Scurit des Systmes d'Information et de Communication

Documentation technique

Projet : Scurisation des accs Internet Auteur : rexy and 3abtux with helps by alcasar team
Objet : Documentation technique du projet Version : 2.6.1
Mots cls : Portail captif, captive portal, coova, chilli Date : Aot 2012
 Table des matires
1 - Rappel de l'architecture......................................................................................................................................3
2 - Choix des constituants.......................................................................................................................................3
2.1 - La passerelle d'interception........................................................................................................................3
2.2 - Les autres constituants................................................................................................................................3
3 - Schmas de principe :.........................................................................................................................................4
4 - Fonction interception / authentification ........................................................................................................7
4.1 - la passerelle coova-chilli .......................................................................................................................7
4.1.1 - Fonctionnement de l'interception (capture)........................................................................................7
4.1.2 - Exception l'authentification.............................................................................................................8
4.2 - Le serveur FreeRadius................................................................................................................................9
4.3 - Base de donnes des usagers......................................................................................................................9
4.3.1 - Accs graphique la base.................................................................................................................11
4.3.2 - Accs console...................................................................................................................................11
4.4 - Serveur A.D./LDAP externe.....................................................................................................................11
5 - Fonction traabilit et imputabilit .............................................................................................................12
5.1 - Journalisation principale...........................................................................................................................12
5.2 - journalisation accessoire...........................................................................................................................12
6 - Fonction filtrage .........................................................................................................................................12
6.1 - Filtrage Rseau.........................................................................................................................................12
6.2 - Filtrage de domaines et d'URLs................................................................................................................13
6.3 - Antivirus WEB.........................................................................................................................................14
7 - Fonction Interface de gestion ......................................................................................................................14
8 - Fonction modules complmentaires ...........................................................................................................14
8.1 - Import de comptes Fichier mots de passe..............................................................................................14
8.2 - Watchdog..................................................................................................................................................14
8.3 - Statistiques................................................................................................................................................15
8.4 - Contournement (by-pass).........................................................................................................................15
8.5 - Re-Horodatage des fichiers journaux ......................................................................................................15
8.6 - Module de sauvegarde..............................................................................................................................15
8.6.1 - Sauvegarde du systme complet.......................................................................................................15
8.6.2 - Sauvegarde des journaux d'vnements............................................................................................15
8.6.3 - sauvegarde de la base de donnes.....................................................................................................16
9 - Annexes............................................................................................................................................................16
9.1 - Coova-chilli..............................................................................................................................................16
9.2 - Freeradius.................................................................................................................................................16
9.3 - Dnsmasq...................................................................................................................................................16
9.4 - Parefeu......................................................................................................................................................16
9.5 - Dansguardian............................................................................................................................................17
9.6 - Squid.........................................................................................................................................................17
9.7 - Ulogd........................................................................................................................................................17
9.8 - HAVP + Clamav......................................................................................................................................17
9.9 - Distribution Mandriva et ses dpts.........................................................................................................17

Documentation technique ALCASAR 2.6.1 2/17

1 - Rappel de l'architecture
Alcasar est positionn en coupure entre l'accs Internet et le rseau de consultation. Il permet d'authentifier les
usagers, de contrler les accs, de tracer les connexions effectues, de protger le rseau de consultation. Le
coeur d'Alcasar est constitu des lments traditionnels d'un portail captif : une passerelle d'interception, un
serveur d'authentification et une base de donnes usagers.

2 - Choix des constituants

2.1 - La passerelle d'interception
La passerelle d'interception constitue le chef d'orchestre d'un portail captif. Les passerelles libres suivantes
ont t values en 2008 :
NoCat Talweg Wifidog Chillispot/Coovachilli

Site WEB nocat.net talweg.univ-metz.fr dev.wifidog.org www.chillispot.org

www.coovachilli.org

Version Plusieurs versions pour les 0.86-R2 (22/03/2007)

diffrents constituants du
1.0.0_m2 (7/10/2005) 1.1 (24/10/2006)

produit. Dernire mise jour :

27/02/2005

Langage C C# sous mono - C pour le programme principal - C pour le programme principal

- module PHP pour le serveur - module CGI-BIN pour le
WEB serveur WEB (PERL ou C)

Description NoCat est constitu de plusieurs

lments : NoCatSplash est
Talweg est un portail dont le
contrle d'accs au rseau est
WifiDog est compos de 2
modules : Authentification
Chillispot ne constitue que la
partie centrale d'une architecture
le portail, NoCatAuth est gr protocole par protocole. Server et WifiDog de type portail captif. Il
utilis pour l'authentification et Tous les protocoles utilisables Gateway . Le serveur implmente les 2 mthodes
Splash Server est le service sur Internet ne sont pas encore d'authentification doit tre d'authentification (UAM et
permettant de gnrer les intgrs. install sur un serveur fixe alors WPA). Il ncessite la
formulaires de connexion des que la passerelle peut tre connaissance et l'installation des
utilisateurs. Le suivi de ce embarque dans certains autres services constitutifs du
produit a t arrt en 2005. quipements rseau compatibles portail captif.
(routeur, passerelle ADSL, etc.).

Bien que cette liste ne soit pas exhaustive, et aprs exprimentation, la passerelle Chillispot a t utilise
lors de la cration d'Alcasar. Depuis, elle a t remplace par le clone (fork) coova-chilli dont le
dveloppement est plus actif (http://coova.org/CoovaChilli). Avant chaque nouvelle version d'ALCASAR,
Coova-chilli est rcupr sous forme d'archive compresse. Il est compil et empaquet (RPM) spcifiquement
pour tre intgr ALCASAR.
2.2 - Les autres constituants
Pour couvrir l'ensemble des besoins d'Alcasar, les produits libres suivants ont t ajouts au coeur. Leur choix
est principalement dict par leur niveau de scurit et leur reconnaissance.

