Firewall IPCop : scuriser son rseau avec

Linux
IPCop est un systme d'exploitation complet bas sur un noyau Linux
optimis qui est destin assurer la scurit de votre rseau.
Utilisant trs peu de ressources systmes, il peut tre install sur
un vieux PC (233MHz / 64Mo de RAM) et fera office de pare-feu trs
performant pour l'ensemble de vos ordinateurs.

INTRODUCTION

IPCop est un projet Open Source dont le but est dobtenir une distribution Linux
compltement ddie la scurit et aux services essentiels d'un rseau. Ce systme
d'exploitation part entire fonctionne sur une machine ddie, et utilise trs peu de
ressources systmes (un ordinateur PC quip de 64 Mo de mmoire vive et d'un processeur
233 MHz suffit). Plus concrtement, IPCop va jouer le rle dintermdiaire entre un rseau
considr comme non sr (Internet) et un rseau que lon souhaite scuriser (le rseau local
par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci.
Pour ce faire, un ordinateur muni de plusieurs cartes rseau sera ncessaire, alors que
l'installation est la porte de toute personne possdant un minimum de notions en rseau IP
et en systme Linux (adressage, ping, commandes shell de base), pas la peine donc d'tre un
expert ;-).
Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du
pare-feu (ou firewall), les diffrents services proposs par IPCop, les plug-ins disponibles
ainsi que leurs fonctions. Puis, dans un second temps, nous dtaillerons linstallation dun
serveur IPCop avant de conclure en comparant ce systme par rapport d'autres solutions
existantes.
Dvelopp initialement partir du code source dun projet similaire nomm SmoothWall,
IPCop et celui-ci ont maintenant pris une orientation diffrente (cependant la procdure
dinstallation des deux systmes reste quasi identique, ce dossier pourra donc vous servir si
vous le souhaitez installer un serveur SmoothWall).
La configuration des services via linterface web dadministration fera quant elle lobjet
dun futur dossier.

FIREWALL ET ROUTAGE

La partie firewall dIPCop se compose de plusieurs interfaces dont chacune peut tre ou non
utilise, lexception de linterface rouge, qui elle, est obligatoire :

Rouge
Zone du rseau risque ( Internet ).

Vert
Zone du rseau protger ( rseau local ).

Bleu
Zone spcifique pour les priphriques sans fil. Il nest possible de faire communiquer
linterface Verte et linterface Bleu quen crant un VPN, des explications de John
Bradshaw traduites par Eric Boniface sont disponibles ici.

Orange
Zone dmilitarise ( DMZ ), cette zone est considre comme publique, elle est
accessible de lextrieur mais ne possde aucun accs sortant (pour des serveurs web
par exemple).

Le routage seffectue de faon automatique entre linterface dentre du trafic (rouge) et les
interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possde
comme passerelle l'adresse IP de la carte d'interface derrire laquelle elle se situe (par
exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte).

Voici un exemple plus parlant de schma rseau ralisable avec IPCop :

SERVICES

Les services permettent de crer diffrents serveurs, ou tout simplement d'ajouter un rle afin
qu'IPCop soit plus qu'un simple firewall ( pare-feu ).
Divers services sont disponibles avec IPCop, certains peuvent tre dsactivs tandis que
dautres qui sont ncessaires ne peuvent ltre. Seuls les services visibles depuis l'onglet "
Etat du systme " vont tre exposs ici, bien entendu d'autres sont disponibles mais ils feront
l'objet d'un futur dossier concernant l'interface web d'administration.

Description des services :

RPV
ce service vous permet de crer un Rseau Priv Virtuel ( VPN pour les intimes ) entre
votre IPCop et un autre IPCop. Il peut etre dsactiv si l'on ne fait pas de VPN.

Serveur CRON
cron est le nom dun dmon ( ou processus ) qui permet de planifier lexcution de
tches des dates et heures dfinies lavance, ce service pourrait tre compar aux "
Tches planifies " de Windows. Ce service ne peut tre dsactiv.

Serveur DHCP
vous permet de crer un serveur DHCP afin dallouer dynamiquement une adresse IP,
une passerelle et ladresse de vos serveurs DNS des ordinateurs dont les cartes

rseau sont configures en mode client DHCP ( GNU Linux et Mac ) ou

Automatique ( Windows ). Il peut tre dsactiv.

Serveur NTP
il s'agit l d'un service de serveur de temps, ceci permet de synchroniser l'heure de
votre IPCop en fonction de celle d'un serveur NTP d'internet. Il est possible de
dsactiver ce service.

Serveur Web
ne peut tre dsactiv car ce service permet l'accs l'interface web d'administration.

