lan

ntroduction

nstallation d͛Ipcop

résentation de l͛interface web

ise en place d͛un réseau de type poste à poste
estion du trafic sortant
a mise en place d͛une connexion VPN
 R
ntroduction
M IPCOP est une passerelle qui intègre un pare-feu. C͛est une distribution
linux faite pour protéger un réseau des menaces d͛Internet et surveiller
son fonctionnement.
M IPCOP est gratuit, il est téléchargeable sous forme d͛un fichier image à
graver sur cd.
M IPCOP est distribué sous la licence GPL , ce qui signifie en d͛ autres termes
que le logiciel est distribuable gratuitement.

d





M icroprocesseur à 200hz
M 800 o d'espace disque
M 64 o de RA
M une à 4 interfaces réseau Ethernet
M Carte graphique compatible VGA pour l'installation
M Un lecteur cdrom pour l͛installation.

  
  

6ans la philosophie IPCOP, les zones sont schématisées par des couleurs :
M - la zone rouge(RE6 représente internet.
M - La zone orange(ORANGE représente la 6
.
M - La zone bleue(BLEU représente les clients wifi (qui sont dans un réseau
séparé .
M - La zone verte(GREEN représente le réseau interne.
J
  

  


O     
 a
w

w


M IPCOP est disponible en téléchargement dans la section download du site

www.IPCOP.org.
M IPCOP est disponible sous forme de fichier source à compiler et sous forme
d͛une image à graver sur un cd.
M Pour installer IPCOP, le plus simple est de télécharger l͛image de sa version
la plus récente puis de la graver sur un cd
M Le cd, une fois gravé, est un cd bootable.
 

  (suite
6͛abor il faut s͛ assurer que le disque dur ne contient aucune information
importante car IPCop va tout supprimer.
une fois le cd inséré l͛écran suivant apparait après le démarrage
M Il faut cliquer sur entrer pour commencer l͛installation.
M Ensuite, il faut simplement suivre les instructions.
Installation d͛Ipcop
(suite
Les principales fenêtres d͛installation
Ensuite, il faut configurer cette carte réseau, on entre donc l͛adresse ip de
la passerelle (on est dans la zone ͚ verte ͚
 O 

  

M Allez dans « Type de configuration réseau » pour

M choisir l͛architecture du réseau.
M Voici les possibilités proposées :
M - GREEN (RE6 is modem/IS6N
- GREEN + ORANGE (RE6 is modem/IS6N
- GREEN + RE6
- GREEN + ORANGE + RE6
- GREEN + BLUE (RE6 is modem / IS6N
- GREEN + ORANGE + BLUE (RE6 is modem/IS6N
- GREEN + BLUE + RE6
- GREEN + ORANGE +BLUE + RE6
O 

  
M On choisi l͛option GREEN + RE6
ͻEnsuite on passe à la configuration de l͛adressage IP pour les zone
verte + rouge
ͻInterface RE6 :
ʹIP : 10.10.1.1/255.255.255.0
ʹPasserelle : 192.168.1.254
ʹServeur 6NS :212.217.0.1

ͻL interface Green est configurée auparavant :

192.168.1.1/255.255.255.0
ͻLes mots de passe des comptes « root » et « admin » nous seront
ensuite demandés, le compte « root » a la possibilité de se
connecter en local ou en SSH à l͛ IPCop tandis que le compte «
admin » permet d͛accéder à l͛interface web d͛administration de
celui-ci.
 Administration d͛IPCop

ͻOn peut désormais accéder à l͛interface web d͛IPCop en entrant l͛une des
adresses suivantes à partir de n͛importe quel poste présent sur l͛interface
GREEN :
ͻ192.168.1.1:445
ͻ192.168.1.1:81
M On clique sur « Connexion » dans l͛interface web pour activer le trafic
internet
M Un nom d͛utilisateur et un mot de passe seront alors demandés, le nom
d͛utilisateur est ici « admin » et le mot de passe correspond à celui qu͛on a
défini pendant l͛installation.
M Nous allons maintenant activer l'accès ssh. sur l'onglet « SYSTEE », puis
« Accès SSH » on coche le reste des cases de cette fenêtre, puis on
enregistre
A résentation de l͛interface web

 
Section Etat du système :
 
 
Section Etat du réseau :
 
 

Section Graphiques système :

 
 
Section Courbes de trafics :
 
 J
M C͛est ici qu͛on configure tous les services de la passerelle :

Section Serveur 6HCP :

 
 J
Section 6étection d͛intrusion :

Section Hôtes statiques : permet d͛ajouter des hôtes avec IP statiques.

