Vous êtes sur la page 1sur 32
UNIVERSITE CHEIKH ANTA DIOP DE DAKAR (SENEGAL) FACULTE DES SCIENCES ET TECHNIQUES / DEPARTEMENT DE

UNIVERSITE CHEIKH ANTA DIOP DE DAKAR (SENEGAL)

FACULTE DES SCIENCES ET TECHNIQUES / DEPARTEMENT DE MATHEMATIQUES ET INFORMATIQUE

MASTERE TRANSMISSION DES DONNEES

ET SECURITE DE L’INFORMATION (TDSI)

Première année

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP

Présenté par :

Ahmed Youssef Ould Cheikh

place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par : Ahmed Youssef Ould

Projet fin d’année en mastère 1 TDSI

2006

Sommaire

I. Introduction sur les pare-feu

3

II. Iptables : théorie et implémentation

4

II-1 Exemples d’utilisation des commandes iptables

6

III.

Mise en place d’un firewall logiciel avec la distribution IPCop

8

III

– 1 Qu’est-ce que IPCOP ?

8

III– 2 Possibilité de mise en place d’IPCOP

8

III

3 Liste de services offerts par IPCOP

9

III

4 Configuration minimale requise :

10

IV. Installation d’IPCOP :

10

IV

1 Où trouver IPCOP ?

11

IV

2 Installation

11

V. Administration d’IPCOP

21

V

– 1 Accès à l’interface d’administration d’IPCOP

21

V

– 2 Présentation de l’interface :

22

V

3 Menu Système

23

V

4 Menu Etat

23

V

5 Menu Réseau

24

V

6 Menu Services

24

V

7 Menu Pare-feu

24

V

8 Menu RPVs

25

V

9 Menu Journaux

25

V

10 Utilitaire setup

25

VI. Paramétrage :

26

VI

– 1 Autoriser l’accès SSH

26

VI

– 2 Mise en place d’addons

27

VI

2.1 Advanced proxy

27

VI

2.2 url filter

30

VI

2.2 Exemple de configuration du pare-feu

31

VII. CONCLUSION

32

VIII. Références

32

Annexes

32

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

2
2

Projet fin d’année en mastère 1 TDSI

2006

I. Introduction sur les pare-feu

Un pare-feu (Firewall) est un système qui filtre les échanges réseaux. Il y a essentiellement deux types de filtrages :

- Les pare-feu qui isolent deux réseaux. Leur rôle essentiel est de restreindre les accès provenant de l’extérieur (par exemple d’internet vers votre LAN). Ils peuvent aussi interdire des échanges issus de l’intérieur (de LAN vers Internet).

- Les pare-feu qui isolent les applications du réseau. Ces pare-feu sont locaux à un poste de travail ou à un serveur. Ils interdisent soit des connexions provenant du réseau soit des échanges issus des applications locales.

I 1 L’implémentation des pare-feu

Il est possible de distinguer les techniques pare-feu d’après la couche réseau où elles sont implémentées.

- La couche réseau. Par exemple le code pare-feu des routeurs filtrants est implémenté au niveau du pilote IP.

- La couche transport. Par exemple, la technologie SOCKS s’appuie sur la couche transport. Elle permet de filtrer de manière transparente tout transfert TCP.

- La couche applicative. Ici, le filtrage est effectué soit directement par l’application réseau (le serveur) ou par une application intermédiaire (un wrapper). Par exemple les directives Allow ou Deny du serveur Web Apache limite les échanges à certains clients.

I-2 Les composants d’un pare-feu

Routeur filtrant Le routeur filtrant transfère les paquets IP d’un réseau à un autre. Il utilise essentiellement deux techniques pare-feu :

- Le filtrage des paquets IP.

- Le NAT (la translation d’adresse)

Proxy Un proxy est une application qui sert d’intermédiaire entre un client et un serveur. Le client envoie sa requête au proxy, et celui-ci la réémet en direction du serveur. De même, la réponse du serveur est reçue par le proxy qui la retransmet au client. Un proxy peut être configure pour filtrer les requêtes. Des logiciels proxys peuvent posséder de la mémoire cache, RAM et disque, qui améliore les performances d’accès des postes du réseau intérieur.

Il ya essentiellement deux types de proxy :

- Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP)

- Les proxys transparents qui sont des intermédiaires pour tout type de protocole TCP. La technologie SOCKS est de ce type.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

3
3

Projet fin d’année en mastère 1 TDSI

2006

Rempart

Un rempart (Bastion Host) est un ordinateur accessible de l’extérieur, cote Internet, et qui est donc vulnérable aux attaques. Il doit être plus particulièrement protege. Les remparts abritent les logiciels Proxy et les services.

DMZ Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau accessible à partir du réseau extérieur et qui abrite les remparts. L’accès au réseau est contrôle par des routeurs filtrant.

