Vous êtes sur la page 1sur 61

ITGStore-

Implémentation d’une politique de firewalling grâce à IPCop


consulting

REMERCIEMENTS

L’aboutissement de ce travail s’est fait grâce au concours


de plusieurs personnes que je voudrais remercier :

L’éternel DIEU tout puissant pour, la force et le courage ;

Monsieur ABANDA Armand Claude chef d’établissement de


l’IAI-Cameroun et son personnel pour le cadre et
l’enseignement ;

Monsieur FOPA Gabriel Directeur Général d’ITGStore-


Consulting qui a bien voulu nous recevoir dans sa structure ;

Monsieur TAKOUFET Sylvain responsable de la plate-forme


de développement des projets pour son soutien et ses conseils ;

Monsieur MOLO Athanase mon superviseur à l’IAI-


Cameroun pour ses conseils et orientations ;

Monsieur CHAKODE Rodrigue mon maître de stage pour le


suivi, ses conseils et sa disponibilité ;

Ma famille pour le soutien moral et financier ;

L’ensemble du personnel d’ITGStore-Consulting pour leurs


conseils ;

Tous ceux qui de près ou de loin ont contribué au


déroulement de mon stage.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

SOMMAIRE

REMERCIEMENTS..........................................................1

INTRODUCTION GENERALE............................................4

...................................................................................6
I-) INSERTION...................................................................6

II-) PRESENTATION d’ITGStore...........................................8

III-) DESCRIPTION..............................................................9

IV-) ACTIVITES................................................................10

IV.1-) La supervision................................................10
IV.2-) Le stockage, PRAS..........................................11
IV.3-) La gestion des performances.........................11
IV.4-) Mise en œuvre d’infrastructure Internet et
Intranet....................................................................11
IV.5-) Etude mise en œuvre d’infrastructure réseau
intégrant les PABX et serveurs vocaux....................12

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

IV.6-) Mise en œuvre d’infrastructure de NOC.........12


V-) RESSOURCES INFORMATIQUES D’ITGStore..................12

V.1-) Ressources matérielles...................................12


V.2-) Ressources logicielles.....................................14
VI-) CONCLUSION............................................................15

.................................................................................16
II-) GENERALITE SUR LES PARE-FEUX...............................19

III-) FONCTIONNEMENT D’UN FIREWALL...........................19

III.1-) Catégories de firewall....................................21


III.2-) Types d’implémentations...............................22
IV-) PRESENTATION D’IPCop............................................23

IV.1-) Définition d’IPCop...........................................23


IV.2-) Description.....................................................24
V-) ETUDE DES FONCTIONNALITES D’IPCop......................36

V.1-) Filtrage du réseau par iptables.......................36


V.2-) Possibilité d’organiser le parc en 04 catégories
de réseaux :.............................................................41
V.3-) Prise en charge des serveurs DHCP, DNS, …. .42
V.4-) Administration de la machine par une interface
web sécurisée .........................................................42
V.5-) Détection des intrusions avec Snort...............42
V.6-) Gestion des réseaux privés virtuels (VPN).....43
VI-) CAHIER DES CHARGES...............................................43

VII-) INSTALLATION D’IPCop............................................44

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

VIII-) CONFIGURATION D’IPCop........................................51

VIII.1-) Configuration du Proxy et du filtre d’url ......53


VIII.2-) Configuration Du Service IDS.......................55
VIII.3-) Installation et configuration de CopFilter.....56
VIII.4-) Gestion de trafic...........................................59
CONCLUSION .............................................................60

WEBOGRAPHIE...........................................................61

INTRODUCTION GENERALE

Dans le cadre de la formation de ses ingénieurs des


travaux en maintenance micro-informatique et réseaux, l’IAI-
Cameroun préconise un stage académique d’une durée de trois
mois dans une entreprise pour les étudiants de troisième
année. Ce stage ayant pour but de :

• Garantir la mise en pratique des connaissances acquises


au cours de l’année ;

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

• Favoriser l’insertion rapide de ses étudiants dans le monde


professionnel ;
• Garantir des cadres informaticiens compétents et
excellents.
Dans cet esprit d’excellence, ITGStore-Consulting qui est
une société des services en ingénierie informatique (SSII)
nouvellement implantée au Cameroun a bien voulu nous
accueillir. Durant la période que j’ai eu à passé dans cette
structure, j’ai eu pour mission d’implémenter une politique de
firewalling grâce à la distribution linux IPCop.

Pour mener à bien ce projet, j’ai été encadré par Monsieur


CHAKODE Rodrigue, Ingénieur Systèmes à ITGStore et Monsieur
MOLO NGAH Athanase, Instructeur Cisco et Enseignant à l’IAI-
Cameroun.

Le présent rapport se décompose en plusieurs parties qui


détailleront la réalisation de ce projet dans ces différentes
étapes. Nous présenterons d’abord la structure d’accueil à
savoir ITGStore-Consulting ; nous parlerons ensuite des
généralités d’un firewall ; puis de l’étude du cas particulier
d’IPCop avec quelques politiques de sécurité que nous avons
mis en œuvre.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

I-) INSERTION

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Notre admission en stage à ITGStore-Consulting a eu lieu


le Lundi 25 Août 2008. Notre stage commence ce jour là par la
réunion d’évaluation du travail de la semaine précédente entre
le responsable de la plate-forme des projets et le personnel.
Dans la circonstance, nous sommes présentés aux personnels
par le responsable de la plate-forme de projet où nous sommes
chaleureusement accueillis. Au cours de cette réunion, nous
sommes interrogés sur les formations à l’IAI-Cameroun et sur
nos prospectives. Ce sont des réponses données à ce dernier
point, en rapprochement avec les objectifs d’ITGStore qui est
amené à proposer des solutions y afférant à ses clients qui ont
servi d’orientation pour le choix des thèmes attribués à chacun
de nous.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

II-) PRESENTATION d’ITGStore

ITGStore est SSII (Société de Services d’Ingénierie


Informatique) au capital 15000000FCFA. Basée en région
parisienne, avec depuis 2006 une agence à Douala (Cameroun),
ITGStore est identifiable par cette fiche signalétique.

Fiche D’identification D’ITGStore-Consulting

RAISON SOCIALE: ITGStore-Consulting

SIGLE: ITGStore

ADRESSE : B.P : 820 Douala

TEL. : (237)33436361

TELEFAX : (237)33436363 Douala

FORME JURIDIQUE : SARL

SIEGE : Immeuble Kadji Akwa-Douala

CAPITAL SOCIAL : 15000000 FCFA

ACTIVITES : Supervision, Stockage, PRAS, Gestion des


performances, Mise en œuvre d’infrastructure Intranet et
Internet, Etude et mise en œuvre d’infrastructure réseau
intégrant les PABX et serveurs vocaux, Mise en œuvre
d’infrastructure de NOC.

