Ipcop Final v1 1

Implmentation dune politique de firewalling grce IPCop
ITGStore-
consulting
REMERCIEMENTS
Laoutissement de ce tra!ail sest fait grce au concours
de plusieurs personnes que "e !oudrais remercier #
Lternel $I%& tout puissant pour' la force et le courage (
)onsieur *+*,$* *rmand Claude c-ef dtalissement de
lI*I-Cameroun et son personnel pour le cadre et
lenseignement (
)onsieur ./P* Gariel $irecteur Gnral dITGStore-
Consulting qui a ien !oulu nous rece!oir dans sa structure (
)onsieur T*0/&.%T S1l!ain responsale de la plate-forme
de d!eloppement des pro"ets pour son soutien et ses conseils (
)onsieur )/L/ *t-anase mon super!iseur lI*I-
Cameroun pour ses conseils et orientations (
)onsieur C2*0/$% 3odrigue mon ma4tre de stage pour le
sui!i' ses conseils et sa disponiilit (
)a famille pour le soutien moral et financier (
Lensemle du personnel dITGStore-Consulting pour leurs
conseils (
Tous ceu5 qui de pr6s ou de loin ont contriu au
droulement de mon stage7
* n n e a c a d m i q u e 8 9 9 : - 8 9 9 ; I * I - C a m e r o u n
Page <=
ITGStore-
consulting

SOMMAIRE
REMERCIEMENTS .......................................................... 1
INTRODUCTION GENERALE ............................................ 4
................................................................................... 6
I-) INSERTION ................................................................... 6
II-) PRESENTATION dITGStore ........................................... 8
III-) DESCRIPTION .............................................................. 9
IV-) ACTIVITES ................................................................ 1
I>7=-? La super!ision 777777777777777777777777777777777777777777777777 =9
I>78-? Le stoc@age' P3*S 777777777777777777777777777777777777777777 ==
I>7A-? La gestion des performances 7777777777777777777777777 ==
I>7B-? )ise en Cu!re dinfrastructure Internet et
Intranet 77777777777777777777777777777777777777777777777777777777777777777777 ==
I>7<-? %tude mise en Cu!re dinfrastructure rseau
intgrant les P*+D et ser!eurs !ocau5 77777777777777777777 =8
Page <=
ITGStore-
consulting
I>7E-? )ise en Cu!re dinfrastructure de ,/C 777777777 =8
V-) RESSOURCES IN!ORMATI"UES DITGStore .................. 1#
>7=-? 3essources matrielles 77777777777777777777777777777777777 =8
>78-? 3essources logicielles 7777777777777777777777777777777777777 =B
VI-) CONCLUSION ............................................................ 1$
................................................................................. 16
II-) GENERALITE SUR LES PARE-!EU% ............................... 19
III-) !ONCTIONNEMENT DUN !IRE&ALL ........................... 19
III7=-? Catgories de firewall 777777777777777777777777777777777777 8=
III78-? T1pes dimplmentations 7777777777777777777777777777777 88
IV-) PRESENTATION DIPCo' ............................................ #(
I>7=-? $finition dIPCop 7777777777777777777777777777777777777777777 8A
I>78-? $escription 77777777777777777777777777777777777777777777777777777 8B
V-) ETUDE DES !ONCTIONNALITES DIPCo' ...................... (6
>7=-? .iltrage du rseau par iptales 77777777777777777777777 AE
>78-? Possiilit dorganiser le parc en 9B catgories
de rseau5 # 7777777777777777777777777777777777777777777777777777777777777 B=
>7A-? Prise en c-arge des ser!eurs $2CP' $,S' F 7 7 B8
>7B-? *dministration de la mac-ine par une interface
we scurise 777777777777777777777777777777777777777777777777777777777 B8
>7<-? $tection des intrusions a!ec Snort 777777777777777 B8
>7E-? Gestion des rseau5 pri!s !irtuels G>P,? 77777 BA
VI-) CA)IER DES C)ARGES ............................................... 4(
VII-) INSTALLATION DIPCo' ............................................ 44
Page <=
ITGStore-
consulting
VIII-) CON!IGURATION DIPCo' ........................................ $1
>III7=-? Configuration du Pro51 et du filtre durl 777777 <A
>III78-? Configuration $u Ser!ice I$S 77777777777777777777777 <<
>III7A-? Installation et configuration de Cop.ilter 77777 <E
>III7B-? Gestion de trafic 7777777777777777777777777777777777777777777 <H
CONCLUSION ............................................................. 6
&E*OGRAP)IE ........................................................... 61

INTRODUCTION GENERALE
$ans le cadre de la formation de ses ingnieurs des
tra!au5 en maintenance micro-informatique et rseau5' lI*I-
Cameroun prconise un stage acadmique dune dure de trois
mois dans une entreprise pour les tudiants de troisi6me
anne7 Ce stage a1ant pour ut de #
Garantir la mise en pratique des connaissances acquises
au cours de lanne (
Page <=
ITGStore-
consulting
.a!oriser linsertion rapide de ses tudiants dans le monde
professionnel (
Garantir des cadres informaticiens comptents et
e5cellents7
$ans cet esprit de5cellence' ITGStore-Consulting qui est
une socit des ser!ices en ingnierie informatique GSSII?
nou!ellement implante au Cameroun a ien !oulu nous
accueillir7 $urant la priode que "ai eu pass dans cette
structure' "ai eu pour mission dimplmenter une politique de
firewalling grce la distriution linu5 IPCop7
Pour mener ien ce pro"et' "ai t encadr par )onsieur
C2*0/$% 3odrigue' Ingnieur S1st6mes ITGStore et )onsieur
)/L/ ,G*2 *t-anase' Instructeur Cisco et %nseignant lI*I-
Cameroun7
Le prsent rapport se dcompose en plusieurs parties qui
dtailleront la ralisation de ce pro"et dans ces diffrentes
tapes7 ,ous prsenterons daord la structure daccueil
sa!oir ITGStore-Consulting ( nous parlerons ensuite des
gnralits dun firewall ( puis de ltude du cas particulier
dIPCop a!ec quelques politiques de scurit que nous a!ons
mis en Cu!re7
Page <=
ITGStore-
consulting
I-) INSERTION
Page <=
ITGStore-
consulting
,otre admission en stage ITGStore-Consulting a eu lieu
le Lundi 8< *oIt 899;7 ,otre stage commence ce "our l par la
runion d!aluation du tra!ail de la semaine prcdente entre
le responsale de la plate-forme des pro"ets et le personnel7
$ans la circonstance' nous sommes prsents au5 personnels
par le responsale de la plate-forme de pro"et oJ nous sommes
c-aleureusement accueillis7 *u cours de cette runion' nous
sommes interrogs sur les formations lI*I-Cameroun et sur
nos prospecti!es7 Ce sont des rponses donnes ce dernier
point' en rapproc-ement a!ec les o"ectifs dITGStore qui est
amen proposer des solutions 1 affrant ses clients qui ont
ser!i dorientation pour le c-oi5 des t-6mes attrius c-acun
de nous7
Page <=
ITGStore-
consulting
II-) PRESENTATION dITGStore
ITGStore est SSII GSocit de Ser!ices dIngnierie
Informatique? au capital =<999999.C.*7 +ase en rgion
parisienne' a!ec depuis 899E une agence $ouala GCameroun?'
