Voici un petit tuto vous expliquant comment mettre place une solution Firewall

IPCOP.
Et l je vous entends dici : mais cest quoi ce truc l IPCOP ! ! ! ! !
Alors cest simple, IPCOP est une distribution linux (Open Surce), base sur Linux
From Scratch, destine assurer la scurit dun rseau.
Cest un systme dexploitation part entire qui peut tre install sur un vieux PC
(233 Mhz, 64 Mo RAM, 200 Mo Disque dur) pour faire office de FireWall trs
performant (pare feu) et personnalisable grce un systme de plugins trs simples
mettre en uvre.
IPCOP peut grer jusqu 4 rseaux diffrents (classs par couleurs)
Interface Rouge :
Ce rseau correspond au rseau Internet (le rseau le plus dangereux.),
lessence mme dIPCOP est de protger les autre rseau des attaques
venues du rseau Rouge.
Interface Verte :
Correspond au rseau local protg par IPCOP.
Ce rseau le droit daccs aux 3 autres rseaux (sauf paramtrage spciaux
: URL Filter qui limite laccs au Web, BlockoutTrafic pour grer finement le
trafic rseau.)
Interface Orange (optionnelle) :
Ce rseau est une sorte de DMZ (Demilitarized Zone =Zone Dmilitarise)
qui permet de relier des serveurs mail ou serveurs Web au rseau Internet.
Les ordinateurs de ce rseau ne peuvent pas accder aux ordinateurs des
interfaces Bleu et Verte sauf mise en place de rgles explicites.
Interface Bleu (optionnelle)
Cest une interface spcifique aux rseaux sans fil. Elle permet aux
ordinateurs connects daccder au rseau rouge et orange sans accder au
rseau Vert.

Dans ce tuto je vous prsente un paramtrage dIPCOP avec deux interfaces (rouge
et vert) permettant de protger un rseau simple (sans Wifi ni DMZ) des dangers
dInternet.
Voici un rsum succin de linstll :

2. Procdure dinstallation :
La prsentation termine, passons maintenant linstallation et au paramtrage de la
bte ?
Commencez par tlcharger la dernire version dIPCOP ( lheure o jcris ces
quelques ligne version 1.4.16 sur le site http://ipcop.org ou sur le site
http://sourceforge.net/projects/ipcop/
Une fois le fichier ISO tlcharg ~47 Mo, gravez le avec votre logiciel de gravure
prfr.
Une fois le grav, bootez dessus sur le PC destin devenir Firewall IPCOP.
Vous obtenez alors la page suivante :

Appuyez sur ENTRER pour lancer linstallation dIPCOP.
Choisissez alors la langue dinstallation :

Validez la page de bienvenue :

Puis choisissez la source dinstallation, dans notre cas lecteur CD-ROM

La procdure de dtection du matriel et dinstallation des paquets commence alors :




Une fois linstallation des paquets termine, passons au premier paramtrage du
pare feu.
Si vous possdez une sauvegarde dIPCOP choisissez lemplacement sinon passez
(comme dans notre cas, passez cette tape.

Sur la page suivante choisissez rechercher pour quIPCOP dtecte vos interfaces
rseau

Le driver de la carte dtecte saffiche alors.
Cliquez sur OK pour valider le choix de ce drivers pour le rseau vert.

Saisissez alors ladresse IP LAN que vous voulez donnez votre Firewall IPCOP (IP
qui correspondra la passerelle de votre rseau Vert.

Un message de fin dinstallation apparat alors.
Retirez votre CD et validez OK pour continuer.

Choisissez ensuite votre type de votre clavier

Ici choisissez votre fuseau Horaire.

Donnez un nom votre Firewall.

Choisissez un nom de domaine (groupe de travail) pour votre rseau, o saisissez le
nom de domaine (groupe de travail) existant.

Choisissez votre option de paramtrage pour linterface Rouge, comme nous
paramtrons la protection dun accs ADSL nous allons dsactiver loption RNIS
(Numris).