Documentation technique ALCASAR 2.6.1 3/17

 Version d'Alcasar jusqu' 2.1/2 2.3/2.4/
1.7 1.8 1.9 2.0 2.6
Modules 1.6 .2 2.5
Linux
Systme d'exploitation 2007.0 2009.0 2010.0 2010.0 2010.1 2010.2 2010.2 2010.2
Mandriva
noyau Linux 2.6.17 2.6.27 2.6.31 2.6.31 2.6.33 2.6.33 2.6.33.7 2.6.33.7
ChilliSpot
Passerelle d'interception Coova-chilli 1.0.12 1.0.12 1.2.2 1.2.2 1.2.5 1.2.8/1.2.9 1.2.9
1.0
Bind 9.6.1
DNS
Dnsmasq 2.52-1 2.52-1 2.52-1 2.52-1
Serveur DHCP (mode
bypass) dhcpd server 3.0.4 3.0.7 4.1.0 4.1.0
Serveur Web Apache 2.2.3 2.2.9 2.2.14 2.2.14 2.2.15 2.2.15 2.2.15 2.2.22
PKI locale (chiffrement
OpenSSL 1.0.0.a 1.0.0.a 1.0.0.a 1.0.0.a
flux)
Middleware PHP 5.1.6 5.2.6 5.3.1 5.3.1 5.3.4 5.3.6 5.3.6 5.3.14
Serveur d'authentification FreeRadius 1.1.2 2.1.0 2.1.7 2.1.7 2.1.8 2.1.8 2.1.8.6 2.1.8.6
Serveur de base de donnes
Mysql 5.0.24 5.0.67 5.1.40 5.1.42 5.1.46 5.1.55 5.1.58 5.1.63
usagers
Cache WEB (proxy) Squid 2.6 3.0.8 3.0.22 3.0.22 3.1-14 3.1-14 3.1-14 3.1-14
Serveur de temps ntpd 4.2 4.2.4 4.2.4 4.2.4 4.2.4 4.2.4 4.2.4 4.2.4
Journalisation Ulogd 1.24 1.24 1.24 1.24 1.24 1.24 1.24 1.24
SquidGuard 1.2.0
Filtrage WEB
Dansguardian 2.9.9.7 2.10.1 2.10.1 2.10.1 2.10.1 2.10.1 2.10.1
Statistiques de consultation Awstat 2.5 2.5.3 6.9 6.9 6.95 6.95 6.95 6.95
Lecture des journaux du
FirewallEyes 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
parefeu
Info systme Phpsysinfo 2.5.3 2.5.3 2.5.3 2.5.3 2.5.3 2.5.3 2.5.3 2.5.3
2.29.3/
Archivage chaud du Mondo 2.09 2.24 2.28 2.28 2.29 2.29.3
2.29.7
systme
Mindi 1.09 1.24 2.0.7 2.07 2.0.7 2.0.7 2.0.7.8
Chiffrement des fichiers
Gnupg 1.4.5 1.4.9 1.4.10 1.4.10 1.4.10 1.4.10 1.4.10 1.4.10
journaux
openssh-
Connexion distante scurise 4.3-P2 5.1-P1 5.3-P1 5.3-P1 5.5p1 5.5p1 5.5p1 5.5p1
server
Passerelle antivirus WEB HAVP 0.91 0.92a 0.92a 0.92a 0.92a-1
Antivirus LibClamav 0.96-0 0.96-1 0.97-0 0.97-3 0.97-5

3 - Schmas de principe :
Alcasar peut tre dcompos en cinq fonctions qui sont dtailles dans la suite du document :
fonction interception / authentification ralise par Coova-chilli, DNSMasq, Apache et le couple
Freeradius / Mysql voire LDAP pour l'authentification ;
fonction traabilit / imputabilit des connexions constitue des journaux du parefeu et du couple
Freeradius / Mysql) Le journal du proxy Squid peut aussi tre exploit ;
fonction filtrage de domaine, d'URL, antivirus WEB et rseau. Cette fonction est ralise par le
parefeu (Netfilter), le couple (HAVP, LibClamav), DNSMasq et Dansguardian ;
fonction interface de gestion ralise en PHP et PERL et servie par Apache ;
fonction modules complmentaires . Ces modules ont pour objectif d'amliorer la scurit globale du
portail (anti-contournement, anti-usurpation MAC/IP, chiffrement des fichiers journaux, gestion des
certificats, etc.) ou d'enrichir les possibilits du portail (installation, mise jour, by-pass, archivage,
chiffrement des journaux, acclration de la consultation, cron, etc.)

Documentation technique ALCASAR 2.6.1 4/17

 ALCASAR SCHMA DE PRINCIPE
Administration SSH
Administrateur SSH
22
Ad Alcasar Control Center
m ini
str (Centre de gestion)
a tio 2
nW 1
EB
443
Cache DNS

lux
Apache

sf
tre
tion 53

Au
ica Serveur WEB
ntif filtr
s DNSmasq
th e S non
Au DN
3990 Flux Serveurs DNS
Interception 2 Administration SSH
54
Flux Internet
Coova-chilli 1 Flux DNS filtrs DNSmasq 3 Internet
Usagers Interception 3779
+
Blacklist
Serveur DHCP
de domaines
Cache DNS
Ulogd
Discrimination des logs
3
Flux w
COA

Blacklist
d'URLs 8090
e

HAVP
b

Journal
Proxy antivirus Journal
1812 2 tentatives accs
accs ssh
1813 depuis Internet
389
Serveur LDAP Annuaire 8080
3128
ou A.D externe externe Freeradius libclamav
Dansguardian Squid
Antivirus
Serveur A.A.A Journal
Proxy de filtrage Proxy cache Flux de sortie
Authentication
d'URL et de contenu
Authorization
Accounting Base @IP_src + @MAC_src +
port_src
antivirale + @IP_dest + port_dest +
Mise jour toutes date + heure
les 2 heures Commutateurs
de filtrage
3306 PAREFEU (NETFILTER)
Journal des Cache Web 1 : - protection en entre (anti-contournement) 1 Protocoles rseau
Base des usagers URLs et noms de
Mysql Consultations - redirection des flux (web, dns, autres) 2 domaine
et WEB - antispoofing Antivirus de flux
journal des connexions 3 WEB
Serveur de base de @IP dest + URL 2 : - filtrage de protocoles
donnes Nom-usager + @MAC_src dest + date + heure
+ @IP_src + date + heure
3 : - masquage d'adresse (dnat)
- journalisation des flux
- antispoofing et antiflooding
 ALCASAR Schma des flux rseau internes

Apache (serveur WEB)

quipements de - Gre et chiffre le transport des pages WEB du portail
consultation Module PHP ACC
- centre de gestion d'Alcasar
Module PHP intercept.php
- Gnre la page d'authentification
- Rcupre le couple (identifiant/mot de passe)
Eth1 Tun0 - Transfre ces donnes de manire chiffre Coova-chilli
Module CGI/PERL awstat
- Analyse et prsente graphiquement les logs du serveur
mandataire Squid
Module PHP dialupadmin
- Interface d'administration du serveur d'authentification
NetFilter (protection du portail) FreeRadius
Module PHP FirewallEYES
- Interface de consultation des logs du parefeu
Module PHP phpsysinfo
Coova-chilli (passerelle d'interception) - information systme (page de garde)
- Gre le cache ARP
- Serveur DHCP
- Intercepte les trames rseau des quipements de consultation et les dirige vers la page
d'authentification (intercept.php)
- Rcupre les donnes d'authentification du module intercept.php (via le port 3990)
- Requte le serveur d'authentification FreeRadius (Authentication + Autorisation).