ITGStore est identifiale par cette fic-e signaltique7
.ic-e $identification $ITGStore-Consulting
RAISON SOCIALE# ITGStore-Consulting
SIGLE+ ITGStore
ADRESSE # *.P + ;89 $ouala
TEL. + G8A:?AABAEAE=
TELE!A% + G8A:?AABAEAEA $ouala
!ORME ,URIDI"UE # S*3L
SIEGE # Immeule 0ad"i *@wa-$ouala
CAPITAL SOCIAL # =<999999 .C.*
ACTIVITES + Super!ision' Stoc@age' P3*S' Gestion des
performances' )ise en Cu!re dinfrastructure Intranet et
Internet' %tude et mise en Cu!re dinfrastructure rseau
intgrant les P*+D et ser!eurs !ocau5' )ise en Cu!re
dinfrastructure de ,/C7
DIRECTEUR GENERAL + ./P* Gariel
Page <=
ITGStore-
consulting
LOGO #
ITGStore-Consulting est une "eune entreprise en terre
camerounaise qui depuis son implantation en 899E simpose
parmi les leaders de la !ille de $ouala dans son domaine
dacti!it7 L%quipe Tec-nique de la structure compte des
Ingnieurs issus des uni!ersits et des grandes coles
suprieures du Cameroun7 Les ureau5 dITGStore sont situs
au reK de c-ausse de limmeule 0ad"i *@wa-$ouala
III-) DESCRIPTION
ITGStore-Consulting est constitue #
$une direction gnrale dont le ureau est situ en
.rance et a1ant sa tLte un $irecteur Gnral en la personne
de )onsieur ./P* Gariel (
%nsuite on a un responsale des pro"ets qui est
responsale de la coordination de la plate-forme des pro"ets de
la structure au ni!eau du Cameroun7
%nfin on a le ser!ice de la comptailit qui est gr par un
cainet de5pert comptale' le ser!ice mar@eting et lquipe
tec-nique7 Il est noter qu ITGStore-Consulting' tout
ingnieur peut Ltre amen grer un pro"et7
Page <=
ITGStore-
consulting
IV-) ACTIVITES
Les principau5 mtiers dITGStore-Consulting sont #
IV.1-) L- ./'er01.1o2
La super!ision est une solution qui permet dtalir
c-aque instant ltat Gfonctionnel ou non? dun composant
tec-nique' dun logiciel' dun ser!eur ou dun quipement
rseau7
ITGStore-Consulting sappuie sur des e5perts
e5priments dans le domaine de la super!ision' pour proposer
ses clients une collaoration dans le conseil' ltude du
esoin' les spcifications et la mise en Cu!re des solutions
tec-niques la dimension des entreprises7
Page <=
ITGStore-
consulting
ITGStore-Consulting met la disposition des entreprise des
e5perts qui sont inter!enus ou inter!iennent comme acteurs
ma"eurs au sein de pro"et de super!ision Gconstruction de ,/C?
dans des entreprises telles que # .rance Tlcom' /range'
Lucent Tec-nologieF
IV.#-) Le .to34-5e6 PRAS
ITGStore met la disposition des entreprises des solutions
a!ances de sau!egarde et des outils de restauration tr6s
performants
IV.(-) L- 5e.t1o2 de. 'er7or8-23e.
ITGStore-Consulting met la disposition des entreprises
des e5perts e5priments pour ltude' les spcifications' le
c-oi5 des indicateurs de performance et la mise en Cu!re de
solutions appropries au profil de lentreprise7
IV.4-) M1.e e2 9/0re d127r-.tr/3t/re I2ter2et et
I2tr-2et
ITGStore-Consulting dfinit et !alide a!ec des entreprises
intresses la stratgie Internet la plus adapte leurs esoins7
Page <=
ITGStore-
consulting
La structure !ous accompagne galement dans le c-oi5 des
solutions mettre en Cu!re ainsi que les processus de
dploiement7
IV.$-) Et/de 81.e e2 9/0re d127r-.tr/3t/re r:.e-/
12t:5r-2t ;e. PA*% et .er0e/r. 0o3-/<
Linfrastructure de communication tlp-onique'
reprsente une !itrine cl de lentreprise7
ITGStore-Consulting !ous accompagne dans la dfinition'
des spcifications' les c-oi5 et la mise en Cu!re des
infrastructures internes de tlcoms' intgrant le clage' le
P*+D' les ser!eurs !ocau57 Pour cela' ITGStore sappuie sur une
e5prience confirme et des s1st6mes tec-niques a"usts au5
esoins de lentreprise7
IV.6-) M1.e e2 9/0re d127r-.tr/3t/re de NOC
V-) RESSOURCES IN!ORMATI"UES DITGStore
Le parc informatique dITGStore est constitu des lments
sui!ants #
V.1-) Re..o/r3e. 8-t:r1e;;e.
I8'r18-2te. +
Page <=
ITGStore-
consulting
&ne imprimante 2P roder ,C-E899- trois en un qui en
plus des impressions peut scanner et Ltre utilise pour en!o1er
des fa57
Ord12-te/r. +
* ITGStore nous a!ons deu5 t1pes dordinateurs sa!oir #
Ser!eurs dont les caractristiques sont des Pentium I>
AG2K =Go de 3*) parmi lesquels #
La marque S&, (
La marque 2P (
La marque $ell (
$es clones (
La marque LG7
$es postes de tra!ail Gdes postes fi5es et des Laptops?
E=/1'e8e2t. r:.e-/< +
Trois 2u ,etGear de 9< ports c-acun (
&n Switc- Cisco 8HB;G-LA (
&n modem routeur *$SL (
A/tre. :=/1'e8e2t. +
Le ,*S ,etGear Gquipement de stoc@age?(
$es onduleurs et des parasurtenseurs7
Page <=
ITGStore-
consulting
V.#-) Re..o/r3e. ;o5131e;;e.
S>.t?8e. de<';o1t-t1o2 +
Les diffrents s1st6mes de5ploitation utiliss ITGStore-
Consulting sont #
$istriutions Linu5 # Suse =9' Solaris ; et =9' .edora < et
E (
Mindows# DP SP=et SP8' ser!er 899A7
A'';13-t1o2. +
)S /ffice 899A et 899:
*nti!irus# *!ast <7:' )cafee ;79(
Page <=
ITGStore-
consulting
VI-) CONCLUSION
Linsertion ITGStore-Consulting a t tr6s facile
notamment a!ec la prsence dans cette structure des anciens
tudiants de lI*I-Cameroun' son personnel tr6s "eune et
attentif7 La p-ase qui suit nous prsente la ralisation de notre
pro"et sa!oir limplmentation dune politique de firewalling
grce IPCop7
Page <=
ITGStore-
consulting
Page <=
ITGStore-
consulting
Page <=
ITGStore-
consulting
I-? I,T3/$&CTI/,
La scurit dun s1st6me est le ni!eau de garantie que
donne ce s1st6me pendant son tat optimal de fonctionnement7
Nue se soit pour des rseau5 personnels ou dentreprises' la
scurit informatique permet dempLc-er #
La di!ulgation non autorise des donnes (
La modification non autorise des donnes (
Lutilisation non autorise des ressources rseau5 ou du
s1st6me informatique de faOon gnrale7
Cela est dautant plus strict lorsque les quipements
informatiques sont connects Internet ou un autre rseau
a!ec des conne5ions t1pes cles ou *$SL7 Ces r6gles sont
mises en place grce des s1st6mes de protection tels que #
des pare-feu5' des I$S' des anti!irus' des anti-spam' des anti-
sp1wares7
Ter812o;o51e +
Le pare-feu Gou firewall en *nglais? est un dispositif
Glment logiciel etPou matriel? reliant deu5 rseau5 et filtrant
les donnes c-anges par ceu5-ci pour assurer leur scurit7
I$S GIntrusion $etection S1stem?
Pro@;:8-t1=/e
$e plus en plus les entreprises g6rent des donnes
importantes stoc@es dans des ser!eurs( et pour garantir la
Page <=
ITGStore-
consulting
scurit de ces donnes et matriels' il faut mettre sur pied des
mcanismes permettant en temps rel le contrQle des acc6s' la
gestion du trafic et le filtrage des informations qui transitent7
$oJ la ncessit dinstaller un firewall tel IPCop7
II-) GENERALITE SUR LES PARE-!EU%
* lorigine le terme pare-feu est emplo1 dans les t-tres
pour designer un mcanisme permettant au feu de ne pas se
propager de la salle de t-tre !ers la sc6ne7
Le pare-feu est donc utilis en informatique pour designer
une porte empLc-ant au5 mnaces dun rseau e5terne de se
propager dans !otre rseau informatique interne7
III-) !ONCTIONNEMENT DUN !IRE&ALL
&n firewall a pour principale fonction de contrQler le trafic
entre les diffrents rseau5' en filtrant les flu5 de donnes qui
transitent dans ces rseau5 GInternet GKone non contrQle? et le
rseau interne GKone tr6s importante??7 Plus prcisment' un
firewall est c-arg de filtrer #
Lorigine ou la destination des paquets Gadresse IP'
interfaces rseau' etc7?