DIRECTEUR GENERAL : FOPA Gabriel

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

LOGO :

ITGStore-Consulting est une jeune entreprise en terre


camerounaise qui depuis son implantation en 2006 s’impose
parmi les leaders de la ville de Douala dans son domaine
d’activité. L’Equipe Technique de la structure compte des
Ingénieurs issus des universités et des grandes écoles
supérieures du Cameroun. Les bureaux d’ITGStore sont situés
au rez de chaussée de l’immeuble Kadji à Akwa-Douala

III-) DESCRIPTION

ITGStore-Consulting est constituée :

D’une direction générale dont le bureau est situé en


France et ayant à sa tête un Directeur Général en la personne
de Monsieur FOPA Gabriel ;

Ensuite on a un responsable des projets qui est


responsable de la coordination de la plate-forme des projets de
la structure au niveau du Cameroun.

Enfin on a le service de la comptabilité qui est géré par un


cabinet d’expert comptable, le service marketing et l’équipe
technique. Il est à noter qu’à ITGStore-Consulting, tout
ingénieur peut être amené à gérer un projet.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

IV-) ACTIVITES

Les principaux métiers d’ITGStore-Consulting sont :

IV.1-) La supervision

La supervision est une solution qui permet d’établir à


chaque instant l’état (fonctionnel ou non) d’un composant
technique, d’un logiciel, d’un serveur ou d’un équipement
réseau.

ITGStore-Consulting s’appuie sur des experts


expérimentés dans le domaine de la supervision, pour proposer
à ses clients une collaboration dans le conseil, l’étude du
besoin, les spécifications et la mise en œuvre des solutions
techniques à la dimension des entreprises.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

ITGStore-Consulting met à la disposition des entreprise des


experts qui sont intervenus ou interviennent comme acteurs
majeurs au sein de projet de supervision (construction de NOC)
dans des entreprises telles que : France Télécom, Orange,
Lucent Technologie…

IV.2-) Le stockage, PRAS

ITGStore met à la disposition des entreprises des solutions


avancées de sauvegarde et des outils de restauration très
performants

IV.3-) La gestion des performances

ITGStore-Consulting met à la disposition des entreprises


des experts expérimentés pour l’étude, les spécifications, le
choix des indicateurs de performance et la mise en œuvre de
solutions appropriées au profil de l’entreprise.

IV.4-) Mise en œuvre d’infrastructure Internet et


Intranet

ITGStore-Consulting définit et valide avec des entreprises


intéressées la stratégie Internet la plus adaptée à leurs besoins.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

La structure vous accompagne également dans le choix des


solutions à mettre en œuvre ainsi que les processus de
déploiement.

IV.5-) Etude mise en œuvre d’infrastructure réseau


intégrant les PABX et serveurs vocaux

L’infrastructure de communication téléphonique,


représente une vitrine clé de l’entreprise.

ITGStore-Consulting vous accompagne dans la définition,


des spécifications, les choix et la mise en œuvre des
infrastructures internes de télécoms, intégrant le câblage, le
PABX, les serveurs vocaux. Pour cela, ITGStore s’appuie sur une
expérience confirmée et des systèmes techniques ajustés aux
besoins de l’entreprise.

IV.6-) Mise en œuvre d’infrastructure de NOC

V-) RESSOURCES INFORMATIQUES D’ITGStore

Le parc informatique d’ITGStore est constitué des éléments


suivants :

V.1-) Ressources matérielles

Imprimantes :

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Une imprimante HP broder NC-6200h trois en un qui en


plus des impressions peut scanner et être utilisée pour envoyer
des fax.

Ordinateurs :

A ITGStore nous avons deux types d’ordinateurs à savoir :

Serveurs dont les caractéristiques sont des Pentium IV


3GHz 1Go de RAM parmi lesquels :

La marque SUN ;

La marque HP ;

La marque Dell ;

Des clones ;

La marque LG.

Des postes de travail (des postes fixes et des Laptops)

Equipements réseaux :

Trois Hub NetGear de 05 ports chacun ;

Un Switch Cisco 2948G-L3 ;

Un modem routeur ADSL ;

Autres équipements :

Le NAS NetGear (équipement de stockage);

Des onduleurs et des parasurtenseurs.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

V.2-) Ressources logicielles

Systèmes d’exploitation :

Les différents systèmes d’exploitation utilisés à ITGStore-


Consulting sont :

Distributions Linux : Suse 10, Solaris 8 et 10, Fedora 5 et


6;

Windows: XP SP1et SP2, server 2003.

Applications :

MS Office 2003 et 2007

Antivirus: Avast 5.7, Mcafee 8.0;

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

VI-) CONCLUSION

L’insertion à ITGStore-Consulting a été très facile


notamment avec la présence dans cette structure des anciens
étudiants de l’IAI-Cameroun, son personnel très jeune et
attentif. La phase qui suit nous présente la réalisation de notre
projet à savoir l’implémentation d’une politique de firewalling
grâce à IPCop.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

I-) INTRODUCTION

La sécurité d’un système est le niveau de garantie que


donne ce système pendant son état optimal de fonctionnement.
Que se soit pour des réseaux personnels ou d’entreprises, la
sécurité informatique permet d’empêcher :
► La divulgation non autorisée des données ;
► La modification non autorisée des données ;
► L’utilisation non autorisée des ressources réseaux ou du
système informatique de façon générale.
Cela est d’autant plus strict lorsque les équipements
informatiques sont connectés à Internet ou à un autre réseau
avec des connexions types câbles ou ADSL. Ces règles sont
mises en place grâce à des systèmes de protection tels que :
des pare-feux, des IDS, des antivirus, des anti-spam, des anti-
spywares.

Terminologie :

Le pare-feu (ou firewall en Anglais) est un dispositif


(élément logiciel et/ou matériel) reliant deux réseaux et filtrant
les données échangées par ceux-ci pour assurer leur sécurité.

IDS (Intrusion Detection System)

Problématique

De plus en plus les entreprises gèrent des données


importantes stockées dans des serveurs; et pour garantir la

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

sécurité de ces données et matériels, il faut mettre sur pied des


mécanismes permettant en temps réel le contrôle des accès, la
gestion du trafic et le filtrage des informations qui transitent.
D’où la nécessité d’installer un firewall tel IPCop.

II-) GENERALITE SUR LES PARE-FEUX

A l’origine le terme pare-feu est employé dans les théâtres


pour designer un mécanisme permettant au feu de ne pas se
propager de la salle de théâtre vers la scène.

Le pare-feu est donc utilisé en informatique pour designer


une porte empêchant aux ménaces d’un réseau externe de se
propager dans votre réseau informatique interne.