I-3 Les logiciels linux de type pare-feu

iptables : cette commande configure le code Netfilter inclus dans le pilote IP du noyau linux. Ce code permet de créer des pare-feu isolant deux réseaux ou isolant les applications locales du réseau.

tcpd, wrap : cette commande ou cette bibliothèque implémente un pare-feu applicatif qui

peut filtrer

les connexions réseaux pour la plupart des services réseaux.

dante : ce logiciel implémente un serveur compatible SOCKS. squid : ce logiciel peut isoler deux réseaux s’il est installe sur un serveur ayant accès à ces réseaux.

I-4 Les distributions linux de type pare-feu

La configuration de Netfilter est puissante mais complexe. Tous les administrateurs n’ont pas forcement les compétences réseaux pour élaborer un ensemble cohérent de règles Iptables. Il existe plusieurs produits proposant une vision plus simple. Ce sont eux qui vont générer de manière transparente les règles Iptables. L’utilisateur, lui se contente d’interdire ou d’autoriser tel out tel service et mettre en place ou non le NAT. Les paquets proviennent non pas de la carte eth0 ou ppp0 mais plutôt du réseau «gentil » (vert) ou « méchant » (rouge). Concrètement, il effectue ses paramétrages soit via des fichiers de configuration soit par une interface graphique.

Devil-Linux : Fonctionne complètement à partir d’un cdrom. La configuration peut-être stockée sur une clé USB.

floppyfw : Routeur filtrant base sur debian.

Smooth Wall : Pare-feu à base de noyau 2.6

ipCop : Pare-feu pour le particulier ou l’entreprise, basé sur Smooth Wall.

II. Iptables : théorie et implémentation

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

4
4

Projet fin d’année en mastère 1 TDSI

2006

Le système Netfilter/iptables implémente un routeur filtrant. Il peut donc servir comme pare- feu pour isoler deux réseaux grâce au filtrage des paquets et au NAT. Il peut être utilisé également comme pare-feu local. Dans ce cas, il protège les applications serveurs du réseau ou bien limite les connexions internes à certains sites.

L’absence de pare-feu local est considérée comme une des failles majeures d’un système. Netfilter est le code inclus dans le pilote réseau des noyaux Linux 2.4 et 2.6. La commande iptables configure Netfilter.

II-1 Les concepts de tables, chaines et règles

a) Les chaines et les règles

Une chaine est composée d’une pile de règles. Chaque règle d’une chaine est composée de deux parties : un critère et une politique. Le critère précise les cas d’application. La politique elle, précise l’action accomplie.

Exemple : la chaine INPUT est composée des règles qui filtrent les paquets destinés aux processus locaux. Une des règles peut avoir comme critère la provenance du paquet, par exemple, le serveur DNS et comme politique l’acceptation du paquet. Si un paquet provient du serveur DNS il est accepté, il sera donc transmis à l’application locale qui l’attend. Si le critère ne s’applique pas au paquet, on examine la règle suivante de la chaine. L’ordre des règles est donc primordial. Si aucune règle ne s’applique, on exécute la politique associée à la chaine. Dans le cas de la chaine INPUT, cette politique pourrait être par exemple de rejeter le paquet.

b) Les politiques des règles de filtrage

Les politiques natives :

Les politiques spécifient ce que l’on fait d’un paquet :

- ACCEPT

- DROP

- QUEUE

- la politique finale de la règle s’applique sans exploiter les règles suivantes.

on laisse passer le paquet.

le paquet est abandonné.

le paquet est transféré dans l’espace utilisateur (si le noyau le permet).

RETURN

Les politiques rajoutées :

Iptables peut utiliser des modules qui offrent un certain nombre d’extensions spéficifiant notamment de nouvelles cibles. Voici les cibles rajoutées par les extensions standard :

-

LOG

le paquet est écrit dans le journal de bord (les logfiles)

-

REJECT le paquet est abandonné comme DROP, mais un message d’erreur ICMP est envoyé à la source du paquet.

 

c)

Les tables

Les chaines gérées par Netfilter sont en fait incluses dans des entités plus vastes appelées « tables ». Chaque table correspond aux différentes possibilités d’iptables :

- La table filter filtre les paquets IP. Elle est constituée des chaines INPUT, OUTPUT et FORWARD.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

5
5

Projet fin d’année en mastère 1 TDSI

2006

-

La table nat effectue le NAT et de manière plus globale elle permet de rediriger des paquets. Elle est constituée des chaines PREROUTING, OUTPUT et POSTROUTING.

-

La table mangle peut modifier certains champs des paquets IP, par exemple leur priorité. Elle est constituée des chaines PREROUTING et OUTPUT.

 

d)

Les différentes chaines prédéfinies

INPUT : les paquets destinés aux processus locaux passent par la chaine INPUT.