Les utilisateurs
Les donnes et les options contenues dans ces donnes
Page <=
ITGStore-
consulting
Les pare-feu5 rcents emarquent des fonctionnalits
sui!antes #
.iltrage sur adresses IPPProtocole'
Inspection ltat et applicati!e'
Intelligence artificielle pour dtecter le trafic anormal'
.iltrage applicatif
o 2TTP Grestriction des &3L accessiles?'
o Courriel
o Logiciel danti!irus' anti-logiciel mal!eillant
Translation dadresse'
Tunnels IPSec' PPTP' L8TP'
Identification des conne5ions'
Ser!eurs de protocoles de conne5ion GTelnet' SS2?' de
protocoles de transfert de fic-ier GSCP?'
Clients de protocoles de transfert de fic-ier GT.TP?'
Ser!eur Me pour offrir une interface de configuration
agrale'
Ser!eur mandataire GR Pro51 S en anglais?'
S1st6me de dtection dintrusion GR I$S S en anglais?
S1st6me de pr!ention dintrusion GR IPS S en anglais?
Le sc-ma ci-dessous illustre le fonctionnement dun
firewall
Page <=
ITGStore-
consulting
!15/re 1 + Sc-ma de fonctionnement dun firewall
III.1-) C-t:5or1e. de 71reA-;;
Les quipements Gou les logiciels? de scurit linstar des
firewalls connaissent de nomreuses !olutions7 Cest ainsi que
sui!ant la gnration de pare-feu ou de son rQle on peut citer #
=? Pare-feu sans tats Gstateless firewall # ici le pare-feu
compare c-aque paquet une liste de r6gles
prconfigures?
8? Pare-feu tats Gstateful firewall # le pare-feu !rifie
que c-aque paquet dune conne5ion est ien la suite
du paquet prcdent?
Page <=
ITGStore-
consulting
A? Pare-feu applicatif Gici le pare-feu !rifie la conformit
dun paquet un protocole attendu7 %5emple
sassurer que seul du -ttp passe par le port ;9?
B? Pare-feu identifiant Gici le pare-feu ralise
lidentification des conne5ions tra!ers le filtre IP?
<? Pare-feu personnel Gpermet de lutter contre les !irus
et les logiciels espions?
III.#-) T>'e. d18';:8e2t-t1o2.
Il e5iste trois t1pes dimplmentation de firewall parmi
lesquelles #
Ver.1o2. ;1@re.
L12/< Net71;terBIPt-@;e.' pare-feu lire des no1au5 Linu5
87B et 87E7
L12/< IP3C-12.' pare-feu lire du no1au Linu5 8787
P-34et !1;ter o/ P!' pare-feu lire d/pen+S$ Gs1st6me
de5ploitation lire de t1pe &ni5' dri! de B7B+S$?
import depuis sur les autres +S$7
IP!1;ter o/ IP!' pare-feu lire de +S$ G+er@ele1 Software
$istriution # famille de s1st6mes de5ploitation &ni5'
d!elopps luni!ersit de +er@ele1? et Solaris=97
IP71reA-;; o/ IP!&' pare-feu lire de .ree+S$7
N/!& Pare-feu identifiant sous Licence GPL pour la partie
ser!eur et les clients Linu5' .ree+S$ et )ac /S7 ,u.M est
as sur ,etfilter et en augmente les fonctionnalits7
1S-7er' pare-feu lire pour Mindows7
Page <=
ITGStore-
consulting
Ver.1o2. 'ro'r1:t-1re.
;e. @oDt1er. '-re-7e/ # "uniper
D1.tr1@/t1o2. L12/<
S8ootC&-;; + distriution linu5 pac@ageant ,etfilter et
dTautres outils de scurit pour transformer un PC en pare-
feu ddi et complet7
IPCo' + distriution linu5 pac@ageant ,etfilter et dTautres
outils de scurit pour transformer un PC en pare-feu
ddi et complet7
E2d1-2 !1reA-;; + distriution linu5 pac@ageant ,etfilter
et dTautres outils de scurit pour transformer un PC en
pare-feu ddi et complet7
P7.e2.e + distriution firewall open source tr6s a!ance
ase sur .ree+S$ et dri!e de m9n9wall qui utilise en
autre /pen+S$ pac@et .ilter7
IV-) PRESENTATION DIPCo'
IV.1-) D:7121t1o2 dIPCo'
IPCop Gpolicier des IP? est un pro"et /pen Source dont le
ut est dotenir une distriution Linu5 qui permet de faire le
firewalling7
IPCop a t cre en rponse plusieurs esoins7 Le
premier dentre eu5 tait le esoin dune protection sIre et
efficace de nos rseau5 personnels et dentreprises7
Page <=
ITGStore-
consulting
Lorsque le pro"et IPCop a t lanc en 899=' il e5istait d"
dautres pare-feu7 Lquipe de pro"et dIPCop a!ait dcid de
partir du code de ase dun pare-feu sous GPL7 Lo"ectif tait
de remanier ce code pour se mettre lcoute des attentes des
utilisateurs7 Parmi ces attentes se trou!ait celle de laisser
c-aque utilisateur la possiilit de crer son propre IPCop' celle
de proposer et da"outer des amliorations et celle dapprendre
grce au tra!ail des autres7 * ce "our plusieurs r!isions dIPCop
ont t pulies' et plusieurs fonctionnalits ont t a"outes #
la possiilit dorganiser le parc en quatre catgories de
rseau5' la dtection dintrusion sur tout le rseau et la
configuration partir dune interface we nen sont que
quelques e5emples7
IPCop est ase sur Linu5 .rom Scratc- Gpro"et !isant
prciser toutes tapes ncessaires la cration de son propre
s1st6me Linu57 L.S a pour o"ectif de !ous guider tra!ers
lTinstallation dTun s1st6me de ase comportant le ma5imum
dTlments de scurisation7?' destin assurer la scurit dun
rseau7
Cest un s1st6me de5ploitation part enti6re qui peut
Ltre install sur un PC Gdont les caractristiques minimales sont
les sui!antes # CP& U8AA)2K' 3*)U EB)o' 2$$U;99)o? pour
faire office de firewall tr6s performant
IV.#-) De.3r1't1o2
Page <=
ITGStore-
consulting
Linterface dadministration dIPCop est compose de sept
onglets G-uit si on installe Cop.ilter?7 Ces onglets font
rfrences au5 diffrentes possiilits dadministration offertes
par IPCop7
IV.#.1-) O25;et SESTEME
Longlet s1st6me regroupe tout ce qui concerne le s1st6me
en lui-mLme sa!oir # la !rification et linstallation des mises
"our' la modification des mots de passe' les sau!egardes'
lacti!ation de lacc6s SS2' F
A33/e1; +
Cest la premi6re page qui saffic-e lorsque lon tape
ladresse de linterface we dadministration dTIPCop dans le
na!igateur7 Sur cette page il !ous est possile de couper tout le
trafic passant par IPCop !ia le outon $conne5ion Gla
conne5ion stalit de mani6re automatique lors du dmarrage
du ser!eur?' mais galement de consulter le temps depuis
lequel la conne5ion est talie7
M1.e. F Go/r +
$es mises "our sont mensuelles pour le s1st6me' apportant
de nou!elles options ou des corrections de ugs7 Les mises
"our sinstallent simplement # il suffit de cliquer sur dtail' de
Page <=
ITGStore-
consulting
tlc-arger le fic-ier' puis duploader ce fic-ier sur le ser!eur
!ia le outon parcourir et c-argement de la page7
Mot. de '-..e +
Les mots de passes admin Gpour lacc6s linterface we? et
dial Gutilisateur seulement autoris a connecter ou dconnecter
la conne5ion par modem? peu!ent Ltre modifis sur cette page7
Ces mots de passes doi!ent contenir au moins E caract6res
Gplus conseills?7 Le mot de passe admin peut galement Ltre
modifi !ia la commande setup en SS2 Gqui permet par ailleurs
de modifier le mot de passe root?7
A33?. SS) +
Lacc6s SS2 nest pas acti! par dfaut' et peut ne pas lLtre
si lon ne lutilise pas7 Les cls SS2 dIPCop sont du t1pe 3S* et