III-) FONCTIONNEMENT D’UN FIREWALL

Un firewall a pour principale fonction de contrôler le trafic


entre les différents réseaux, en filtrant les flux de données qui
transitent dans ces réseaux (Internet (zone non contrôlée) et le
réseau interne (zone très importante)). Plus précisément, un
firewall est chargé de filtrer :

• L’origine ou la destination des paquets (adresse IP,


interfaces réseau, etc.)
• Les utilisateurs
• Les données et les options contenues dans ces données

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Les pare-feux récents embarquent des fonctionnalités


suivantes :

• Filtrage sur adresses IP/Protocole,


• Inspection à l’état et applicative,
• Intelligence artificielle pour détecter le trafic anormal,
• Filtrage applicatif
o HTTP (restriction des URL accessibles),
o Courriel
o Logiciel d’antivirus, anti-logiciel malveillant
• Translation d’adresse,
• Tunnels IPSec, PPTP, L2TP,
• Identification des connexions,
• Serveurs de protocoles de connexion (Telnet, SSH), de
protocoles de transfert de fichier (SCP),
• Clients de protocoles de transfert de fichier (TFTP),
• Serveur Web pour offrir une interface de configuration
agréable,
• Serveur mandataire (« Proxy » en anglais),
• Système de détection d’intrusion (« IDS » en anglais)
• Système de prévention d’intrusion (« IPS » en anglais)

Le schéma ci-dessous illustre le fonctionnement d’un


firewall

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Figure 1 : Schéma de fonctionnement d’un firewall

III.1-) Catégories de firewall

Les équipements (ou les logiciels) de sécurité à l’instar des


firewalls connaissent de nombreuses évolutions. C’est ainsi que
suivant la génération de pare-feu ou de son rôle on peut citer :

1) Pare-feu sans états (stateless firewall : ici le pare-feu


compare chaque paquet à une liste de règles
préconfigurées)

2) Pare-feu à états (stateful firewall : le pare-feu vérifie


que chaque paquet d’une connexion est bien la suite
du paquet précédent)

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

3) Pare-feu applicatif (ici le pare-feu vérifie la conformité


d’un paquet à un protocole attendu. Exemple
s’assurer que seul du http passe par le port 80)

4) Pare-feu identifiant (ici le pare-feu réalise


l’identification des connexions à travers le filtre IP)

5) Pare-feu personnel (permet de lutter contre les virus


et les logiciels espions)

III.2-) Types d’implémentations

Il existe trois types d’implémentation de firewall parmi


lesquelles :

Versions libres

• Linux Netfilter/IPtables, pare-feu libre des noyaux Linux


2.4 et 2.6.
• Linux IPchains, pare-feu libre du noyau Linux 2.2.
• Packet Filter ou PF, pare-feu libre d’OpenBSD (système
d’exploitation libre de type Unix, dérivé de 4.4BSD)
importé depuis sur les autres BSD.
• IPFilter ou IPF, pare-feu libre de BSD (Berkeley Software
Distribution : famille de systèmes d’exploitation Unix,
développés à l’université de Berkeley) et Solaris10.
• IPfirewall ou IPFW, pare-feu libre de FreeBSD.
• NuFW Pare-feu identifiant sous Licence GPL pour la partie
serveur et les clients Linux, FreeBSD et Mac OS. NuFW est
basé sur Netfilter et en augmente les fonctionnalités.
• iSafer, pare-feu libre pour Windows.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Versions propriétaires

• les boîtiers pare-feu : juniper

Distributions Linux

• SmoothWall : distribution linux packageant Netfilter et


d'autres outils de sécurité pour transformer un PC en pare-
feu dédié et complet.
• IPCop : distribution linux packageant Netfilter et d'autres
outils de sécurité pour transformer un PC en pare-feu
dédié et complet.
• Endian Firewall : distribution linux packageant Netfilter
et d'autres outils de sécurité pour transformer un PC en
pare-feu dédié et complet.
• Pfsense : distribution firewall open source très avancée
basée sur FreeBSD et dérivée de m0n0wall qui utilise en
autre OpenBSD packet Filter.

IV-) PRESENTATION D’IPCop

IV.1-) Définition d’IPCop

IPCop (policier des IP) est un projet Open Source dont le


but est d’obtenir une distribution Linux qui permet de faire le
firewalling.

IPCop a été crée en réponse à plusieurs besoins. Le


premier d’entre eux était le besoin d’une protection sûre et
efficace de nos réseaux personnels et d’entreprises.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Lorsque le projet IPCop a été lancé en 2001, il existait déjà


d’autres pare-feu. L’équipe de projet d’IPCop avait décidé de
partir du code de base d’un pare-feu sous GPL. L’objectif était
de remanier ce code pour se mettre à l’écoute des attentes des
utilisateurs. Parmi ces attentes se trouvait celle de laisser à
chaque utilisateur la possibilité de créer son propre IPCop, celle
de proposer et d’ajouter des améliorations et celle d’apprendre
grâce au travail des autres. A ce jour plusieurs révisions d’IPCop
ont été publiées, et plusieurs fonctionnalités ont été ajoutées :
la possibilité d’organiser le parc en quatre catégories de
réseaux, la détection d’intrusion sur tout le réseau et la
configuration à partir d’une interface web n’en sont que
quelques exemples.

IPCop est basée sur Linux From Scratch (projet visant à


préciser toutes étapes nécessaires à la création de son propre
système Linux. LFS a pour objectif de vous guider à travers
l'installation d'un système de base comportant le maximum
d'éléments de sécurisation.), destiné à assurer la sécurité d’un
réseau.

C’est un système d’exploitation à part entière qui peut


être installé sur un PC (dont les caractéristiques minimales sont
les suivantes : CPU =233MHz, RAM= 64Mo, HDD=800Mo) pour
faire office de firewall très performant

IV.2-) Description

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

L’interface d’administration d’IPCop est composée de sept


onglets (huit si on installe CopFilter). Ces onglets font
références aux différentes possibilités d’administration offertes
par IPCop.

IV.2.1-) Onglet SYSTEME

L’onglet système regroupe tout ce qui concerne le système


en lui-même à savoir : la vérification et l’installation des mises à
jour, la modification des mots de passe, les sauvegardes,
l’activation de l’accès SSH, …

Accueil :

C’est la première page qui s’affiche lorsque l’on tape


l’adresse de l’interface web d’administration d'IPCop dans le
navigateur. Sur cette page il vous est possible de couper tout le
trafic passant par IPCop via le bouton Déconnexion (la
connexion s’établit de manière automatique lors du démarrage
du serveur), mais également de consulter le temps depuis
lequel la connexion est établie.

Mises à jour :

Des mises à jour sont mensuelles pour le système, apportant


de nouvelles options ou des corrections de bugs. Les mises à
jour s’installent simplement : il suffit de cliquer sur détail, de

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

télécharger le fichier, puis d’uploader ce fichier sur le serveur


via le bouton parcourir et chargement de la page.

Mots de passe :

Les mots de passes admin (pour l’accès à l’interface web) et


dial (utilisateur seulement autorisé a connecter ou déconnecter
la connexion par modem) peuvent être modifiés sur cette page.
Ces mots de passes doivent contenir au moins 6 caractères
(plus conseillés). Le mot de passe admin peut également être
modifié via la commande setup en SSH (qui permet par ailleurs
de modifier le mot de passe root).