OUTPUT : les paquets réseaux issus des processus locaux passent par la chaine OUTPUT.

FORWARD : les paquets en transit provenant d’un réseau et destinés à un autre réseau passent par la chaine FORWARD.

PREROUTING : la chaine PREROUTING peut modifier un paquet dés qu’il entre dans le système avant qu’il soit routé.

POSTROUTING : la chaine POSTROUTING peut modifier un paquet juste avant sa sortie du système après être passé par le module de routage.

e) Les chaines utilisateur

Souvent, un ensemble de règles sont identiques d’une chaine à l’autre. Pour simplifier la maintenance, il est possible de créer des chaines utilisateurs. Ces chaines, dont le nom est à la discrétion de l’administrateur, se compose comme de véritables sous- programmes de règles. Elles peuvent être appelées à partir de plusieurs chaines prédéfinies, typiquement INPUT et

FORWARD.

II-1 Exemples d’utilisation des commandes iptables

Nous disposons de deux machines linux pour faire les tests : une machine sera le pare-feu et l’autre sera la machine autorisée pour certains services et l’attaquant en même temps. Nous allons configurer notre firewall en ligne de commande de la manière suivante :

- On bloque tous le trafic entrant par défaut.

- On autorise au cas par cas : le trafic appartenant ou lié à des connexions déjà établies et le trafic à destinations des serveurs (web, ssh, etc.) que nous souhaitons mettre à disposition.

Nous allons saisir toutes les commandes dans un script Shell ensuite l’exécuter.

1- lister les règles courantes : iptables L

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

6
6

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Remarque : la première commande (iptables –

Remarque : la première commande (iptables L) : elle liste les règles pare-feu de la tables filter. 2- supprimer les règles prédéfinies par les commandes suivantes :

[root@localhost root]# iptables -F [root@localhost root]# iptables -X

3- Exemple de script automatisé pour la mise en place d’un firewall local

#!/bin/bash #Nom du script /etc/init.d/parefeu_local #date de creation le 25 aout 2005 #auteur Ahmed Youssef

#configuration parefeu local pour un serveur linux

#

#chkconfig: 2345 08 92 #description : parefeu local pour un serveur linux case "$1" in start)

echo "demarre le parefeu" iptables -X iptables -F iptables -A INPUT -i lo -j ACCEPT;iptables -A OUPUT -o lo -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP ;;

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

7
7

Projet fin d’année en mastère 1 TDSI

2006

stop)

echo "arrete le parefeu" iptables -X iptables -F iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT ;; status) iptables -L

esac

#FIN DU SCRIPT

On pourra démarrer le script après l’avoir rendu exécutable par la commande :

#/etc/init.d/parefeu_local start

III. Mise en place d’un firewall logiciel avec la distribution IPCop

III 1 Qu’est-ce que IPCOP ?

IPCOP est un projet Open Source dont le but est d’obtenir une distribution GNU/Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. C’est une distribution linux faite pour protéger un réseau des menaces d’Internet et surveiller son fonctionnement. IPCOP est gratuit, il est téléchargeable sous forme d’un fichier image à graver sur cd. IPCOP est distribué sous la licence « GNU General Public License », ce qui signifie, en d’autres termes, que le logiciel en lui-même est distribuable gratuitement (cf. http://www.gnu.org/copyleft/gpl.html pour la licence complète).

III– 2 Possibilité de mise en place d’IPCOP

IPCOP permet de fonctionner sous plusieurs configurations possibles :

Partage d’une connexion Internet : IPCOP sert alors de passerelle entre Internet et le réseau interne.

Partage d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert de

passerelle et gère une DMZ (il faut donc 3 interfaces réseau). Les serveurs dans la DMZ doivent être en ip fixes, il suffit ensuite de configurer IPCOP pour qu’il route les demandes venant d’Internet vers les serveurs adaptés selon les ports.

Partage d’une connexion Internet + DMZ + point d’accès wifi : IPCOP peut gérer des clients wifi, ils sont séparés du réseau interne.

Dans la philosophie IPCOP, les zones sont schématisées par des couleurs :

- la zone RED représente internet.

- La zone ORANGE représente la DMZ.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

8
8

Projet fin d’année en mastère 1 TDSI

2006

- La zone BLEU représente les clients wifi (qui sont dans un réseau séparé).

- La zone GREEN représente le réseau interne.

Le schéma ci-dessous représente la configuration par défaut du pare-feu de la passerelle, à savoir :

- Le réseau interne (le LAN) peut accéder à toutes les zones.

- La zone wifi peut accéder internet et à la DMZ.

- La zone DMZ pourra accéder à internet.

- Aucun accès depuis Internet

Pour autoriser un accès à un serveur situé dans la DMZ (zone orange), il faudra le spécifier au travers de l’interface web d’IPCOP.

le spécifier au travers de l’interface web d’IPCOP. Accès autorisés par défaut. III – 3 Liste

Accès autorisés par défaut.

