Vous êtes sur la page 1sur 49

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

CONTENU
Prambule Informations lgales ...................................................................................................................................... 6 Avant de commencer .......................................................................................................................................................... 6 Pr-requis ............................................................................................................................................................................. 6 Les logiciels rcuprer ................................................................................................................................................... 6 Prsentation du projet .......................................................................................................................................................... 7 Quest-ce quIPCop ? ....................................................................................................................................................... 7 Architecture fonctionnelle dIPCOP :......................................................................................................................... 7 Topologie ............................................................................................................................................................................. 8 Configuration ...................................................................................................................................................................... 8 Objectifs ............................................................................................................................................................................... 8 Windows Server 2008 R2 (Entreprise Edition)..................................................................................................................... 9 Installation ............................................................................................................................................................................ 9 LActive Directory : Installation et configuration.......................................................................................................... 9 DNS : Cration dune zone de recherche inverse .............................................................................................. 11 IPCop : Installation et premire configuration ............................................................................................................... 14 Premire configuration dIPCOP ............................................................................................................................... 18 Administration dIPcop ....................................................................................................................................................... 24 Installation des plugins .................................................................................................................................................... 25 Activation du SSH ......................................................................................................................................................... 25 Configuration de PuTTY et WinSCP ........................................................................................................................... 26 Installation des plugins ........................................................................................................................................................ 28 Advanced Proxy .............................................................................................................................................................. 28 URLFILTER ............................................................................................................................................................................ 28 P2PBlock ............................................................................................................................................................................. 29 Configuration de P2PBlock ................................................................................................................................................ 29 Configuration dURLFILTER .................................................................................................................................................. 29 Configuration dAdvancded Proxy ................................................................................................................................. 30 Configuration du Proxy ................................................................................................................................................... 30 IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Personnalisation du message derreur ou Redirection ............................................................................................. 31 Autoriser des utilisateurs avoir un accs total Internet .......................................................................................... 32 Filtrage daccs Internet avec URLFilter .................................................................................................................. 32 Filtrage daccs Internet avec Advanced Proxy .................................................................................................. 33 Les diffrents types de compte ................................................................................................................................. 33 Cration des comptes ................................................................................................................................................ 33 Changement du mot de passe pour laccs Web ............................................................................................... 34 Tests ................................................................................................................................................................................. 35 Pour aller plus loin ................................................................................................................................................................ 37 Bloquer linstallation de logiciels indsirables ............................................................................................................. 37 Lutlisateur nest pas administrateur de sa machine ............................................................................................ 37 Lutilisateur est administrateur de sa machine ....................................................................................................... 42 Vrification du navigateur Internet .............................................................................................................................. 43 Dtection des intrusions .................................................................................................................................................. 45 Journaux ............................................................................................................................................................................ 45 Configuration des journaux ........................................................................................................................................ 45 Exemple : Journaux du pare-feu ............................................................................................................................... 46 Etat du systme ................................................................................................................................................................ 46 Conclusion ............................................................................................................................................................................ 48 Annexes ................................................................................................................................................................................. 49

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

PREAMBULE INFORMATIONS LEGALES


Durant ce projet nous allons mettre en place un serveur pare-feu, IPCop, auquel nous allons ajouter des plugins, notamment Advanced Proxy. A ce sujet, sachez que beaucoup doptions dAdvanced Proxy peuvent violer la vie prive de vos clients ou dautres normes juridiques. ATTENTION : Avant dutiliser ce logiciel soyez sr que ce soit en accord avec les lois nationales ou dautres rglements lgaux. AVERTISSEMENT EXPLICITE : Dans la plupart des pays, les utilisateurs doivent tre informs que les donnes personnelles seront enregistres, comme la date, le temps, la source et la destination dans la conjonction avec le nom dutilisateur. Nutilisez pas ce logiciel dans un environnement daffaires sans laccord crit du personnel.

AVANT DE COMMENCER PRE-REQUIS


Pour raliser ce projet, il nous faudra : Un serveur Windows, sur lequel sera install et configur lActive Directory ainsi que le DNS. Un serveur IPCop, lequel intgrera un relai DNS et se chargera du DHCP. Une machine client, Windows XP fera parfait ement laffaire ! Personnellement, jai choisi un serveur Windows tournant sous Windows Server 2008 R2 Edition Entreprise.

