ARTICA : HotSpot Portail Captif avec Filtrage Web URL et Contenu HTTP/HTTPS

Le HotSpot ou « Portail Captif » permet d’authentifier un utilisateur à travers une page Web afin de lui donner accès à Internet. Il est utilisé dans des réseaux qui assurent un accès public tels que les espaces d’accueil, établissement scolaires …

ARTICA permet de filtrer les accès à Internet de l’ensemble des utilisateurs connectés au réseau interne, de bloquer l’accès aux sites à caractère indésirables ou offensant.
ARTICA fonctionne en mode Transparent avec possibilité de lier le proxy au Google Safe Browsing. Il supporte la mise à jour des bases additionnelles fournies par l’Université Toulouse 1 Capitole.

Téléchargez, à partir du site http://artica-proxy.fr/ ou http://articatech.net/index.php ou https://sourceforge.net/projects/artica-squid/files/ISO/proxy-appliances/ l’image ISO de ARTICA.

Important : Je vous conseille d’utiliser la version 3 ! : https://sourceforge.net/projects/artica-squid/files/ISO/proxy-appliances/old-3.x/

Schéma de L’installation

Configuration de la VM Hyper-V

Il s’agit d’une machine virtuelle sous Hyper-V. La configuration est la suivante :

2 Cartes réseaux
Disque dur de 60Go (minimum)
Mémoire vive de 4 Go (minimum)

Installation de ARTICA

Récupérez les informations liées à votre propre réseau. Dans ce mode opératoire, nous utiliserons les éléments suivants :

IP ARTICA : 192.168.1.2/24
IP Réseau INTERNET : 192.168.100.30/24
IP PASSERELLE Internet : 192.168.100.254/24 (Adresse de votre Box Internet)
IP DNS1 Internet : 192.168.100.254 (Passerelle d’accès a internet / Box)
IP DNS2 Internet : 8.8.8.8 (DNS Google)

Démarrer la VM

Sélectionner : “Artica Proxy …..”.

Sélectionner : French

Sélectionner : France

Sélectionner : Terminer le partitionnement et appliquer les changements

Sélectionner : OUI

Sélectionner : Continuer

Installation terminée. Configuration de l’adresse IP de connexion a l’interface Web

Sélectionner : Network

Sélectionner : eth1

Entrer l’adresse IP de ARTICA

Masque Sous réseau

Passerelle : 0.0.0.0 (Configuration pour HotSpot)

Sélectionner : Yes

Sélectionner : Quit

L’adresse IP de connexion a l’interface Web est notée en haut du Main Menu. (Ici : https://192.168.1.2:9000)

Connexion a l’interface

Dans la barre d’adresse du navigateur, taper : https://192.168.1.2:9000 et Confirmer exception de sécurité.

Sélectionner : Suivant

Serveur et domaine – Paramètres IP – DNS

Renseigner la Zone de Temps, le Nom Netbios et le Domaine du Serveur.

Configuration du réseau Internet : eth0

L’adresse IP : 192.168.100.30
Le masque : 255.255.255.0
La passerelle : 192.168.100.254 (Box Internet)
Les DNS : 192.168.100.254 et 8.8.8.8 (Box et DNS Google)

Sélectionner : HotSpot Service

Sélectionner la carte du réseau Invité : eth1

Sélectionner la carte du réseau Internet : eth0

Activer les Services DHCP et DNS

Régler le Niveau de Performance Globale et le Filtrage Internet en fonction de votre machine ou de votre choix…

Renseigner les infos de contact

Un avertissement pour information apparait ainsi que les informations de connexion :

Sélectionner : Construire le Paramètres

Attendre la fin de la configuration

On peut maintenant se connecter a ARTICA (Login : Manager / Mdp : secret)

Tableau de Bord

Sélectionner : Système et cliquer : Appliquer les Paramètres Réseaux

Sélectionner : Redémarrer les Réseaux

Patientez ….. puis fermer la fenêtre

Paramétrage des Bases de Filtrage WEB

Revenir au Tableau de Bord et Sélectionner : Mettre a jour les bases de filtrage Web libres

Sélectionner : Votre Proxy

Dérouler la page vers le bas jusqu’à l’onglet Mise a jour et Maintenance et Sélectionner : Bases de filtrage Web

Sélectionner : Paramètres de Mise a Jour

Sélectionner : Effectue la mise a jour (Même en période de production) puis Appliquer

Toujours dans Votre Proxy, Sélectionner : Règles de Filtrage

Sélectionner : Default

Le paramètre « Finir la règle par » permet de choisir trois options : Sélectionner ou Laisser passer (any) et rien d’autre (none).
Ce paramètre à une influence dans l’autorisation d’accéder à des sites qui ne sont pas listés dans les catégories en liste blanche ou Noires.

Sélectionner ou Laisser passer (any) : Cela veut dire que si un site n’est pas référencé dans une des catégories de la règle alors l’utilisateur peut accéder au site inconnu.

Rien d’autre (none) : Cela veut dire que si un site n’est pas référencé dans une des catégories de la règle alors l’utilisateur est interdit d’accéder au site inconnu.

Sélectionner : Listes Noires et cochez ou décochez les catégories en fonction de vos besoins

Cliquez sur Appliquer

Sélectionner : Système puis Service de cache DNS

Sélectionner : SafeSearch

Sélectionner les moteurs de recherches en fonctions de vos besoins

Paramétrage du HotSpot

Sélectionner : Votre Proxy puis HotSpot

Sélectionner : Membres Locaux et Ajouter les Utilisateurs

Par défaut, les utilisateurs disposent d’une fin de vie illimitée. C’est à dire qu’ils peuvent se ré-identifier à volonté sur le HotSpot.
Vous pouvez indiquer une période de validité. Au terme de sa fin de vie, un utilisateur ne peut plus s’authentifier sur le système de HotSpot. Il reste toutefois présent dans la base de données locale a des fins de réactivation.

Information : Déléguer la Gestion des Membres Utilisateur du HotSpot

Sélectionner : Règles puis Nouvelle Règle

Donner un Nom a cette règle

Sélectionner la Règle créé

Sélectionner : Réseaux puis Nouveau réseau

Renseigner le réseau Invité

Résultat

Sélectionner : Comportement et configurer comme ci-dessous (en fonction de vos besoins)

Information : Ré-authentifier Chaque xxx : Déconnecte l’utilisateur via l’intervalle spécifiée et l’oblige à se ré-identifier.

Optionnel : Si vous activez “Ne Pas Vérifier Le Compte” , Alors uniquement le Nom du Compte sera demandé sans mot de passe lors de la connexion au HotSpot.

Désactiver la règle “default” et Sélectionner : Appliquer

Information : Il est possible que certaines personnes, ou ordinateurs, aient besoin de se connecter à Internet sans avoir à s’identifier à travers le HotSpot. Dans ce cas, il faut ajouter une ou des Adresses MAC de Confiance

Sélectionner : Manager