III 3 Liste de services offerts par IPCOP

Voici la liste des services offerts par IPCOP :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

9
9

Projet fin d’année en mastère 1 TDSI

2006

- Interface web pour l'administration et la configuration d’IPCOP en français.

- Affichage de l'état du système et graphiques CPU/Mémoire/Disque/trafic sur période journalière/semaine/mois/année.

- Informations sur les connexions en cours.

- Serveur SSH pour accès distant sécurisé.

- Proxy HTTP/HTTPS.

- Serveur DHCP.

- Cache DNS.

- Renvoi de ports TCP/UDP/GRE.

- Support des DNS dynamiques.

- Système de détection d'intrusion (interne et externe).

- Support VPN pour relier des réseaux distants entre eux ou se connecter à distance avec un poste.

- Accès aux logs par interface web : du système, de la connexion vers Internet, du proxy, du firewall, de la détection des tentatives d'intrusion.

- Mise à jour d'IPCOP par l'interface web.

- Sauvegarde de la configuration du système sur disquette.

- Synchronisation sur serveur de temps, peut servir le temps aux machines internes.

- Arrêt/Redémarrage à distance.

- Support des modems RTC/RNIS.

- Support de la quasi-totalité des modems ADSL USB et PCI (Voir la liste du matériel compatible dans la section documentation de www.IPCOP.org).

- Possibilité d'utiliser une DMZ avec gestion des accès.

- Possibilité de sécuriser un réseau sans fil.

III 4 Configuration minimale requise :

Ce système d'exploitation à part entière fonctionne sur une machine dédiée, et utilise très peu de ressources systèmes :

- un ordinateur PC équipé de 64 Mo de mémoire vive et d'un processeur à 233 MHz suffit

- 300 Mo d'espace disque

- Carte graphique compatible VGA pour l'installation

- De deux à 4 interfaces réseau Ethernet

- Connexion Internet (Modem, Câble, ISDN, ADSL,

- Un lecteur cdrom pour l’installation.

)

Pour l’utilisation de tous les services, en particulier pour le serveur mandataire (proxy web / cache DNS), il faut mieux prévoir un processeur type pentium 200, 64 Mo de ram, et 500 Mo de disque dur. Lors de l’installation d’IPCOP, le disque dur de l’ordinateur est complètement utilisé, qu’il soit petit ou gros. Il faut donc une machine avec un seul disque (un deuxième disque dur serait inutile et inutilisable car IPCOP ne sert qu’à faire passerelle et rien d’autre, et il n’utilise qu’un seul disque dur).

IV. Installation d’IPCOP :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

10
10

Projet fin d’année en mastère 1 TDSI

2006

IV 1 Où trouver IPCOP ?

IPCOP est disponible en téléchargement dans la section download du site www.ipcop.org. IPCOP est disponible sous forme de fichier source à compiler et sous forme d’une image à graver sur un cd. Pour installer IPCOP, le plus simple est de télécharger l’image de sa version la plus récente puis de la graver sur un CD avec un logiciel adapté (nero ou easy cd creator par exemple). Le cd, une fois gravé, est un cd bootable.

IV 2 Installation

1. D’abord, pensez à vérifier qu’il n’y a pas d’information à sauvegarder sur le disque car

IPCOP va tout effacer.

2. Ensuite, régler le bios de l’ordinateur pour qu’il boot sur le cd.

3. Insérer le cd et démarrer, l’écran suivant devrait apparaître :

le cd et démarrer, l’écran suivant devrait apparaître : 4. Appuyer sur entrée pour démarrer l’installation.

4. Appuyer sur entrée pour démarrer l’installation.

5. Ensuite, il faut simplement suivre les instructions, la chose consiste en choisir le langage

pour l’installation : Il faut don se placer sur « Français » et appuyer sur la touche entrée pour continuer.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

11
11

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 6. Le programme d’installation vous souhaite la

6. Le programme d’installation vous souhaite la bienvenue, appuyer sur entrée.

7. Le programme vous demande la source pour l’installation, choisissez le lecteur cd-rom.

source pour l’installation, choisissez le lecteur cd-rom. 8. Confirmer ensuite que le cdrom se trouve dans

8. Confirmer ensuite que le cdrom se trouve dans le lecteur en appuyant sur entrée.

9. On en vient au formatage du disque, appuyer sur entrée pour commencer (cela prend

quelques minutes).

sur entrée pour commencer (cela prend quelques minutes). 10. Le programme d’installation permet de rétablir une