Ce projet a t ralis avec VMWare, je nai pas pu me servir dun switch, jai donc par consquent mis toutes les machines du rseau interne sur la mme VMNet.

LES LOGICIELS A RECUPERER


IPCop Advanced Proxy URL Filter P2PBlock Blacklist PuTTY WinSCP http://www.ipcop.org/download.php http://www.advproxy.net/download.html http://www.urlfilter.net/download.html http://www.mhaddons.tk/ ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html http://sourceforge.net/projects/winscppe/

Jai install PuTTY et WinSCP sur le serveur. PuTTY va nous permettre douvrir une session (shell) de notre IPCop depuis notre serveur.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

PRESENTATION DU PROJET QUEST - CE QUIPCOP ?


IPCop est une distribution Linux base sur Linux From Scratch, faisant office de pare-feu. Elle vise fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture type PC. Elle peut protger sur une telle architecture un rseau familial ou de petites ou moyennes entreprises, elle offre la classique Zone dmilitarise (DMZ) ainsi que les tunnels rseau priv virtuel (acronyme VPN en anglais). IPCop peut galement servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant d es greffons ou modules, de bien dautres choses (contrle de contenu, liste noire, liste daccs, DNS Dynamique, contrle de trafic, etc). Le support des clients sans fils est aussi prvu par le biais dune zone ddie. Une machine trs bas de gamme permet de le mettre en uvre, voici un exemple dune telle configuration : 2 interfaces rseau minimum (Ethernet 10/100 ou modem ADSL tout type) Microprocesseur 200 MHz Mmoire vive 64 Mo Disque Dur 800 Mo Optionnellement : 2 autres interfaces Ethernet pour la DMZ et le wifi. Cl USB (installation) et disquette, cl USB (pour la sauvegarde) Clavier, cran pour linstallation NB : cette configuration minimale convient pour une utilisation domestique ou de petites entreprises jusqu 5 postes. Elle permet dj dutiliser la fonctionnalit de proxy et le systme de dtection dintrusion (tous deux gourmand en ressource mmoire et en calcul processeur). Prvoir une configuration plus muscle pour le processeur et la mmoire vive pour une utilisation professionnelle.

ARCHITECTURE FONCTIO NNELLE DIPCOP :


IPCop, dans ses rcentes versions, dfini 4 ports Ethernets (donc 4 rseaux indpendants) : 1 Rseau ROUGE, reli internet (rseau obligatoire) 1 Rseau VERT, reli au rseau local utilisateur, trs scuris (obligatoire bien sr) 1 Rseau ORANGE, reli la D.M.Z. (zone demilitarized ou dmilitarise), facultative. Cette zone est relie, par exemple des serveurs WEB, des camras I.P. ou autres dispositifs Ethernets accessibles (potentiellement !) depuis Internet. 1 Rseau BLEU, reli des dispositifs Wifi ou pouvant servir de seconde D.M.Z. Cette zone est spcialise par le paramtrage possible de ladresse MAC ou I.P. des priphriques autoriss sy connecter (selon la configuration dIPCop, bien sr). Le paramtrage gnral dIPCop (ralis en mode serveur WEB par exemple) permet de grer les flux autoriss entre ces diffrents zones/rseaux, et les exceptions. A son installation IPCop fournit un paramtrage standard, bien souvent suffisant et totalement fonctionnel. Il faut noter que les versions initiales dIPCop ne graient que les rseaux ROUGE et VERT.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

TOPOLOGIE

Figure 1 - Topologie du projet

CONFIGURATION
Machine Server 2008 IPCop Client XP Adresse IP 172.16.1.2 172.16.1.1 192.168.1.2 Fournit DHCP Type de carte VMNET2 VMNET2 Bridged VMNET2

Rseau VERT Rseau VERT Rseau ROUGE Rseau VERT

OBJECTIFS
Les objectifs de ce projet sont aussi simples quvidents : Scuriser notre rseau via IPCop. Bloquer laccs certains sites (Facebook, Youtube, le P2P) pour tous les utilisateurs de notre rseau lexception des membres de la direction.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

WINDOWS SERVER 2008 R2 (ENTREPRISE EDITION) INSTALLATION

Figure 2 - L'installation du serveur peut commencer

Linstallation de Microsoft Windows Server 2008 R2, ne prsente aucune difficult. Nanmoins, pensez changer le nom (dans notre cas VMSRV2k8), et faites les diffrentes mises jour. Une fois cela fait, nous allons changer le type de carte rseau afin de mettre notre serveur dans le Rseau VERT, puis nous allons faire lActive Directory.