$S*' elles sont cr1ptes sur =98B its7 Il est possile de refuser
le transfert SCP' empLc-ant ainsi de copier des fic-iers sur
IPCop a!ec MinSCP Gpar e5emple?7 $autres options relati!es
la !ersion du client SS2 utilis et laut-entification par mot de
passe et cls puliques sont prises en comptes7
I2ter7-3e 5r-'C1=/e +
Linterface grap-ique dIPCop permet de c-oisir daffic-er le
nom de la mac-ine dans la arre de titre du na!igateur' de
rafra4c-ir automatiquement la page daccueil' de slectionner la
Page <=
ITGStore-
consulting
langue pour !otre page dadministration et de restaurer les
param6tres par dfaut7
S-/0e5-rde +
Comme tout s1st6me informatique' les pannes matrielles ou
logicielles sont rares mais e5istent7 *!ec IPCop il est possile de
raliser deu5 t1pes de sau!egardes # une sur la mac-ine et une
sur disquette7
Les sau!egardes sur mac-ine sont considrer comme des
points de restauration qui permettent de re!enir une
configuration antrieure suite une modification non
satisfaisante7 /n peut galement sau!egarder la derni6re date
sur lordinateur local et la restaurer laide des outons
parcourir et importer7
Les sau!egardes ralises sur disquettes sont utiles en cas
de panne s!6re7 %n effet ( si !ous de!eK rinstaller le s1st6me'
cette disquette de sau!egarde !ous sera demande pendant
linstallation pour restaurer les configurations7
ArrHter +
Il est possile depuis la !ersion =7B7=9 de redmarrer ou
darrLter IPCop a distance laide des outons correspondants
ou tout simplement planifier ces tc-es7
Cr:d1t. +
Page <=
ITGStore-
consulting
IPCop est un pro"et /pen Source sous licence G,& ( toute
une communaut de d!eloppeurs se c-arge de maintenir et
doptimiser ce pro"et7 Il est par consquent normal que le nom
de ces personnes apparaisse sur IPCop7 Cette liste est lisile
dans cette section7 Par ailleurs' les adresses mails de ces
personnes figurent si !ous a!ieK esoin de les contacter pour
faire a!ancer le pro"et7
IV.#.#-) O25;et ETAT
Les menus de longlet %tat sont tous titre informatif7 Cet
onglet regroupe les rsums de ltat s1st6me ainsi que des
outils de sur!eillance grap-ique # ser!ices actifs' utilisation de
mmoire' du processeur' du disque dur F etc7
Et-t d/ .>.t?8e +
Ce menu permet de consulter lacti!it du s1st6me7 Les
ser!ices du s1st6me sont lists a!ec leur tat7 Ici on peut !oir
quel utilisateur est connect IPCop' ce quil fait' depuis
comien de temps est ce quil est connect7 Il permet
galement da!oir des informations sur la !ersion du no1au
utilis7
Et-t d/ r:.e-/ +
Ici on a les rsultats de la configuration des interfaces des
rseau57 Pour c-aque interface on ladresse )*C de la carte
rseau utilise' ladresse IP alloue Gfi5e ou $2CP?' la taille de
la )T& G)a5imum Transmission &nit? qui est taille ma5imale
Page <=
ITGStore-
consulting
Gen octets? du paquet pou!ant Ltre transmis en une seule fois'
ltat du transfert des paquets' les entres de la tale de
routage' ainsi que la tale *3P7
Gr-'C1=/e. .>.t?8e. +
Les grap-iques s1st6mes sont tr6s utiles pour !aluer
lutilisation des ressources matrielles Gprocesseur' mmoire'
swap et acc6s disque?' mais permettent galement didentifier
les pics de sollicitation des ressources par plage -oraire7
Co/r@e. de tr-713 +
%lles reprsentent le ni!eau de sollicitation de la ande
passante par rapport au temps7 Tout comme les grap-iques
s1st6mes' lorsque !ous cliqueK sur un grap-ique Gcoure?' !ous
oteneK une !ue dans une autre unit de temps7
Co22e<1o2 +
Cest un taleau qui permet en temps rel de sui!re les
communications entre IPCop et les lments qui lentourent7
Les adresses IP' les ports utiliss et dautres informations utiles
1 sont rpertoris Gprotocoles' ail' Kone' etc7F?7
IV.#.(-) O25;et RESEAU
Les menus de cet onglet seront utiles dans le cas de
lutilisation de linterface rouge a!ec une conne5ion par
modem7 %n effet' si on utilise une carte rseau pour linterface
rouge cet onglet ne sera daucune utilit7
Page <=
ITGStore-
consulting
Co22e<1o2 +
$ans ce menu on !a pou!oir dfinir nos param6tres de
conne5ion Internet a!ec nos identifiants7 Ces informations sont
en gnral fournies par le fournisseur dacc6s Internet G.*I?7
Toutes ces informations Gidentifiants' modem' ser!eur $,S'
F? peu!ent Ltre sau!egardes dans < profils' !ous permettant
ainsi de !ous connecter a!ec diffrents aonnements7
$autres options permettent daffiner un peu plus les
param6tres de ase' comme par e5emple la possiilit de se
dconnecter au out dun certain dlai dinacti!it et de se
reconnecter automatiquement7
CC-r5e8e2t +
Par dfaut IPCop reconna4t eaucoup de modems' mais en
cas de prol6me de dtection a!ec le !otre' il est possile de
rcuprer le dri!er .ritKV$SL de celui-ci7
Mode8 +
Il est possile de personnaliser les rglages propres la
conne5ion du modem au tra!ers de ce menu7 *ttention ceci est
rser! un pulic a!erti V %n cas de mau!aise manipulation'
!ous pourreK remettre les param6tres par dfaut7
A;1-. +
$ans le cas oJ !otre .*I !ous a fournit une plage dadresses
IP puliques' !ous pourreK crer des alias pour que les adresses
de cette plage soient distriues sur linterface rouge # dans le
Page <=
ITGStore-
consulting
menu R%tat du rseauS !otre interface rouge aura ainsi
plusieurs adresses IP Gutile dans le cas des ser!eurs we et ftp?7
IV.#.4-) O25;et SERVICES
Cet onglet permet de !isualiser lensemle des ser!ices
en actifs et ser!eurs installs dans IPCop7 Parmi ces ser!ices et
ser!eurs on peut citer #
Ser0e/r M-2d-t-1re IPro<>) +
&n ser!eur Pro51 consiste principalement aller c-erc-er les
pages que les utilisateurs consultent et les stoc@er dans un
cac-e afin des les affic-er plus rapidement lors de la proc-aine
!isite de celles-ci7
Ser0e/r D)CP +
&n ser!eur $2CP G$1namic 2ost Configuration Protocol? permet
dTallouer une configuration IP G*dresse' Passerelle' Ser!eurs
$,S? une interface rseau de faOon automatique7
DNS D>2-81=/e. +
&n ser!eur $,S est un ser!eur qui associe un nom de
domaine une adresse IP' un $,S $1namique "oue le mLme
rQle mais pour des adresses IP non fi5es7
)Jte. .t-t1=/e. +
Page <=
ITGStore-
consulting
$ans le cas oJ on dispose de ser!eurs ou de mac-ines
ncessitant dTa!oir tou"ours la mLme adresse Gpulique ou
pri!e? ceci !ous permettra de leur rser!er et de leur dfinir
une adresse fi5e7
Ser0e/r de te8'. +
&n ser!eur de temps diffuse lT-eure et la date tous les
ordinateurs dTun rseau7 /n pourra ici se s1nc-roniser partir
dInternet ou s1nc-roniser les rseau5 des interfaces dIPCop7
L1..-5e d/ tr-713 ISC-''125) +
Le lissage de trafic permet de limiter le trafic allou un