Accès SSH :

L’accès SSH n’est pas activé par défaut, et peut ne pas l’être
si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA et
DSA, elles sont cryptées sur 1024 bits. Il est possible de refuser
le transfert SCP, empêchant ainsi de copier des fichiers sur
IPCop avec WinSCP (par exemple). D’autres options relatives à
la version du client SSH utilisé et à l’authentification par mot de
passe et clés publiques sont prises en comptes.

Interface graphique :

L’interface graphique d’IPCop permet de choisir d’afficher le


nom de la machine dans la barre de titre du navigateur, de
rafraîchir automatiquement la page d’accueil, de sélectionner la

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

langue pour votre page d’administration et de restaurer les


paramètres par défaut.

Sauvegarde :

Comme tout système informatique, les pannes matérielles ou


logicielles sont rares mais existent. Avec IPCop il est possible de
réaliser deux types de sauvegardes : une sur la machine et une
sur disquette.

Les sauvegardes sur machine sont à considérer comme des


points de restauration qui permettent de revenir à une
configuration antérieure suite à une modification non
satisfaisante. On peut également sauvegarder la dernière date
sur l’ordinateur local et la restaurer à l’aide des boutons
parcourir et importer.

Les sauvegardes réalisées sur disquettes sont utiles en cas


de panne sévère. En effet ; si vous devez réinstaller le système,
cette disquette de sauvegarde vous sera demandée pendant
l’installation pour restaurer les configurations.

Arrêter :

Il est possible depuis la version 1.4.10 de redémarrer ou


d’arrêter IPCop a distance à l’aide des boutons correspondants
ou tout simplement planifier ces tâches.

Crédits :

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

IPCop est un projet Open Source sous licence GNU ; toute


une communauté de développeurs se charge de maintenir et
d’optimiser ce projet. Il est par conséquent normal que le nom
de ces personnes apparaisse sur IPCop. Cette liste est lisible
dans cette section. Par ailleurs, les adresses mails de ces
personnes figurent si vous aviez besoin de les contacter pour
faire avancer le projet.

IV.2.2-) Onglet ETAT

Les menus de l’onglet Etat sont tous à titre informatif. Cet


onglet regroupe les résumés de l’état système ainsi que des
outils de surveillance graphique : services actifs, utilisation de
mémoire, du processeur, du disque dur … etc.

Etat du système :

Ce menu permet de consulter l’activité du système. Les


services du système sont listés avec leur état. Ici on peut voir
quel utilisateur est connecté à IPCop, ce qu’il fait, depuis
combien de temps est ce qu’il est connecté. Il permet
également d’avoir des informations sur la version du noyau
utilisé.

Etat du réseau :

Ici on a les résultats de la configuration des interfaces des


réseaux. Pour chaque interface on l’adresse MAC de la carte
réseau utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de
la MTU (Maximum Transmission Unit) qui est taille maximale

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

(en octets) du paquet pouvant être transmis en une seule fois,


l’état du transfert des paquets, les entrées de la table de
routage, ainsi que la table ARP.

Graphiques systèmes :

Les graphiques systèmes sont très utiles pour évaluer


l’utilisation des ressources matérielles (processeur, mémoire,
swap et accès disque), mais permettent également d’identifier
les pics de sollicitation des ressources par plage horaire.

Courbes de trafic :

Elles représentent le niveau de sollicitation de la bande


passante par rapport au temps. Tout comme les graphiques
systèmes, lorsque vous cliquez sur un graphique (courbe), vous
obtenez une vue dans une autre unité de temps.

Connexion :

C’est un tableau qui permet en temps réel de suivre les


communications entre IPCop et les éléments qui l’entourent.
Les adresses IP, les ports utilisés et d’autres informations utiles
y sont répertoriés (protocoles, bail, zone, etc.…).

IV.2.3-) Onglet RESEAU

Les menus de cet onglet seront utiles dans le cas de


l’utilisation de l’interface rouge avec une connexion par
modem. En effet, si on utilise une carte réseau pour l’interface
rouge cet onglet ne sera d’aucune utilité.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Connexion :

Dans ce menu on va pouvoir définir nos paramètres de


connexion Internet avec nos identifiants. Ces informations sont
en général fournies par le fournisseur d’accès Internet (FAI).

Toutes ces informations (identifiants, modem, serveur DNS,


…) peuvent être sauvegardées dans 5 profils, vous permettant
ainsi de vous connecter avec différents abonnements.

D’autres options permettent d’affiner un peu plus les


paramètres de base, comme par exemple la possibilité de se
déconnecter au bout d’un certain délai d’inactivité et de se
reconnecter automatiquement.

Chargement :

Par défaut IPCop reconnaît beaucoup de modems, mais en


cas de problème de détection avec le votre, il est possible de
récupérer le driver Fritz!DSL de celui-ci.

Modem :

Il est possible de personnaliser les réglages propres à la


connexion du modem au travers de ce menu. Attention ceci est
réservé à un public averti ! En cas de mauvaise manipulation,
vous pourrez remettre les paramètres par défaut.

Alias :

Dans le cas où votre FAI vous a fournit une plage d’adresses


IP publiques, vous pourrez créer des alias pour que les adresses
de cette plage soient distribuées sur l’interface rouge : dans le

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

menu «Etat du réseau» votre interface rouge aura ainsi


plusieurs adresses IP (utile dans le cas des serveurs web et ftp).

IV.2.4-) Onglet SERVICES

Cet onglet permet de visualiser l’ensemble des services


en actifs et serveurs installés dans IPCop. Parmi ces services et
serveurs on peut citer :

Serveur Mandataire (Proxy) :

Un serveur Proxy consiste principalement à aller chercher les


pages que les utilisateurs consultent et à les stocker dans un
cache afin des les afficher plus rapidement lors de la prochaine
visite de celles-ci.

Serveur DHCP :

Un serveur DHCP (Dynamic Host Configuration Protocol) permet


d'allouer une configuration IP (Adresse, Passerelle, Serveurs
DNS) à une interface réseau de façon automatique.

DNS Dynamiques :

Un serveur DNS est un serveur qui associe un nom de


domaine à une adresse IP, un DNS Dynamique joue le même
rôle mais pour des adresses IP non fixes.

Hôtes statiques :

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Dans le cas où on dispose de serveurs ou de machines


nécessitant d'avoir toujours la même adresse (publique ou
privée) ceci vous permettra de leur réserver et de leur définir
une adresse fixe.

Serveur de temps :

Un serveur de temps diffuse l'heure et la date à tous les


ordinateurs d'un réseau. On pourra ici se synchroniser à partir
d’Internet ou synchroniser les réseaux des interfaces d’IPCop.

Lissage du trafic (Shapping) :

Le lissage de trafic permet de limiter le trafic alloué à un


protocole, il s'agit en quelque sorte de la gestion de la bande
passante.