LACTIVE DIRECTORY : INSTALLATION ET CONFIGURATION


Faites Dmarrer, puis Excutez, et enfin taper DCPROMO.exe, voici quelques captures qui vous montrerons la configuration de lActive Directory. Voyez, la figure 3, nous nallons pas choisir une fort existante, puisque WSRV2k8 est cens tre le premier serveur de notre rseau par consquent il ny a pas de fort .

Figure 3 - Nous allons donc crer un domaine dans une nouvelle fort

A la prochaine tape, nous allons dfinir le Nom de domaine complet du nouveau domaine racine de fort (FQDN, en anglais) : ipcop.com.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

10

Figure 4 - FQDN: ipcop.com

Figure 5 - Nom de domaine NetBIOS

Figure 6 - Niveau fonctionnel de la fort: Windows 2000

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

11

Figure 7 - Niveau fonctionnel du domaine : Windows 2000 natif

Figure 8 - On active le serveur DNS

DNS : CREATION DUNE ZON E DE RECHERCHE INVERSEE


Allez dans les outils dadministration, et rechercher DNS ouvrez le, et crer une zone de recherche inverse, comme ci-dessous :

Figure 9 - Cration d'une nouvelle zone

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

12

Figure 10 - On choisit la Zone principale

Figure 11 - On renseigne la zone de rplication

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

13

Figure 12 - On slectionne l'IPv4

Figure 13 - On renseigne le Rseau VERT

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

14

Figure 14 - Nous n'autorisons que les mises jours dynamiques scurises

Voil nous venons de terminer linstallation de lActive Directory et avons cr notre z one de recherche inverse, nous allons donc pouvoir commencer linstallation dIPCop.

IPCOP : INSTALLATION ET PREMIERE CONFIGURATION

Figure 15 - L'accueil d'IPCop

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

15

Linstallation dIPCop va enfin pouvoir commencer Si vous faites le projet avec des machines virtuelles assurez-vous de disposer deux cartes rseaux.

Figure 16 - On slectionne la langue Franaise

Slectionnez la source de votre installation : CDROM, cl USB, http ou ftp.

Figure 17 - Dans notre cas il s'agit d'un CDROM

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

16

Nous ne disposons pas de support de sauvegarde, donc nous allons passer ltape !

Figure 18 - Passons cette tape

Pour la prochaine tape, nous allons laisser IPCop chercher les interfaces rseaux de notre machine :

Figure 19 - IPCop travaille pour nous

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

17

IPCop a bien dtect nos interfaces rseaux :

Figure 20 - Si IPCop a dtect la bonne interface, validez par OK

Nous allons maintenant, attribuer ladresse IP notre Rseau VERT, conformment au plan dadressage, nous allons lui dire que ladresse IP doit tre : 172.16.1.1

Figure 21 - Configuration du Rseau VERT

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

18

PREMIERE CONFIGURATION DIPCO P


Lassistant dinstallation nous propose de configurer diffrents lments : disposition du clavier, fuseau horaire, larchitecture (le nombre de rseaux), la configuration du rseau ROUGE, la configuration du serveur DNS et de la passerelle ainsi que le DHCP, nous allons devoir aussi mettre des mots de passe.

Figure 22 - Interface du clavier

Figure 23 - Choix du fuseau horaire

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

19

Nous allons prsent renseigner le nom de la machine et la prochaine tape le domaine : ipcop.com.

Figure 24 - Nom de l'hte

Notre infrastructure ne comporte pas de RNIS, nous pouvons nous permettre de le dsactiver.

Figure 25 - Dsactivation du RNIS

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

20

Nous allons maintenant paramtrer IPCop pour notre rseau :

Figure 26 - Le panneau de configuration d'IPCop

Nous allons changer le type de configuration rseau, en effet vous pouvez voir en haut de la figure 26, que la configuration actuelle est GREEN (RED is modem/ISDN), puisque nous voulons un rseau VERT et un rseau ROUGE.