10. Le programme d’installation permet de rétablir une configuration d’IPCOP qui a été sauvegardé sur disquette, pour reproduire les réglages effectués (dans le cas d’une réinstallation par exemple). Dans le cas ou vous n’avez pas de disquette, déplacer vous sur le bouton « Passer » grâce à la touche de tabulation et appuyer sur entrée.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

12
12

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 11. Il s’agit maintenant de trouver les

11. Il s’agit maintenant de trouver les drivers adapté à la carte réseau qui sera sur la zone verte

(coté réseau interne). Si la carte réseau est dans la liste du matériel compatible fourni sur www.ipcop.org, les pilotes devraient être automatiquement trouvés en appuyant sur la touche « recherche ». Si le matériel n’est pas détecté, il y a possibilité de lui attribuer des pilotes manuellement avec la touche « sélectionner ».

des pilotes manuellement avec la touche « sélectionner ». 12. Ensuite, il faut configurer cette carte

12. Ensuite, il faut configurer cette carte réseau, on entre donc l’adresse ip de la passerelle vu

du réseau interne étant (on est dans la zone « verte »).

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

13
13

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 13. Le programme d’installation vous demande maintenant

13. Le programme d’installation vous demande maintenant de retirer le cd, obéissez et

appuyer sur entrée pour continuer l’installation.

et a ppuyer sur entrée pour continuer l’installation. 14. Choisissez le type de clavier : «

14. Choisissez le type de clavier : « fr » pour un clavier français.

15. Sélectionnez ensuite le fuseau horaire auquel vous appartenez, soit

Afrique/Dakar pour notre cas.

16. Ensuite, entrez un nom pour la passerelle (ex : « ipcopTdsi »). Ainsi qu’un nom de

domaine à la fenêtre qui suit.

» ). Ainsi qu’un nom de domaine à la fenêtre qui suit. Ainsi qu’un nom de

Ainsi qu’un nom de domaine à la fenêtre qui suit.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

14
14

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 17. Le programme propose maintenant de configurer

17. Le programme propose maintenant de configurer la connexion RNIS, dans le cas où vous

en n’avez pas, choisissez directement l’option « Désactiver RNIS (ISDN) ».

18. On arrive maintenant à une étape importante : la configuration du réseau. Le menu suivant

apparaît :

: la configuration du réseau. Le menu suivant apparaît : 19. Allez da ns « Type

19. Allez dans « Type de configuration réseau » pour choisir l’architecture du réseau.

Voici les possibilités proposées :

du réseau. Voici les possibilités proposées : Nous avons choisi l’architecture qui nous convient :

Nous avons choisi l’architecture qui nous convient : GREEN + ORANGE + RED

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

15
15

Projet fin d’année en mastère 1 TDSI

2006

20. Ensuite, il s’agit d’attribuer des pilotes aux cartes réseau qui n’en ont pas (la carte sur la zone verte étant déjà configurée) en allant dans « Affectation des pilotes et des cartes ».

en allant dans « Affectation des pilotes et des cartes ». Choisissez OK pour configurer les
en allant dans « Affectation des pilotes et des cartes ». Choisissez OK pour configurer les

Choisissez OK pour configurer les pilotes.

Les captures d’écrans suivants sont un exemple avec une architecture « GREEN + ORANGE + RED », On voit qu’il faut attribuer un pilote à la deuxième carte réseau (de la zone orange) :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

16
16

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Ensuite il faudra faire de même pour

Ensuite il faudra faire de même pour la carte RED et si tout se passe bien nous aurons l’écran suivant :

et si tout se passe bien nous aurons l’écran suivant : 21. Toutes les cartes résea

21. Toutes les cartes réseau ayant un pilote, il s’agit maintenant de leur attribuer une adresse IP. L’adresse IP de la zone verte étant déjà configurée. Allez dans « Configuration de l’adresse » pour attribuer une adresse IP à toutes les autres cartes réseau.

une adresse IP à toutes les autres cartes réseau. Mise en place d’un firewall sous Gnu/Linux

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

17
17

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Configuration de la zone Orange (dmz) Zone
Projet fin d’année en m astère 1 TDSI 2006 Configuration de la zone Orange (dmz) Zone

Configuration de la zone Orange (dmz)

1 TDSI 2006 Configuration de la zone Orange (dmz) Zone Internet (Rouge) Attribuez un adresse IP

Zone Internet (Rouge)

Attribuez un adresse IP à chaque zone puis aller sur « continuer » quand vous avez fini.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

18
18

Projet fin d’année en mastère 1 TDSI

2006

Remarque : Si votre zone rouge est un carte réseau (donc pas un modem), il est possible de configurer pour cette zone seulement en client DHCP (de manière à ce que ce soit le routeur par exemple qui transmette l’adresse IP et les DNS).