protocole' il sTagit en quelque sorte de la gestion de la ande
passante7
D:te3t1o2 d12tr/.1o2 IIDS)+
STappu1ant sur les r6gles de Snort' qui est un s1st6me de
dtection dTintrusion open source' capale dTeffectuer en temps
rel des anal1ses de trafic et de logger les paquets sur un
rseau IP7 Il peut effectuer des anal1ses de protocole'
rec-erc-ePcorrespondance de contenu et peut Ltre utilis pour
dtecter une grande !arit dTattaques
IV.#.$-) O25;et PARE-!EU
Comme pour tout on firewall' il est possile de dsacti!er le
Ping et dou!rir des ports pour laisser passer des applications
ou mLme de rediriger ceu5-ci7 Il comprend des menus tels que #
Page <=
ITGStore-
consulting
Tr-2.7ert. de 'ort. +
Il sagit l du Port *ddress Translation GP*T' parfois aussi
nomm Port .orwarding?' qui permet de rediriger le flu5
arri!ant sur un port dIPCop !ers un port dune mac-ine faisant
partie dune des Kones dIPCop7 %5emple # &n ser!eur we se
trou!e derri6re linterface !erte dIPCop7 Il !ous faut donc
rediriger les requLtes 2TTP que reOoit !otre IPCop !ers ce
ser!eur7 Il faut donc c-oisir les protocoles utiliss par -ttp Gici
TCP' il faudra donc crer une r6gle pour ce protocole? et
rediriger les paquets !ers ladresse IP de !otre ser!eur we
G=H87=E;7=78<9 par e5emple? sur le port 2TTP G;9 par dfaut'
;9;9 parfois?7
A33?. e<ter2e. +
Ce menu permet daccorder des autorisations certaines des
mac-ines du rseau e5terne de se connecter certains ports
ien prcis7
>ous pou!eK ou!rir des Wr6c-esW dans le firewall pour ou!rir
compl6tement un acc6s au rseau sur un port' cTest--dire que
les ports c-oisis seront compl6tements ou!erts' ceci peut Ltre
utile pour autoriser lacc6s linterface de configuration ou
lacc6s en SS2 IPCop depuis la Kone rouge GInternet par
e5emple?7 Pour scuriser un petit peu lTou!erture compl6te de
ces ports' on pourra spcifier quelles adresses IP sont
autorises les utiliser Gdans le cas dun ser!eur .TP dont on
conna4t les clients par e5emple' ou ladresse IP de
ladministrateur distant?7
Page <=
ITGStore-
consulting
O't1o2. d/ 71reA-;; +
$ans ce menu on a la possiilit de c-oisir quelle interface
rpondra ou non au Ping7 /n dsacti!era le Ping pour des
raisons de scurit si on le sou-aite Gce qui permet tout de
mLme d!iter certaines attaques?7
IV.#.6-) O25;et RPV IVPN)
Longlet 3P>s ne contient quun seul menu du mLme nom7
>ous aureK remarqu que les diffrents onglets sont relatifs
des domaines prcis' le 3seau Pri! >irtuel G3P>' ou >P, en
anglais pour >irtual Pri!ate ,etwor@? tant un domaine
compl6tement part au regard des autres catgories
proposes par IPCop7 &n >P, consiste utiliser ce que lon
appelle un protocole de WtunnelisationW GL8)' PPTP' L8P' IPSec'
F? pour relier deu5 rseau5 p-1siques en utilisant un rseau
non scuris' mais fiale' la finalit tant que ces deu5 rseau5
distincts ne forment plus quun seul et mLme rseau en
transitant par Internet7
IV.#.K-) O25;et ,OURNAU%
Cet onglet permet dotenir un sui!i des !6nements
tra!ers des "ournau5 Gou logs?7 Il est indispensale pour
dtecter les causes des prol6mes' quil sagisse du pare-feu'
Page <=
ITGStore-
consulting
du no1au du s1st6me' ou encore des adresses loques par le
filtreur dTurl7
Co2715/r-t1o2 de. Go/r2-/< +
Il est possile !ia ce menu de paramtrer le t1pe de
classement Gordre c-ronologique ou non?' le nomre de lignes
par page' la dure pendant laquelle les rsums des "ournau5
seront conser!s ainsi que leur ni!eau de dtail7 Il est par
ailleurs possile denregistrer ces "ournau5 sur un ser!eur
distant Gser!eur s1slog?7
R:./8: de. Go/r2-/< +
Il permet de faire un rapide ilan sur les acti!its du ser!eur
we Gpour linterface dadministration?' le pare-feu et lespace
disponile sur les partitions montes7
,o/r2-/< '-re-7e/ +
Ce log affic-e toutes les conne5ions talies en direction
dIPCop7 Les !6nements sont organiss par date' diffrentes
informations relati!es la communication sont ensuite
disponiles sous forme dun taleau #
2eur
e
C-a4n
e
Interfac
e
Protocol
e
IP
sourc
e
Port
sourc
e
*dress
e )*C
IP
destinatio
n
Port
destinat
ion
,o/r2-/< IDS +
Page <=
ITGStore-
consulting
Les "ournau5 du S1st6me de $tection dIntrusion GIntrusion
$etection S1stem en anglais' doJ I$S? sont relatifs au ser!ice
de $tection dIntrusion dIPCop qui agit en fonction des r6gles
Snort7 $ans ces "ournau5' les attaques sont galement
recenses sous forme de taleau57 %lles sont tries par date'
une priorit est affecte en fonction du t1pe de menace
identifi' le nom de celle-ci' son t1pe et ladresse source de
lattaque7
,o/r2-/< .>.t?8e. +
* c-aque fois quune modification est effectue G!ia
linterface we ou non? ou quun !6nement arri!e GarrLt du
s1st6me ou dun ser!ice' redmarrage dune interface rseau'
F? cela enregistr dans ce "ournal7
V-) ETUDE DES !ONCTIONNALITES DIPCo'
IPCop admet des fonctionnalits sui!antes #
V.1-) !1;tr-5e d/ r:.e-/ '-r 1't-@;e.
$epuis la !ersion 87B' Linu5 contient un module destin au
filtrage rseau' ,etfilter7 Il se configure au mo1en dTun outil
appel iptales7
Le filtrage rseau consiste faire un e5amen des paquets
rseau5 et prendre des dcisions sur le traitement leurs
appliquer7 CTest ce que fait un firewall7 *!ec un s1st6me
Page <=
ITGStore-
consulting
G,&PLinu5' pour configurer des r6gles de pare-feu' il faudra
donc simplement utiliser ,etfilter lTaide dTiptales7 La!antage
a!ec IPCop ici est quon a plus esoin de taper les commandes
car ses r6gles peu!ent Ltre configures !ia linterface we
dadministration dIPCop7 Ce pendant pour configuration en
mode commande' il est on de sa!oir comment Oa fonctionne7
,etfilter est un pare-feu complet fonctionnant sous Linu5
Gno1au5 87B et 87E?' il remplace ipc-ains qui fonctionnait sur les
no1au5 8787
Les c-a4nes Gensemle de r6gles appliques au5 paquets? de
,etfilter sont reparties dans A tales #
-) !1;ter # cTest la tale par dfaut' elle filtre les A trafics
principau57
CTest la tale par dfaut lorsquTon ne spcifie aucune tale7
%lle contient toutes les r6gles de filtrage #
I,P&T # pour les paquets entrants7
/&P&T # pour les paquets sortants7
./3M*3$ # pour les paquets tra!ersants le firewall7
LorsquTun paquet correspond au motif de reconnaissance
dTune r6gle arri!e' une dcision est prise7
*CC%PT # Permet dTaccepter un paquet si la r6gle est
!rifie7
3%X%CT # $ans cet attriut' on peut indiquer quel
t1pe de message IC)P sera en!o1 !ers la mac-ine
Page <=
ITGStore-
consulting
dont le paquet est re"et7 * la suite de loption' on
peut trou!er #
138'-2et-/2re-3C-@;e Grseau inaccessile?'
138'-Co.t-/2re-3C-@;e Gmac-ine inaccessile?'
