Contournement du portail captif

This forum is intended to provide straightforward answers for people trying to use DynFi Firewall Open Source firewalls.
We might also try to answer questions related to competitors firewall such as pfSense® and OPNsense® systems.

Moderator: gregober

Post Reply
Thibes
Posts: 3
Joined: 11 Jun 2024, 14:24

Contournement du portail captif

Post by Thibes » 19 Sep 2024, 10:40

Bonjour

J'ai mis en œuvre Dynfi dans ma structure. Pour l'accès à internet, j'ai activé le portail captif pour permettre à des personnes extérieures à la structure de se connecter à internet. J'ai utilisé les vouchers pour l'authentification. Tout fonctionne à merveille.

D'autre part, je souhaite que les machines internes à l'entreprise puissent se connecter sur ce même réseau et accéder à internet en contournant le portail captif. Ces machines sont toutes équipées d'un vpn. La machine n'a accès au réseau que si elle peut s'authentifier à cette adresse srv.domxx.fr

Ne serait-il pas possible de contourner le portail captif en détectant que la machine tente une connexion à l'adresse srv.domxx.fr ?

J'ai tenté d'insérer l'adresse srv.domxx.fr dans la liste blanche. J'ai également écris une règle qui autorise tous les protocoles vers cette adresse en utilisant les alias. Peut être ai-je mal compris qq chose.

Par avance merci pour votre aide
User avatar
gregober
Posts: 258
Joined: 26 Mar 2019, 15:06

Re: Contournement du portail captif

Post by gregober » 19 Sep 2024, 10:57

Bonjour Thibes,
Ne serait-il pas possible de contourner le portail captif en détectant que la machine tente une connexion à l'adresse srv.domxx.fr ?

J'ai tenté d'insérer l'adresse srv.domxx.fr dans la liste blanche. J'ai également écris une règle qui autorise tous les protocoles vers cette adresse en utilisant les alias. Peut être ai-je mal compris qq chose.
Vous avez une case dans la configuration du portail "Adresses autorisées" qui doit vous permettre d'ajouter des IP qui ne sont pas filtreés.

Cependant le plus simple serait d'utiliser un autre réseau pour vos utilisateurs internes, soit en créant un autre VLAN ou en connectant vos utilisateurs sur un switch distinct sur un autre port réseau du firewall.
Thibes
Posts: 3
Joined: 11 Jun 2024, 14:24

Re: Contournement du portail captif

Post by Thibes » 23 Sep 2024, 15:08

Bonjour

Tout d'abord, merci pour votre réponse

Oui, j'ai vu la partie "Adresses autorisées" mais ce n'est pas très adapté à plusieurs centaines de machines dont j'ai la charge.

La solution de mettre en place un autre réseau physique ou un vlan serait plus approprié mais je n'ai pas la liberté d'interdire ou pas l'accès au réseau dans les bureaux.

Par contre, j'ai tenté de personnaliser la page d'accueil du portail captif en ajoutant la fonction isExemptURL qui indique si oui ou non l' adresse srv.domxx.fr a été demandée:
function isExemptURL(url) {
var exemptDomains = ["srv.domxx.fr"];

var parser = document.createElement('a');
parser.href = url;
for (var i = 0; i < exemptDomains.length; i++) {
if (parser.hostname.endsWith(exemptDomains)) {
return true;
}
}
return false;
}

Ensuite, j'ai rajouté ce bout de code, juste après le code "$( document ).ready(function() {"
var redirUrl = getURLparams()['redirurl'];

// Check if redirect URL is exempt
if (redirUrl && isExemptURL(decodeURIComponent(redirUrl))) {
$.ajax({
type: "POST",
url: "/api/captiveportal/access/logon/" + zoneid + "/",
dataType:"json",
data:{ user: '', password: '' }
}).done(function(data) {
if (data['clientState'] == 'AUTHORIZED') {
window.location = 'http://' + redirUrl + '?refresh';
} else {
$("#inputUsername").val("");
$("#inputPassword").val("");
$("#errorMSGtext").html("authentication failed");
$("#alertMSG").removeClass("hidden");
}
}).fail(function(){
$("#errorMSGtext").html("unable to connect to authentication server");
$("#alertMSG").removeClass("hidden");
});

return;
}

Dans un premier temps, je vérifie si l'url est valide et si l'url demandée est une adresse exemptée. Si le test est vrai, j'ai essayé de valider une connexion anonyme mais je ne suis pas sur que cela soit possible, ni même si cette partie du code répond aux critères de sécurité de DynFi.

Pouvez vous m'éclaircir sur le mode de fonctionnement du portail captif ?

Quel est l'ordre dans lequel se font les contrôles lorsque le portail captif est activé ?

Dois je aussi écrire des règles pour autoriser les flux vers "srv.domxx.fr" ?

Peut être que les connexions anonymes ne sont pas le meilleur choix sur le plan de la sécurité mais comment créer un compte qui ne soit accessible que par ce biais la ?

Merci pour votre réponse
User avatar
gregober
Posts: 258
Joined: 26 Mar 2019, 15:06

Re: Contournement du portail captif

Post by gregober » 23 Sep 2024, 15:35

Dans un premier temps, je vérifie si l'url est valide et si l'url demandée est une adresse exemptée. Si le test est vrai, j'ai essayé de valider une connexion anonyme mais je ne suis pas sur que cela soit possible, ni même si cette partie du code répond aux critères de sécurité de DynFi.

Pouvez vous m'éclaircir sur le mode de fonctionnement du portail captif ?

Quel est l'ordre dans lequel se font les contrôles lorsque le portail captif est activé ?

Dois je aussi écrire des règles pour autoriser les flux vers "srv.domxx.fr" ?

Peut être que les connexions anonymes ne sont pas le meilleur choix sur le plan de la sécurité mais comment créer un compte qui ne soit accessible que par ce biais la ?

Merci pour votre réponse
Cette question s'adresse plutôt à nos équipes de développement.
Le système de portail captif autorise l'accès une fois les autorisations accordées (généralement après l'authentification).

Suivant les paramétrages, il déclenche généralement un timer et supprime l'autorisation une fois le timer arrivé à expiration.

Si vous définissez un peu plus précisément ce que vous souhaitez faire, je peux vous proposer que nos équipes de développement prennent cela en charge, votre nom figurera dans les contributeurs à la prochaine version et ce sera l'occasion de supporter notre projet :D
Thibes
Posts: 3
Joined: 11 Jun 2024, 14:24

Re: Contournement du portail captif

Post by Thibes » 24 Sep 2024, 08:30

Nos machines sont équipées de VPN. Tant que le VPN n'est pas actif, les machines ne sont pas autorisées à accéder à internet et ne peuvent donc pas atteindre un portail captif.

L'activation du VPN se fait en accédant à un serveur. La solution serait de bypasser le portail captif en autorisant l'accès à certains serveurs : une liste blanche de serveurs, des noms de domaine.

Ces machines auraient un accès direct à internet

Suis-je plus clair ? :D
Post Reply