Netfilter (gestion des flux) DNSmasq (DNS)

- Filtrage et aiguillage de protocoles - Transmet les trames DNS aux serveurs publics
Gre les domaines blacklists

DansGuardian (filtrage d'Url et

contrle de contenu)
- Exploite la blacklist d'URL

HAVP (proxy antivirus de flux WEB)

- Analyse le contenu du flux HTTP via libclamav

Free Radius (serveur d'authentification)

Autres flux

Loopback - Gre le protocole RADIUS avec Coova-chilli

- Requte la base Mysql pour consulter les donnes des usagers
(127.0.0.1) - Stocke les informations de connexion dans la base Mysql (Accounting)

MySQL (serveur de base de donnes usagers)

- Stocke les donnes des comptes et des groupes d'usagers
- Stocke les journaux de connexion

Squid (proxy WEB)

- Gnre les journaux http
- Mmorise et acclre les connexions

NetFilter
- Protection du portail
- Effectue une translation d'adresse (NAT) sur les trames sortantes
- Journalise les flux sortants via ulogd

Eth0

Internet
Documentation technique ALCASAR 2.6.1 6/17
4 - Fonction interception / authentification
Un des objectifs d'Alcasar est d'tre le plus universel possible. Ainsi, la mthode d'interception et
d'authentification choisie s'appuie sur l' UAM (Universal Access Method). Cette mthode n'utilise que des
protocoles standards ne ncessitant qu'un navigateur WEB pour authentifier un usager situ sur un quipement
de consultation. Parmi les autres mthodes, on peut citer celle exploitant des modules clients installer sur les
quipements de consultation (mthode exploite par le parefeu authentifiant NuFW par exemple) ou celle
reposant sur des protocoles rseau ddis (802.1X par exemple).
La fonction interception / authentification s'appuie sur la passerelle d'interception Coova-chilli
(processus chilli ), le serveur WEB apache (processus httpd ), le serveur d'authentification
Freeradius (processus radiusd ) et le systme de gestion de bases de donnes Mysql (processus
mysqlmanager et mysqld ).
4.1 - la passerelle coova-chilli
Elle est lance via son script de dmarrage (/etc/rc.d/init.d/chilli start) qui a t lgrement adapt par le script
d'installation ( alcasar.sh ). Ce script utilise le fichier de configuration ( /etc/chilli.conf ).. Le processus chilli
est alors lanc en mode daemon . Ce dernier cre l'interface virtuelle tun0 1 lie en point point
l'interface physique connecte au rseau de consultation (eth1). Cela lui permet de grer sa propre table de
rsolution ARP en espace utilisateur. Une particularit dans cette gestion consiste verrouiller les couples
(@MAC , @IP) rencontrs sur le rseau de consultation. Un empoisonnement du cache ARP par le rseau est
alors impossible ( cache poisoning ). Dans certains cas, ce comportement peut tre bloquant (quipement re-
paramtr aprs avoir dj gnr des trames IP vers ALCASAR). La commande chilli-query list permet
d'afficher et de contrler le cache ARP de chilli . Cette commande est utilise par l'interface de gestion
(menu ACTIVIT ) pour supprimer les mauvaises associations @IP/@MAC. Complmentaire cette
fonction d'anti- cache poisoning intgre chilli , Alcasar utilise un module spcifique de scurit
(alcasar-watchdog.sh) permettant d'viter l'usurpation d'adresses MAC et d'adresses IP des stations de
consultation connectes sur le rseau (cf. fonctions de scurit).
4.1.1 - Fonctionnement de l'interception (capture)
Lorsquun quipement de consultation tente de se connecter sur une URL Internet (www.free.fr dans l'exemple
qui suit) :

[trame 1] La requte DNS de l'quipement est rcupre par le serveur DNS d'ALCASAR (dnsmasq).
Les tentatives de connexion vers d'autres serveurs DNS sont bloques par le parefeu interne. Cela
permet de prvenir le contournement du DNS d'ALCASAR ainsi que les tunnels DNS.
DNSMasq rsout le domaine localement s'il est dans sa base (cf. fonctions de filtrage), sinon il transfre
1 - Les priphriques Tap et Tun des noyaux Linux sont des interfaces rseau virtuelles de niveau 2 (i.e. Ethernet) pour Tap
ou 3 (i.e. IP) pour Tun permettant des processus excuts en espace utilisateurs (les interfaces physiques fonctionnent en espace
noyau) d'envoyer ou de recevoir des trames sur ces interfaces via les fichiers spciaux (/dev/tapX ou /dev/tunX). Ces interfaces
virtuelles peuvent tre exploites comme des interfaces physiques (configuration, mission/rception, routage). Ces interfaces
autorisent un traitement sur les trames la rception ou avant l'mission de celles-ci. L'interface Tap est souvent utilise dans la
cration de tunnels RPV/VPN afin d'encapsuler un flux dans un autre (cf. projet OpenVPN ).