138'-'ort-/2re-3C-@;e Gport inaccessile?' 138'-
'roto-/2re-3C-@;e Gprotocole inaccessile?' 138'-
2et-'roC1@1ted Grseau interdit?' 138'-Co.t-
'roC1@1ted Gmac-ine interdite?7 Si le t1pe de
protocole est tcp' on peut trou!er t3'-re.et qui
indique quil faudra en!o1er un paquet 3ST qui
permet de fermer une conne5ion7
$3/P # Permet de re"eter le paquet sans retour
dTerreur lTe5pditeur si la r6gle est !rifie7
L/G # Permet de loguer le passage du paquet si la
r6gle est !rifie7
>oici quelques e5emples de r6gles iptales #
L 1't-@;e. -t 71;ter -A INPUT -. 19#.168.1.11 -G/8'
DROP cela signifie que tout ce !ient de ladresse
=H87=E;7=7==9 est re"et
L 1't-@;e. -t 71;ter -A INPUT --'roto3o; t3'
--de.t12-t1o2-'ort 8 --G/8' ACCEPT cela signifie de
laisser passer le trafic TCP entrant sur le port ;9
@)NAT # tale ddie la redirection de paquets7
Cette tale est utilise pour la translation dTadresse ou de port7
Page <=
ITGStore-
consulting
Il 1 a 8 t1pes de c-a4nes #
P3%3/&TI,G # paquets entrants sur le firewall7
P/ST3/&TI,G # paquets sortants du firewall7
Les ciles pour ,*T sont #
)*SN&%3*$% Guniquement P/ST3/&TI,G?
La passerelle Gla mac-ine oJ est installe iptales? transforme
les paquets sortants pour donner lTillusion quTils sortent de
celle-ci par un port allou d1namiquement ( lorsque la
passerelle reOoit une rponse GdTInternet par e5emple? sur ce
port' elle utilise une tale de correspondance entre le port et
les mac-ines du rseau local quTelle g6re pour lui faire sui!re le
paquet7
$,*T Guniquement P3%3/&TI,G? # Permet de modifier
lTadresse de destination du paquet7
--to-destination # &tiliser a!ec la cile $,*T' permet de spcifier
lTadresse de destination de la translation7
S,*T Guniquement P/ST/&TI,G? # Permet de modifier
lTadresse source du paquet7
--to-source # &tiliser a!ec la cile S,*T' permet de spcifier
lTadresse source de la translation7
3) M-25;e # tale utilise pour les ser!ices rseau5
additionnels G%lle sert modifier les en-tLtes des paquets7
pour permettre dTautres applications de les reconna4tre7?7
Page <=
ITGStore-
consulting
,etfilter fonctionne au ni!eau du no1au' pour lTadministrer'
iptales est utilis7
I't-@;e. est lToutil qui est fourni lTadministrateur pour agir
sur tous les concepts de r6gles de filtrage7
La premi6re option conna4tre est -t qui permet de spcifier
le nom de la tale sur laquelle portera les autres param6tres7 Si
cette option nTest pas spcifie' ce sera par dfaut la tale
filter7
/n peut aussi demander iptales de c-arger un module
particulier a!ec lToption -87 Ce module peut a"outer de
nou!elles tales ou de nou!elles mani6res de tester les
paquets7
Il faut ensuite indiquer une commande pour dire par e5emple
quTune nou!elle r6gle doit Ltre a"oute dans la c-a4ne spcifie7
Ci-dessous la liste des options les plus courantes pour spcifier
une commande7 &ne seule la fois peut Ltre prsente' et
toutes de!ront Ltre sui!ies du nom de la c-a4ne prendre en
compte7
O't1o2. d1't-@;e.
O't1o
2.
RJ;e.
-L *ffic-e toutes les r6gles de la c-a4ne indique7
-! Supprime toutes les r6gles de la c-a4ne7 Si aucune
c-a4ne nTest spcifie' toutes celles de la tale sont
!ides7
-N Cre une nou!elle c-a4ne utilisateur a!ec le nom pass
en param6tre7
Page <=
ITGStore-
consulting
-% Supprime la c-a4ne utilisateur7 Si aucun nom nTest
spcifi' toutes les c-a4nes utilisateur seront supprimes
-P )odifie la politique par dfaut de la c-a4ne7 Il faut
indiquer en plus comme param6tre la cile utiliser7
-A *"oute une r6gle la fin de la c-a4ne spcifie7
-I Ins6re la r6gle a!ant celle indique7 Cette place est
prcise par un numro qui fait suite au nom de la
c-a4ne7 La premi6re porte le numro =7 Si aucun numro
nTest indiqu' la r6gle est insre au dut7
-D Supprime une r6gle de la c-a4ne7 Soit un numro peut
Ltre prcis' soit la dfinition de la c-a4ne supprimer
Gses tests de concordance et sa cile?7
V.#-) Po..1@1;1t: dor5-21.er ;e '-r3 e2 4 3-t:5or1e.
de r:.e-/< +
L- Mo2e Verte # cest le rseau local quIPCop doit
scuriser' il peut Ltre un rseau dentreprise ou
personnel7 Cest la Kone de confiance par e5cellence7
L- Mo2e *;e/e # cest le rseau constitu des
quipements sans fil G;987==? a!ec une confiance
limite7
L- Mo2e Or-25e # cest la $)Y GKone dmilitarise?
oJ sont installs les ser!eurs accessiles depuis
le5trieur7 $ans cette partie on retrou!e des
ser!eurs de t1pes Me' .TP' ases de donnes F
L- Mo2e Ro/5e # cest le rseau e5terne non
contrQl le5emple dInternet7
Page <=
ITGStore-
consulting

V.(-) Pr1.e e2 3C-r5e de. .er0e/r. D)CP6 DNS6 N
IPCop int6gre dans son programme certains ser!eurs comme
le ser!eur $2CP pour le rseau !ert' le ser!eur $,S7
V.4-) Ad8121.tr-t1o2 de ;- 8-3C12e '-r /2e 12ter7-3e
Ae@ .:3/r1.:e
Cette fonctionnalit permet #
$e simplifier considralement les tc-es
dadministration du firewall (
Laffic-age des performances du processeur' de la
mmoire' des disques et du trafic rseau par des
grap-iques (
La !isualisation des "ournau5 d!nement et leur
arc-i!age automatique (
Le c-oi5 entre plusieurs langues7
V.$-) D:te3t1o2 de. 12tr/.1o2. -0e3 S2ort
Snort est s1st6me de dtection dintrusion lire sous licence
G,&PGPL GGeneral Pulic License7 Il est utilis pour dtecter
une grande !arit dattaques?
Page <=
ITGStore-
consulting
V.6-) Ge.t1o2 de. r:.e-/< 'r10:. 01rt/e;. IVPN)
IPCop permet dutiliser ce quon appelle un protocole de
R tunnelisation S GL8P' IPSecF? pour relier deu5 rseau5
p-1siques en utilisant un rseau non scuris' mais fiale7 La
finalit tant que ces deu5 rseau5 distincts ne forment plus
quun seul et mLme rseau en transitant par Internet7
VI-) CA)IER DES C)ARGES
$ans le cadre de ce pro"et' nous de!ons de mettre sur pied
une politique de scurit consistant faire #
1)Le 71;tr-5e )TTP -0e3 -/tCe2t1713-t1o2 O
Pro51 -ttp G21perte5t Transfer Protocol ?(
+ail Gpour contrQler les -eures de conne5ion sur
internet? (
#)Le 3o2trJ;e de. t:;:3C-r5e8e2t. I5e.t1o2 d/
tr-713) O
Gestion du trafic (
Gestion de la ande passante7
A? L- 5e.t1o2 de. 12tr/.1o2. Ipour limiter les risques
dattaque).
Page <=
ITGStore-
consulting
Toute mac-ine qui se connecte un ser!eur
particulier ou au rseau de!rait Ltre clairement
identifie

,ous disposons pour cela comme outils de tra!ail#
$un ordinateur clone pentium B GCP& AG2K' =Go de
3*)' =9Go de disque dur? possdant deu5 cartes
rseau5 %t-ernet
$e la distriution linu5 IPCop
VII-) INSTALLATION DIPCo'
Pendant linstallation de notre firewall IPCop' nous
adopterons la configuration correspondant larc-itecture
rseau sui!ante qui a t mise en place pour les tests #
Page <=
ITGStore-
consulting
!15/re # + Sc-ma de fonctionnement dIPCop ITGStore
Co2715/r-t1o2 81218-;e re=/1.e
Pour installer IPCop on a esoin dun ordinateur complet
a1ant les caractristiques minimales sui!antes #
CP& Z 8AA)2K
3*) Z EB)o
2$$ Z ;99)o
*pr6s a!oir prpar son ordinateur' il faut disposer dune
copie de la !ersion dIPCop installer7 La distriution IPCop est
disponile gratuitement sur le site www7ipcop7org
,ous allons installer ici IPCo' 1.4.#
Page <=
ITGStore-
consulting
Il e5iste trois mt-odes dinstallation dIPCop en fonction
du support matriel que !ous a!eK !otre disposition
M:tCode Le3te/r
de
D1.=/ett
e
D1.=/e
tte de
'1;ote.
