Architecture de Captive Portal : Sécurité, redirection et bonnes pratiques

Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel - comme un consultant réseau senior briefant un client autour d'un café. Un rythme mesuré, une diction claire, sans précipitation. Des pauses naturelles occasionnelles pour insister sur certains points. Professionnel mais pas rigide : Bienvenue dans ce Briefing Technique Purple. Je suis votre hôte, et aujourd'hui nous allons plonger au cœur de l'architecture du Captive Portal - plus précisément le modèle de sécurité, les mécanismes de redirection et les choix de conception qui séparent un déploiement conforme et bien conçu d'un autre qui vous causera des problèmes à trois heures du matin. [medium pause] Plantons le décor. Vous gérez du WiFi invité pour une chaîne d'hôtels, un réseau de points de vente ou un stade. Des milliers d'appareils se connectent chaque jour. Certains de ces appareils transportent des logiciels malveillants. Certains de ces utilisateurs tenteront d'accéder à du contenu non autorisé. Et votre service juridique veut avoir la certitude écrite que vous avez recueilli un consentement valide avant de stocker le moindre octet de données personnelles. [medium pause] C'est précisément ce problème que l'architecture de Captive Portal est conçue pour résoudre. Voyons maintenant comment cela fonctionne concrètement. [medium pause] Première section. La chaîne de redirection. Lorsqu'un appareil invité se connecte à votre SSID WiFi, il obtient une adresse IP via un pool DHCP sur un réseau VLAN invité dédié - appelons-le VLAN 20. Vos appareils d'entreprise sont sur le VLAN 10. Ces deux VLAN ne doivent jamais router l'un vers l'autre. C'est non négociable du point de vue de la conformité PCI DSS, et tout à fait franchement, du point de vue de la sécurité de base également. À ce stade, l'appareil est connecté, mais il ne s'est pas encore authentifié. Le contrôleur le place dans ce que nous appelons un état de pré-authentification. L'appareil ne peut accéder qu'à une liste restreinte de domaines autorisés - le "walled garden" (jardin de sécurité). Tout le reste est intercepté. C'est là que réside l'astuce. Lorsque l'appareil tente de charger une page web - ou lorsque le système d'exploitation effectue sa vérification de détection de Captive Portal, ce que iOS fait automatiquement en interrogeant captive.apple.com - le résolveur DNS de la passerelle renvoie l'adresse IP du serveur de Captive Portal au lieu de la destination réelle. Le navigateur suit cette redirection et arrive sur votre portail d'accès. [medium pause] Il s'agit d'une collaboration entre la Couche 3 et la Couche 7. Le VLAN gère l'isolation du réseau. L'interception DNS gère la redirection. Et le Captive Portal gère la couche d'identité et de consentement. Trois mécanismes distincts, fonctionnant tous en séquence. [medium pause] Deuxième section. Authentification et RADIUS. Une fois que l'invité interagit avec le portail d'accès - que ce soit en acceptant les conditions générales, en saisissant une adresse e-mail, en s'authentifiant via un réseau social ou en vérifiant un code reçu par SMS - la plateforme doit indiquer au contrôleur réseau d'ouvrir le pare-feu pour cet appareil spécifique. C'est là qu'intervient RADIUS. RADIUS signifie Remote Authentication Dial-In User Service. C'est un protocole défini par la RFC 2865, et c'est la norme de l'industrie pour communiquer les décisions d'authentification entre un serveur de politiques et un équipement d'accès réseau. Purple fonctionne comme un serveur RADIUS hébergé dans le cloud. Lorsqu'un utilisateur effectue le parcours du Captive Portal, Purple envoie un message RADIUS Access-Accept au contrôleur WiFi local, qu'il s'agisse d'un Cisco Meraki, d'un contrôleur HPE Aruba, d'un Ruckus SmartZone ou d'un point d'accès Juniper Mist. Le contrôleur reçoit ce message et fait passer l'appareil de l'utilisateur de l'état de pré-authentification à l'état autorisé, ouvrant les règles du pare-feu et accordant l'accès à internet. [medium pause] Il existe une extension importante de RADIUS que vous devez connaître : le Change of Authorisation, ou CoA. Le CoA permet au serveur RADIUS d'envoyer un message en milieu de session au contrôleur pour révoquer ou modifier une session déjà active. Purple utilise le CoA pour appliquer les délais de déconnexion, déconnecter les appareils signalés pour violation des règles et prendre en charge les flux de travail liés au droit à l'effacement