Documentation technique ALCASAR 2.6.1 7/17

 la requte vers les serveurs DNS Internet dfinis lors de l'installation d'ALCASAR. Les rponses sont
retournes l'quipement de consultation [trame 2].
Une requte de connexion sur le port 80 (http) du serveur WEB est alors envoye [trame 3] par la station
de consultation. Cette requte est intercepte par chilli qui vrifie si un usager n'est pas dj
autoris sur cet quipement :
Si tel est le cas, Chilli ouvre la barrire et laisse transiter toutes les trames de l'quipement
quelque soit le protocole. Le parefeu prend alors le relais. Il oriente les flux WEB vers la chane de
filtrage WEB. Il filtre ou transfre les autres flux vers Internet (cf. fonction de filtrage).
Si tel n'est pas le cas, Chilli simule une connexion WEB standard [trames 4 6] et rpond la
requte de l'quipement [trames 7 9] par une trame HTTP de redirection de service ( HTTP/1.0 302
Moved Temporarily ) contenant l'URL d'une splash-page avertissant de la redirection ( directive
uamhomepage du fichier /etc/chilli.conf). Dans ALCASAR cette splash-page a t supprime afin
de rcuprer directement la page d'authentification dfinie par la primitive uamserver (URL de
redirection : https://alcasar/intercept.php ) [cf. dtail de la trame 9]. Cette session se termine [trames 10
13] et le navigateur initie une session chiffre avec le serveur WEB intgr dans Alcasar (Apache)
afin de rcuprer cette page [trame 14 et suivantes]. L'usager renseigne les champs d'authentification
(identifiant + mot de passe) qui sont envoys de manire chiffre Apache pour tre traits
(chiffrement du mot de passe avec une cl secrte partage entre apache et chilli). Apache retourne le
rsultat au navigateur afin que ce dernier redirige une nouvelle fois ces informations au processus
chilli (port 39902). Chilli les rcupre afin de pouvoir requter le serveur radius. Le rsultat de
cette requte est retourn au navigateur afin d'tre trait par les scripts javascript de la page
intercept.php (chec ou russite de la connexion).
La communication entre chilli et Freeradius exploite le protocole radius . Les paramtres de cette
communication sont dfinis la fois dans le fichier /etc/raddb/client.conf et via les directives
hs_radius , hs_radius2 et hs_radsecret du fichier /etc/chilli.conf .
Pour la dconnexion, les navigateurs Web gnrent une requte adquate sur le port d'coute de Chilli
(3990).
Cette phase d'interception peut tre schmatise comme suit pour un usager non authentifi sur une station de
consultation identifie par son @MAC et son @IP :
HTTP URL vers Internet
@MAC
+ HTTPS redirection vers https://@IP_alcasar/intercept.php + challenge + URL 80 coova Internet
@IP
HTTPS demande intercept.php + challenge + URL
HTTPS intercept.php + challenge + URL Apache
443 +
HTTPS utilisateur + mot de passe + challenge + URL

Intercept.php HTTPS redirection vers http://@IP_alcasar:3990 + utilisateur + mot de passe chiffr + URL php
module Javascript
- formulaire d'authentification HTTP + utilisateur + mot de passe chiffr + URL
- fentre connect
HTTP redirection vers https://@IP_alcasar + rsultat authentif + URL 3990 coova radius
- fentre chec de connexion
- redirection vers URL demande
HTTPS demande intercept.php + rsultat authentif + URL
HTTPS intercept.php + rsultat authentif + URL 443 apache
HTTP URL vers Internet (idem 1re trame) 80 ou tout
autre protocole coova Internet

4.1.2 - Exception l'authentification

Coova-chilli la possibilit de laisser transiter des trames spcifiques vers Internet sans authentification
pralable. Cette possibilit est exploite dans Alcasar pour permettre la mise jour automatique des antivirus et
des patchs systmes. Les paramtres uamallowed et uamdomain pointent vers deux fichiers contenant la
liste des adresses IP (ou adresse rseau) ou des noms de domaine joignables sans authentification
(/usr/local/etc/alcasar-uamallow et /usr/local/etc/alcasar-uamdomain) .

2 - chilli coute sur un port dfini par la primitive hs_uamport du fichier /etc/chilli/config (3990 par dfaut). Le format des
requtes envoyes sur ce port dtermine l'action demande (ex. @IP:3990/prelogin pour une demande de connexion,
@IP:3990/logout pour une demande de dconnexion. La requte contient bien entendu l'ensemble des paramtres ncessaires au
traitement de la demande (@MAC, challenge, identifiant, etc.).

Documentation technique ALCASAR 2.6.1 8/17

4.2 - Le serveur FreeRadius
Le service radiusd est utilis dans le portail comme unit d'identification, d'authentification et d'accounting
(mesure d'usage des comptes).
L'identification utilise uniquement le SGBD (par dfaut) mais freeradius pourrait tre adapt pour utiliser par
exemple un annuaire externe.
L'authentification utilise par dfaut le SGBD local mais dispose d'un module LDAP pour comparer le couple
login/MDP un annuaire (AD, etc.)
L'accounting utilise uniquement le SGBD pour stocker les traces d'usages des comptes.
Le fichier principal est radiusd.conf. Il s'appuie sur le fichier client.conf, sql.conf pour les paramtres de connexions
SQL et sur ldap.attrmap pour la mappage des attributs LDAP.
Un fichier alcasar situ sous /etc/raddb/sites-available dfinit les paramtres spcifiques ALCASAR. Un lien
symbolique relie /etc/raddb/sites-enable/alcasar vers ce fichier pour rendre actif ce fichier. Remarque, pour limiter
les effets de bords des migration de freeradius qui rajoute systmatiquement 3 liens symboliques vers inner-
tunnel,control-socket et default , ces 3 fichiers sont fixs 0 volontairement. Ne pas les supprimer !!!
Commande de test de radius : radtest <userLogin> <userPassword> 127.0.0.1 0 <radsecret>
4.3 - Base de donnes des usagers
La base de donnes des usager est gre par le SGBD mysql . Le schma de cette base est entirement
compatible avec le service d'authentification Radius. La structure de cette base est mise en place lors de
l'installation d'Alcasar en exploitant un script SQL (cf. fonction init_db du script alcasar.sh) :
# Ajout d'une base vierge
mysql -u$DB_USER -p$radiuspwd $DB_RADIUS < $DIR_CONF/radiusd-db-vierge.sql

Le Modle Conceptuel de Donnes (MCD) de cette base est le suivant :

Documentation technique ALCASAR 2.6.1 9/17

 BASE DE DONNEE RADIUS V2.x (ALCASAR > V1.7*)

Lgende 4. radacct
En rouge : Index Cl Primaire radacctld bigint(21)
En Italique * : Cl secondaire acctsessionid * varchar(32)
Table cre par FreeRadiusWEB 2. mtotacct acctuniqueid * varchar(32)
Table cre par FreeRadiusSQL MtotAcctld bigint(21) username * varchar(64) 5. radcheck
Table inexploite par ALCASAR UserName * varchar(64) groupname varchar(64) id int(11)
AcctDate * date realm varchar(64 username * varchar(64)
ConnNum bigint(12) nasipaddress * varchar(15) attribute varchar(64)
ConnTotDuration bigint(12) nasportid varchar(15) op char(2)
ConnMaxDuration bigint(12) nasporttype varchar(32) value varchar(253)
ConnMinDuration bigint(12) acctstoptime * datetime 6. radgroucheck
InputOctets bigint(12) acctsessiontime int(12) id int(11)
OutputOctets bigint(12) acctauthentic varchar(32) groupname * varchar(64)
1. badusers NASIPAddress * varchar(15) connectinfo_start varchar(50) attribute varchar(32)
id int(10) connectinfo_stop varchar(50) op char(2)
UserName *varchar(30) acctinputoctets bigint(12) value varchar(253)
Date * datetime acctoutputoctets bigint(12)
Reason varchar(200) calledstationid varchar(50)
Admin varchar(30) accterminatecause varchar(32)
servicetype varchar(32)
framedprotocol varchar(32)
framedipaddress * varchar(15) 9. radreply
acctstartdelay int(12) id int(11)
acctstspdelay int(12) username * varchar(64)
xascendsessionsvrkey varxchar(12) attribute varchar(32)
op char(2)
value varchar(253)
12. userinfo
id int(10) 7. radgroupreply
UserName * varchar(64) id int(11)
Name varchar(200) groupname * varchar(64)
Mail varchar(200) attribute varchar(32)
Department * varchar(200) op char(2)
WorkPhone varchar(200) value varchar(253)
HomPhone varchar(200)
Mobile varchar(200)