Figure 27 - On slectionne l'option GREEN + RED

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

21

Nous allons attribuer une interface rseau notre Rseau ROUGE.

Figure 28 - Attribution de la carte rseau pour le Rseau ROUGE

Nous allons maintenant, configurer ladresse IP du rseau ROUGE en lui attribuant une adresse IP statique juste derrire la box, dans notre cas 192.168.1.2 (pensez vrifier si ladresse est disponible en faisant un ping).

Figure 29 - Configuration de l'adresse IP pour le rseau ROUGE

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

22

Nous allons maintenant configurer le DNS de lIPCop : DNS Primaire correspond ladresse de notre box. DNS Secondaire correspond au serveur DNS de notre FAI, dans notre cas, SFR, pour le trouver, ouvrez sur une machine Windows, CMD puis faites un nslookup www.sfr.fr

Figure 30 - Rsultat de la commande nslookup

La passerelle sera celle de notre box, soit 192.168.1.1

Figure 31 - Configuration du DNS

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

23

A prsent, nous allons configurer notre serveur DHCP. Dans notre cas, la premire adresse sera 172.16.1.33, afin que des priphriques comme les imprimantes puissent avoir une adresse IP fixe. La dernire adresse sera 172.16.1.254, ladresse 172.16.1.255 sera ladresse de diffusion. Le bail DHCP a t fix, 480 min (soit une journe de travail).

Figure 32 - Configuration du DHCP activer ou non

Nous allons devoir dfinir une srie de mot de passe, dans notre cas, nous avons mis le mme chaque fois : Eclipse33.

Figure 33 - Ouverture de la session d'IPCop

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

24

ADMINISTRATION DIPC OP
Dsormais, nous avons termin avec la machine IPCop, en effet nous ladministrer via linterface Web. Rendez-vous sur votre serveur, ouvrez Internet Explorer (il gre mieux les problmes de certificats) et tapez ladresse : 172.16.1.1 avec le port 445 (IPCop nous le prcise lors de linstallation). Soit : https://172.16.1.1 :445 ou https://ipcop.ipcop.com:445

Figure 34 - L'cran de l'interface Web

Systme : Cette section regroupe tous les utilitaires systmes : mise jour, accs SSH, modification du mot de passe, sauvegarde etc. Etat : regroupant les rsums de ltat systme ainsi que des outils de surveillance graphique : services actifs, utilisation de mmoire, du processeur, du disque dur etc. Rseau : Cette section nest utile que si vous avez connect directement un modem linterface rouge (en non un routeur/modem) dans ce cas elle vous permet de paramtrer directement le modem. Services : Vous retrouvez ici les options de paramtrages des diffrent services install sur le pare feu. Bien sr au plus vous ajoutez de plugins, au plus cette interface sera fournie. Par dfaut vous y trouverez : serveur mandataire (serveur proxy), serveur DHCP, serveur DNS Dynamique, serveur de temps, fonction de lissage de trafic etc. Pare feu : voici la section ddie au paramtrage fin du firewall : transfert de ports, accs externe, option du pare feu etc. RPVs : Cette section vous permet de crer un VPN (rseau priv virtuel) entre deux firewalls IPCOP. Journaux : Configuration des journaux, Rsum des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux IDS si ce dernier est actif et Journaux Systme.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

25

Cliquez sur connexion : Identifiant : admin Mot de passe : Eclipse33

Figure 35 - Connectez-vous

INSTALLATION DES PLUGINS


Si vous faites ce projet en machine virtuelle, vous pouvez faire un glisser/dposer pour copier les plugins ainsi que PuTTY et WinSCP sur le serveur (ceci est faisable uniquement si vous avez install VMWare Tools).

