Scurit des Systmes d'Information et de Communication

PROCDURE D'INSTALLATION
Table des matires
Introduction.............................................................................................................................................................2 Pralable matriel...............................................................................................................................................3 Pralable logiciel................................................................................................................................................3 Installation...............................................................................................................................................................3 Installation du systme.......................................................................................................................................3 Installation d'ALCASAR....................................................................................................................................7 Dsinstallation et rinstallation d'ALCASAR.........................................................................................................8 Fiche rcapitulative des paramtres d'ALCASAR..................................................................................................8

Projet : ALCASAR Objet : Installation Mots cls : portail captif, contrle d'accs, imputabilit, traabilit, authentification

Auteur : Rexy with support of Alcasar team Version : 2.0 Date : janvier 2011

Procdure d'installation

ALCASAR

1 /8

Introduction
Ce document dcrit la procdure d'installation du portail ALCASAR. Il est complt par trois autres documents : le document de prsentation, le document d'exploitation et la documentation technique. Si vous possdez dj une version d'ALCASAR fonctionnelle et que vous dsirez effectuer une mise jour, reportez-vous sur la documentation d'exploitation (chapitre mise jour ). ALCASAR peut tre install sur ordinateur standard quip de deux cartes rseau Ethernet. La premire (eth0) est connecte l'quipement du Fournisseur d'Accs Internet (FAI). La deuxime (eth1) est connecte au commutateur utilis pour desservir le rseau des stations de consultation. Ct rseau de consultation, le plan d'adressage suivant est dfini par dfaut : 192.168.182.0/24. Ce plan peuttre modifi lors de l'installation. La carte rseau eth1 d'ALCASAR possde toujours la premire adresse IP de ce plan (ex. 192.168.182.1 pour le plan par dfaut). Ce plan est divis en deux : la premire moiti est ddie aux quipements dont l'adressage IP est fixe ; la deuxime moiti est affecte aux quipements dont les adresses IP sont attribues dynamiquement par ALCASAR via le protocole dhcp . Ce dcoupage permet de connecter sans risque de recouvrement des quipements adressage dynamique (quipements de consultation) et d'autres adressage statique comme des imprimantes, des serveurs, des quipements actifs de rseau (points d'accs WiFi ou CPL, commutateurs, etc.) ou des quipements incompatibles avec l'adressage dynamique. Le rseau de consultation peut exploiter toutes les technologies d'accs (Ethernet, wifi, CPL, bluetooth, etc.). La seule contrainte consiste n'utiliser ni routeur ni serveurs DHCP sur ce rseau. Voici deux exemples de plan d'adressage de classes diffrentes : Exemple du plan d'adressage de classe C propos par dfaut (252 quipements de consultations)

Adresse IP du rseau : 192.168.182.0/24 (masque de rseau : 255.255.255.0) Nombre maximum d'quipements sur le rseau de consultation : 251 Adresse IP de la carte eth1 d'ALCASAR : 192.168.182.1 Paramtres des quipements de consultation adressage fixe : adresses IP disponibles : de 192.168.182.2 192.168.182.126 adresses des serveurs DNS et du routeur par dfaut (default gateway) : 192.168.182.1 (adresse IP d'ALCASAR) ; masque de rseau : 255.255.255.0 Paramtres des quipements de consultation adressage dynamique : adresses IP fournies automatiquement par ALCASAR : de 192.168.182.128 192.168.182.254 les autres paramtres sont identiques l'adressage fixe Rseau de consultation (@IP : 192.168.182.0/24)

Commutateur

Point d'accs CPL

eth1 (@IP : 192.168.182.1) ALCASAR

Point d'accs WIFI

eth0 (@IP dans le mme plan d'adressage que l'quipement du FAI) quipement/box du FAI (routeur/modem DSL)

Internet
Procdure d'installation ALCASAR

2 /8

Exemple d'un plan d'adressage de classe B (65532 quipements de consultation)

Adresse IP du rseau : 172.16.0.0/16 (masque : 255.255.0.0) Nombre maximum d'quipements sur le rseau de consultation : 65531 Adresse IP de la carte eth1 d'ALCASAR : 172.16.0.1 Paramtre des quipements de consultation adressage fixe : adresses IP disponibles : de 172.16.0.2 172.16.126.254 adresses des serveurs DNS et du routeur par dfaut (default gateway) : 172.16.0.1 (adresse IP d'ALCASAR) ; masque de rseau : 255.255.0.0 Paramtres des quipements adressage dynamique : adresses IP fournies automatiquement par ALCASAR : de 172.16.127.1 172.16.255.254 les autres paramtres sont identiques l'adressage fixe