Détection d’intrusion (IDS):

S'appuyant sur les règles de Snort, qui est un système de


détection d'intrusion open source, capable d'effectuer en temps
réel des analyses de trafic et de logger les paquets sur un
réseau IP. Il peut effectuer des analyses de protocole,
recherche/correspondance de contenu et peut être utilisé pour
détecter une grande variété d'attaques

IV.2.5-) Onglet PARE-FEU

Comme pour tout bon firewall, il est possible de désactiver le


Ping et d’ouvrir des ports pour laisser passer des applications
ou même de rediriger ceux-ci. Il comprend des menus tels que :

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Transferts de ports :

Il s’agit là du Port Address Translation (PAT, parfois aussi


nommé Port Forwarding), qui permet de rediriger le flux
arrivant sur un port d’IPCop vers un port d’une machine faisant
partie d’une des zones d’IPCop. Exemple : Un serveur web se
trouve derrière l’interface verte d’IPCop. Il vous faut donc
rediriger les requêtes HTTP que reçoit votre IPCop vers ce
serveur. Il faut donc choisir les protocoles utilisés par http (ici
TCP, il faudra donc créer une règle pour ce protocole) et
rediriger les paquets vers l’adresse IP de votre serveur web
(192.168.1.250 par exemple) sur le port HTTP (80 par défaut,
8080 parfois).

Accès externes :

Ce menu permet d’accorder des autorisations à certaines des


machines du réseau externe de se connecter à certains ports
bien précis.

Vous pouvez ouvrir des "brèches" dans le firewall pour ouvrir


complètement un accès au réseau sur un port, c'est-à-dire que
les ports choisis seront complètements ouverts, ceci peut être
utile pour autoriser l’accès à l’interface de configuration ou
l’accès en SSH à IPCop depuis la zone rouge (Internet par
exemple). Pour sécuriser un petit peu l'ouverture complète de
ces ports, on pourra spécifier quelles adresses IP sont
autorisées à les utiliser (dans le cas d’un serveur FTP dont on
connaît les clients par exemple, ou l’adresse IP de
l’administrateur distant).

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Options du firewall :

Dans ce menu on a la possibilité de choisir quelle interface


répondra ou non au Ping. On désactivera le Ping pour des
raisons de sécurité si on le souhaite (ce qui permet tout de
même d’éviter certaines attaques).

IV.2.6-) Onglet RPV (VPN)

L’onglet RPVs ne contient qu’un seul menu du même nom.


Vous aurez remarqué que les différents onglets sont relatifs à
des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en
anglais pour Virtual Private Network) étant un domaine
complètement à part au regard des autres catégories
proposées par IPCop. Un VPN consiste à utiliser ce que l’on
appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,
…) pour relier deux réseaux physiques en utilisant un réseau
non sécurisé, mais fiable, la finalité étant que ces deux réseaux
distincts ne forment plus qu’un seul et même réseau en
transitant par Internet.

IV.2.7-) Onglet JOURNAUX

Cet onglet permet d’obtenir un suivi des évènements à


travers des journaux (ou logs). Il est indispensable pour
détecter les causes des problèmes, qu’il s’agisse du pare-feu,

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

du noyau du système, ou encore des adresses bloquées par le


filtreur d'url.

Configuration des journaux :

Il est possible via ce menu de paramétrer le type de


classement (ordre chronologique ou non), le nombre de lignes
par page, la durée pendant laquelle les résumés des journaux
seront conservés ainsi que leur niveau de détail. Il est par
ailleurs possible d’enregistrer ces journaux sur un serveur
distant (serveur syslog).

Résumé des journaux :

Il permet de faire un rapide bilan sur les activités du serveur


web (pour l’interface d’administration), le pare-feu et l’espace
disponible sur les partitions montées.

Journaux pare-feu :

Ce log affiche toutes les connexions établies en direction


d’IPCop. Les évènements sont organisés par date, différentes
informations relatives à la communication sont ensuite
disponibles sous forme d’un tableau :

Heur Chaîn Interfac Protocol IP Port Adress IP Port


e e e e sourc sourc e MAC destinatio destinat
e e n ion

Journaux IDS :

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Les journaux du Système de Détection d’Intrusion (Intrusion


Detection System en anglais, d’où IDS) sont relatifs au service
de Détection d’Intrusion d’IPCop qui agit en fonction des règles
Snort. Dans ces journaux, les attaques sont également
recensées sous forme de tableaux. Elles sont triées par date,
une priorité est affectée en fonction du type de menace
identifié, le nom de celle-ci, son type et l’adresse source de
l’attaque.

Journaux systèmes :

A chaque fois qu’une modification est effectuée (via


l’interface web ou non) ou qu’un évènement arrive (arrêt du
système ou d’un service, redémarrage d’une interface réseau,
…) cela enregistré dans ce journal.

V-) ETUDE DES FONCTIONNALITES D’IPCop

IPCop admet des fonctionnalités suivantes :

V.1-) Filtrage du réseau par iptables

Depuis la version 2.4, Linux contient un module destiné au


filtrage réseau, Netfilter. Il se configure au moyen d'un outil
appelé iptables.

Le filtrage réseau consiste à faire un examen des paquets


réseaux et à prendre des décisions sur le traitement à leurs
appliquer. C'est ce que fait un firewall. Avec un système

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

GNU/Linux, pour configurer des règles de pare-feu, il faudra


donc simplement utiliser Netfilter à l'aide d'iptables. L’avantage
avec IPCop ici est qu’on a plus besoin de taper les commandes
car ses règles peuvent être configurées via l’interface web
d’administration d’IPCop. Ce pendant pour configuration en
mode commande, il est bon de savoir comment ça fonctionne.

Netfilter est un pare-feu complet fonctionnant sous Linux


(noyaux 2.4 et 2.6), il remplace ipchains qui fonctionnait sur les
noyaux 2.2.

Les chaînes (ensemble de règles appliquées aux paquets) de


Netfilter sont reparties dans 3 tables :

a) Filter : c'est la table par défaut, elle filtre les 3 trafics


principaux.

C'est la table par défaut lorsqu'on ne spécifie aucune table.


Elle contient toutes les règles de filtrage :

• INPUT : pour les paquets entrants.


• OUPUT : pour les paquets sortants.
• FORWARD : pour les paquets traversants le firewall.

Lorsqu'un paquet correspond au motif de reconnaissance


d'une règle arrive, une décision est prise.

• ACCEPT : Permet d'accepter un paquet si la règle est


vérifiée.
• REJECT : Dans cet attribut, on peut indiquer quel
type de message ICMP sera envoyé vers la machine

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

dont le paquet est rejeté. A la suite de l’option, on


peut trouver :

icmp-net-unreachable (réseau inaccessible),


icmp-host-unreachable (machine inaccessible),
icmp-port-unreachable (port inaccessible), icmp-
proto-unreachable (protocole inaccessible), icmp-
net-prohibited (réseau interdit), icmp-host-
prohibited (machine interdite). Si le type de
protocole est tcp, on peut trouver tcp-reset qui
indique qu’il faudra envoyer un paquet RST qui
permet de fermer une connexion.