Serveur d'accs distance ( SSH )

vous permet daccder votre serveur IPCop via le protocole SSH (avec PuTTY dont
on peut automatiser les connexions par exemple). il peut tre dsactiv.

Serveur d'enregistrement de journaux

vous permet davoir des rapports de suivi des vnements survenus sur le rseau et les
services (tentatives dintrusion, trafic sortant et entrant, etc.). Ce service peut tre
dsactiv.

Serveur d'enregistrement des journaux du noyau

ce service peut tre dsactiv. Son rle est d'analyser le noyau du systme, vous
permettant ainsi de reprer les erreurs du systme.

Serveur mandataire (proxy)

peut tre dsactiv. Ce service permet de crer un serveur proxy jouant le rle de
tampon entre les ordinateurs de votre rseau et Internet.

Systme de dtection dintrusion

peut tre dsactiv. Il permet dactiver la dtection dintrusion sur les interfaces avec
les rgles Snort (inscription gratuite obligatoire sur le site de Snort pour pouvoir
profiter de ce service), il est possible de choisir linterface sur laquelle on souhaite
lactiver ou la dsactiver.

PLUG-INS

Des plug-ins (modules supplmentaires ) peuvent tre installs afin damliorer des services
existants ou afin dajouter des rles supplmentaires votre serveur IPCop.

AdvProxy
Advanced Proxy est, comme son nom lindique, un serveur proxy avanc. Il enrichit
ainsi les options existantes au niveau du proxy dIPCop, son installation est ncessaire
pour pouvoir utiliser et activer le plug-in URL Filter.

URL Filter
Ce plug-in vous permettra deffectuer un filtrage durl afin dinterdire laccs
certaines catgories de sites web (contenu pornographique, violence, drogue, hack,
warez, etc.).

CopFilter
On ne peut pas vraiment dfinir CopFilter de plug-in tellement ltendu de ce quil
apporte IPCop est importante. CopFilter regroupe en fait un ensemble de plug-ins
permettant deffectuer un contrle antivirus sur les e-mails entrants, de stopper le
spam ( pourriel ), deffectuer des tches de monitoring, etc.

Remarque : tous les plug-ins s'installent et se dsinstallent de la mme faon. Pour installer un
plug-in il vous suffit de tlcharger le fichier d'installation sur votre ordinateur, de le copier
sur votre serveur IPCop laide de lutilitaire WinSCP (attention il faut utiliser le port 222 et
non le port 22 par dfaut) puis enfin de taper ces commandes en SSH :

tar -xzf ipcop-NomDuPlugin-VersionDuPlugin.tar.gz

ipcop-NomDuPlugin/install

Une fois installs, les plug-ins seront disponibles immdiatement dans linterface web (aucun
redmarrage nest ncessaire).
Pour dsinstaller un plug-in il suffit de taper dans le Shell la commande :

ipcop-NomDuPlugin/uninstall

Cette liste de plug-ins nest bien sr pas exhaustive, il sagit l uniquement des plug-ins les
plus connus pour IPCop. A noter qu' AdvProxy et URL Filter sont galement disponibles pour
SmoothWall.
Attention :
Certains plug-ins, comme CopFilter, ncessitent des ressources systmes plus importantes
quun IPCop de base (il faut alors compter sur un PC quip d'un processeur 350 Mhz et de
256Mo de mmoire vive).

CONFIGURATION MATERIELLE

Etant dpourvu de tout lment non ncessaire au bon fonctionnement du systme (pas de
couche graphique, commandes et services non utiles supprims, etc.), IPCop ne ncessite pas
une grosse configuration pour fonctionner convenablement (un ordinateur PC ayant un
processeur 233 Mhz et 64 Mo de mmoire vive suffit pour un rseau dune vingtaine de
postes).
Cependant votre machine devra possder au moins autant de cartes rseaux que dinterfaces

que vous comptez exploiter (sauf si vous utilisez un modem pour linterface rouge) ainsi
quun lecteur CD-ROM pour effectuer linstallation. Il peut tre galement utile dajouter un
lecteur de disquettes si lon souhaite effectuer et restaurer des sauvegardes.

A titre indicatif, la configuration matrielle minimale est un processeur de type 386, 32Mo de
RAM, un disque dur de 300Mo, et une carte rseau (si vous utilisez un modem).
Un cran et un clavier sont bien videmment ncessaires pour linstallation, mais dont on
pourrait se passer une fois celle-ci termine ( condition de dsactiver lerreur correspondant
labsence de clavier au dmarrage dans le BIOS...).
La souris ntant pas prise en charge il faudra se dplacer laide de la touche [TAB] dans les
menus (un retour en arrire est possible laide de la combinaison [SHIFT] + [TAB], tout
comme sous Windows), ceux-ci seront valids avec la touche [ENTREE].