ACTIVATION DU SSH
Allez dans Systme puis Accs SSH , et cocher les cases suivantes :

Figure 36 - Activation du SSH

Une fois enregistr, nous pourrons ouvrir une session depuis notre serveur vers lIPCop via le SSH, grce PuTTY et WinSCP.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

26

CONFIGURATION DE PUTTY ET WINSCP WINSCP


WinSCP nous servira crer le dossier plugins dans /var/ipcop. Dans ce projet, nous avons tlcharg la version portable du logiciel, configurez-le ainsi :

Figure 37 - Configuration de WinSCP

Cliquez sur Login, un avertissement saffichera alors lcran, si vous faites confiance lhte, cliquez sur yes:

Figure 38 - Cl SSH

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

27

Nous allons maintenant crer notre dossier plugins, par dfaut vous arrivez dans le dossier root

Figure 39 - Premire connexion WinSCP

Double cliquez sur les deux .. afin de remonter au dossier parent, puis rendez-vous dans le dossier var puis ipcop. Pressez la touche F7 afin de crer un nouveau dossier, renommez-le en plugins et attribuez lui tous les droits soit en cochant toutes les cases ou en tapant 7777 dans le champ octal.

Figure 40 - Cration du dossier et dfinition des droits

Copiez-y les plugins. IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

28

Figure 41 - Copie des plugins

PUTTY
A linstar de WinSCP, configurez PuTTY, en renseignant ladresse IP de lIPCop et le por t (222). Acceptez de nouveau le message davertissement. Puis connectez-vous de la mme manire que si vous tiez sur la machine IPCop.

Figure 42 - Ouverture d'une session avec PuTTY

INSTALLATION DES PLUGINS


Rendez-vous au dans le dossier plugins en tapant ceci : cd /var/ipcop/plugins

ADVANCED PROXY
La premire tape consiste extraire Advanced Proxy, pour se faire tapez le commande suivante: tar -xzf ipcop-advproxy-3.0.5.tar.gz Une fois termin, nous allons pouvoir installer Advanced Proxy, via la commande : ipcop-advproxy/install

URLFILTER
La premire tape consiste extraire URLFilter, pour se faire tapez le commande suivante: tar -xzf ipcop-urlfilter-1.9.3.tar.gz Une fois termin, nous allons pouvoir installer URLFilter, via la commande : ipcop-urflilter/install

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

29

P2PBLOCK
Tapez la commande suivante : Tar xvfz p2pblock_ipcop_1.4.21.tar.gz Une fois larchive extraite, allez dans le dossier p2pblock (cd p2pblock), puis installez le plugin gr ce la commande : ./install

CONFIGURATION DE P2PBLOCK
Allez dans Services puis dans longlet P2PBlock et bloquer tout.

Figure 43 - P2PBlock

Voil nous avons fini de configurer P2PBlock.

CONFIGURATION DURLF ILTER


Allez dans Services puis dans Filtre DURL , celui-ci nous propose de bloquer certaines catgories de sites :

Figure 44 - Les catgories d'URLFilter

Cest dans cet onglet que va intervenir la Blacklist de lUniversit de Toulouse que nous avons tlcharg. Descendez dans la page et trouver Maintenance du Filtre dURL, puis dans Mise jour de la Blacklist cliquez sur Parcourir, pensez cocher la case activer la mise jour automatique.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

30

Figure 45 - Chargement de la Blacklist

Voici ce que lajout de la Blacklist a apport notre URLFilter et les catgories que nous avons bloqu pour ce projet :

Figure 46 - La Blacklist a rendu notre URLFilter encore plus intransigeant

N.B : Pensez activer le Proxy dans Proxy Avanc, nous allons voir a dans quelques instants.

CONFIGURATION DADVA NCDED PROXY CONFIGURATION DU PROXY


Pour pouvoir accder Internet, les utilisateurs de notre rseau devront passer par le proxy afin de profiter dInternet. Nous allons donc activer le proxy :

Figure 47 - Activation du Proxy

Pensez cocher et modifier les options suivantes : Cochez activ sur Green . Cochez Mode transparent Green . Port du serveur proxy : 8080. Langues des messages derreurs : French.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

31

Par ailleurs plus loin dans la page, pensez activer le Filtre DURL que nous avons cr auparavant.

Figure 48 - Activation du Filtre D'URL

Notre rseau est dsormais scuris ! En effet les utilisateurs devront passer par le proxy et naurons pas accs aux catgories de site que nous avons bloqu.