22. Pour finir avec ce menu, allez dans « Configuration du DNS et de la

Passerelle » pour choisir un DNS et une passerelle par défaut. Il est peut probable que vous ayez besoin de configurer ces informations manuellement : Dans le cas d’une zone rouge avec modem, ces infos sont envoyé par le FAI (rien à configurer). Dans le cas d’une interface rouge connectée à un routeur : ou la passerelle est client dhcp du routeur (et là, rien à configurer), ou vous avez donné une adresse IP statique à l’interface rouge (et dans ce cas, il faut renseigner les DNS et la passerelle manuellement).

23. Enfin, la dernière étape est d’entrer un mot de passe pour l’administrateur du poste

(« root ») et un pour l’administration distante (au travers du site web soit l’utilisateur

(«admin»).

(au travers du site web soit l’utilisateur («admin»). Mot de passe de root : azerty Mot

Mot de passe de root : azerty

l’utilisateur («admin»). Mot de passe de root : azerty Mot de passe de l’utilisateur admin :

Mot de passe de l’utilisateur admin : adminn

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

19
19

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Mot de passe de la clé de

Mot de passe de la clé de cryptage des sauvegardes : adminkey

24. Pour finir, le programme redémarre l’ordinateur, IPCOP est installé.

le programme redémarre l’ordinateur, IPCOP est installé. 25. Ecran de démarrage et connexion en ligne de

25. Ecran de démarrage et connexion en ligne de commande

25. Ecran de démarrage et connexion en ligne de commande Mise en place d’un firewall sous

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

20
20

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Connexion en ligne de commande avec root

Connexion en ligne de commande avec root

1 TDSI 2006 Connexion en ligne de commande avec root Commande ifconfig pour vérifier la configuration

Commande ifconfig pour vérifier la configuration réseau des interfaces.

V. Administration d’IPCOP

V – 1 Accès à l’interface d’administration d’IPCOP

L’accès à l’interface d’administration se fait du réseau interne étant grâce à n’importe quel navigateur web récent à l’adresse suivant : https://<@ip_passerelle>:445.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

21
21

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 V – 2 Présentation de l’interface :
Projet fin d’année en m astère 1 TDSI 2006 V – 2 Présentation de l’interface :

V – 2 Présentation de l’interface :

L’interface web est composée de 7 menus déroulant que nous allons détailler en commençant par le menu « système ». Nous allons présenter les principales fonctions de chaque page de ce site web.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

22
22

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 V – 3 Menu Système Le menu

V 3 Menu Système

Le menu système contient des sections pour configurer IPCOP, et l’interface web :

Section Accueil : C’est la première page affiché lorsqu’on accède à l’interface d’IPCOP. Cette page permet principalement de connecter/de connecter la passerelle d’Internet. Section Mise à jour : permet de savoir si une mise à jour est disponible. Si une mise à jour est disponible, il suffit de la télécharger et de la transférer à IPCOP grâce à cette même section. Section Mot de passe : permet de changer le mot de passe de l’utilisateur ‘admin’ (qui est l’administrateur d’IPCOP) et le mot de passe de l’utilisateur ‘Dial’ (utilisateur qui a simplement le droit de connecter/déconnecter Internet dans le cas d’une connexion par modem. Section Accès SSH : permet d’activer ou de désactiver le serveur SSH sur la passerelle. Le serveur SSH peut être utile pour faire des choses qu’on ne peut pas faire directement sur le site web d’IPCOP (ex : changer une l’adresse IP d’une interface). Section Interface graphique : permet de choisir la langue des pages web et d’activer/désactiver les menu déroulant pour les navigateurs non compatibles avec javascript.

Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration d’IPCOP. Il est aussi possible d’effectuer une sauvegarde sur disquette pour restaurer cette configuration lors d’une réinstallation complète d’IPCOP. Section Arrêter : permet d’arrêter et de redémarrer la passerelle. Section Crédits : pour contacter les auteurs d’IPCOP.

V 4 Menu Etat

On trouve dans ce menu des informations sur l’état du système :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

23
23

Projet fin d’année en mastère 1 TDSI

2006

Section Etat du système : permet de connaître l’état de tous les services ainsi que l’utilisation de la mémoire et disque. Section Etat du réseau : permet de visualiser l’adresse ip des interfaces réseau, de voir les clients dhcp et les tables de routages. Section Graphiques système : permet de visualiser sous forme de graphique l’utilisation du processeur, de la mémoire et du disque dur sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interface (sur chaque zone) sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année. Section Graphes du proxy : donne des graphiques sur l’utilisation du serveur mandataires. Section Connexion : permet de visualiser le connections en cours sur la passerelle.

V 5 Menu Réseau

Ce menu est dédié à la configuration du modem RTC ou ADSL (si vous avez un routeur, ce menu n’est pas utile) :

Section Connexion : permet de rentrer les paramètres de connexion fournie par le FAI, il est possible d’avoir plusieurs profils de connexion (dans le ou vous avez plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de « repli »). Section Chargement : permet de télécharger les drivers pour faire fonctionner certains modems. Section Modem : permet de modifier les commandes pour les modems RTC.