Pralable matriel
Pour pouvoir fonctionner, ALCASAR n'exige qu'un PC bureautique standard possdant 2 cartes rseau Ethernet. Le disque dur doit possder une capacit de 50 Go au minimum afin d'tre en mesure de stocker les fichiers journaux lis la traabilit des connexions. ALCASAR intgre plusieurs systmes optionnels de filtrage (protocoles rseau, URL, antivirus et contenu de page WEB). Si vous dcidez d'activer ces systmes de filtrage, il est recommand d'installer au moins 1 GO de mmoire vive afin d'assurer une rapidit de traitement acceptable. titre d'exemple, un organisme a dploy ALCASAR avec plus de 1000 comptes sur un PC dont les caractristiques sont : Intel P4 3.2Ghz, 2Go de mmoire vive et un disque dur de 80 Go. Les architectures 32 bits et 64 bits sont supportes et automatiquement dtectes.

Pralable logiciel
ALCASAR ne s'appuie que sur des logiciels libres. Le systme d'exploitation utilis est Linux-Mandriva .

Installation
L'installation du portail s'effectue en deux tapes : l'installation du systme d'exploitation (Linux-Mandriva) puis l'installation d'ALCASAR.

Installation du systme
La procdure d'installation de ce systme est la suivante (dure estime : 6') : rcuprez l'image ISO de Linux Mandriva 2010.1 en version free double architecture (32 et 64 bits) : fichier mandriva-linux-free-2010-spring-dual.iso (700MB). Cette image ISO est disponible sur le site d'ALCASAR ainsi que sur de multiples sites miroirs de Mandriva. Par exemple : ftp://ftp.free.fr/mirrors/Distributions_Linux/MandrivaLinux/official/iso/2010.1/ ftp://ftp.lip6.fr/pub/linux/distributions/Mandrakelinux/official/iso/2010.1/ ftp://ftp.cru.fr/pub/linux/Mandrakelinux/official/iso/2010.1/ gravez cette image sur un CDROM ou crez une cl USB amorable1 modifiez les paramtres BIOS du PC afin de rgler la date, l'heure et afin de permettre l'amorage du PC partir d'un CD-ROM ou d'une cl USB. la fin de l'installation, modifiez une nouvelle fois les paramtres BIOS pour limiter les possibilits d'amorage du PC au seul disque dur ; insrez le CD-ROM ou la cl USB, redmarrez le PC et suivez les instructions suivantes :

1 Deux solutions permettent de crer une cl USB amorable (taille de la cl : 1 Go minimum) : en mode console sous Linux, insrez une cl et rcuprez le nom du priphrique associ par la commande fdisk -l (une cl USB est souvent associe au priphrique /dev/sdb ou /dev/sdc ). Lancez la commande : dd if=<nom_de_l'image_iso> of=<nom_du_priphrique_usb> bs=8M . en mode graphique sous linux ou windows, utilisez l'outil mandriva-seed disponible ici : http://www.mandrivalinux-online.org/download/category-4+mandriva-seed-la-cle-usb-bootable.php
Procdure d'installation ALCASAR

3 /8

Messages affichs l'cran

Commentaires
Aprs dmarrage du PC, cette page d'accueil est prsente.

Actions raliser

Slectionnez Install Mandriva .

* si le mode graphique n'apparat pas, vous devez configurer le BIOS du PC afin d'allouer plus de 2Mo de la mmoire partage pour la carte graphique.

Slectionnez votre langue.

Acceptez le contrat de licence.

Info : ce contrat explique que la plupart des logiciels installs sont des logiciels libres.

Slectionnez votre type de clavier.

Le partitionnement du disque dur sera adapt au besoin d'ALCASAR (cf. tape suivante).

Slectionnez Partitionnement de disque personnalis .

Les 5 partitions suivantes doivent tre cres :

/ : 2 Go swap : gardez la taille propose (ou 2 fois la taille de la mmoire vive) /tmp : 2 Go /home : 2 Go /var : le reste du disque dur

Cliquez sur Supprimer toutes les partitions . Cliquez ensuite l'intrieur de la zone grise du disque (sda) pour crer chaque nouvelle partition.
Info : part le swap , tous les Systmes de Fichiers (SF) sont du type Journalized FS : ext4 (ext4 est un systme de fichiers journalis pour Linux).

la fin de cette opration, et en fonction - Crez la partition racine (/). Choisissez sa de la taille de votre disque dur, le taille (2 Go) ainsi que son systme de partitionnement devrait ressembler cela : fichier (ext4). Recommencez cette tape pour toutes les autres partitions. - Une fois le partitionnement effectu, cliquez sur Terminer .

