Bonjour
J'ai mis en œuvre Dynfi dans ma structure. Pour l'accès à internet, j'ai activé le portail captif pour permettre à des personnes extérieures à la structure de se connecter à internet. J'ai utilisé les vouchers pour l'authentification. Tout fonctionne à merveille.
D'autre part, je souhaite que les machines internes à l'entreprise puissent se connecter sur ce même réseau et accéder à internet en contournant le portail captif. Ces machines sont toutes équipées d'un vpn. La machine n'a accès au réseau que si elle peut s'authentifier à cette adresse srv.domxx.fr
Ne serait-il pas possible de contourner le portail captif en détectant que la machine tente une connexion à l'adresse srv.domxx.fr ?
J'ai tenté d'insérer l'adresse srv.domxx.fr dans la liste blanche. J'ai également écris une règle qui autorise tous les protocoles vers cette adresse en utilisant les alias. Peut être ai-je mal compris qq chose.
Par avance merci pour votre aide
Contournement du portail captif
Moderator: gregober
Re: Contournement du portail captif
Bonjour Thibes,
Cependant le plus simple serait d'utiliser un autre réseau pour vos utilisateurs internes, soit en créant un autre VLAN ou en connectant vos utilisateurs sur un switch distinct sur un autre port réseau du firewall.
Vous avez une case dans la configuration du portail "Adresses autorisées" qui doit vous permettre d'ajouter des IP qui ne sont pas filtreés.Ne serait-il pas possible de contourner le portail captif en détectant que la machine tente une connexion à l'adresse srv.domxx.fr ?
J'ai tenté d'insérer l'adresse srv.domxx.fr dans la liste blanche. J'ai également écris une règle qui autorise tous les protocoles vers cette adresse en utilisant les alias. Peut être ai-je mal compris qq chose.
Cependant le plus simple serait d'utiliser un autre réseau pour vos utilisateurs internes, soit en créant un autre VLAN ou en connectant vos utilisateurs sur un switch distinct sur un autre port réseau du firewall.
Re: Contournement du portail captif
Bonjour
Tout d'abord, merci pour votre réponse
Oui, j'ai vu la partie "Adresses autorisées" mais ce n'est pas très adapté à plusieurs centaines de machines dont j'ai la charge.
La solution de mettre en place un autre réseau physique ou un vlan serait plus approprié mais je n'ai pas la liberté d'interdire ou pas l'accès au réseau dans les bureaux.
Par contre, j'ai tenté de personnaliser la page d'accueil du portail captif en ajoutant la fonction isExemptURL qui indique si oui ou non l' adresse srv.domxx.fr a été demandée:
function isExemptURL(url) {
var exemptDomains = ["srv.domxx.fr"];
var parser = document.createElement('a');
parser.href = url;
for (var i = 0; i < exemptDomains.length; i++) {
if (parser.hostname.endsWith(exemptDomains)) {
return true;
}
}
return false;
}
Ensuite, j'ai rajouté ce bout de code, juste après le code "$( document ).ready(function() {"
var redirUrl = getURLparams()['redirurl'];
// Check if redirect URL is exempt
if (redirUrl && isExemptURL(decodeURIComponent(redirUrl))) {
$.ajax({
type: "POST",
url: "/api/captiveportal/access/logon/" + zoneid + "/",
dataType:"json",
data:{ user: '', password: '' }
}).done(function(data) {
if (data['clientState'] == 'AUTHORIZED') {
window.location = 'http://' + redirUrl + '?refresh';
} else {
$("#inputUsername").val("");
$("#inputPassword").val("");
$("#errorMSGtext").html("authentication failed");
$("#alertMSG").removeClass("hidden");
}
}).fail(function(){
$("#errorMSGtext").html("unable to connect to authentication server");
$("#alertMSG").removeClass("hidden");
});
return;
}
Dans un premier temps, je vérifie si l'url est valide et si l'url demandée est une adresse exemptée. Si le test est vrai, j'ai essayé de valider une connexion anonyme mais je ne suis pas sur que cela soit possible, ni même si cette partie du code répond aux critères de sécurité de DynFi.
Pouvez vous m'éclaircir sur le mode de fonctionnement du portail captif ?
Quel est l'ordre dans lequel se font les contrôles lorsque le portail captif est activé ?
Dois je aussi écrire des règles pour autoriser les flux vers "srv.domxx.fr" ?
Peut être que les connexions anonymes ne sont pas le meilleur choix sur le plan de la sécurité mais comment créer un compte qui ne soit accessible que par ce biais la ?
