L’objectif de cette partie est de comparer les deux solutions d’authentification 802.1x et Portail captif et non de développer le fonctionnement du 802.1x.

Pour de plus amples informations sur le protocole 802.1x, vous pourrez consulter l’exposé “ L'accès authentifié aux réseaux (WiFi, filaires, etc.) : la norme 802.1x ” de cette base documentaire.

Nous allons donc analyser ici :

• Les avantages du Portail captif vis-à-vis du 802.1x,

• Les inconvénients de manière générale du Portail captif,

• La complémentarité des deux procédés.

Avantages du portail captif

1. Les clients légers

L'avantage majeur du portail captif par rapport au 802.1x est pour le client : il doit uniquement disposer d'un navigateur Web supportant le SSL.

Le portail captif est donc facile à implémenter du côté client, contrairement au 802.1x qui nécessite un logiciel particulier sur chaque poste.

2. Le coût serveurs/matériels

L'implémentation du 802.1x requiert du matériel compatible. Cette architecture représente donc un coût supplémentaire par rapport à du matériel « classique ».

Le portail captif présente l'avantage de reposer sur des serveurs « classiques » ou même d'être embarqué dans du matériel de type routeur (il existe des codes binaires gratuits pour les routeurs Linksys par exemple). Il ne remet donc pas en cause l'infrastructure existante, ce qui se traduit par des coûts plus faibles. De plus, il existe des solutions de portail captif gratuites (comme par exemple NoCatAuth qui sera étudié par la suite).

Ainsi, l'utilisation des portails captifs nécessite moins de complexité dans les points d’accès ou les commutateurs utilisés, celle-ci étant reportée soit dans des serveurs soit dans des routeurs embarquant des portails captifs.

3. Evolutivité et fonctionnalités additionnelles

Le portail captif autorise une expansion de ressources sans changement particulier de la configuration : l’ajout de postes sur le réseau est transparent étant donné que c’est la passerelle par défaut du poste qui redirige l’utilisateur vers le serveur d’authentification.

Il existe également de nombreuses solutions gratuites qui implémentent un portail captif (NoCat, m0n0wall, Chillispot, WiFiDog, etc.) et/ou d’autres fonctionnalités qui permettent entre autre une configuration par interface Web, le chiffrement des données échangées, le support des VLAN, etc.

De plus, ces initiatives s'inscrivent en général dans des projets du « monde libre » qui regroupent une communauté active. Ces solutions ne sont pas figées et sont amenées à évoluer.

Des HOWTO sont également disponibles pour faciliter la mise en place d'une infrastructure de portail captif.

4. La souplesse des règles d’authentification

Le comportement par défaut du pare-feu est de bloquer tous les utilisateurs non identifiés auprès du serveur d’authentification. Ceci constitue un premier niveau de sécurité et peut dissuader des attaques et/ou prévenir contre l’abus d’utilisation des ressources réseaux mises à disposition (ex : monopolisation de la bande passante).

Les règles d’accès sont mises à jour en fonction de la réponse du serveur d’authentification qui gère tous les utilisateurs susceptibles de venir s’interconnecter sur le réseau.

Le système d’authentification peut se faire ici avec différentes méthodes : le couple classique nom d’utilisateur / mot de passe , une carte électronique, un SMS ou encore un lecteur d’empreinte digitale.

Cette authentification est alors basée sur une page Web grâce au protocole SSL qui offre une certaine sécurité.

De plus, le Captive Portal est basé sur le protocole SSL qui lui permet un échange sécurisé de l’ouverture de session lors de l’authentification. Les dernières versions de SSL permettent l’authentification des clients à l’aide de certificats. La vérification du certificat du client permet à la passerelle d’authentification de lui fournir ou non un accès particulier en gérant les différentes règles d’affinage de l’accès aux ressources. Cela permet de sécuriser le lien et de permettre l’utilisation de moyen d’authentification tel que la carte à puce par exemple. Toutes ces techniques permettent une gestion simplifiée des accès aussi bien pour le client que pour le serveur et une authentification unique (Single Sign On).

Un des principaux avantages est aussi la possibilité de régler finement les règles de sécurité du pare-feu (concrètement les access policy). En effet, l’administrateur du réseau peut très bien dissocier les utilisateurs et créer ainsi des “ groupes ” avec des droits spécifiques. De cette manière, il est possible de restreindre l’accès à certaines ressources. Il est par exemple concevable que les personnes qui se connectent rarement (comme par exemple des commerciaux qui se serviraient d’une solution sans fil dans un hôtel) aient accès uniquement au Web et à leur messagerie mail alors que certaines personnes (comme le responsable de l’hôtel) aient accès à toutes les ressources que peut fournir ce type de matériel (Accès Web, Messagerie, Logiciel de comptabilité via Internet vers le siège social, Intranet entre établissements, etc.).

Cette méthode de réglage des règles du pare-feu offre une solution flexible et aisément modifiable (voir description de NoCatAuth).

L’utilisation du Portail captif permet aussi, après authentification auprès du serveur, d’utiliser un VPN, ce qui ajoute un moyen de sécurisation du trafic et la communication de réseau à réseau de manière transparente (ceci existe également pour le 802.1x).

Il est également possible de mettre en place une qualité de service en offrant différents débits selon les clients et leurs besoins.

Ces éléments de comparaison font donc ressortir la simplicité et la souplesse des solutions de portail captif sans remise en cause de l'infrastructure existante.

Nous allons à présent approfondir les aspects de sécurité du portail captif, en particulier vis-à-vis du 802.1x.