• DROP : Permet de rejeter le paquet sans retour


d'erreur à l'expéditeur si la règle est vérifiée.
• LOG : Permet de loguer le passage du paquet si la
règle est vérifiée.

Voici quelques exemples de règles iptables :

> iptables -t filter -A INPUT -s 192.168.1.110 -jump


DROP cela signifie que tout ce vient de l’adresse
192.168.1.110 est rejeté

> iptables -t filter -A INPUT --protocol tcp


--destination-port 80 --jump ACCEPT cela signifie de
laisser passer le trafic TCP entrant sur le port 80

b) NAT : table dédiée à la redirection de paquets.

Cette table est utilisée pour la translation d'adresse ou de port.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Il y a 2 types de chaînes :

• PREROUTING : paquets entrants sur le firewall.


• POSTROUTING : paquets sortants du firewall.

Les cibles pour NAT sont :

 MASQUERADE (uniquement POSTROUTING)

La passerelle (la machine où est installée iptables) transforme


les paquets sortants pour donner l'illusion qu'ils sortent de
celle-ci par un port alloué dynamiquement ; lorsque la
passerelle reçoit une réponse (d'Internet par exemple) sur ce
port, elle utilise une table de correspondance entre le port et
les machines du réseau local qu'elle gère pour lui faire suivre le
paquet.

 DNAT (uniquement PREROUTING) : Permet de modifier


l'adresse de destination du paquet.

--to-destination : Utiliser avec la cible DNAT, permet de spécifier


l'adresse de destination de la translation.

 SNAT (uniquement POSTOUTING) : Permet de modifier


l'adresse source du paquet.

--to-source : Utiliser avec la cible SNAT, permet de spécifier


l'adresse source de la translation.

c) Mangle : table utilisée pour les services réseaux


additionnels (Elle sert à modifier les en-têtes des paquets.
pour permettre à d'autres applications de les reconnaître.).

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Netfilter fonctionne au niveau du noyau, pour l'administrer,


iptables est utilisé.

Iptables est l'outil qui est fourni à l'administrateur pour agir


sur tous les concepts de règles de filtrage.

La première option à connaître est -t qui permet de spécifier


le nom de la table sur laquelle portera les autres paramètres. Si
cette option n'est pas spécifiée, ce sera par défaut la table
filter.

On peut aussi demander à iptables de charger un module


particulier avec l'option -m. Ce module peut ajouter de
nouvelles tables ou de nouvelles manières de tester les
paquets.

Il faut ensuite indiquer une commande pour dire par exemple


qu'une nouvelle règle doit être ajoutée dans la chaîne spécifiée.
Ci-dessous la liste des options les plus courantes pour spécifier
une commande. Une seule à la fois peut être présente, et
toutes devront être suivies du nom de la chaîne à prendre en
compte.

Options d’iptables
Optio Rôles
ns
-L Affiche toutes les règles de la chaîne indiquée.
-F Supprime toutes les règles de la chaîne. Si aucune
chaîne n'est spécifiée, toutes celles de la table sont
vidées.
-N Crée une nouvelle chaîne utilisateur avec le nom passé
en paramètre.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

-X Supprime la chaîne utilisateur. Si aucun nom n'est


spécifié, toutes les chaînes utilisateur seront supprimées
-P Modifie la politique par défaut de la chaîne. Il faut
indiquer en plus comme paramètre la cible à utiliser.
-A Ajoute une règle à la fin de la chaîne spécifiée.
-I Insère la règle avant celle indiquée. Cette place est
précisée par un numéro qui fait suite au nom de la
chaîne. La première porte le numéro 1. Si aucun numéro
n'est indiqué, la règle est insérée au début.
-D Supprime une règle de la chaîne. Soit un numéro peut
être précisé, soit la définition de la chaîne à supprimer
(ses tests de concordance et sa cible).

V.2-) Possibilité d’organiser le parc en 04 catégories


de réseaux :

• La zone Verte : c’est le réseau local qu’IPCop doit


sécuriser, il peut être un réseau d’entreprise ou
personnel. C’est la zone de confiance par excellence.

• La zone Bleue : c’est le réseau constitué des


équipements sans fil (802.11b) avec une confiance
limitée.

• La zone Orange : c’est la DMZ (zone démilitarisée)


où sont installés les serveurs accessibles depuis
l’extérieur. Dans cette partie on retrouve des
serveurs de types Web, FTP, bases de données …

• La zone Rouge : c’est le réseau externe non


contrôlé à l’exemple d’Internet.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

V.3-) Prise en charge des serveurs DHCP, DNS, …

IPCop intègre dans son programme certains serveurs comme


le serveur DHCP pour le réseau vert, le serveur DNS.

V.4-) Administration de la machine par une interface


web sécurisée

Cette fonctionnalité permet :

• De simplifier considérablement les tâches


d’administration du firewall ;

• L’affichage des performances du processeur, de la


mémoire, des disques et du trafic réseau par des
graphiques ;

• La visualisation des journaux d’événement et leur


archivage automatique ;

• Le choix entre plusieurs langues.

V.5-) Détection des intrusions avec Snort

Snort est système de détection d’intrusion libre sous licence


GNU/GPL (General Public License. Il est utilisé pour détecter
une grande variété d’attaques)

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

V.6-) Gestion des réseaux privés virtuels (VPN)

IPCop permet d’utiliser ce qu’on appelle un protocole de


« tunnelisation » (L2P, IPSec…) pour relier deux réseaux
physiques en utilisant un réseau non sécurisé, mais fiable. La
finalité étant que ces deux réseaux distincts ne forment plus
qu’un seul et même réseau en transitant par Internet.

VI-) CAHIER DES CHARGES

Dans le cadre de ce projet, nous devons de mettre sur pied


une politique de sécurité consistant à faire :

1) Le filtrage HTTP avec authentification ;

 Proxy http (Hypertext Transfer Protocol );


 Bail (pour contrôler les heures de connexion sur
internet) ;

2) Le contrôle des téléchargements (gestion du


trafic) ;

 Gestion du trafic ;
 Gestion de la bande passante.

3) La gestion des intrusions (pour limiter les risques


d’attaque).

