Professional Documents
Culture Documents
3
Ipcop
Prsentation :
IPCop est un projet Open Source dont le but est dobtenir une distribution Linux compltement ddie la scurit et aux services essentiels d'un rseau. Ce systme d'exploitation part entire fonctionne sur une machine ddie, et utilise trs peu de ressources systmes (un ordinateur PC quip de 64 Mo de mmoire vive et d'un processeur 233 MHz suffit). Plus concrtement, IPCop va jouer le rle dintermdiaire entre un rseau considr comme non sr (Internet) et un rseau que lon souhaite scuriser (le rseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci. Entirement administrable par une interface WEB, une fois install et configur, IPCOP peut-tre administr au jour le jour sans obligatoirement tre un expert rseau. Il est bas sur un systme de couleur qui permet de diffrencier les diffrents types de rseaux en prsence. Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du pare-feu (ou firewall), les diffrents services proposs par IPCop, les plug-ins disponibles ainsi que leurs fonctions. Puis, dans un second temps, nous dtaillerons linstallation dun serveur IPCop avant de conclure en comparant ce systme par rapport d'autres solutions existantes. Dvelopp initialement partir du code source dun projet similaire nomm SmoothWall, IPCop et celui-ci ont maintenant pris une orientation diffrente (cependant la procdure dinstallation des deux systmes reste quasi identique, ce dossier pourra donc vous servir si vous le souhaitez installer un serveur SmoothWall).
Rouge : Zone du rseau risque (Internet). Vert : Zone du rseau protger (rseau local). Bleu : Zone spcifique pour les priphriques sans fil. Orange : Zone dmilitarise ( DMZ ), cette zone est considre comme publique, elle est accessible de lextrieur mais ne possde aucun accs sortant (pour des serveurs web par exemple). Le routage seffectue de faon automatique entre linterface dentre du trafic (rouge) et les interfaces de sortie (vert, bleu et orange).
Les services :
En plus de la fonction Routage/Pare-feu, IPCOP est fourni en standard avec un certain nombres de services qui peuvent savrer trs utiles pour la gestion et loptimisation du rseau.
3
RPV : ce service vous permet de crer un Rseau Priv Virtuel (VPN pour les anglophones) entre votre IPCop, un autre IPCop ou tout quipement capable de grer le protocole VPN/IPSEC. Serveur CRON : cron est le nom dun dmon ( ou processus ) qui permet de planifier lexcution de tches des dates et heures dfinies lavance. Serveur DHCP : vous permet de crer un serveur DHCP afin dallouer dynamiquement une adresse IP, une passerelle et ladresse de vos serveurs DNS des ordinateurs dont les cartes rseau sont configures en mode client DHCP ( GNU Linux et Mac ) ou Automatique (Windows ). Serveur NTP : il s'agit l d'un service de serveur de temps, ceci permet de synchroniser l'heure de votre IPCop et des PCs de votre rseau en fonction de celle d'un serveur NTP d'Internet. Serveur d'accs distance (SSH) : vous permet daccder votre serveur IPCop via le protocole SSH (avec PuTTY dont on peut automatiser les connexions par exemple). Serveur mandataire (proxy) : ce service permet de crer un serveur proxy jouant le rle de tampon entre les ordinateurs de votre rseau et Internet. Systme de dtection dintrusion : Scurit supplmentaire par lanalyse des trames qui circulent sur les ports ouverts ( analyse par exemple du contenu des requtes HTTP).
Les Plugins :
En plus des services standards on trouve de nombreux plugins , programmes venant sinterfacer avec IPCOP pour enrichir ses fonctionnalits. AdvProxy : Advanced Proxy est, comme son nom lindique, un serveur proxy avanc. Il enrichit ainsi les options existantes au niveau du proxy dIPCop, son installation est ncessaire pour pouvoir utiliser et activer le plugin URL Filter. URL Filter : Ce plugin vous permettra deffectuer un filtrage durl afin dinterdire laccs certaines catgories de sites web (contenu pornographique, violence, drogue, hack, warez, etc.). CopFilter : CopFilter regroupe un ensemble de plugins permettant deffectuer un contrle antivirus sur les e-mails entrants, de stopper le spam ( pourriel ), deffectuer des tches de monitoring, etc.
4
A cet cran il est possible de dmarrer linstallation en pressant Entre , les options permettent soit de prciser certains paramtres lis au matriels soit de modifier des paramtres tels que la langue dinstallation, ou le partitionnement par dfaut de linstallation.
Ici le programme nous indique quil va partitionner le disque et installer les fichiers, slectionner Ok puis valider.
Sur cet cran, sil sagit de la premire fois que vous installez IPCOP slectionner Passer (en vous dplaant avec les flches puis en validant votre choix avec la barre despace) puis valider.
Cet cran est primordial dans linstallation dIPCOP car cest ici que allez dfinir votre carte rseau Green (VERTE) lie au LAN. IPCOP dispose dun module de recherche et de configuration automatique pour de nombreuses cartes rseau. Valider alors la fonction de recherche.
Cet cran nous indique quIPCOP a bien trouv et configur une carte rseau sur
9
votre systme. Vrifier que cette dernire correspond bien au matriel prsent dans votre machine et valider.
A cet cran linstallation dIPCOP est termine, nous allons dsormais procder la premire tape de la configuration.
10
11
Saisir sur cet cran le nom dhte de votre machine puis validez, dans notre cas nous gardons le nom par dfaut, savoir ipcop.
1) Configuration complmentaire :
12
Nous allons finaliser la configuration rseau de notre pare-feu. Nous allons alors choisir le type de configuration rseau nous retenons.
13
14
15
16
Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au rseau rouge (Souvent dans le rseau du routeur), soit de laisse le routeur ou le FAI nous fournir une adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque rseau propos.
pouvons passer la dernire tape consistant configurer les diffrents mot de passe du systme. Valider loption Continuer . Il est fort probable que lcran de configuration DHCP apparaisse de nouveau, valider alors par le bouton OK.
Le premier mot de passe que nous devons saisir est celui du compte root savoir le super utilisateur qui vous permet dentrer en mode console sur votre ipcop et surtout de pouvoir installer les AddOns. Si lorsque ce vous saisissez le mot de passe, rien ne saffiche, cest normal.
18
Si vous arrivez cette page, cest bon signe ! IPCOP doit alors redmarrer.
Accs IPCOP :
19
20
21