Pour finir de configurer les interfaces dIPCOP, choisissez Type de configuration
rseau

Dans notre cas, cest GREEN +RED.

Le systme arrte et redmarre alors les interfaces rseau .

Choisissez maintenant Affectation des pilotes et des cartes pour affecter une
carte rseau linterface Rouge.

Choisissez OK pour lancer loutil de recherche des pilotes de carte rseau.

Cliquez sur Rechercher pour lancer le recherche.

Une fois le pilote dtect, cliquez sur OK.

Passons maintenant la configuration de ladressage du rseau Rouge.
Choisissez Configuration de ladresse

Choisissez alors linterface que vous souhaitez configurer (ici ROUGE).

Dans notre cas, nous choisissons adressage IP statique avec comme IP :
192.168.1.2 (pour tre dans le mme plan dadressage que la Livebox qui est en
192.168.1.1).

Choisissez Configuration du DNS de la passerelle pour dfinir ladresse de la
passerelle pour accder Internet ainsi que les serveurs DNS Favoris.

Dans notre exemple, nous utilisons une Livebox Orange donc comme DNS nous
mettons en primaire ladresse IP de la Livebox et en secondaire le serveur DNS
Primaire de Orage.
Comme Passerelle par dfaut nous mettons ladresse IP LAN de la Livebox :
192.168.1.1

Choisissez maintenant Configuration du serveur DHCP (si vous voulez dlivrer les
Adresse IP automatiquement aux station du rseau Vert) ou continuer si vous ne
voulez pas de DHCP.

Choisissez ici le plage dadresse de votre Pool DHCP.
Dans mon cas jai mis 192.168.0.100 192.168.0.150 avec comme passerelle (pour
les machines du rseau Vert) 192.68.0.10 (adresse LAN de lIPCOP). Et comme
DNS Primaire ladresse LAN de lIPCOP.

La configuration est alors finie il ne reste plus qu choisir vos mots de passe pour les
diffrent users.
Le mot de passe root (utilisateur suprme du mode console : shell)

Choisissez le mot de passe du user admin qui sert se logger via linterface Web.

Le gros du paramtrage est alors fini.
Cliquez sur OK pour rebooter votre Firewall.

Si vous avez un cran sur votre PC IPCOP, au redmarrage vous obtenez le menu
de boot GRUB suivant :
Laissez passez 5 secondes pour quIPCOP se lance.

Une fois le cheminement du boot fini vous obtenez une belle fentre noir avec un
prompt qui marque login :
tapez root

Puis comme password, tapez le mot de passe saisi prcdemment pour obtenir
laccs au shell : (nous reviendrons au shell plus tard pour linstallation des addons)
Linstallation proprement parl de vote IPCOP est termine.

3. Prise en main :
Pour accder linterface Web Tapez : https://192.168.10.1:445
User : admin
Pass : le mot de passe dfini prcdemment.
Vous obtenez alors la page suivante :

Vous voyez ici 8 sections disponibles :
Systme :
Cette section regroupe tous les utilitaires systme : mise jour, accs SSH,
modification du mot de passe, sauvegarde etc.
Etat :
regroupant les rsum de ltat systme ainsi que des outils de surveillance
grahique : services actifs, utilisation de mmoire, du processeur, du disque dur
etc.
Rseau :
Cette section nest utile que si vous avez connect directement un modem
linterface rouge (en non un routeur/modem) dans ce cas elle vous permet de
paramtrer directement le modem.
Services :
Vous retrouvez ici les options de paramtrages des diffrent services install
sur le pare feu. Bien sr au plus vous ajoutez de plugins, au plus cette
interface sera fournie.
Par dfaut vous y trouverez : serveur mandataire (serveur proxy), serveur
DHCP, serveur DNS Dynamique, serveur de temps, fonction de lissage de
trafic etc.
Pare feu :
voici la section ddie au paramtrage fin du firewall : transfert de ports, accs
externe, option du pare feu etc.
RPVs :
Cette section vous permet de crer un VPN (rseau priv virtuel) entre deux
firewall IPCOP.
Journaux :
Configuration des journaux, Rsum des journaux, J ournaux du serveur
mandataire, J ournaux du pare-feu, J ournaux IDS si ce dernier est actif et
J ournaux Systme
Addons :
dtection qui napparat quaprs ajout du plugin MOD serveur (que nous
verrons plus loin).
4. Paramtrage :
a. Autoriser laccs SSH
Passons maintenant au paramtrage avanc de votre pare feu :
Allez dans le menu Systme puis la section accs SSH :