10. totacct
TotAcctld bigint(21) 3. nas
UserName * varchar(64) 8. radpostauth id int(10)
AcctDate * date 11. radusergroup id int(11) nasname * varchar(128)
ConnNum bigint(12) username * varchar(64) user varchar(64) shortname varchar(32)
ConnTotDuration bigint(12) groupname varchar(64) pass varchar(64) type varchar(30)
ConnMaxDuration bigint(12) priority int(11) reply varchar(32) ports int(5)
ConnMinDuration bigint(12) date timestamp(14) secret varchar(60)
InputOctets bigint(12) community varchar(50)
OutputOctets bigint(12) description varchar(200)
NASIPAddress * varchar(15)

* dans les version < 2.0 : la table radusergroup s'appelait usergroup et le champs groupname de la table raddacct n'existait pas
* partir de la version 2.6, le champs 'username' de la table 'userinfo' change de type pour tre compatible avec les autres tables (bascule de
varchar(30) en varchar(64))
 4.3.1 - Accs graphique la base
Afin de pouvoir afficher de manire conviviale et pdagogique le
contenu de la base usager, vous pouvez utiliser l'interface WEB
phpmyadmin .
installez phpmyadmin : urpmi phpmyadmin
modifiez le fichier /etc/httpd/conf/webapps.d/phpmyadmin.conf
afin d'autoriser votre station de consultation y accder
(allow from votre_@IP) ;
connectez-vous la base partir de votre station de consultation l'URL :
https://@ip_alcasar/phpmyadmin
rcuprez le nom et le mot de passe du compte d'administration de la base dans le
fichier /root/ALCASAR-passwords.txt
identifiez-vous sur le SGBD et choisissez la base radius
Vous pouvez maintenant accder aux contenus des tables.

4.3.2 - Accs console

Avec le login/mot de passe issus du fichier /root/ALCASAR-password.txt , taper la ligne ci-dessous :
mysql -uradius -p radius

Entrez le mot de passe associ l'utilisateur radius.

Voir les tables : SHOW TABLES ;
Voir le contenu : SELECT * FROM <tables_name> ;
Voir les tutoriels concernant le SQL et notamment MySQL.
4.4 - Serveur A.D./LDAP externe
Freeradius peut interroger une base externe via le protocole LDAP quand la primitive ldap est dcommente
dans le fichier /etc/raddb/sites-enable/alcasar . Tous les paramtres de connexion sont regroups dans le
fichier /etc/raddb/modules/ldap . Ces paramtres sont modifiables via l'interface de gestion ou la main . Les
modifications sont prises en compte aprs avoir relanc le service radiusd : service radiusd restart .
Paramtres Dfinition Remarques
Nom du serveur LDAP (server = "ldap.example.com" Le port de connexion par dfaut est 389. Pour le changer : @
server
ou server = "@IP" serveur:port

basedn Base de recherche des usagers authentifier Voir l'exemple ci-dessous dans le cas d'Active Directory.

Pour un ldap standard : filter = "(uid=%{Stripped-User-Name:-%

Recherche de l'identifiant ou attribut pour {User-Name}})"
filter
l'authentification Pour Active Directory : filter = "(samAccountName=%{Stripped-
User-Name:-%{User-Name}})"

Documentation technique ALCASAR 2.6.1 11/17

 Paramtres Dfinition Remarques
Exemples :
par dfaut, vide
base_filter Filtre de recherche ldap complmentaire
base_filter="(objectclass=radiusprofile)"
base_filter=''(memberof=groupe_alcasar)''
Vide = connexion anonyme (LDAP)
identity Compte possdant des droits en lecture sur l'annuaire. Obligatoire pour Active Directory (sur le serveur AD, crer un
compte standard qui sera utilis par ALCASAR pour l'interroger
l'annuaire distance).

Mot de passe associ au compte avec des droits de Vide = connexion anonyme (LDAP).
password
lecture sur l'annuaire ldap. Obligatoire pour Active Directory.
Par rapport l'exemple d'annuaire prsent dans le document d'exploitation, les paramtres de ce fichiers
seraient les suivants :
basedn = "ou=User,ou=Utilisateur,ou=SITE_I2SC,dc=i2sc,dc=local"
filter = ''(samAccountName=%{Stripped-User-Name:-%{User-Name}})''
identity= ''cn=rldap,ou=Admin,ou=Utilisateur,ou=SITE_ISC,dc=i2sc,dc=local''
password = ''*******''

Il est possible de tester la liaison LDAP vers le serveur d'annuaire partir du poste ALCASAR aprs avoir
install le paquetage ldap-tools . La commande ldapsearch -vWx -h @ip_A.D -b
"ou=User,ou=Utilisateur,ou=SITE_i2sc,dc=i2sc,dc=local" -D "[email protected]" permet de lister l'ensemble
des usagers contenu dans l'O.U. User (-v : verbeux, -b : la base recherche, -D : le dn de l'usager autoris
requter la base, -W : demande le mot de passe de manire interactive, -x : exploite l'authentification simple
plutt que SASL).