dans le cadre du GDPR – lorsqu'un utilisateur demande la suppression de ses données, Purple peut immédiatement révoquer sa session active. [medium pause] Troisième section. Le walled garden. Le walled garden est une liste blanche d'adresses IP et de noms de domaine que les appareils non authentifiés peuvent atteindre avant d'avoir terminé le parcours du Captive Portal. Si vous configurez cela de manière incorrecte, votre page de connexion ne se chargera pas. Si vous vous trompez lourdement, vous créez une faille de sécurité. Au minimum, votre walled garden doit inclure l'URL du Captive Portal elle-même, tous les points de terminaison CDN hébergeant les ressources du portail, ainsi que les points de terminaison d'authentification des fournisseurs de connexion sociale que vous utilisez (Google, Facebook, Microsoft). Si vous utilisez la vérification par SMS, vous devrez ajouter l'adresse API de la passerelle SMS à la liste blanche. Le piège classique pour la plupart des déploiements réside dans les adresses IP dynamiques. Les services cloud n'ont pas toujours des IP statiques. Si vous autorisez une IP plutôt qu'un domaine et que cette IP change, votre portail ne fonctionnera plus. Utilisez le filtrage par nom de domaine lorsque votre contrôleur le permet, et testez après chaque modification. [medium pause] Quatrième section. Conception de la sécurité. Parlons plus en détail de l'architecture de sécurité, car c'est là que la plupart des déploiements présentent des lacunes. Premièrement : l'isolation des clients. Activez-la. Il s'agit d'un paramètre sur le point d'accès qui empêche les appareils invités de communiquer directement entre eux via le réseau sans fil. Sans cela, un appareil compromis sur votre réseau invité peut sonder et attaquer d'autres appareils invités. C'est une simple case à cocher qui élimine toute une catégorie d'attaques de type peer-to-peer. Deuxièmement : les durées de bail DHCP. Dans un lieu à fort trafic – un centre de transport, un stade, un magasin bondé –, vous avez besoin de baux courts. De trente à soixante minutes. Si vous laissez la valeur par défaut à vingt-quatre heures et que dix mille appareils se connectent un jour de match, vous aurez épuisé votre pool d'adresses IP avant la mi-temps. Les nouveaux appareils ne pourront plus se connecter et vos équipes opérationnelles recevront des plaintes. Gardez des baux courts. Troisièmement : le chiffrement. Votre Captive Portal doit être fourni via HTTPS avec un certificat TLS valide. S'il est fourni via HTTP, les navigateurs modernes le signaleront comme non sécurisé, les utilisateurs s'en méfieront et vous transmettrez des identifiants en clair. Utilisez TLS 1.2 au minimum ; TLS 1.3 est préférable. La couche de transport WiFi doit utiliser WPA2-AES ou WPA3 - jamais WEP, jamais TKIP. Quatrièmement : la segmentation VLAN. Votre VLAN invité doit être complètement isolé de tout segment de réseau qui touche aux données de cartes de paiement. La version 4.0 de la norme PCI DSS est explicite à ce sujet. Si votre réseau invité peut acheminer le trafic vers un sous-réseau contenant un système de point de vente, l'ensemble de votre réseau POS entre dans le champ d'application d'un audit PCI. C'est une charge de conformité importante. Segmentez correctement dès le premier jour. [medium pause] Cinquième section. GDPR et conformité des données. Chaque Captive Portal qui collecte des données personnelles - et l'adresse e-mail, le numéro de téléphone et la connexion via les réseaux sociaux comptent tous comme des données personnelles selon le GDPR - doit répondre à des exigences spécifiques. Vous avez besoin d'une base légale pour le traitement. Pour le WiFi invité, il s'agit généralement du consentement. Le consentement doit être donné librement, spécifique, éclairé et univoque. Les cases pré-cochées ne comptent pas. Associer le consentement WiFi au consentement marketing ne fonctionne pas. Le modèle d'opt-in au choix conscient de Purple sépare le consentement d'accès au réseau du consentement marketing, afin que les invités puissent se connecter sans être contraints d'accepter des e-mails marketing. Vous devez documenter les données que vous collectez, pourquoi vous les collectez, où elles sont stockées et combien de temps vous les conservez. Purple est certifié ISO 27001, conforme au GDPR, conforme à la CCPA et certifié Cyber Essentials. La plateforme stocke les données dans des centres de données conformes avec des politiques de rétention documentées. Et