V 6 Menu Services

C’est ici qu’on configure tous les services de la passerelle :

Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns). Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une). Section DNS Dynamique : permet de mettre en place un client pour mettre à jour un dns dynamique (type dyndns.org, no-ip.com, …). Section Hôtes statiques : permet d’ajouter des hôtes avec ip statiques. Section Serveur de temps : permet à la passerelle d’être un client NTP d’un part et d’être un serveur NTP pour le réseau interne d’autre part (attention : le serveur NTP met quelques heurs avant de fonctionner). Section Lissage de trafic : permet de limiter les débits montant et descendant des clients qui vont sur internet. On peut aussi, donner des priorités différentes selon les services pour faire de la qualité de service. Section Détection d’intrusion : permet d’activer ou de désactiver les sondes de détection d’intrusion sur toutes les zones.

V 7 Menu Pare-feu

Ce menu permet de configurer le pare-feu :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

24
24

Projet fin d’année en mastère 1 TDSI

2006

Section Transferts de port : permet de définir des règles de transfert de port pour donner accès des services d’internet étant sur le réseau interne ou sur la DMZ si il y en a une. Section Accès Externes : permet d’ouvrir des ports pour accéder à la passerelle d’Internet. Section Accès à la DMZ : (menu qui existe si la zone orange existe) permet d’ouvrir des accès direct entre la DMZ et le réseau interne.

V 8 Menu RPVs

On crée ici les Réseaux Privés Virtuel (ou Virtual Private Network en anglais) :

Section RPVs : permet de créer des vpn (réseau à réseau, ou postes à réseau).

V 9 Menu Journaux

Ce menu permet d’accéder à tous les journaux générés par IPCOP et ses services :

Section Configuration des journaux : permet de choisir si les journaux doivent être affichés dans l’ordre chronologique et chronologique inverse. On peut aussi choisir d’envoyer les journaux sur un serveur syslog et changer le niveau de verbosité. Section Résumé des journaux : cour résumé des journaux du serveur mandataire, du système, du serveur sshd et de l’utilisation du disque. Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a été activée). Section Journaux du pare-feu : permet de visualiser les journaux d’accès au pare-feu. Section Journaux IDS : permet de visualiser les tentatives d’intrusion détectée par les sondes du détecteur d’intrusion. Section Journaux système : permet de visualiser les journaux systèmes (systems, dns, dhcp, ssh, ntp, …)

V 10 Utilitaire setup

L’interface graphique ne permet pas de tout faire, en particulier changer l’adresse IP d’une carte réseau ou changer de type de passerelle. L’utilitaire setup permet de :

 Configurer le type de clavier (fr, us, …).

 Changer de fuseau horaire.

 Modifier le nom de la passerelle.

 Modifier le nom de domaine.

 Modifier la configuration réseau de la passerelle.

L’utilitaire setup permet par exemple de passer d’un réseau GREEN + RED à GREEN + RED + ORANGE par exemple sans réinstaller le pare-feu. Pour accéder à l’utilitaire setup, il faut se connecter à la passerelle au travers de ssh attention :

le port d’écoute du serveur ssh intégré à ipcop est le 222 et non 22 ailleurs), s’identifier en tant que root et taper « setup ». C’est un menu graphique très simple à utiliser :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

25
25

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Utilitaire setup de IpCop VI. Paramétrage :

Utilitaire setup de IpCop

en m astère 1 TDSI 2006 Utilitaire setup de IpCop VI. Paramétrage : VI – 1

VI. Paramétrage :

VI – 1 Autoriser l’accès SSH

SSH permet de se connecter de manière sécurisée sur une machine Linux à distance. On va autoriser SSH sur le pare-feu IpCop pour transférer des fichiers par exemple. Allez dans le menu Système puis la section accès SSH :

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

26
26

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Ici cochez : - Accès SSH -

Ici cochez :

- Accès SSH

- Autorise le transfert TCP

- Permettre l’authentification par mot de passe

- Permettre l’authentification par clé publique

Ces paramètres vont nous permettre d’accéder à notre firewall depuis notre PC et d’y transférer les fichiers nécessaires à l’installation des plugins.

VI – 2 Mise en place d’addons

L’ajout d’addons ou de plugins permet d’étendre les fonctions d’IPCOP. Il existe des dizaines de plugins pour IPCOP, mais pour ne pas remettre la sécurité de cette passerelle en cause, il ne faut utiliser que les plugins officiels d’IPCOP. Seul les plugins officiels ont été contrôlés par l’équipe d’IPCOP, ils sont référencés dans la section « Addons » du site www.ipcop.org. Voici deux addons officiels qui permettent les fonctions du proxy web :

VI 2.1 Advanced proxy

Cet addon permet d’ajouter les fonctionnalités suivantes au proxy d’IPCOP :

 Authentification des utilisateurs par rapport à un annuaire LDAP, Active Directory, par rapport aux utilisateurs locaux ou à un serveur Radius.