Note : Il est conseill dutiliser des cartes rseaux de marque ou de modle diffrents pour les
interfaces, ou alors de connaitre les adresse MAC de celles-ci. En effet, s'il y a des cartes
identiques IPCop ne pourra les diffrencier que par leur adresse MAC.
Par ailleurs les cartes rseaux dune marque base de chip dun autre fabricant ne sont pas
conseilles car elles risquent de ne pas tre reconnues lors de linstallation (par exemple une
carte rseau X base de chipset de marque Y qui est reconnu comme un modle du
constructeur Y dans Windows)

INSTALLATION

Avant de se lancer dans linstallation d IPCop sous la forme d'un tutorial, quelques tapes
pralables sont ncessaires.
Dans un premier temps, vous devrez tlcharger une image iso de la dernire version d IPCop
.
Une fois limage grave sur un CD il faudra vous assurer que votre BIOS est bien configur
pour que votre ordinateur boot sur le CD-ROM.
Une fois lordinateur allum et le CD dinstallation insr, au boot de la machine cet cran
apparait :

Il suffit dappuyer sur [Entre] pour confirmer que vous souhaitez bien procder
linstallation, ensuite celle-ci dmarre.
La langue que vous souhaitez utiliser pendant linstallation vous est alors demand, suivi dun
message daccueil.
Il vous sera ensuite propos de choisir le type de support dinstallation, votre machine ntant
pas forcment relie internet et tous les fichiers ncessaires linstallation se trouvant dj
sur le CD-ROM, vous slectionnerez ce mode dinstallation.

Un message de confirmation vous demandant dinsrer le CD d IPCop dans le lecteur

saffiche, ce message est normal, slectionner [OK].
Ensuite, un avertissement vous informe que votre disque dur va tre partitionn et qu'un
nouveau systme de fichiers va tre install sur celui-ci, slectionner nouveau [OK].
Le partitionnement du disque et linstallation des fichiers commencent alors, cette tape
termine il vous sera demand si vous souhaitez ou non restaurer une configuration dun
systme IPCop dfunt Cette option est trs pratique si vous dsirez crer plusieurs IPCop
avec les mmes rglages partir de configurations identiques.
Dans notre cas il sagit de notre premire installation, slectionner [Passer] pour poursuivre
linstallation.
Une nouvelle fentre concernant la configuration du rseau saffiche alors :

Il sagit ici de rechercher une carte rseau qui sera utilise pour linterface verte, une fois cette
carte rseau dtecte il vous sera demand de spcifier une adresse prive : cette adresse
correspondra la passerelle des ordinateurs du rseau vert.

Note : il est conseill de faire une recherche plutt que de slectionner manuellement une
carte dans la liste (Rappel : les cartes X base de chipset Y reconnues comme des cartes Y par
Windows sont viter)
Slection de ladresse IP de linterface verte, par exemple 192.168.1.1 :

Un message saffiche ensuite vous indiquant qu IPCop sest install avec succs et vous
demande de retirer le CD dinstallation du lecteur, une fois le CD ject appuyer sur [Entre].
Le systme redmarre alors, linstallation se poursuit et la disposition de votre clavier vous est
maintenant demande, slectionner fr-latin1 puis [OK], slectionner ensuite
Europe/Paris comme fuseau horaire (du moins si vous tes en France).
Un nom dhte vous sera ensuite demand, il correspond au nom sous lequel votre serveur
IPCop apparaitra sur le rseau, viendra ensuite le nom de votre domaine (laisser
localdomain si vous nen avez pas).
Arrive dsormais ltape de configuration du modem (si existant) :

Si vous possdez un modem pour vous connecter Internet, vous pouvez relier celuici directement votre IPCop, si tel est le cas il vous faudra slectionner un
priphrique dans la liste disponible ( *AUTODETECT* permet de simplifier la
recherche), puis activer le RNIS en poursuivant la suite de linstallation avec le bouton
correspondant. Votre modem sera ainsi dfini comme interface rouge.

Si vous ne possdez pas de modem, slectionner Dsactiver RNIS (ISDN) pour

poursuivre linstallation, une de vos cartes rseaux dsignera automatiquement
linterface rouge dans la suite du processus dinstallation.