PERSONNALISATION DU MESSAGE DERREUR OU REDIRECTION


Lorsquun utilisateur tente daccder un site Internet bloqu, IPCop gnre un mess age, nous pouvons soit le personnaliser ou rediriger linternaute vers une page Internet spcifique. Personnalisation du message : Message ligne 1 : Accs refus Message ligne 2 : Laccs la page demand a t refus Message ligne 3 : Si vous pensez quil sagit dune erreur veuillez contacter ladministrateur

Figure 49 - Personnalisation du message

Ce qui donne :

Figure 50 - Adieu Facebook !!! Notez que la catgorie du site bloqu est renseign, pour ce faire regarder la figure 49.

Tentons la redirection

Figure 51 - Ajouter l'URL que vous voulez dans "Rediriger vers cette URL"

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

32

Ce qui donne :

Figure 52 - Observez bien que l'adresse est reste www.facebook.fr

Nous avons presque fini le projet, il faut dsormais trouver un moyen pour que la direction ne soit pas bloque par les mesures de scurit.

AUTORISER DES UTILISATEURS A AVOIR UN ACCES TOTAL A INTERNET


Nos plugins nous permettent deffectuer un filtrage, donc nous allons pouvoir donner un accs total certains utilisateurs. Dans cette partie, nous verrons le cas avec URLFilter, et Advanced Proxy. Cest parti.

FILTRAGE DACCES A I NTERNET AVEC URLFILTER


Effectivement, URLFilter peut permettre certains utilisateurs davoir un accs total Internet, sous une seule et unique condition. Laquelle ? Il faut que les utilisateurs qui nous voulons donner un accs Internet sans restrictions disposent dune adresse IP fixe. Cest simple et efficace ! Ceci peut tre suffisant si dans votre infrastructure, de tels utilisateurs ne sont pas nombreux.

Figure 53 - On ajoute les adresses non filtres, dans notre cas, un des membres de la direction ladresse 172.16.1.3

Voici le rsultat :

Figure 54 - a fonctionne

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

33

FILTRAGE DACCES A I NTERNET AVEC ADVANCED PROXY


Advanced Proxy nous propose plusieurs types didentifications pour laccs Internet. Citons trois dentre elles : Locale Windows LDAP (MS Active Directory) Malheureusement, dans notre projet nous ne pourrons utiliser que lidentification locale, en effet les identifications bases sur Windows et Active Directory sont trop restrictives, soit lutilisateur a un accs Internet ou alors il naura pas accs Internet du tout. Heureusement il nous reste, lidentification locale Si vous avez beaucoup de comptes bloquer peut -tre serait-il judicieux de mettre en place le filtrage vu prcdemment.

Figure 55 - L'authentification locale

Cliquez sur Gestion des utilisateurs afin de crer les comptes.

LES DIFFERENTS TYPES DE COMPTE


Lidentification locale comporte trois types de compte : Standard : le paramtre par dfaut de tous les utilisateurs. Tous auront les restrictions appliques ce groupe. Etendu : utiliser ce groupe pour les utilisateurs non restreints. Les membres de ce groupe outrepasseront les restrictions de temps et de filtre. Dsactiv : les membres de ce groupe sont bloqus. Ceci peut tre utile si vous souhaitez dsactiver un compte temporairement sans perte du mot de passe.

CREATION DES COMPTES


Cliquez sur Gestion des utilisateurs, vous arriverez sur cette page :

Figure 56 - Cration des comptes

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

34

Nous allons crer deux comptes : Compta o Nom dutilisateur : compta o Mot de passe : eclipse33 o Groupe : Standard Direction o Nom dutilisateur : direction o Mot de passe : Eclipse33 o Groupe : Etendu LORSQUE VOUS AVEZ FINI DE CREER VOS COMPTES, VOUS DEVEZ REDEMARRER IPCOP POUR QUE LES MODIFICATIONS SOIENT PRISES EN COMPTES. IL EN VA DE MEME POUR SI VOUS SUPPRIMEZ OU MODIFIEZ UN COMPTE.