5 - Fonction traabilit et imputabilit

5.1 - Journalisation principale
La traabilit des connexions est assure par le parefeu d'ALCASAR associ au processus Ulog . Ce couple
permet de dissocier les logs exclusivement lis la traabilit des connexions par rapport aux autres. Ainsi, Le
parefeu distribue les flux de journalisation sur 3 canaux distincts. partir du premier canal, ulog gnre les
fichiers /var/log/firewall/tracability.log lis aux traces de connexions des usagers. Le deuxime canal gnre
les fichiers /var/log/firewall/ssh.log lis aux flux d'administration distance via le protocole ssh. Le
troisime canal gnre les fichiers /var/log/firewall/ext-access.log lis aux tentatives de connexions depuis
Internet (fonction bastion ). Pour ce canal, une protection est mise en place afin de ne pas charger trop le
systme en cas d'attaque par saturation (flooding).
Trois processus Ulog sont donc activs. Les fichiers de configuration respectifs sont /etc/ulogd-xxxx.conf .
5.2 - journalisation accessoire
Le proxy cache Squid gnre des logs dans le rpertoire /var/log/squid sous le nom : access.log . Ces log ne
sont prsents que pour permettre le calcul de statistiques de consultation. Le rsultat de ce calcul est prsent
dans l'interface de gestion par le produit awstat .
Le proxy de filtrage d'URL DansGuardian gnre des logs dans le rpertoire /var/log/dansguardian sous le
nom : access.log . Ces log ne sont pas exploits par ALCASAR. Ils prsentent les URL ayant t bloques.
Le proxy antivirus HAVP gnre des logs dans /var/log/havp/ sour le nom access.log . Ces logs ne sont pas
exploits par ALCASAR. Ils prsentent les virus dtects et bloqus par le couple (HAVP + libclamav).

6 - Fonction filtrage
6.1 - Filtrage Rseau
Cette couche est gre l'aide du parefeu intgr (NetFilter).
Le portail est configur en mode 'Bastion' vis--vis du monde Internet et canalise les flux en provenance du
rseau de consultation. Lors de l'installation, ce fichier a t excut et permet de gnrer le fichier
/etc/sysconfig/iptables ; chaque dmarrage du serveur, ces rgles sauvegardes sont appliques.

Documentation technique ALCASAR 2.6.1 12/17

Le fichier de configuration principal qui conditionne le fonctionnement de cova-chilli et des proxy web est
/usr/local/bin/alcasar-iptables.sh . Il est dconseill de le modifier afin d'viter des effets de bords sur le
fonctionnement global du portail.
Toutefois, certaines rgles du parefeu peuvent tre surcharges pour permettre d'accder certaines
fonctionnalits (accs SSH depuis l'extrieur pour l'administration par exemple).
Pour permettre ces paramtrages 'locaux', le fichier /usr/local/etc/alcasar-iptables-local.sh est appel par le fichier
principal du parefeu. Les lignes pour l'administration externe par SSH sont commentes dans ce fichier pour
exemple.
Par dfaut, le portail autorise tous les protocoles lorsqu'une session utilisateur est ouverte. Cette fonction
'libertine' peut-tre restreinte par une liste blanche de services autoriss. C'est le rle du fichier
/usr/local/etc/alcasar-filter-exceptions qui est appel par le script principal du parefeu si la variable FILTERING
est positionn yes . Cette dernire est modifiable par le biais de l'interface de gestion. Dans ce cas l, les
services lists dans le fichier alcasar-filter-exception sont les seuls tre joignables depuis le rseau de
consultation. Cette liste n'est pas exhaustive ; elle est modifiable par le biais de l'interface de gestion.
Le fichier journal des traces du parefeu est /var/log/firewall/tracability.log . Il est 'rotat' toutes les semaines dans
le rpertoire /var/log/firewall sous le nom tracability.log-<date>.gz.
Exemples de logs :
Dec 23 00:25:22 alcasar-cirisi-lyon RULE direct-DNS -- REDIRECT IN=tun0 OUT= MAC= SRC=192.168.182.20 DST=192.168.182.1 LEN=65 TOS=00 PREC=0x00 TTL=64 ID=49813
CE DF PROTO=UDP SPT=37550 DPT=53 LEN=45
Dec 23 00:25:22 alcasar-cirisi-lyon RULE Transfert2 -- ACCEPT IN=tun0 OUT= MAC= SRC=192.168.182.20 DST=150.214.142.197 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=52139
CE DF PROTO=TCP SPT=39359 DPT=80 SEQ=3976661343 ACK=0 WINDOW=5840 SYN URGP=0

Pour forcer les usagers passer par le service DNS du portail, le parefeu effectue une redirection de port 53 vers
l'@IP locale. Cet artifice permet de couper court aux ventuels tunnels DNS (sur le port 53 uniquement).
Remarque : les seuls serveurs DNS interrogs par ALCASAR restent ceux qui ont t renseigns lors de
l'installation et qui sont dfinis dans le fichier /etc/dnsmasq.conf (primitive 'server').

6.2 - Filtrage de domaines et d'URLs

Le filtrage web s'appuyant sur la liste noire de l'Universit de Toulouse est paramtrable au travers de l'interface
de gestion. Il est utilis de 2 faons :
1. le filtrage de domaine
Il offre l'avantage de pouvoir interrompre toute connexion ds la requte DNS car elle s'appuie sur la
rsolution offerte par le service dnsmasq ; un domaine interdit renvoie l'utilisateur l'@IP du portail et
de sa page d'interception 'interdite'. Cette fonctionnalit particulire permet galement de blacklister
aisment tout un domaine par des listes noires particulires ( liste noire 'OSSI').
2. Le filtrage d'URLs
Il utilise DansGuardian comme analyseur. noter que jusqu' la version 1.9, ce logiciel tait utilis
galement pour le filtrage de domaine. Seules les URLs spcifies dans les fichiers 'blacklists' sont
interdites en s'appuyant sur le fichier /etc/dansguardian/lists/bannedurllist .
Ces fichiers sont modifiables par le biais de gestion en activant des classes regroupant les URLs et les
domaines.
Le filtrage Dansguardian est activ par le biais de l'interface de gestion et modifie le fichier
/etc/dansguardian/dansguardian.conf .
Remarque : l'activation des catgories est commune aux URLs et aux domaines.
L'architecture d'ALCASAR rend le contournement du filtrage trs compliqu. Celui-ci est toujours possible par
l'ouverture d'un tunnel (VPN) destination d'un quipement matris situ sur Internet. Pour fonctionner, ce
tunnel doit faire transiter l'ensemble des protocoles de la station de consultation (dont le DNS).
Ce type de tunnel ne permet pas de contourner l'authentification. Ainsi, ALCASAR trace et impute les trames de
ce tunnel. En cas de problme, et si l'enqute dtermine que la sortie du tunnel est implique, le portail pourra
tre sollicit pour finaliser la traabilit.
Afin de disposer d'une solution de filtrage pour certaines stations et aucune pour d'autres, il est utilis un second
dmon dnsmasq (blackhole). Le parefeu redirige ( partir du fichier d'exception de filtrage) les requtes DNS
vers la bonne instance.