Section Serveur de temps : permet à la passerelle d͛être un client NTP d͛un part
et d͛être un serveur NTP pour le réseau interne d͛autre .

Section Lissage de trafic : permet de limiter les débits montant et descendant des
client qui vont sur internet. On peut aussi, donner des priorités différentes selon
les services pour faire de la qualité de service.
 
 

M On crée ici les Réseaux Privés Virtuel

M Section VPNs : permet de créer des vpn (réseau à réseau, ou postes à réseau .
 
  

M Ce menu permet d͛accéder à tous les journaux générés par IPCOP et ses
services .

Section Journaux du pare-feu : permet de visualiser les journaux d͛accès au pare-feu.

Section Journaux I6S : permet de visualiser les tentatives d͛intrusion détecter par les
sondes du détecteur d͛intrusion.

Section Journaux système : permet de visualiser les journaux systèmes (Systems,

6NS,6HCP, SSH, NTP, ͙
 ë

ise en place d͛un réseau de type
poste à poste
M Schéma d'installation:

ettre 1 dans le fichier système "ip_forward" :echo 1 >/proc/sys/net/ipv4/ip_forward.

Chaque machine doit avoir comme passerelle l'adresse IP de la carte de l'interface
derrière laquelle elle se situe.
M  

 

M BOT (Block Out Traffic : Un Addon gérant les connexions sortantes offrant
une sécurité plus importante.

M Le filtreur d͛URL: Un petit Addon très pratique qui filtrera et bloquera les
URLs et domaines voulus.

M Advanced Proxy: Un serveur proxy avancé. Il enrichit les options

existantes au niveau du proxy d͛IPCop, son installation est nécessaire pour
pouvoir utiliser et activer le filtreur URL.

M
erina (VPN : Cet Addon ajoute un Vpn Road Warrior c'est à dire
permettre à un pc mobile (linux, mac, windows distant de pouvoir se
connecté au réseau pour avoir les mêmes ressources qu'en réseau local.
M 

 

1. Via WinSCP on transfère les dossiers des addons dans le dossier /tmp de
l͛IPCOP.

2. 6ans la machine ipcop, on bascule dans le répertoire tmp, avec la

commande cd /tmp.
3. On lance l͛installation en tapant la commande : ./install
 · estion du trafic sortant
M BlockOutTraffic permet de contrôler ce qui sort de notre IPCOP. 6ans notre
exemple nous allons voir les points suivants :

> Créer les règles de base pour accéder au web

> Autoriser certains services
> Affiner les droits utilisateurs
> Créer des groupes d͛ordinateurs et leur affecter des règles différentes
 R
d
     ! d" 

d


   
d


 
 


d


 
 

 © 
 


        

 ©  
 a
d
    

#$ 

d


 
 



d


 
   

%&"'  Ce groupe intègre les services http(80 , dns(53 , pop3(110 , smtp(25 ,

ftp(21 , ftp-data(20
Ô
a mise en place d͛une connexion VPN
M Schémas d'un accès VPN:

O 
 
 (


> Sécurité: assure des communications sécurisées et chiffrés.
> Simplicité: utilise les circuits de télécommunication classiques.
> Economie: utilise Internet en tant que médiat principal de transport, ce
qui évite les coûts liés à une ligne dédiée.
 O
  
 
 



  d 
M ) Pour utiliser le vpn en mode Roadwarrior il va falloir installer

ERINA sur la machine IPCop, pour cela il faut récupérer une version
compatible avec la version de l'IPCop. Pour les clients windows ,il faut
récupéré OpenVPN pour Windows.
M 

 *'
Une fois le fichier tar.gz téléchargé, il faut l'envoyer sur IPCop, on peut le
faire sous Windows via le logiciel WinSCP.
M On exécute WinSCP en indiquant les paramètres de notre IpCop:
M host name : 192.168.1.1
M port : 222
M Nom d'utilisateur: root (Connexion en root obligatoire
M mot de passe: ***
 d

  

M %

  


M d
  

d

(

 "

M L'installation crée une arborescence dans le dossier
Program Files (ou Programmes où l'on va retrouver les
répertoires contenant les drivers, les logs, des exemples de
configurations et surtout le dossier de configuration.

Le dossier config devra contenir impérativement le fichier de configuration

".ovpn" et les certificats permettant l'authentification et le chiffrement du
tunnel.
 å
donclusion 
M L'avantage du serveur IPCop par rapport à des solutions logicielles est
qu'il n'est plus nécessaire d'avoir un firewall d'installé sur chaque poste du
réseau, le serveur se chargeant d'effectuer le filtrage en amont.

M La possibilité d'ajout de plug-ins fait d' IPCop un outil à la fois fiable et

évolutif.