vous avez besoin d'un flux de travail pour le droit à l'effacement. Si un invité demande la suppression de ses données, vous devez pouvoir y donner suite dans un délai de trente jours. La plateforme de Purple prend cela en charge nativement, et le mécanisme RADIUS CoA que j'ai mentionné plus tôt signifie que vous pouvez révoquer les sessions actives en même temps. [medium pause] Passons maintenant aux recommandations de mise en œuvre et aux pièges que nous rencontrons le plus souvent. [medium pause] Premier piège : les walled gardens mal configurés. La page d'accueil se charge, mais le bouton de connexion sociale ne fonctionne pas. Ou la page se charge mais le logo n'apparaît pas parce que le domaine du CDN n'est pas sur liste blanche. Testez votre walled garden sur un appareil neuf sans DNS en cache avant de lancer le service. Deuxième piège : les clés PSK partagées. Certains établissements utilisent encore un seul mot de passe WiFi écrit sur un tableau noir. Ce n'est pas un Captive Portal - c'est un secret partagé que n'importe qui peut photographier et partager. Cela ne vous donne aucune donnée d'identité, aucun enregistrement de consentement et aucune possibilité de révoquer un accès individuel. Remplacez-le par un Captive Portal géré. Troisième piège : le dimensionnement insuffisant du pool DHCP. J'ai déjà abordé ce sujet, mais cela mérite d'être répété. Dimensionnez votre pool DHCP pour les pics de connexions simultanées, et non pour les connexions moyennes. Dans un stade de quarante mille supporters, vous pourriez avoir vingt mille appareils essayant de se connecter simultanément. Planifiez en conséquence. Quatrième piège : l'absence de timeout de session. Sans timeout de session, un appareil connecté il y a six mois et qui n'est jamais revenu conserve un état de session autorisé dans votre contrôleur. Il s'agit d'un enregistrement obsolète qui gaspille des ressources et perturbe les audits. Configurez des timeouts de session. Trente minutes d'inactivité constituent un choix par défaut raisonnable. [medium pause] Questions et réponses rapides. Question : Le Captive Portal fonctionne-t-il sur tous les appareils ? Réponse : Les systèmes d'exploitation modernes (iOS, Android, Windows, macOS) intègrent tous la détection de Captive Portal. Ils détectent la redirection et affichent le portail automatiquement. Les appareils plus anciens peuvent nécessiter l'ouverture manuelle d'un navigateur par l'utilisateur. La plateforme de Purple gère ces deux scénarios. Question : Pouvons-nous utiliser un Captive Portal en parallèle du 802.1X ? Réponse : Oui. De nombreux déploiements en entreprise utilisent le 802.1X pour les appareils du personnel (où les certificats ou les identifiants s'authentifient automatiquement) et un Captive Portal pour les appareils invités sur un SSID distinct. Purple s'intègre aux infrastructures RADIUS qui prennent en charge ces deux flux simultanément. Question : Qu'en est-il d'OpenRoaming ? Réponse : OpenRoaming est une norme qui permet aux appareils de se connecter automatiquement au WiFi via une authentification par certificat, en contournant complètement le Captive Portal. Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming dans le cadre de la licence Connect. C'est l'avenir de la connectivité invités fluide, mais les Captive Portals restent aujourd'hui la norme pour la capture de données et la gestion du consentement. [medium pause] En résumé. Un déploiement de Captive Portal bien architecturé repose sur résumé cinq piliers. L'isolation VLAN pour protéger votre réseau d'entreprise. L'interception DNS et la redirection HTTPS pour présenter la page de connexion. L'authentification RADIUS pour ouvrir le pare-feu après consentement. Un walled garden correctement configuré pour garantir le chargement fiable du portail. Et un traitement des données conforme au GDPR pour protéger à la fois vos invités et votre organisation. La plateforme de Purple gère ces cinq couches sur 80 000 sites actifs, avec 440 millions de connexions traitées en 2024 et un taux de disponibilité de 99,999 %. Elle s'intègre nativement avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Ainsi, quel que soit votre matériel actuel, vous pouvez l'installer sans avoir à tout remplacer. Si vous souhaitez approfondir l'un de ces sujets (conception de SSID, configuration RADIUS ou workflows de conformité GDPR), visitez purple.ai pour accéder à notre bibliothèque complète de guides techniques. Merci pour votre écoute.