Documentation technique ALCASAR 2.6.1 13/17

6.3 - Antivirus WEB
Le proxy HTTP HAVP coupl la bibliothque de l'antivirus Clamav est utilis pour analyser le contenu
des pages web.
Le fichier de paramtrage de HAVP est /usr/havp/havp.config ; il regroupe les ports d'coute et de transfert au
proxy 'parent'.
Le script alcasar-havp.sh est appel par l'interface de gestion pour activer/dsactiver l'antivirus.
D'autres antivirus peuvent tre associs au moteur HAVP. Des configurations sont disponibles dans le fichier
principal /etc/havp/havp.conf. Un rpertoire mont en tmpfs sur /var/tmp/havp permet d'augmenter la fluidit du
scanner antivirus. Ce rpertoire est nettoy chaque dmarrage du dmon havp ( fonction modifie directement
dans le dmon havp).
La base de donne antivirale qui est situe dans /var/lib/clamav est mise jour toutes les deux heures par le
processus freshclam (fichier de configuration : /etc/freshclam.conf). HAVP recharge cette base toutes les
heures.

7 - Fonction Interface de gestion

Cette fonction est ralise en PHP. Les possibilits de cette interface sont dcrites dans la documentation
d'exploitation.
L'interface de gestion (r-crite depuis la version 2.0) se trouve dans /var/www/html/acc.
Elle est protge en accs par le module d'authentification d'Apache.
Dans le fichier de configuration /etc/httpd/conf/webapps.d/alcasar.conf, le rpertoire /usr/local/etc/digest/
contient les fichiers des mots des identifiants/mots de passe :
key_all
key_admin
key_manager
key_backup

8 - Fonction modules complmentaires

8.1 - Import de comptes Fichier mots de passe
Dans le cadre de la gestion des comptes d'authentifications, il est possible d'importer une liste de comptes
attachs un groupe prdfini. Cette fonctionnalit accessible depuis l'interface de gestion gnre un fichier
<import-user>.pwd pour chaque importation et ajoute les usagers dans le groupe (optionnel) de la base de
donnes. Pour l'instant, seul le groupe peut-tre attach aux identifiants ; c'est--dire qu'aucun renseignement
supplmentaire n'est importable pour le moment.
Le script import_user.php du rpertoire /var/www/html/acc/manager/htdocs permet d'importer le fichier au format
csv ou txt et le script import_file.php permet de ...
L'importation d'un fichier gnre un fichier associ comportant les mots de passe en clair des utilisateurs
imports. Ce dernier est tlchargeable pour tre distribu aux usagers. Afin de les supprimer priodiquement,
une tche, planifie toutes les 30mn, cherche et supprime les fichiers datant de plus de 24h00.
Le script lanc est alcasar-import-clean.sh.

8.2 - Watchdog
Ce script ( alcasar-watchdog.sh ) est lanc toutes les 3 minutes par le Daemon cron . Il permet de couvrir les
fonctions suivantes :
viter les oublis de dconnexion lis aux pannes (rseau ou quipement de consultation) ;
limiter le risque li l'usurpation d'adresse IP et d'adresse MAC sur le rseau de consultation (pirate
interne) ;
modifier la page WEB prsente aux navigateurs en cas de problmes de connectivit dtects sur le

Documentation technique ALCASAR 2.6.1 14/17

 rseau local (lien Ethernet dsactiv sur eth0 ou routeur de site injoignable).
Il peut arriver que dans certaines architectures, le watchdog mette en vidences des bizarrerie rseaux ; en effet,
le script alcasar-watchdog.sh effectue des requtes de type arping sur l'ensemble des machines censes tre
'vivantes'. Hors dans certains cas, les fonctionnent bien ( elles accdent l'internet par le biais d'ALCASAR,
elles voient les autres stations, etc. mais elles ne rpondent pas une requtes arping ???. Cela a t mis
plusieurs fois en vidence sans rponse connue aujourd'hui.
Pour pallier ce phnomne qui a l'incidence de tuer toutes les sessions Internet ouvertes depuis ces stations
'muettes', il peut tre utile le temps de trouver le problme de commenter le cron qui tourne chaque 3minutes.
commenter la ligne comme ci-dessous le fichier /etc/cron.d/alcasar-watchdog
# activation du "chien de garde" (watchdog) toutes les 3'
#*/3 * * * * root /usr/local/bin/alcasar-watchdog.sh > /dev/null 2>&1

8.3 - Statistiques
Les statistiques d'usages et de navigation ne comportent pas d'lments permettant de lier les contenus aux
usagers. Cela permet de protger la vie prive des usagers conformment aux prconisations de la CNIL.

8.4 - Contournement (by-pass)

En cas de problme technique concernant une des briques logicielles du portail (principalement coova-
chilli ), il est possible de court-circuiter le module d'authentification tout en maintenant le traage des logs
rseau (parefeu).
Un script lanc localement en root alcasar-bypass.sh on | --off permet au choix de mettre :
en mode On le bypass le portail dsactive les services coova-chilli, squid, dansguardian
en mode Off : le portail est en mode normal. Tous les services ncessaires sont activs.

8.5 - Re-Horodatage des fichiers journaux

Lors de la rinstallation d'un serveur, il peut tre utile de rinstaller les fichiers journaux d'origines ( avant le
crash). Afin que les fichiers disposent d'une date cohrente et que l'effacement des logs s'effectue rgulirement
( au bout d'1 an), les journaux doivent disposer de la date en relation avec leur rotation originale. C'est tout
l'objet du script alcasar-dateLog.sh qui plaque les bons attributs 'date:heure' partir du nom de fichier (qui
comprend un suffixe <date>).

8.6 - Module de sauvegarde

Les sauvegardes d'ALCASAR sont disponibles sous 3 formes : le systme complet, les archives regroupant les
journaux d'vnements et l'export de la base de donnes et la base de donnes seule.
8.6.1 - Sauvegarde du systme complet
Depuis la version 2.5, le systme de sauvegarde chaud est supprim au bnfice d'une archive reprenant la
configuration spcifique d'un site.
Le rpertoire de sauvegarde se trouve dans /var/Save/archive, il est automatiquement chaque semaine ou la demande avec
la commande alcasar-archive.sh now

8.6.2 - Sauvegarde des journaux d'vnements

Les journaux d'vnements du systme ainsi que ceux des services utiles ALCASAR sont situs sous /var/log/.
Les journaux du firewall, de l'interface Web et de squid sont rotats rgulirement (chaque semaine). Pour
rendre ces archives consultables et tlchargeables par le biais de l'interface de gestion, ces logs sont copis
dans le rpertoire grce une tche planifie qui appelle le script alcasar-log-export.sh chaque semaine. Ils sont
visibles par le userSystme apache pour permettre aux gestionnaires de les rcuprer par le biais de l'interface.
Afin de limiter la conservation des traces 1 an, le script alcasar-log-clean.sh est lanc chaque semaine et efface
tous les fichiers dont la date systme est suprieures 365 jours. Tous les lundis matin, la tche de purge des
logs est planifi 4h30 grce au fichier /etc/crond.d/alcasar-clean_log et 5h00 pour l'export au moyen du au
fichier /etc/crond.d/alcasar-export_log.