Le3te/r
de CD-
ROM
Ser0e/
r
!TPB&e
@
C$ de oot ,on ,on /ui ,on
$isquette de oot
puis C$
/ui ,on /ui ,on
$isquette de oot
puis ser!eur .TPPM%+
/ui /ui ,on oui
,ous allons nous intresser linstallation partir dun C$
de oot dIPCop7
PlaOons le C$ contenant la distriution IPCop quon a
tlc-arge et gra!e dans le lecteur de C$ de notre mac-ine
IPCop7 Puis redmarrons la mac-ine' appu1eK sur ma touc-e
entre lcran de oot que !oici7
N* + tous !os donnes contenues dans le disque dur seront
enti6rement supprimer ( donc preneK la penne de sau!egarder
toutes !os donnes dans un autre disque et non dans une
partition du mLme disque7
Page <=
ITGStore-
consulting
!15/re ( + %cran de oot dIPCop
/n !oit ensuite dfiler lcran des messages informatifs
!enant du no1au7
%nsuite saffic-e lcran permettant de slectionner la
langue' les touc-es t-@' 7;?3Ce. permettent de dplacer le
curseur sur les lments ( pour slectionner un lment on
utilise la touc-e e.'-3e et pour accepter le c-oi5 on appuie sur
la touc-e e2tr:e7 C-oisissons le franOais comme langue puis
!alidons7 * partir de ce moment toutes les o4tes de dialogues'
page we et menus utilisent la langue c-oisie7
La o4te de dialogue qui suit nous permet de slectionner
le support dinstallation7 C-oisissons comme support le C$-3/)
puis !alidons7
Page <=
ITGStore-
consulting
!15/re 4 + C-oi5 de la source dinstallation dIPCop
La o4te de dialogue qui suit indique que le programme
dinstallation dIPCop prpare le disque principal GBde0BCd-?7 %n
premier lieu' le disque dur sera partitionn' puis un s1st6me de
fic-ier sera cr dans c-aque partition7 %nsuite le programme
dinstallation !a copier les fic-iers ncessaires sur le disque7
Linstallation dIPCop se poursuit a!ec la configuration de
la carte rseau de linterface !erte Get-9?7 ,ous pou!ons laisser
IPCop trou!er notre carte rseau et dterminer les param6tres
donner au pilote de prip-rique7 Slectionner le outon
re3Cer3Cer et appu1eK sur e2tr:e pour laisser IPCop dtecter
!otre configuration matrielle7 Si nous c-oisissons plutQt le
outon slectionner' nous rec-erc-erons manuellement la carte
rseau et de!rons spcifier les param6tres installer7
Le processus dinstallation !ous demande ensuite
dindiquer ladresse IP assigner linterface !erte Get-9?7
Lorsque !ous c-oisisseK une adresse IP' IPCop dtermine
automatiquement le masque de rseau en fonction de cette
adresse que !ous pou!eK modifier si !ous le dsireK7 Cest cette
adresse qui sera utilise pour se connecter linterface we
dadministration7
Page <=
ITGStore-
consulting
!15/re $ + Configuration rseau de linterface !erte
La o4te dialogue qui suit !ous annonce la fin de
linstallation et !ous demande de retirer le C$ du lecteur puis
appu1er sur o@ pour continuer7
Ce qui suit prsent constitue la configuration initiale
dIPCop sa!oir le c-oi5 du t1pe de cla!ier' du fuseau -oraire'
du nom de la mac-ine Gce nom est galement utilis pour se
connecter linterface we dadministration la place de
ladresse IP7?' le nom de domaine ou du groupe de tra!ail7
Il faut ensuite c-oisir le t1pe de configuration rseau7 Pour
ce qui est de notre cas' nous allons c-oisir R GREEN P RED S7
%n fonction des quipements dacc6s Internet et nomre de
rseau5 que !ouleK connecter on aura esoin de #
Co22e<1o2 Mode8 ISDN US* ADSL EtCer2et
Gree2PRed =carte GG? =carte GG? =carte GG? 8cartes GG' 3?
Gree2P*;/ePRed
8cartes G+'
G?
8cartes G+'
G?
8cartes G+'
G?
Acartes G+' G'
3?
Gree2POr-25ePRed
8cartes G/'
G?
8cartes G/'
G?
8cartes G/'
+?
Acartes G/' G'
3?
Gree2POr-25eP*;/
ePRed
Acartes
G/' +' G?
Acartes
G/' +' G?
Acartes
G/' +' G?
Bcartes
G/' +' G' 3?
Page <=
ITGStore-
consulting
Puisque ,ous utilisons une conne5ion %t-ernet' pour configurer
notre rseau R G3%%,$ [ 3%$ S il nous faut a!oir deu5 cartes
rseau57
&ne carte pour le rseau !ert Ginterne? et qui aura comme
adresse IP 19#.168.1.1 ( cette interface relie un Switc- ou
directement une autre mac-ine laide dun cle crois qui
sera considre comme notre rseau interne7 Cette mac-ine
rece!ra une adresse IP qui lui sera attriue automatiquement
par le ser!eur $2CP dIPCop dans la plage 19#.168.1. $
19#.168.1.$
La deu5i6me carte sera affecte au rseau rouge
Ge5terne? sera en ralit constitu de tout le rseau
informatique dITGStore7
Il faut configurer un ser!eur $2CP pour le rseau Green7
Ceci permet de simplifier la tc-e de ladministrateur du rseau
en attriuant de faOon automatique les param6tres du rseau
Gadresse IP' masque' passerelle' $,S?
!15/re 6 + Configuration du ser!eur $2CP de linterface !erte
Page <=
ITGStore-
consulting
Il faut enfin entrer les mots de passe de lutilisateur Rroot
et -d812 S dIPCop7 Ces mots de passe permettent de se
connecter au s1st6me et linterface we dadministration
dIPCop puis appu1 sur o4 pour terminer linstallation et
redmarrer la mac-ine7
&ne fois linstallation et la configuration initiale termines'
la mac-ine redmarre et affic-e linterface de conne5ion de
lutilisateur root7
!15/re K + Interface de conne5ion de lutilisateur root
VIII-) CON!IGURATION DIPCo'
IPCop est configurale partir dune interface we7 $ans
nimporte quelle mac-ine du rseau !ert Gou e5terne si cela est
autoris dans le menu acc6s e5terne de longlet pare-feu?'
utiliser le na!igateur de !otre c-oi5 et taper ladresse dIPCop
-ttps#PPipcop-"m#BB<P ou -ttps#PP=H87=E;7=97=#BB<P oJ 1'3o'-G8
reprsente le nom de la mac-ine oJ IPCop est install'
=H87=E;7=97= reprsente ladresse IP de linterface !erte de la
mac-ine IPCop et BB< le port utilis par linterface we
Page <=
ITGStore-
consulting
dadministration dIPCop7 *pr6s a!oir tapeK !ous oteneK
linterface dadministration sui!ante
!15/re 8 + Interface we de conne5ion des utilisateurs admin et dial
>ous de!eK ensuite !ous connecteK7 *ppu1er sur le outon
conne5ion et metteK comme nom dutilisateur admin et comme
mot de passe celui que !ous a!eK !alid lors de linstallation
des configurations initiales7
La page dadministration dIPCop est di!ise en sept
onglets sa!oir #
S\ST%)%
%T*T
3%S%*&
S%3>IC%S
P*3%-.%&
3P>S G>P,?