Apparat alors le choix du type de configuration rseau :

Cest ici que nous allons choisir le type de configuration qu IPCop va adopter :
choix du type dinterfaces (rouge, verte, bleu et orange)
affectation des cartes rseaux une interface
configuration de ladressage IP des cartes rseaux
configuration du serveur DNS et de la passerelle (dans le cas o linterface rouge nest
pas configure via un DHCP ou un modem).
Une fois cette tape termine, slectionner [Continuer] pour passer ltape suivante.
Dsormais il va falloir configurer une adresse pour chaque interface. Linterface rouge peut
tre statique, dynamique, PPPoE ou PPTP (si modem) :

Il sagit ici de dfinir les adresses IP des diffrentes interfaces, ces adresses correspondront
la passerelle sur les postes qui seront connects derrire ces interfaces.
Concernant les interfaces verte, bleu et orange la configuration est identique :

Si vous navez pas activ ladressage via DHCP ( Dynamique ), il faudra prciser une
configuration de la passerelle et du DNS que linterface rouge devra utiliser.

Une fois le menu de configuration du rseau pass, il vous est possible de crer un serveur
DHCP pour linterface verte.
Le DHCP permet dallouer de faon dynamique une adresse IP, une passerelle et des adresses
de serveurs DNS un client qui se connecte sur le rseau. Ce type de service est trs pratique
lorsque ladresse dun serveur DNS ou dune passerelle change : en effet il nest alors pas
ncessaire de reconfigurer tous les postes du rseau ! Il facilite galement lajout dun poste

sur le rseau.
Les mots de passe des comptes root et admin vous seront ensuite demands, le compte
root a la possibilit de se connecter en local ou en SSH l IPCop tandis que le compte
admin permet daccder linterface web dadministration de celui-ci.
Attention :
Mme si vous avez slectionn un clavier franais lors de linstallation, celui-ci est encore
considr comme un clavier QWERTY : il faudra donc en tenir compte lorsque vous saisirez
les mots de passe sous peine de mauvaise surprise lors de la premire identification!!
Une fois ces tapes passes, un message vous informe que linstallation est termine et que
lordinateur va maintenant redmarrer.
Vous pourrez dsormais accder linterface web d IPCop en entrant l'une des adresses
suivantes :

http://AdresseIpInterfaceVerte:81

https://AdresseIpInterfaceVerte:445

sur le navigateur internet de nimporte quel poste prsent sur linterface verte, par exemple :
http://192.168.1.1:81
Cliquez sur Connexion dans linterface web pour activer le trafic internet, un nom
dutilisateur et un mot de passe vous sont alors demands, le nom dutilisateur est ici admin
et le mot de passe correspond celui que vous avez dfini pendant linstallation.
Une fois laccs SSH activ dans le menu Systme vous pourrez utiliser le compte root
pour accder au Shell ou envoyer des fichiers ( plug-ins par exemple ) sur votre serveur
IPCop.
Remarque concernant la commande " Setup " :
Tout ce qui a t dfini au-del de lextraction du CD-ROM dinstallation et du redmarrage
de la machine, peut tre modifi en tapant la commande setup dans le Shell ( en local ou
en SSH ).

CONCLUSION

IPCop permet dutiliser une machine de rcupration, mme trs vieille (64Mo de RAM,
processeur 233 MHz) pour couvrir les besoins en scurit internet de la plupart des PME, il
vous permettra ainsi de raliser des conomies par rapport dautres solutions disponibles sur
le march ralisant la mme tche.
la fois complet et lger vous ne pourrez plus vous en passer une fois que vous aurez got
son interface dadministration trs simple et intuitive. Par ailleurs ce systme ne demande
aucune maintenance particulire et est conu pour fonctionner non-stop pendant des mois sans
avoir besoin de redmarrer.
La possibilit d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil la fois
fiable et volutif. Par ailleurs, la facilit d'installation des mises jour et la non-ncessit de
redmarrer est un plus non ngligeable. Seule ombre au tableau : celles-ci ne s'effectuent pas
de faon automatique et il faut donc les vrifier de temps en temps l'aide de l'onglet prvu
cet effet...
L'avantage du serveur IPCop par rapport des solutions logicielles est qu'il n'est plus
ncessaire d'avoir un firewall d'install sur chaque poste du rseau, le serveur se chargeant
d'effectuer le filtrage en amont. En revanche, cela demande tout de mme d'avoir un
ordinateur supplmentaire qui sera install sur site. Contrainte que possde IPCop par rapport
des solutions physiques payantes qui prennent elles moins de place et qui possdent parfois
des rgles de filtrage que l'ont peut un peu plus affiner, mais le cot de ce genre de solution
( surtout si elles grent le VPN ) n'a rien voir avec celui d'un IPCop !