 Contrôle d’accès selon l’adresse IP ou Mac des clients.

 Autoriser l’accès à internet sur certaines plages horaires seulement.

Pour installer Advanced Proxy, il faut :

1)

Télécharger l’archive Advanced Proxy sur le site www.advproxy.net.

2)

Placer l’archive dans le répertoire /tmp de la passerelle en utilisant l’utilitaire WinSCP

(cf. www.winscp.net, WinSCP permet de transférer des fichiers au travers de ssh).

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

27
27

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 3) Décompresser l’archive en se connectant sur

3)

Décompresser l’archive en se connectant sur la passerelle au travers de ssh (utiliser le client Putty par exemple, il est gratuit, en tapant la commande suivante :

root@ipcopTdsi:/tmp # tar -xzvf ipcop-advproxy-2.1.2.tar.gz

root@ipcopTdsi:/tmp # tar -xzvf ipcop-advproxy-2.1.2.tar.gz Mise en place d’un firewall sous Gnu/Linux : Installation

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

28
28

Projet fin d’année en mastère 1 TDSI

2006

Projet fin d’année en m astère 1 TDSI 2006 Login : root Mot de passe :

Login : root Mot de passe : azerty

m astère 1 TDSI 2006 Login : root Mot de passe : azerty 4) Installer Advanced

4)

Installer Advanced Proxy en tapant dans le répertoire /tmp/ipcop-advproxy : . /install

dans le répertoire /tmp/ipcop-advproxy : . /install Pour désinstaller Advanced Proxy, il faut exécuter :

Pour désinstaller Advanced Proxy, il faut exécuter : ./tmp/ ipcop-advproxy/uninstall

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

29
29

Projet fin d’année en mastère 1 TDSI

2006

Rappel : Le serveur SSH installé sur IPCOP doit être activé sur l’interface web pour fonctionner. De plus, ce serveur SSH écoute sur le port 222 (et pas 22). Une fois installé, la page de configuration du proxy est étendue avec les options citées ci- dessus.

VI 2.2 url filter

Url filter permet de mettre en place du filtrage d’url comme son nom l’indique. Cet utilitaire permet d’interdire aux utilisateurs de visiter des sites web dont l’url (exemple d’url www.msn.com) contient des termes à référence pornographique, violent… Url filter peut aussi filtrer les « popups » publicitaires.

Pour installer Url filter, il faut :

1)

Télécharger l’archive urlfilter sur le site www.urlfilter.net.

2)

WinSCP.

Placer l’archive dans le répertoire /tmp de la passerelle en utilisant l’utilitaire

3)

4)

Décompresser l’archive en se connectant sur la passerelle au travers de ssh en tapant la commande suivante : tar -xzf ipcop-urlfilter-1.9.1.tar.gz

Installer url filter en se plaçant dans /tmp/ ipcop-urlfilter et en tapant : . /install

dans /tmp/ ipcop-urlfilter et en tapant : . /install Pour désinstaller url filter, il faut exécuter

Pour désinstaller url filter, il faut exécuter : ./tmp/ ipcop-urlfilter/uninstall Une fois installé, le menu service contient une nouvelle section « filtrage d’url » qui permet de configurer le filtrage d’url.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

30
30

Projet fin d’année en mastère 1 TDSI

2006

VI 2.2 Exemple de configuration du pare-feu

Accès à la zone DMZ

Exemple de configuration du pare-feu Accès à la zone DMZ Transfert de ports Mise en place
Exemple de configuration du pare-feu Accès à la zone DMZ Transfert de ports Mise en place

Transfert de ports

du pare-feu Accès à la zone DMZ Transfert de ports Mise en place d’un firewall sous

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

31
31

Projet fin d’année en mastère 1 TDSI

2006

VII.

CONCLUSION

IPCop est un firewall très puissant capable de rivaliser en performance et en efficacité avec de nombreux firewalls commerciaux. Nous avons vu dans ce document l’installation, la configuration et l’administration en mode graphique très conviviale et simple à utiliser. Cependant il est nécessaire voire indispensable pour un administrateur système de savoir utiliser la ligne de commande pour configurer un firewall sous Gnu/Linux avec Netfilter.

VIII.

Références

Web :

Bibliographie :

[4] Jean-François Bouchaudy Linux Administration Sécuriser un serveur- Linux Tome 3

Annexes : PV des réunions de travail.

Mise en place d’un firewall sous Gnu/Linux : Installation et utilisation d’IPCOP Présenté par Ahmed Youssef O C

32
32