Ici cochez :
Autorise le transfert IP
Permettre lauthentification par mot de passe
Et permettre lauthentification par clef publique
Ces paramtres vont nous permettre daccder notre firewall depuis notre PC et dy
transfrer les fichiers ncessaires linstallation des plugins.
b. Installation de plugins supplmentaires :
Tlchargez et dcompressez le logiciel WINSCP Portable (pas besoin dinstaller),
vous pouvez le trouver ladresse suivante :
http://sourceforge.net/projects/winscppe/
Tlchargez galement le logiciel Putty
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Ce logiciel va vous permettre douvrir une session (shell) sur votre IPCOP depuis
votre PC.
Tlchargez ensuite les plugins que vous dsirez ajouter, dans notre cas pour
construire un frirewall complet nous allons voir linstallation et le paramtrage de :
URL Filter, MOD Serveur, AdvProxy, P2PBlock et Adv Qos.
Pour URL Filter nous avons besoin de :
http://www.urlfilter.net/download.html
ou le lien de tlchargement direct : http://www.urlfilter.net/download/ipcop-urlfilter-
1.9.1.tar.gz
Pour Addons Server tkcharger le fichier :
http://firewalladdons.sourceforge.net/ et cliquez sur curent version
Actuellement ( lheure de la rdaction de ce tuto) version 2.3 b2 :
http://firewalladdons.sourceforge.net/install-2.3.b2.html
Tlchargez une base de blacklist, de luniversit de Toulouse par exemple : *
ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz
ou juste quelques catgories : ftp://ftp.univ-tlse1.fr/blacklist/
Tlchargez P2PBlocker :
Lien direct : http://the-
networld.vcsens.com/modules.php?op=modload&name=Downloads&file=index&req=
getit&lid=8
Ou allez voir sur le site : http://www.the-networld.tk/
AdvProxy est disponible dans la section Addons Server sinon tlchargeable
ladresse :
http://www.advproxy.net/
Pour Block Out Trafic (est disponible dans la section Addons Server sinon
tlchargeable ladresse :
http://blockouttraffic.de/files/BlockOutTraffic-2.3.2-GUI-b3.tar.gz
Une fois tous vos plugins tlchargs il vous faut les transfrer sur votre IPCOP afin
de les installer.
Lancez WinSCP et connectez vous en tant que root

L crez le rpertoire /var/ipcop/plugin et copiez-y les diffrents fichiers tlchargs
ci-dessus.
Une fois ces fichiers transfrs, ouvrez une session PuTTY :

Connectez vous de nouveau en root :

L dplacez-vous dans le rpertoire plugin :
Cd /var/ipcop/plugin
Dcompressez le plugin URL FIlter
tar zxvf ipcop-urlfilter-1.9.1.tar.gz
Lancez ensuite le script dinstallation du plugin :
cd ipcop-urlfilter
./install
Linstallation dURL Filter est alors termine. Pas si compliqu que a non !!!!!!!
Enfin pour linstallation dAddons Server :
Cd /var/ipcop/plugin
tar zxvf addons-2.3-CLI-2.tar.gz
cd addons
./setup i
Rebootez alors votre systme
shutdown r now
NB : Pour dsinstaller un plugin excutez /var/ipcop/plugin/nom_du_plugin/uninstall
ou
/var/ipcop/plugin/setup -u
c. Paramtrages des Services :
Une fois lIPCOP redmarr (un petit son retentira), rendez vous sur linterface Web :
https://192.168.10.1:445
Paramtrage du proxy et dURL Filter :
L allez dans longlet service section serveur mandataire (Proxy) :