Merci pour votre réponse
Tout d'abord, merci pour votre réponse
Oui, j'ai vu la partie "Adresses autorisées" mais ce n'est pas très adapté à plusieurs centaines de machines dont j'ai la charge.
La solution de mettre en place un autre réseau physique ou un vlan serait plus approprié mais je n'ai pas la liberté d'interdire ou pas l'accès au réseau dans les bureaux.
Par contre, j'ai tenté de personnaliser la page d'accueil du portail captif en ajoutant la fonction isExemptURL qui indique si oui ou non l' adresse srv.domxx.fr a été demandée:
function isExemptURL(url) {
var exemptDomains = ["srv.domxx.fr"];
var parser = document.createElement('a');
parser.href = url;
for (var i = 0; i < exemptDomains.length; i++) {
if (parser.hostname.endsWith(exemptDomains)) {
return true;
}
}
return false;
}
Ensuite, j'ai rajouté ce bout de code, juste après le code "$( document ).ready(function() {"
var redirUrl = getURLparams()['redirurl'];
// Check if redirect URL is exempt
if (redirUrl && isExemptURL(decodeURIComponent(redirUrl))) {
$.ajax({
type: "POST",
url: "/api/captiveportal/access/logon/" + zoneid + "/",
dataType:"json",
data:{ user: '', password: '' }
}).done(function(data) {
if (data['clientState'] == 'AUTHORIZED') {
window.location = 'http://' + redirUrl + '?refresh';
} else {
$("#inputUsername").val("");
$("#inputPassword").val("");
$("#errorMSGtext").html("authentication failed");
$("#alertMSG").removeClass("hidden");
}
}).fail(function(){
$("#errorMSGtext").html("unable to connect to authentication server");
$("#alertMSG").removeClass("hidden");
});
return;
}
Dans un premier temps, je vérifie si l'url est valide et si l'url demandée est une adresse exemptée. Si le test est vrai, j'ai essayé de valider une connexion anonyme mais je ne suis pas sur que cela soit possible, ni même si cette partie du code répond aux critères de sécurité de DynFi.
Pouvez vous m'éclaircir sur le mode de fonctionnement du portail captif ?
Quel est l'ordre dans lequel se font les contrôles lorsque le portail captif est activé ?
Dois je aussi écrire des règles pour autoriser les flux vers "srv.domxx.fr" ?
Peut être que les connexions anonymes ne sont pas le meilleur choix sur le plan de la sécurité mais comment créer un compte qui ne soit accessible que par ce biais la ?
Merci pour votre réponse
Re: Contournement du portail captif
Cette question s'adresse plutôt à nos équipes de développement.Dans un premier temps, je vérifie si l'url est valide et si l'url demandée est une adresse exemptée. Si le test est vrai, j'ai essayé de valider une connexion anonyme mais je ne suis pas sur que cela soit possible, ni même si cette partie du code répond aux critères de sécurité de DynFi.
Pouvez vous m'éclaircir sur le mode de fonctionnement du portail captif ?
Quel est l'ordre dans lequel se font les contrôles lorsque le portail captif est activé ?
Dois je aussi écrire des règles pour autoriser les flux vers "srv.domxx.fr" ?
Peut être que les connexions anonymes ne sont pas le meilleur choix sur le plan de la sécurité mais comment créer un compte qui ne soit accessible que par ce biais la ?
Merci pour votre réponse
Le système de portail captif autorise l'accès une fois les autorisations accordées (généralement après l'authentification).
Suivant les paramétrages, il déclenche généralement un timer et supprime l'autorisation une fois le timer arrivé à expiration.
Si vous définissez un peu plus précisément ce que vous souhaitez faire, je peux vous proposer que nos équipes de développement prennent cela en charge, votre nom figurera dans les contributeurs à la prochaine version et ce sera l'occasion de supporter notre projet
Re: Contournement du portail captif
Nos machines sont équipées de VPN. Tant que le VPN n'est pas actif, les machines ne sont pas autorisées à accéder à internet et ne peuvent donc pas atteindre un portail captif.
L'activation du VPN se fait en accédant à un serveur. La solution serait de bypasser le portail captif en autorisant l'accès à certains serveurs : une liste blanche de serveurs, des noms de domaine.
Ces machines auraient un accès direct à internet
Suis-je plus clair ?
L'activation du VPN se fait en accédant à un serveur. La solution serait de bypasser le portail captif en autorisant l'accès à certains serveurs : une liste blanche de serveurs, des noms de domaine.
Ces machines auraient un accès direct à internet
Suis-je plus clair ?