Documentation technique ALCASAR 2.6.1 15/17

 8.6.3 - sauvegarde de la base de donnes
Chaque semaine, la base de donnes est exportes et sauvegardes dans le rpertoire /var/Save/base sous la
forme : <db_radius>-<date>.sql . Cette tche, planifie chaque semaine, appelle le script alcasar-mysql.sh dump.
Une tche journalire est lance chaque lundi ( 04h45) /etc/crond.d/alcasar-mysql pour raliser l'export de la base
dans le rpertoire /var/Save/base.
Ces sauvegardes sont tlchargeables par le biais de l'interface web.
Chaque nuit ( /etc/crond.d/alcasar-mysql ),les utilisateurs dont leur date d'expiration a dpass 7 jours sont
supprims.

9 - Annexes
Ce chapitre reprend les fichiers de configuration spcifiques ALCASAR.
9.1 - Coova-chilli
Les fichiers se situent sous /etc/ , /etc/chilli et /usr/local/etc .
Fichier principal : chilli.conf (sous /etc)
Exceptions Domaines : alcasar-uamdomain (sous /usr/local/etc)
Exceptions URLs : alcasar-uamallowed (sous /usr/local/etc)
Exceptions d'authenfication par MAC Adresses : alcasar-macallowed (sous /usr/local/etc)
L'association dynamique d'@IP statiques s'effectue par le biais du fichier : alcasar-ethers (sous /usr/local/etc)

9.2 - Freeradius
Les fichiers du dmon radius se situent sous /etc/raddb.
Fichier principal : radiusd.conf
Fichier de connexion BDD : sql.conf
Fichier clients autoriss requter le service radiusd : clients.conf
Fichier ddi : alcasar (sous /etc/raddb/sites-available avec un lien symbolique qui lie les sites-enable )

9.3 - Dnsmasq
En fonctionnement normal, dnsmasq ne fournit que les services lis au DNS (filtrage de domaine DNS-
blackhole, transfert de requte FORWARD DNS et cache CACHE-DNS ). En mode secours (bypass), il
fournit aussi le service DHCP (coova-chilli s'occupe de ce service en mode normal).
Fichier principal : /etc/dnsmasq.conf
Filtrage de domaines : alcasar-dnsfilter-enabled (sous /usr/local/etc ). Il active le filtrage des classes de
domaines.
Pour intgrer un Active Directory dans l'architecture, il est ncessaire de modifier le fichier de
dnsmasq /etc/sysconfig/dnsmasq ; en effet un bug empche la prise en compte d'un redirecteur pour un
domaine donn dans le fichier de configuration principal ( cf. Doc Exploitation 8.5)

9.4 - Parefeu
Fichier principal du parefeu d'Acasar : alcasar-iptables.sh (sous /usr/local/bin)
Rgles personnalises du parefeu : alcasar-iptables-local.sh (sous /usr/local/etc)
Fichier de filtrage Rseau (associ alcasar-nf.sh) : alcasar-iptables-exception
Activer/dsactiver le filtrage web : alcasar-bl.sh ( sous /usr/local/bin)
Fichier listant les classes de filtrage (associ alcasar-nf.sh) : alcasar-bl-categories-enabled ; utilise par le
fichier alcasar-bl.sh pour le filtrage dnsmasq et dansGuardian.
Fichier contenant la liste complte des domaines par classe issue de la liste noire de Toulouse : alcasar-
dnsfilter-available (sous /usr/local/etc/)

9.5 - Dansguardian
Les fichiers de DansGuardian se situent sous /etc/dansguardian.
Fichier principal de configuration : dansguardian.conf

Documentation technique ALCASAR 2.6.1 16/17

 Fichier concernant le groupe 1 utilis par Alcasar : dansguardianf1.conf
Le rpertoire lists contient les fichiers de filtrage proprement dits :
bannedsitelist : contient la liste des classes de domaines interdits ( obsolte depuis la version 2.0
qui utilise dornavant dnsmasq pour effectuer cette tche)
exceptioniplist
exceptionurllist
exceptionsitelist : dfinit une liste d'@IP non filtre ( utilisable dans Alcasar )
bannediplist : dfinit une liste d'@IP bloques ( non utilis dans Alcasar par dfaut une @IP tant
facilement falsifiable)
blacklists : rpertoire contenant la liste noire de Toulouse ainsi que celle de l'OSSI
Filtrage URLs
9.6 - Squid
Les fichiers de Squid se situent sous /etc/squid. Hormis le fichier principal, tous les autres sont utiliss par
dfaut.
Fichier principal : squid.conf ; squid est paramtr en mode proxy transparent.

9.7 - Ulogd
Le dmon ulogd centralise les logs du parefeu (dissocis des logs 'messages') ; tous les journaux d'vnements
sont grs en mode texte.
Fichier de configuration : ulogd.conf
Fichier concernant les flux Ssh extrieur en provenance de eth0 : ulogd-ssh.conf
Fichier concernant les flux bloqus en provenance du rseau extrieur : ulogd-ext-access.conf
La rotation des logs s'effectue hebdomadairement pour httpd, squid et tracability

9.8 - HAVP + Clamav

Le moteur HAVP est paramtr avec la bibliothque libCalamav
HAVP :
Fichier de configuration du moteur antivirus : havp.config
un rpertoire au format tmpfs ( /var/tmp/havp ) est utilis pour mettre en mmoire le rpertoire du
scan ; il est mont au dmarrage du dmon havp et nettoy et dmont son arrt.

libClamav
la priodicit de mise jour des signatures est paramtre par dfaut 12 fois /jour).

9.9 - Distribution Mandriva et ses dpts

La distribution Mandriva est utilise comme systme d'exploitation du portail. Les mises jours et l'installation
des paquets s'effectuent l'aide des outils natifs de Mandriva : urpmi .
Les fichiers de configurations se trouvent sous /etc/urpmi :
source des mirroirs : urpmi.cfg ;
exceptions des mises jour de paquets : skip.list ; permet d'exclure des mises jours certains paquets
pouvant ventuellement troubler le fonctionnement du portail.
Pour effectuer une mise jour automatique ( sans rpondre aux questions) : urpmi auto-update auto
Pour effectuer du mnage : urpme auto-orphans --auto

Documentation technique ALCASAR 2.6.1 17/17