Cochez les casses :
Activer sur Green
Mode transparent sur Green
Et enfin Filtre dURL
Enregistrez les modifications.
allez dans longlet services section Filtrage URL et descendez jusqu lencadrement
Mise jour de la blacklist

L cliquez sur parcourir et allez chercher le fichier tlcharg prcdemment :
blacklist.tar.gz que vous avez tlcharg prcdemment.
Une fois le fichier slectionn, cliquez sur chargez blacklist.
Vous obtenez alors la liste des catgories suivantes (en haut de la page de config
dURL Filter) :

Cochez les catgories que vous souhaitez bloquer
Personnalisez maintenant le message davertissement qui va safficher lors du
blocage :

Pour enregistrer et activer de suite ces modifications, cliquez sur enregistrer et
redmarrer (pour redmarrer le service proxy)
NB : on remarquera quil est galement possible de personnaliser cette page en
insrant une image de fond.
Ce qui vous donne lors de laccs un site de la blacklist lavertissement suivant :

Dans ce cas deux possibilits :
1. Le site est vraiment Interdit et le client ne dois pas le visiter ? Ne rien faire
2. Le site est nest pas considrer comme interdit et l il suffit de lajouter dans les
Whitelistes personnalises section services/filtrage URL (un site par ligne sous la
formr : free.fr par exemple, cest--dire sans http ni www).

Activez la mise jour automatique de vos blacklists, a vous permet de ne pas avoir
le faire manuellement :

NB : Il est possible dditer les blacklists, de sauvegarder les paramtres de mise
jour des blacklistsr et mme de sauvegarder votre configuration dURL Filter.
Paramtrage de la dtection dintrusion :
Activons maintenant le dtection dintrusion dIPCOP (le systme utilis est le
systme Open Source Snort).
Pour pouvoir lutiliser il faut commencer par sinscrire en ligne sur le site
http://www.snort.org
Une fois inscrit, connectez vous, cliquez sur user preferences puis en bas de la
page sur get oink code enfin copiez votre code Oink

dans la page de configuration de Snort dIPCOP.

Enregistrez et appliquez alors les modifications, si tout ce passe bien ltat du service
dois devenir vert !
d. Pare Feu
Transfert de Port
Cette option se trouve dans longlet pare feu / Transfert de port
Ce panneau sert, comme son nom lindique, transfrer un port vers une adresse IP
du rseau interne (Green), utile pour UltraVNC, Tlphonie IP, serveur FTP,
Freeplayer . Bref tous les logiciels ayant besoin dun accs direct Internet
Dans lexemple ci-dessus je montre comment rediriger le port TCP 5900 (pour Ultra
VNC) vers lIP 192.168.10.20 depuis toutes les IP WAN.

Accs externes

Nous pouvons ici ouvrir les ports 445 et 222 pour autoriser laccs la page de
configuration Web ainsi que laccs SSH depuis le rseau extrieur (Internet -
rouge).
e. Addons (aprs installation du plugin) :
Cet onglet vous permet dajouter des plugins sans passer par le mode console.
Pratique en effet pour les newbies du monde linux mais ne regroupe toutefois pas
tous les meilleurs plugins disponibles! A installer tout de mme.

f. Etat du systme :
Cet nest l qu titre indicatif, en effet aucune modification nest possible ici.
Vous pouvez ici vrifier quel services sont actifs, lespace disque disponible, la
mmoire utilise, les modules chargs etc.

g. Journaux
Pour en finir avec ce petit tuto nous allons aborder une notion trs importante pour
un firewall : les journaux ou logs.
En effet, ces retours dinformations permettent danalyser quels sont les attaques,
quand ont-elles lieu voire mme darriver identifier leur origine, le simple fait de
cliquer sur ladresse IP souponne lance un Who is.

A noter quil possible de paramtrer les logs dans longlet journaux/configuration des
journaux en les classant (ordre chronologique ou alphabtique), en fixant le nombre
de lignes conserve, ou en prcisant la dure de conservation des logs, etc.

Bon surf Scuris