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

 Toute machine qui se connecte à un serveur


particulier ou au réseau devrait être clairement
identifiée

Nous disposons pour cela comme outils de travail:

 D’un ordinateur clone pentium 4 (CPU 3GHz, 1Go de


RAM, 10Go de disque dur) possédant deux cartes
réseaux Ethernet

 De la distribution linux IPCop

VII-) INSTALLATION D’IPCop

Pendant l’installation de notre firewall IPCop, nous


adopterons la configuration correspondant à l’architecture
réseau suivante qui a été mise en place pour les tests :

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Figure 2 : Schéma de fonctionnement d’IPCop à ITGStore

Configuration minimale requise

Pour installer IPCop on a besoin d’un ordinateur complet


ayant les caractéristiques minimales suivantes :

CPU → 233MHz

RAM → 64Mo

HDD → 800Mo

Après avoir préparé son ordinateur, il faut disposer d’une


copie de la version d’IPCop à installer. La distribution IPCop est
disponible gratuitement sur le site www.ipcop.org

Nous allons installer ici IPCop 1.4.20

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Il existe trois méthodes d’installation d’IPCop en fonction


du support matériel que vous avez à votre disposition

Méthode Lecteur Disque Lecteur Serveu


de tte de de CD- r
Disquett pilotes ROM FTP/We
e b
CD de boot Non Non Oui Non
Disquette de boot Oui Non Oui Non
puis CD
Disquette de boot Oui Oui Non oui
puis serveur FTP/WEB

Nous allons nous intéresser à l’installation à partir d’un CD


de boot d’IPCop.

Plaçons le CD contenant la distribution IPCop qu’on a


téléchargée et gravée dans le lecteur de CD de notre machine
IPCop. Puis redémarrons la machine, appuyez sur ma touche
entrée à l’écran de boot que voici.

NB : tous vos données contenues dans le disque dur seront


entièrement supprimer ; donc prenez la penne de sauvegarder
toutes vos données dans un autre disque et non dans une
partition du même disque.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Figure 3 : Ecran de boot d’IPCop

On voit ensuite défiler à l’écran des messages informatifs


venant du noyau.

Ensuite s’affiche l’écran permettant de sélectionner la


langue, les touches tab, flèches permettent de déplacer le
curseur sur les éléments ; pour sélectionner un élément on
utilise la touche espace et pour accepter le choix on appuie sur
la touche entrée. Choisissons le français comme langue puis
validons. A partir de ce moment toutes les boîtes de dialogues,
page web et menus utilisent la langue choisie.
La boîte de dialogue qui suit nous permet de sélectionner
le support d’installation. Choisissons comme support le CD-ROM
puis validons.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Figure 4 : Choix de la source d’installation d’IPCop

La boîte de dialogue qui suit indique que le programme


d’installation d’IPCop prépare le disque principal (/dev/hda). En
premier lieu, le disque dur sera partitionné, puis un système de
fichier sera créé dans chaque partition. Ensuite le programme
d’installation va copier les fichiers nécessaires sur le disque.

L’installation d’IPCop se poursuit avec la configuration de


la carte réseau de l’interface verte (eth0). Nous pouvons laisser
IPCop trouver notre carte réseau et déterminer les paramètres
à donner au pilote de périphérique. Sélectionner le bouton
rechercher et appuyez sur entrée pour laisser IPCop détecter
votre configuration matérielle. Si nous choisissons plutôt le
bouton sélectionner, nous rechercherons manuellement la carte
réseau et devrons spécifier les paramètres à installer.

Le processus d’installation vous demande ensuite


d’indiquer l’adresse IP à assigner à l’interface verte (eth0).
Lorsque vous choisissez une adresse IP, IPCop détermine
automatiquement le masque de réseau en fonction de cette
adresse que vous pouvez modifier si vous le désirez. C’est cette
adresse qui sera utilisée pour se connecter à l’interface web
d’administration.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Figure 5 : Configuration réseau de l’interface verte

La boîte dialogue qui suit vous annonce la fin de


l’installation et vous demande de retirer le CD du lecteur puis
appuyer sur ok pour continuer.

Ce qui suit à présent constitue la configuration initiale


d’IPCop à savoir le choix du type de clavier, du fuseau horaire,
du nom de la machine (ce nom est également utilisé pour se
connecter à l’interface web d’administration à la place de
l’adresse IP.), le nom de domaine ou du groupe de travail.

Il faut ensuite choisir le type de configuration réseau. Pour


ce qui est de notre cas, nous allons choisir « GREEN + RED ».
En fonction des équipements d’accès à Internet et nombre de
réseaux que voulez connecter on aura besoin de :

Connexion Modem ISDN USB ADSL Ethernet

Green+Red 1carte (G) 1carte (G) 1carte (G) 2cartes (G, R)

2cartes (B, 2cartes (B, 2cartes (B, 3cartes (B, G,


Green+Blue+Red
G) G) G) R)

2cartes (O, 2cartes (O, 2cartes (O, 3cartes (O, G,


Green+Orange+Red
G) G) B) R)

Green+Orange+Blu 3cartes 3cartes 3cartes 4cartes


e+Red (O, B, G) (O, B, G) (O, B, G) (O, B, G, R)

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Puisque Nous utilisons une connexion Ethernet, pour configurer


notre réseau « GREEND + RED » il nous faut avoir deux cartes
réseaux.

Une carte pour le réseau vert (interne) et qui aura comme


adresse IP 192.168.10.1 ; cette interface reliée à un Switch ou
directement à une autre machine à l’aide d’un câble croisé qui
sera considérée comme notre réseau interne. Cette machine
recevra une adresse IP qui lui sera attribuée automatiquement
par le serveur DHCP d’IPCop dans la plage 192.168.10. 5 à
192.168.10.50

La deuxième carte sera affectée au réseau rouge


(externe) sera en réalité constitué de tout le réseau
informatique d’ITGStore.

Il faut configurer un serveur DHCP pour le réseau Green.


Ceci permet de simplifier la tâche de l’administrateur du réseau
en attribuant de façon automatique les paramètres du réseau
(adresse IP, masque, passerelle, DNS)

Figure 6 : Configuration du serveur DHCP de l’interface verte

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Il faut enfin entrer les mots de passe de l’utilisateur «root


et admin » d’IPCop. Ces mots de passe permettent de se
connecter au système et à l’interface web d’administration
d’IPCop puis appuyé sur ok pour terminer l’installation et
redémarrer la machine.

Une fois l’installation et la configuration initiale terminées,


la machine redémarre et affiche l’interface de connexion de
l’utilisateur root.

Figure 7 : Interface de connexion de l’utilisateur root

VIII-) CONFIGURATION D’IPCop

IPCop est configurable à partir d’une interface web. Dans


n’importe quelle machine du réseau vert (ou externe si cela est
autorisé dans le menu accès externe de l’onglet pare-feu),
utiliser le navigateur de votre choix et taper l’adresse d’IPCop
https://ipcop-jm:445/ ou https://192.168.10.1:445/ où ipcop-jm
représente le nom de la machine où IPCop est installé,
192.168.10.1 représente l’adresse IP de l’interface verte de la
machine IPCop et 445 le port utilisé par l’interface web

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

d’administration d’IPCop. Après avoir tapez vous obtenez


l’interface d’administration suivante

Figure 8 : Interface web de connexion des utilisateurs admin et dial

Vous devez ensuite vous connectez. Appuyer sur le bouton


connexion et mettez comme nom d’utilisateur admin et comme
mot de passe celui que vous avez validé lors de l’installation
des configurations initiales.

