense les hot spots publics et privés et gère la connexion mais je ne le retrouve plus. Quoi qu'il en soit c'est une solution bancale, il y aura toujours un directeur pour utiliser un hotspot non référencé et péter un cable.

Concernant le navigateur en sandbox, crois tu que l'on puisse mettre quelque chose comme qtweb (navigateur light) ou un FF sans javascript, sans plug-in, qui rendrait la navigation peu plaisante mais fonctionnerait sur tous les portails (là est le souci).

En tout cas grand merci pour ton avis éclairé.

Seb

Dernière modification par cseb95 (12-05-2011 12:57:19)

Hors Ligne

#4 12-05-2011 13:02:31

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Authentification sur un Hotspot à partir d'un poste sécurisé

cseb95 a écrit :

La clé 3G ils ont déjà mais pas tous et ils ne trouvent pas ça assez rapide.

... et tu leur as demandé quelle application sérieuse et professionnelle nécessitait une telle bande passante ? tongue

La modification des règles du FW "à la volée" a été refusée par notre service sécurité, j'y avais pensé aussi.

J'aurais refusé aussi à leur place, trop risqué...

Concernant le navigateur en sandbox, crois tu que l'on puisse mettre quelque chose comme qtweb (navigateur light) ou un FF sans javascript, sans plug-in, qui rendrait la navigation peu plaisante mais fonctionnerait sur tous les portails (là est le souci).

Si tu veux un navigateur minimal, tu as Dillo. Mais je pense quand même qu'il vaut mieux prendre un Firefox avec les extensions qui vont bien wink
Tu pourrais créer une machine virtuelle minimaliste avec Qemu ou KVM, qui lance juste un serveur X et un navigateur réduit via un compte utilisateur hyper-restreint. Utilise alors iptables pour spécifier certaines règles propres qui ne s'appliquent qu'au processus Qemu.
Quelques liens :
--> Block Outgoing Network Access For a Single User Using Iptables
--> R-kiosk (firefox addon), que tu peux coupler avec NoScript pour interdire le javascript, le java, le flash,...
--> Public fox (firefox addon) protéger les préférences,... via un mot de passe.

Arrange-toi pour que Qemu charge une image "propre" à chaque démarrage, aucune sauvegarde des modifications de la session. Tu peux utiliser une image ISO d'un système live par exemple.

Le fait d'avoir *juste* un navigateur aux fonctionnalités réduites s'appelle un "kiosque" (kiosk en anglais). Il y a plusieurs distributions qui sont spécialement prévues pour ça, certaines en mode Live ce qui rejoint ce que je disais juste au dessus.

Tu peux aussi faire tourner un script dans ta VM qui "tue" le processus firefox au bout de X temps et relance directement le navigateur. Peut-être que certaines distributions Kiosque prennent ça en charge directement, mais je n'ai pas trouvé d'extension qui gère ça...

Hors Ligne

#5 12-05-2011 14:40:00

cseb95
N00b
Inscription : 12-05-2011
Messages : 3

Re : Authentification sur un Hotspot à partir d'un poste sécurisé

Merci,

j'étudie ça et te tiens au courant de l'aboutissement. Ca va prendre un peu de temps ;-)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
1 115 28-11-2016 10:57:50 par le dirdir
8 286 17-11-2016 12:02:17 par koala
1 241 06-08-2016 09:38:50 par Seska
hotspot sécurisé en WEP par s1lv3rf0x
7 426 12-07-2016 01:10:33 par s1lv3rf0x
0 534 03-05-2016 06:36:12 par ✞θ!ก∃℧┌

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.022 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]