Page <=
ITGStore-
consulting
X/&3,*&D
Pour la configuration de notre firewall IPCop nous allons
adopter les politiques sui!antes #
La premi6re politique sera de filtrer les url ceci pour
empLc-er la conne5ion certains sites "ugs indsirales par
le simple fait que lacc6s ces sites distrait normment le
personnel et empLc-e un meilleur rendement dans une
entreprise7
VIII.1-) Co2715/r-t1o2 d/ Pro<> et d/ 71;tre d/r;
La politique dIPCop est de tout fermer en entre et tout
autoriser en sortie7 Cette politique appara4t clairement dans le
fic-ier Bet3Br3.dBr3.71reA-;;. Ladministration par le na!igateur
nous permet dcrire simplement et mani6re plus con!i!iale les
r6gles dans ce fic-ier7
,ous allons faire le filtrage -ttp pour cela' nous allons
utiliser lutilitaire &rl.ilter qui est une fonctionnalit
additionnelle dIPCop7 Tlc-arger &rl.ilter dans le lien direct de
son site www7urlfilter7netPdownloadPipcop-urlfilter-=7H7=7tar7gK
Copier ce fic-ier dans une cl &S+ puis monter la cl dans
la mac-ine IPCop
Q84d1r B82tB/.@
Q8o/2t Bde0B.d-1 B82tB/.@
$compresseK le fic-ier tlc-arg # ]t-r <0M7 1'3o'-
/r;71;ter-1.9.1.t-r.5M
Page <=
ITGStore-
consulting
PlaceK-!ous sur le rpertoire ipcop-urlfilter ]cd 1'3o'-
/r;71;ter
%nsuite lanceK linstallation a!ec la commande ].B12.t-;;
&ne fois le fic-ier installer' alleK dans linterface we
dadministration dIPCop G-ttps#PPipcop#BB<P ou
-ttps#PP=H87=E;7=97=#BB<P ou -ttp#PP=H87=E;7=97=#;=P ?' cliqueK
sur Ser!ices puis sur Ser!eur mandataire GPro51? !ous !erreK
filtre durl qui appara4t dsormais sur cette page7
Coc-er les cases sui!antes puis enregistrer #
*cti!er le Pro51 sur green (
)ode transparent green (
.iltre durl7
Tlc-arger une lac@list de luni!ersit de Toulouse
dans le site ftp#PPftp7uni!7tlse=7frPla@clists7tar7gK cette lac@list
contient un ensemle des sites indsirales7 *lleK maintenant
dans longlet ser!ices et cliquer sur filtrage durl7 $ans mise
"our de la lac@list cliquer sur parcourir et alleK c-erc-er le
fic-ier contenant la lac@list tlc-arge puis cliqueK sur
c-argeK lac@list7 La liste ainsi c-arge est affic-e plus -aut ( il
suffit de coc-er sur une case de la lac@list pour que son
contenu soit loqu dans le filtre7
LintrLt de ce t1pe de filtrage est quil permet d!iter
la conne5ion certains sites tels que les sites pornograp-iques
les sites de "eu5 de musiques qui constituent une des
principales sources de perte de pour le personnel en entreprise7
Page <=
ITGStore-
consulting
Ce t1pe de filtrage est galement intressant pour les centres
multimdias car ici seuls les url autorises sont accessiles7
>oici un e5emple du filtrage url7 Lors de la configuration
d&rl.ilter' nous a!ons loqu lacc6s au5 sites a1ant dans leur
url le mot drague cTest--dire les sites we "ugs adultes7
Tapons dans un na!igateur dune mac-ine du rseau L*, lurl
-ttp#PPwww755l7com ' ce t1pe de site ntant pas autoris' notre
firewall ren!oie ceci lutilisateur concern #
!15/re 9 + Cas pratique dun filtrage durl
Ce t1pe de filtrage trou!e galement son intrLt dans les
centres multimdias pour empLc-es au5 "eunes la conne5ion
au5 sites "ugs adultes7
VIII.#-) Co2715/r-t1o2 D/ Ser013e IDS
Snort est un s1st6me de dtection dTintrusion open source
sur licence G,&' capale dTeffectuer en temps rel des anal1ses
de trafic sur un rseau IP7 Il peut effectuer des anal1ses de
Page <=
ITGStore-
consulting
protocole' rec-erc-ePcorrespondance de contenu et peut Ltre
utilis pour dtecter une grande !arit dTattaques7 Ce ser!ice
est important car permet de reprer et de retracer toutes
tentati!es de conne5ion non autorises au rseau !ert7
Ce s1st6me est par dfaut install dans IPCop et est
dsacti! par dfaut7 Pour utiliser ce ser!ice' !ous de!eK
daord !ous inscrire dans le site officiel de Snort #
www7snort7org 7 Linscription ce site !ous permet dacqurir le
code O124 ncessaire pour acti!er le ser!ice I$S dIPCop7 Ce
code est constitu de B9 caract6res alp-anumriques7
!15/re 1 + Configuration du ser!ice I$S
&ne fois le ser!ice install' il est dsormais possile de
reprer c-aque fois !ia le "ournal des I$S de retrou!er
lidentit des mac-ines qui ont essa1 de se connecter !otre
rseau7
VIII.(-) I2.t-;;-t1o2 et 3o2715/r-t1o2 de Co'!1;ter
Page <=
ITGStore-
consulting
Cop.ilter est une fonctionnalit additionnelle qui permet
IPCop de disposer dune solution anti!irus GClam*>' *>G G*nti-
>irus Guard?' .-Prot?7 Ceci permet de scanner en temps rel
tous les paquets transitant dun rseau lautre la rec-erc-e
d!entuels !irus7
Linstallation de Cop.ilter ncessite le tlc-argement du
fic-ier dans le lien direct du site -ttp#PPwww7worm-
fr7comPwi@iPlinu5PuploadsPIpcopPcopfilter-97;BetaAa7tgK 7 ,ous
allons la !ersion 97;BetaAa de Cop.ilter7
*pr6s a!oir tlc-arg le fic-ier' il faut le transfrer dans
la mac-ine IPCop soit de la commande SCP en utilisant le
protocole SS2' soit laide mmoire flas-7 Il faut ensuite
dcompresser le fic-ier en utilisant la commande ]t-r <0M7
3o'71;ter-.84@et-(-.t5M ensuite se positionner sur le
rpertoire contenant le fic-ier ]3d 3o'71;ter-.84@et-(- et
e5cuter la commande ].B12.t-;; pour lancer linstallation7
Pour dsinstaller Cop.ilter' se placer dans le rpertoire ]3d
B0-rB;o5B3o'71;terB.84@et-(- et e5cuter la commande
].B.et/'R/t1; S/
&ne fois fic-ier installer longlet Cop.ilter sa"oute
automatiquement dans linterface we dadministration
dIPCop7
Page <=
ITGStore-
consulting
!15/re 11 + Configuration de Cop.ilter
Page <=
ITGStore-
consulting
VIII.4-) Ge.t1o2 de tr-713
Page <=
ITGStore-
consulting
CONCLUSION
,otre stage acadmique ITGStore-Consulting a t tr6s
enric-issant' nous a!ons mis en place une politique de
firewalling grce la distriution IPCop7 Cette politique
implmente a la!antage quelle peut Ltre dplo1e et
adapte nimporte quelle structure au regard des
fonctionnalits quoffre IPCop7 Car la distriution IPCop utilise
pour son implmentation est financi6rement accessile
nimporte quelle structure7
Page <=
ITGStore-
consulting
&E*OGRAP)IE
www7ipcop7org
www7snort7org
-ttp#PPfr7wi@ipedia7orgPwi@iPIPCop
-ttp#PPwww7pcinpact7comPforumPinde57p-p^s-owtopicU:;=::
www7urlfilter7org
www7copfilter7org
-ttp#PPwww7generation-nt7comPfirewall-ipcop-securiser-son-
reseau-a!ec-linu5-article-8B;=;-=7-tml
-ttp#PPforum7rue-
montgallet7comPruemontgalletP/SalternatifsPinstallation-ipcop-
urlfilter-su"et_8=B=H_=7-tm
Page <=

Ipcop Final v1 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ipcop Final v1 1

Transféré par

Droits d'auteur :

Formats disponibles

Implmentation dune politique de firewalling grce IPCop

Vous aimerez peut-être aussi