Procdure d'installation

ALCASAR

4 /8

Messages affichs l'cran

Commentaires

Actions raliser

Pour ALCASAR, l'installation ne ncessite Slectionnez Aucun pas d'autre mdia.

Choix des groupes de paquetages installer : ALCASAR ne ncessite qu'une installation minimale du systme Linux-Mandriva.

Choisissez uniquement le groupe de paquetages LSB (Linux Standard Base). Dslectionnez tous les autres groupes puis cliquez sur Suivant . La copie des logiciels (paquetages) sur le disque dur est alors lance. Dure estime : 4'

Affectez le mot de passe au compte root puis crez le compte sysadmin et affectez-lui un mot de passe.

Installation du programme d'amorage Slectionnez Premier secteur du disque (grub) sur le premier secteur du disque dur (MBR) . (Master Boot Record).

Configuration de la premire carte rseau

Cliquez sur Configurer de la rubrique Rseau du groupe Rseau et Internet .

Slectionnez Filaire (Ethernet) .

On ne configure pour l'instant que l'interface connecte l'quipement du prestataire de service (routeur DSL ou box du FAI). La deuxime interface est connecte au rseau de consultation. Elle sera paramtre plus tard, lors de l'installation d'ALCASAR.

Slectionnez l'interface identifie eth0 (si aucun identifiant n'est affich, slectionnez la premire interface).

Procdure d'installation

ALCASAR

5 /8

Messages affichs l'cran

Commentaires

Actions raliser
Slectionnez configuration manuelle .

Exemple :

Adresse IP : cette adresse doit tre dans le mme sous-rseau que l'adresse du routeur DSL du FAI (box). Masque : 255.255.255.0 Passerelle : c'est l'adresse du routeur DSL (en gnral 192.168.1.1 pour une livebox et 192.168.0.254 pour une freebox ) DNS 1 et DNS 2 :* nom d'hte : laissez ce champ vide

Entrez les paramtres de cette interface.

* Inscrivez les adresses des serveurs de DNS fournies par votre FAI. Vous pouvez aussi utiliser les serveurs du projet OpenDNS (DNS1=208.67.222.222, DNS2=208.67.220.220).

Slectionnez uniquement Lancer la connexion au dmarrage .

Il n'est pas ncessaire de lancer cette connexion ce stade

Slectionnez Non

Cliquez sur Terminer .

Cliquez sur Suivant .

Les mises jour de scurit seront gres pendant l'installation d'ALCASAR.

Slectionnez Non et cliquez sur Suivant .

L'installation est termine

Cliquez sur Redmarrage . Retirez le CDROM ou la cl USB. Reconfigurez le BIOS afin : de limiter les possibilits d'amorage au seul disque dur ; d'en verrouiller l'accs par mot de passe.

Procdure d'installation

ALCASAR

6 /8

Installation d'ALCASAR
ALCASAR est constitu d'une archive compresse (alcasar-x.y.tar.gz) et de paquetages additionnels qui sont automatiquement tlchargs sur Internet pendant la phase d'installation. Rcuprez la dernire version de l'archive compresse sur le site Internet d'ALCASAR et copiez-la sur une cl USB. Suivez la procdure suivante (dure estime :5').

Messages affichs l'cran

Commentaires
- Connectez-vous en tant que root . - Dconnectez les cbles des deux cartes rseau et affichez leur tat.

Actions raliser

watch mii-tool

Si le lien est activ sur la carte eth1 , - Insrez le cble connect l'quipement changez le cble de carte. du FAI dans la carte eth0 . Info : le changement d'tat du lien permet de
dterminer la bonne carte ( no link ou link ok ).

- Insrez le cble connect au rseau de consultation dans la carte eth1 - Sortez du programme actif - Crez un rpertoire permettant d'accueillir la cl USB. - Insrez la cl USB - Affichez les informations relatives aux supports de masse afin de rcuprer le nom du priphrique associ votre cl. Dans l'exemple joint, /dev/sdb1 correspond une cl de 1Go.

Info : ct rseau de consultation, connectez un quipement actif de rseau (switch, AP WIFI, commutateur CPL, etc.) afin d'tre assur de la permanence du lien.

