Sécurisation des portail captifs eduspot
Sécurité de l'environnement
Le CERT RENATER a produit un document de préconisation pour les usages nomades :
La première des mesures à mettre en œuvre, dans le cadre d'utilisation d'un portail captif, est le chiffrement des flux d'authentification par l'utilisation du protocole https.
De plus, le principe même du portail captif accorde une connectivité, certes limitée, avant toute authentification. Un attaquant peut facilement profiter de cette connectivité pour intercepter les flux de communication en utilisant deux méthodes combinées :
- l'attaque Man in the middle. Cette attaque est parée par l'utilisation de certificats électroniques reconnus dans les navigateurs et par l'information aux utilisateurs. Mais attention, ça n'est pas une parade infaillible. En effet, la réécriture d'URL par un attaquant peut “forcer” le passage de https en HTTP et présenter un portail captif au client en HTTP. Donc sans pop-up.
- une attaque par ARP spoofing, redirigeant le trafic destiné au portail captif vers sa machine. En utilisant des ACL appropriées sur la borne et sur les commutateurs, ce genre d'attaque peut être paré.
Ouverture des ports
Lors des JRSSI 2008, un groupe de travail composé du CERT RENATER, du CRU, de l'UREC et de l'INRIA a produit des recommandations afin de faciliter l'usage des accès nomades dans les établissements.
Durée des sessions
Faut-il limiter la durée des sessions ?
Faut-il déconnecter l'utilisateur en cas d'inactivité ?
Il est difficile de répondre à ces questions car il faut tenir compte des ressources matérielles disponibles (capacités des bornes, du serveur DHCP, du portail,…), du nombre d'utilisateurs et de leurs souhaits.
Lorsque c'est possible il est souhaitable de maintenir la session tant que l'équipement est présent et actif sur le réseau (même si l'utilisateur n'a pas d'activité directe).
Dans tous les cas il faut s'assurer de couper la session lorsque l'équipement n'est plus présent ou actif sur le réseau.
présent = raccordé (associé dans le cas du WiFi)
actif = connectivité IP établie
Une méthode pour tester l'arrêt d'un équipement peut consister à utiliser ARP pour constater un changement d'adresse MAC ou un timeout.