CHANGEMENT DU MOT DE PASSE POUR LACCES WEB


Les utilisateurs peuvent changer leur mot de passe sils le souhaitent. Linterface est accessible en entrant cette URL : http://ipcop-green-ip:81/cgi-bin/chpasswd.cgi Dans notre cas http://172.16.1.1:81/cgi-bin/chpasswd.cgi

Figure 57 - Changement du mot de passe

Cette page de dialogue Web, ncessite le nom dutilisateur, lancien mot de passe, le nouveau de passe ainsi que la confirmation du nouveau mot de passe.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

35

TESTS CONNEXION AVEC LE COMPTE COMPTA


Ouvrez votre navigateur Internet, et identifiez-vous avec le compte Compta :

Figure 58 - Fentre de connexion pour l'accs Internet

TEST DU FILTRAGE
Une fois connect, allez sur un des sites interdits, par exemple, www.facebook.fr

Figure 59 - URLFilter fonctionne

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

36

CONNEXTION AVEC LE COMPTE DIRECTION


De la mme faon quavec le compte Compta, connectez-vous avec le compte Direction :

Figure 60 - La Direction a bien accs Facebook

ENVOI/RECEPTION DE COURRIEL
Nous allons dans un premier temps, essayer lenvoie dun email.

Figure 61 - Envoi d'un courriel

On sassure que le destinataire, le reoit bien :

Figure 62 - Notre destinataire a bien reu le courriel

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

37

Nous allons lui rpondre, regardons si la rception fonctionne aussi :

Figure 63 - a fonctionne

URLFilter, ne bloque pas lenvoi/rception de courriel. Nous sommes heureux tout fonctionne comme nous le voulons !

POUR ALLER PLUS LOIN BLOQUER LINSTALLATION DE LO GICIELS INDESIRABLES


En effet, il nest pas rare darriver sur la machine dun utilisateur, et de constater une prolifration de logiciels indsirables et que celui-ci se demande pourquoi celle-ci rame Deux solutions : Sans IPCop nous pouvons corriger ce problme, il suffit que lutilisateur ne soit pas administrateur de sa machine. Avec IPCop et URLFilter, nous pouvons bloquer les fichiers excutables, compresss, et bloquer les fichiers audio/vido.

LUTLISATEUR NEST P AS ADMINISTRATEUR DE SA MACHINE


Voici la procdure : Faites : Dmarrer Outils dadministration Utilisateurs et ordinateurs Active Directory . Dployez votre domaine, dans notre cas, ipcop.com, puis cherchez le conteneur Users. Puis faites un clic droit :

Figure 64 - Cration d'un nouvel utilisateur / Groupe

Javais cr au pralable, lutilisateur compta et le groupe Grp_Compta, nous allons donc voir la dmarche avec lutilisateur direction et le groupe Grp_Direction, qui lui sera administrateur de la machine.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

38

CREATION DU COMPTE

Figure 65 - Cration de l'utilisateur

Figure 66 - Dfinition du mot de passe

Dans cet exemple, nous avons dcid que le mot de passe nexpirait jamais et que lut ilisateur ne pouvait pas le changer. Libre vous de le modifier votre convenance.

CREATION DU GROUPE
De la mme faon nous allons crer le groupe : Grp_Direction.

Figure 67 - Cration du groupe

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

39

DEFINITION DES RELATIONS


Nous allons dfinir les relations suivantes pour nos utilisateurs : - Compta : membre de Grp_Compta, Utilisateurs du domaine. - Direction : membre de Grp_Direction, Administrateurs, Administrateurs de lentreprise, Utilisateurs du domaine.

Figure 68 - Cliquez sur "Ajouter un groupe"

Commencez taper le dbut du nom du groupe, comme lillustre la figure 68, puis cliquez sur Vrifier les noms:

Figure 69 - Ajoutons des groupes

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

40

En cliquant sur Vrifier les noms, la fentre suivante apparatra :

Figure 70 - Slectionnez le(s) groupe(s)

Pour lutilisateur Direction, et uniquement pour lui, nous allons dire quil appartient aux groupes Administrateurs suivants :

Figure 71 - Les groupes Administrateurs slectionner

Nous allons attribuer des affiliations au groupe Grp_Direction :

Figure 72 - Les affinits du Grp_Direction

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

41

Pour lutilisateur Compta, nous devons obtenir ceci :

Figure 73 - Affiliation de l'utilisateur Compta

TESTS
Ouvrez une session, sur la machine client, avec le compte Compta. Allez sur Clubic et tlcharger un fichier quelconque, dans notre cas, il sagit dAvast. Lancez linstallation, et observer :

Figure 74 - L'utilisateur n'a pas les droits requis, on a gagn!

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

42

Mme opration avec le compte Direction :

Figure 75 - a fonctionne!