<Ctrl> + c

mkdir -p /media/usb

fdisk -l
Info1 : pour les PC la norme PATA (ancienne gnration) la cl sera nomme hd(a-b-c-...)(1-2-3-...). Pour les PC la norme SATA, elle prendra le nom sd(a-b-c-...)(1-2-3-...). Info2 : vous pouvez aussi afficher le journal systme pour rcuprer ce nom (tailf /var/log/messages)

- Montez le priphrique reprsentant mount /dev/sdb1 /media/usb/ la cl USB sur le rpertoire Info : remplacez sda1 par le nom du priphrique prcdemment cr. rcupr l'tape prcdente (sdc1, hda1, etc.). - Copiez l'archive d'ALCASAR dans le rpertoire /root. - Dmontez la cl USB. - Retirez-la. cp /media/usb/alcasar* /root/ umount /media/usb

- Dcompressez et extrayez cette archive. tar -xvf alcasar-x.y.tar.gz - Positionnez-vous dans le rpertoire cd alcasar-x.y d'ALCASAR et lancez le script sh alcasar.sh --install d'installation. - Les tests de paramtres rseau sont raliss. - Entrez le nom de votre organisme (sans espace)
Info : dans certains cas, le script modifie la configuration des cartes rseau. Il est alors ncessaire de relancer ce script.

Exemple : rasacla
Info : ce nom est obligatoire. les seuls caractres accepts sont : [a-z][A-Z][0-9][-]

L'installation d'une centaine de logiciels (paquetages) est effectue partir d'Internet. Dure :2' Vous pouvez changer le plan d'adressage par dfaut du rseau de consultation (192.168.182.0/24) Tapez O ou N
Info : le dcoupage du plan d'adressage effectu par ALCASAR peut tre consult dans le fichier /root/ALCASAR-parameters.txt

Procdure d'installation

ALCASAR

7 /8

Messages affichs l'cran

Commentaires
Entrez l'identifiant et le mot de passe d'un premier compte d'administration d'ALCASAR.

Actions raliser

L'installation est termine. Le systme va tre relanc afin de synchroniser l'ensemble des constituants d'ALCASAR.

Une fois le systme relanc, dmarrez un quipement de consultation et connectezvous sur l'interface de gestion du portail afin de crer vos premiers usagers ( http://alcasar ). Lisez attentivement la documentation d'exploitation ( Alcasarexploitation.pdf ).

Dsinstallation et rinstallation d'ALCASAR

Il est possible de rinstaller le portail en utilisant la mme commande que prcdemment ( sh alcasar.sh --install ). Le script vous demandera alors si vous voulez garder les paramtres de la version dj en place. Cela peut tre utile pour faire des tests ou pour modifier le plan d'adressage du rseau de consultation par exemple. Vous pouvez dsinstaller le portail avec la commande sh alcasar.sh --uninstall . Pour effectuer une mise jour, lisez la documentation d'exploitation.

Fiche rcapitulative des paramtres d'ALCASAR

Le fichier /root/ALCASAR-parameters.txt rappelle les paramtres rseau et systme du portail. Le fichier /root/ALCASAR-passwords.txt rappelle les mots de passe exploits en interne par les diffrents modules d'ALCASAR (dont le mot de passe de protection du chargeur systme (bootloader GRUB )). Ces fichiers peuvent tre consults via la commande (cat <nom_de_fichier>).

Nom d'organisme :
Page d'authentification des usagers Page d'accueil du portail permettant : - l'accs au centre de gestion graphique - la dconnexion d'un usager authentifi - le changement du mot de passe usager Comptes du systme Linux 1er compte d'administration d'Alcasar (profil 'admin')

Cette page est prsente quand un navigateur tente de joindre un site Internet. http://alcasar
Info : les possibilits du centre de gestion sont dcrites dans le document Alcasarexploitation .

root sysadmin ....................

mot de passe : ....................... mot de passe : ....................... mot de passe : ...................

Paramtres rseau @IP de l'quipement FAI (routeur) @IP des serveurs DNS @IP d'Alcasar (ct WAN/Internet) : @IP d'Alcasar (ct rseau de consultation) : Rseau de consultation : @IP fixes : @IP dynamiques :

___.___.___.___ DNS1 :___.___.___.___ DNS2 :___.___.___.___ ___.___.___.___ ___.___.___.1 ___.___.___.0/__ de ___.___.___.___ ___.___.___.___ de ___.___.___.___ ___.___.___.___

Procdure d'installation

ALCASAR

8 /8