La page d’administration d’IPCop est divisée en sept


onglets à savoir :

• SYSTEME

• ETAT

• RESEAU
• SERVICES

• PARE-FEU

• RPVS (VPN)

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

• JOURNAUX

Pour la configuration de notre firewall IPCop nous allons


adopter les politiques suivantes :

La première politique sera de filtrer les url ceci pour


empêcher la connexion à certains sites jugés indésirables par
le simple fait que l’accès à ces sites distrait énormément le
personnel et empêche un meilleur rendement dans une
entreprise.

VIII.1-) Configuration du Proxy et du filtre d’url

La politique d’IPCop est de tout fermer en entrée et tout


autoriser en sortie. Cette politique apparaît clairement dans le
fichier /etc/rc.d/rc.firewall. L’administration par le navigateur
nous permet d’écrire simplement et manière plus conviviale les
règles dans ce fichier.

Nous allons faire le filtrage http pour cela, nous allons


utiliser l’utilitaire UrlFilter qui est une fonctionnalité
additionnelle d’IPCop. Télécharger UrlFilter dans le lien direct de
son site www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz

Copier ce fichier dans une clé USB puis monter la clé dans
la machine IPCop

#mkdir /mnt/usb

#mount /dev/sda1 /mnt/usb

Décompressez le fichier téléchargé : #tar xvzf ipcop-


urlfilter-1.9.1.tar.gz

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Placez-vous sur le répertoire ipcop-urlfilter #cd ipcop-


urlfilter

Ensuite lancez l’installation avec la commande #./install

Une fois le fichier installer, allez dans l’interface web


d’administration d’IPCop (https://ipcop:445/ ou
https://192.168.10.1:445/ ou http://192.168.10.1:81/ ), cliquez
sur Services puis sur Serveur mandataire (Proxy) vous verrez
filtre d’url qui apparaît désormais sur cette page.

Cocher les cases suivantes puis enregistrer :

 Activer le Proxy sur green ;


 Mode transparent green ;
 Filtre d’url.
Télécharger une blacklist de l’université de Toulouse
dans le site ftp://ftp.univ.tlse1.fr/blakclists.tar.gz cette blacklist
contient un ensemble des sites indésirables. Allez maintenant
dans l’onglet services et cliquer sur filtrage d’url. Dans mise à
jour de la blacklist cliquer sur parcourir et allez chercher le
fichier contenant la blacklist téléchargée puis cliquez sur
chargez blacklist. La liste ainsi chargée est affichée plus haut ; il
suffit de cocher sur une case de la blacklist pour que son
contenu soit bloqué dans le filtre.

L’intérêt de ce type de filtrage est qu’il permet d’éviter


la connexion à certains sites tels que les sites pornographiques
les sites de jeux de musiques qui constituent une des
principales sources de perte de pour le personnel en entreprise.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Ce type de filtrage est également intéressant pour les centres


multimédias car ici seuls les url autorisées sont accessibles.

Voici un exemple du filtrage url. Lors de la configuration


d’UrlFilter, nous avons bloqué l’accès aux sites ayant dans leur
url le mot drague c'est-à-dire les sites web jugés adultes.
Tapons dans un navigateur d’une machine du réseau LAN l’url
http://www.xxl.com , ce type de site n’étant pas autorisé, notre
firewall renvoie ceci à l’utilisateur concerné :

Figure 9 : Cas pratique d’un filtrage d’url

Ce type de filtrage trouve également son intérêt dans les


centres multimédias pour empêches aux jeunes la connexion
aux sites jugés adultes.

VIII.2-) Configuration Du Service IDS

Snort est un système de détection d'intrusion open source


sur licence GNU, capable d'effectuer en temps réel des analyses
de trafic sur un réseau IP. Il peut effectuer des analyses de

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

protocole, recherche/correspondance de contenu et peut être


utilisé pour détecter une grande variété d'attaques. Ce service
est important car permet de repérer et de retracer toutes
tentatives de connexion non autorisées au réseau vert.

Ce système est par défaut installé dans IPCop et est


désactivé par défaut. Pour utiliser ce service, vous devez
d’abord vous inscrire dans le site officiel de Snort :
www.snort.org . L’inscription à ce site vous permet d’acquérir le
code Oink nécessaire pour activer le service IDS d’IPCop. Ce
code est constitué de 40 caractères alphanumériques.

Figure 10 : Configuration du service IDS

Une fois le service installé, il est désormais possible de


repérer à chaque fois via le journal des IDS de retrouver
l’identité des machines qui ont essayé de se connecter à votre
réseau.

VIII.3-) Installation et configuration de CopFilter

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

CopFilter est une fonctionnalité additionnelle qui permet à


IPCop de disposer d’une solution antivirus (ClamAV, AVG (Anti-
Virus Guard), F-Prot). Ceci permet de scanner en temps réel
tous les paquets transitant d’un réseau à l’autre à la recherche
d’éventuels virus.

L’installation de CopFilter nécessite le téléchargement du


fichier dans le lien direct du site http://www.worm-
fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz . Nous
allons la version 0.84beta3a de CopFilter.

Après avoir téléchargé le fichier, il faut le transférer dans


la machine IPCop soit à de la commande SCP en utilisant le
protocole SSH, soit à l’aide mémoire flash. Il faut ensuite
décompresser le fichier en utilisant la commande #tar xvzf
copfilter-0.84beta3a.tgz ensuite se positionner sur le
répertoire contenant le fichier #cd copfilter-0.84beta3a et
exécuter la commande #./install pour lancer l’installation.
Pour désinstaller CopFilter, se placer dans le répertoire #cd
/var/log/copfilter/0.84beta3a et exécuter la commande
#./setup_util –u

Une fois fichier installer l’onglet CopFilter s’ajoute


automatiquement dans l’interface web d’administration
d’IPCop.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

Figure 11 : Configuration de CopFilter

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

VIII.4-) Gestion de trafic

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

CONCLUSION

Notre stage académique à ITGStore-Consulting a été très


enrichissant, nous avons mis en place une politique de
firewalling grâce à la distribution IPCop. Cette politique
implémentée a l’avantage qu’elle peut être déployée et
adaptée à n’importe qu’elle structure au regard des
fonctionnalités qu’offre IPCop. Car la distribution IPCop utilisée
pour son implémentation est financièrement accessible à
n’importe quelle structure.

Année académique 2007-2008 IAI-Cameroun


Page 51
ITGStore-
Implémentation d’une politique de firewalling grâce à IPCop
consulting

WEBOGRAPHIE

www.ipcop.org

www.snort.org

http://fr.wikipedia.org/wiki/IPCop

http://www.pcinpact.com/forum/index.php?showtopic=78177

www.urlfilter.org

www.copfilter.org

http://www.generation-nt.com/firewall-ipcop-securiser-son-
reseau-avec-linux-article-24818-1.html

http://forum.rue-
montgallet.com/ruemontgallet/OSalternatifs/installation-ipcop-
urlfilter-sujet_21419_1.htm

Année académique 2007-2008 IAI-Cameroun


Page 51