LUTILISATEUR EST ADMINISTRATEUR DE SA MACHINE


Allez dans Filtre DURL et cochez les options suivantes :

Figure 76 - Voici ce que nous allons bloquer

TEST POUR LE COMPTE DIRECTION


Allez sur Clubic, puis tlcharger un fichier quelconque, dans notr e cas, il sagira de Mozilla Firefox.

Figure 77 - Le compte Direction n'est pas restreint par notre politique

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

43

TEST POUR LE COMPTE COMPTA


Allez sur Clubic, puis tlcharger un fichier quelconque, dans notre cas, il sagira de Goog le Chrome.

Figure 78 - Le compte Compta ne peut pas tlcharger des logiciels

VERIFICATION DU NAVI GATEUR INTERNET


Via Advanced Proxy, nous pouvons obliger les utilisateurs de notre rseau utiliser certains navigateurs Internet plutt quun autre.

Figure 79 - Vrification du navigateur

Nous navons autoris quInternet Explorer et Windows Update, afin que nos machines puissent faire les mises jour. Ouvrez une session sur la machine XP avec le compte Direction, puis installez-y Mozilla Firefox. Une fois install, excut le logiciel, et identifiez-vous.

Figure 80 - Authentification Firefox

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

44

AVEC LE COMPTE DIRECTION

Figure 81 - Le compte Direction peut utiliser un navigateur diffrent d'Internet Explorer...

AVEC LE COMPTE COMPTA

Figure 82 - ... Pas le compte Compta

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

45

DETECTION DES INTRUSIONS


Nous pouvons dtecter les intrusions soit sur le Rseau ROUGE et/ou sur le Rseau VERT, pour cela allez dans Systmes puis Dtection des intrusions. Cochez les options que vous souhaitez, puis faites Enregistrer et ensuite Appliquer maintenant.

Figure 83 - La dtection des intrusions est active

JOURNAUX
Nous allons aborder une partie importante pour un pare-feu : les journaux ou logs. En effet, ces retours dinformations permettent danalyser quels sont les attaques, quand ont -elles lieu, voire mme darriver identifier leur origine, le simple fait de cliquer sur ladresse IP souponn lance un whois. IPCop nous propose plusieurs journaux : Journaux du serveur mandataire Journaux du pare-feu Journaux IDS Journaux du Filtre DURL Journaux du Systme

CONFIGURATION DES JOURNAUX


Nous pouvons choisir de les classer par ordre chronologique invers, le nombre de lignes par page, la dure de conservation, le niveau de dtail, etc.

Figure 84 - Configuration des journaux

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

46

EXEMPLE : JOURNAUX DU PARE-FEU

Figure 85 - Journaux du pare-feu

Figure 86 - Ralisation d'un whois

ETAT DU SYSTEME
En allant dans Etat puis Etat du systme, nous pourrons vrifier quels services sont actifs, lespace disque disponible, la mmoire utilise, les modules chargs. Nous ne pourrons rien modifier ici .

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

47

Figure 87 - Etat du systme

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

48

CONCLUSION
Tout au long de ce projet, nous avons pu voir comment installer et configurer IPCop dans un environnement Windows. Pour ma part, jai dcouvert une solution pare-feu trs intressante et adaptable diffrents types de rseaux, ceci est d la petite configuration requise. Les plugins dIPCop que nous avons ajouts, le rende encore plus performant. De plus la com munaut dIPCop est bien prsente, alors en cas de problme, faites des recherches sur Internet, votre problme ne restera pas sans rponse. Il existe encore bien dautres plugins pour IPCop, libre vous de les essayer. Le seul problme, que jai pu rencontrer ctait deffectuer le filtrage avec lActive Directory A voir donc. IPCop possde bon atout par rapport la solution de Microsoft (Forefront TMG). Du point de vue configuration, le prix aussi, en effet pour installer Forefront, il vous faudra une machine en 64 bits, un Windows Server 2008 R2, Forefront et sa licence (1200) IPCop, quant lui est gratuit.

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

49

ANNEXES
Quelques sources : http://nilz.fr/configuration-d%E2%80%99un-firewall-ipcop http://membres.multimania.fr/pulsergene/doc/ipcop-advproxy-v1.0.1%20.pdf http://www.mhaddons.tk/

IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr