GUIDE D INSTALLATION

DE FIREWALL OPEN
SOURCE
Endian firewall

Endian firewall cest une distribution oriente scurit, bas sur Ipcop, qui
intgre une panoplie doutils tels que : le Firewall, lIDS, le Proxy, le VPN, la
passerelle antivirale etc. Dans ce guide on va dtailler la mise en place
des diffrents outils de cette distribution afin davoir une solution de scurit
complte dun rseau dentreprise.

Agence Nationale de la Scurit Informatique

Gestion de document
Auteur

Version

Date

Modification apporte

K. J

1.0

16/05/2011

Premire version

Document Publique

Document Interne

PLAN

Prsentation dEndian .............................................................................................................................. 3

1.

Fonctionnement .................................................................................................................................. 3

2.

Installation ........................................................................................................................................ 4

3.

Configuration des diffrents services dEndian firewall : ...................................................................... 15

3.1.

Le menu system : ................................................................................................................ 15

3.2.

Le menu status : .................................................................................................................. 15

3.3.

Le menu rseau : ................................................................................................................. 16

3.4.

LE MENU SERVICES : ............................................................................................................ 21

3.5.

LE MENU FIREWALL :........................................................................................................... 29

3.6.

LE MENU PROXY

: ................................................................................................................ 36

Prsentation dEndian
Endian est une distribution de scurit open source dont le but est dobtenir une distribution
Linux compltement ddie la scurit et aux services essentiels d'un rseau afin d'offrir une
protection maximale contre le vol de donnes, virus, spyware, spam et autres menaces
Internet. Plus concrtement, Endian intgre un firewall qui va jouer le rle dintermdiaire
entre un rseau considr comme non sr (Internet) et un rseau que lon souhaite scuriser
(le rseau local par exemple), tout en fournissant des services permettant la gestion et le suivi
de celui-ci qui seront grer travers une interface web ( Unified Threat Management UTM).
Dans ce guide nous aborderons le fonctionnement des interfaces, linstallation et la
configuration dEFW. Ensuite, nous dtaillerons les diffrents services proposs par Endian.

1.

Fonctionnement

La partie firewall dEndian Firewall se compose de plusieurs interfaces dont chacune peut tre
ou non utilise :

Rouge
Zone du rseau risque (Internet).

Verte
Zone du rseau protger (rseau local).

Bleu
Zone spcifique pour les priphriques sans fil (wifi). Il nest possible de faire
communiquer linterface Verte et linterface Bleu quen crant un VPN.

Orange
Zone dmilitarise (DMZ), cette zone isole, hbergeant des applications mises
disposition du public. Elle est accessible de lextrieur mais ne possde aucun accs

sortant (serveur web, un serveur de messagerie, un serveur FTP public, etc.).

Fig1. Schma de fonctionnement dEFW

2.
-

Installation
Tlchargez la dernire version dEndian

firewall depuis son

site officiel :

http://www.endian.com/en/community/download/
-

Une fois le fichier tlcharg, il ne vous reste plus qu' graver cette image sur un CD.

Dmarrer linstallation sur une machine ayant :

 Endian tourne sur une machine ddie (utilise tout le contenu du disque).
 Caractristiques minimales : processeur i386, 64Mo de RAM et 300Mo de disque
dur.
 Plus de RAM peut tre ncessaire pour les fonctionnalits proxy web ou la
dtection d'intrusion,
 Deux cartes rseau 10/100 Mb/s
 Un lecteur de CDROM permet une installation aise dEndian mais, vous pouvez
installer Endian partir du rseau via le protocole HTTP.
 Un lecteur de disquette n'est pas obligatoire mais se rvle utile pour la cration de
sauvegarde et la restauration de votre configuration.
 Endian peut galement tre install sur une carte Compact Flash

Tapez sue entre pour procder linstallation

Choisissez la langue

Cliquez sur Ok

Endian vous demande la confirmation pour formater les partitions existantes et procdez
linstallation.

Tapez ladresse de la carte rseau verte (celle du rseau local)

Linstallation dEFW est termin cliquez sur Ok .

Une fois linstallation dEndian Firewall termin il reste encore finaliser l'installation via
l'interface web. Pour cela lancez un navigateur web et tapez :

http://<l@IPdendian>

https:// <l@IPdendian:10443>

Vous allez tre redirig vers linterface suivante:

Choisissez la langue

Faites accepter la License

Cette option est utile en cas ou vous voulez restaurer le systme qui a t sauvegard
en restaurant un fichier de sauvegarde de configuration qui a t sauvegard au
paravent. Dans notre cas, choisissez non puisquil sagit dune premire
installation.

10

Choisissez les mots de passe du compte admin pour linterface web et du compte
root pour se connecter en mode terminal sur le systme.

Choisissez le type dinterface rouge (WAN), dans notre cas cest une interface
Ethernet statique.

11

Si vous allez dfinissez une zone orange pour le DMZ ou une zone bleue pour le wifi.
De mme dans notre cas il sagit dun simple firewall entre deux zones vert (Lan) et
rouge (WAN).

Vrifiez ladresse de linterface verte.

Slectionnez linterface rouge et la associer son adresse et sa passerelle.

12

Configurez votre DNS

Appliquez la configuration

13

Reconnectez-vous sur linterface web dEndian avec un login admin et le mot de

passe que vous avez lui associ si dessus.

14

Voici le tableau de bord dUTM Endian

3.

Configuration des diffrents services dEndian firewall :

3.1. Le menu system :

Cette section permet dafficher toute information concernant le systme et la configuration du
rseau et il vous donne la main de reconfigurer le rseau.

3.2. Le menu status :

Cette section permet dafficher :
-

Ltat du systme (les services, mmoire, utilisation disque, modules charg).

Ltat du rseau ainsi que les graphs du trafic rseau.

Il surveille les connexions tablies par iptables ainsi que par openvpn sil fonctionne.
15

Les statistiques des emails SMTP si la passerelle antivirale est fonctionnelle.

3.3. Le menu rseau :

Ce menu contient trois onglets :

 Edition des htes :

16

Endian contient un serveur DNS cache (dnsmasq) qui vrifie le fichier hte du systme pour
le nom de look-up. Dans cette section, vous pouvez dfinir une entre de l'hte personnalis
qui sera alors rsolu pour tous les clients.

 Routage :
-

Routage statique :

Permet d'associer des adresses de rseau spcifiques avec des passerelles donnes ou uplink
(liaison montante). Cliquez sur le lien Ajouter une nouvelle rgle pour spcifier une rgle de
routage statique.

17

Rgles de routage :

Permet d'associer des adresses de rseau spcifiques, des ports de service et des protocoles
avec des uplinks donns.

18

 Interface :
-

Editer une liaison montante :

Des Uplinks supplmentaires peuvent tre dfinies en cliquant sur l'onglet diteur
dUplink: choisir le type de liaison montante, puis remplir le formulaire spcifique de ce
dernier.

19

VLANs :
Les rseaux locaux virtuels (VLAN) peuvent tre dfinis en cliquant sur l'onglet VLAN.
Le support des vlans par Endian offre lide dassocier les vlans ids avec les zones du
firewall.

20

3.4. LE MENU SERVICES :

Endian peut fournir un certain nombre de services utiles qui peuvent tre configurs dans
cette section. En particulier, il s'agit des services utiliss par le proxy tel que : lantivirus
clamav. Ainsi que lIDS snort .
Voici donc la liste des services qui peuvent tre activs via Endian:
a) Serveur DHCP :
-

Le protocole DHCP (Dynamics Host Configuration Protocol) vous permet de contrler

la configuration des adresses IP de tous vos priphriques rseau via votre d'Endian
UTM de faon centralise.

Quand un client (hte client ou une imprimante en rseau, etc) se joint votre rseau, il
obtiendra automatiquement une adresse IP valide partir d'une plage d'adresses et
d'autres paramtres de la fonction DHCP. Le client doit tre configur pour utiliser
DHCP.

Vous pouvez choisir d'offrir ce service aux clients de la zone verte, ou comprennent des
dispositifs sur le ORANGE (DMZ) ou BLEU (WLAN) zone en cochant les cases
cocher qui sont tiquets.

21

b) DNS dynamique:
-

Les fournisseurs de DNS Dynamique comme DynDNS offre un service qui permet
d'affecter un nom de domaine des adresses IP. Cela fonctionne mme avec des adresses
qui se changent dynamiquement, tels que ceux offerts par des connexions ADSL.

Chaque fois que le changement d'adresse IP est effectu, la mise jour doit tre
activement propag au fournisseur de DNS dynamique.

Endian UTM contient un client DNS dynamique pour les 14 fournisseurs diffrents, si
elle est active, il se connectera automatiquement au fournisseur de DNS dynamique et
de lui demander la nouvelle adresse IP aprs chaque changement d'adresse.

22

c) Moteur de lantivirus:
-

Ce module vous permet de configurer la manire dont ClamAV devrait traiter les
archives et la synchronisation des mises jour de signature.

Le dmarrage de mise jour se fait manuellement, ainsi vous pouvez vrifier quand la
dernire mise jour a t effectue.

23

d) Serveur de temps:
-

Endian conserve l'heure du systme synchronis au serveur de temps sur internet en

utilisant le protocole NTP (Network Time).

Un certain nombre de serveur de temps sur internet sont prconfigurs et utilis par le
systme.

Cliquez sur les serveurs NTP Remplacer par dfaut pour spcifier vos propres serveurs
de temps manuellement. Cela peut tre ncessaire si vous utilisez une configuration qui
ne permet pas Endian daccder Internet. Ces htes doivent tre ajouts un par ligne.

24

e) Apprentissage Spam:
-

SpamAssassin peut tre configur pour faire un apprentissage automatique des e-mails
qui sont classs comme spams. Pour tre en mesure d'apprendre, il doit se connecter un
serveur IMAP et vrifier avec les blacklists de spam existants.

25

f) Prvention dintrusion:
-

Endian inclut comme moteur de dtection dintrusion systme snort .

Vous pouvez lactivez seulement sur la zone verte.

Pour les rgles de snort, soit :

 Dactiver loption de rcupration des rgles automatiquement et de planifier les
mises jour.
 Dimporter des rgles personnalises et manuellement.

26

g) Traffic Monitoring:
-

La supervision du trafic se fait par ntop et peut tre active ou dsactive en cliquant
sur l'interrupteur principal sur cette page.

Une fois que la supervision du trafic est active un lien vers l'interface d'administration
de ntop saffiche dans un autre onglet.

Cette interface d'administration est assure par ntop et comprend des statistiques
dtailles sur le trafic rseau. Ce dernier peut tre analys par hte, protocole, interface
rseau ainsi que des autres types d'informations.

h) Serveur SNMP:

27

Le Simple Network Management Protocol (SNMP) est peut tre utilis pour contrler
les diffrents lments du rseau. Endian intgre un serveur SNMP.

Si vous voulez lactiver, un peu d'options apparatra :

 Community string : cest une cl qui est ncessaire pour lire les donnes avec un
client SNMP.
 System contact email address : Le serveur SNMP ncessite une adresse email de
ladministrateur systme pour tre configur.

i) Qualit de service :
-

Permet de classer par priorit le trafic IP qui passe par votre firewall en fonction du
service.

Les applications qui ont gnralement besoin d'avoir la priorit sur le trafic en vrac
comme les tlchargements sont des services interactifs tels que Secure Shell (SSH) ou
de la voix sur IP (VoIP).

Vous devez alors configurer :

 Les priphriques : ajouter les priphriques (zone, interface, liaison montante,
VPN IPSEC).
 Les classes : classez les priphriques ajouts par classe.
 Les rgles : attribuez les priorits aux diffrents priphriques et/ou classes dj
dfinis.

28

3.5. LE MENU FIREWALL :

Cette section vous permet de configurer les rgles de votre firewall qui spcifient comment le
trafic rseau sera dirig.
Voici une liste de liens qui apparaissent sur le ct gauche de l'cran:

Port forwarding/NAT : pour configurer la redirection des ports et le NAT (network

address translation).

Outgoing traffic : permet dautoriser ou dinterdire le traffic sortant (vers le rouge) et

le paramtrer par zone, hte, port, etc

Inter-Zone traffic : permet dautoriser ou dinterdire la circulation entre les zone

VPN traffic : afin de prciser si les htes se connectant via un VPN doivent tre pass
par le firewall.

System Access : accorder l'accs l'hte Endian

a) Port forwarding/NAT:

29

Destination NAT :

Destination NAT est gnralement utilis pour permettre l'accs rseau limit partir d'un
rseau non scuris, ou de translater certains ports dautres adresses. Il est possible de
dfinir quel port de l'interface qui doit tre transmis un hte donn et le port.
-

Source NAT :

Cette section permet de dfinir quel trafic sortant la Source NAT doit tre appliqu. Cette
dernire peut tre utile dans le cas o vous avez un serveur derrire votre firewall Endian qui
possde sa une adresse IP externe et vous voulez que les paquets sortants utilisent une adresse
IP autre que celle de linterface RED du pare-feu. Pour ce cas, il faut ajouter des rgles NAT
Source est similaire l'ajout de rgles de transfert de port.
Exemple:
1- Configuration d'un serveur SMTP fonctionne sur IP 123.123.123.123 (en supposant
que 123.123.123.123 est son adresse IP externe) dans la zone dmilitarise avec NAT
source.
2- Configurer votre zone orange que vous le souhaitez.
3- Configurer le serveur SMTP l'coute sur le port 25 sur un rseau IP appartenant la
zone orange.
4- Ajouter une liaison montante (uplink) avec Ethernet IP statique 123.123.123.123
votre firewall Endian dans la section interface rseau.

30

5- Ajouter une rgle source NAT et spcifier, en tant quadresse source, l'adresse IP
ORANGE du serveur SMTP. Veillez utiliser NAT et dfinir la source de NAT
l'adresse IP 123.123.123.123.

Incoming routed traffic :

Avec ce module, vous pouvez rediriger le trafic qui a t achemin par le biais de votre
firewall Endian. Ceci est trs utile si vous avez plus d'une adresse IP externe et que vous
souhaitez utiliser certains d'entre eux dans votre DMZ sans avoir utiliser NAT.
b) Outgoing traffic

31

Endian est prconfigur avec un ensemble de rgles, qui autorisent le trafic sortant de la zone
verte en ce qui concerne les services les plus courants (HTTP, HTTPS, FTP, SMTP, POP,
IMAP, POP3s, IMAP, DNS, ping). Tous les autres services sont bloqus par dfaut. De
mme, l'accs HTTP, HTTPS, DNS et ping est autorise partir de la zone bleue (WLAN)
alors

que

DNS

et

ping

sont

autoriss

de

la

zone

orange

(DMZ).

Tout le reste est interdit par dfaut.

Dans ce module, vous pouvez activer/dsactiver, modifier ou supprimer des rgles en cliquant
sur l'icne approprie sur la ct droite de la table. Vous pouvez galement ajouter vos
propres rgles en cliquant sur le lien Ajouter un nouveau rgle pare-feu.
NB : l'ordre des rgles est important: la premire rgle correspondant au paquet dcide si ce
dernier est autoris ou non, peu importe combien de rgles de correspondance pourrait le
suivre.
c) Inter-Zone traffic:

32

Cette section vous permet de mettre en place des rgles qui dterminent la faon dont le trafic
peut circuler entre les diffrentes zones rseau, l'exclusion de la zone rouge. Endian est
fourni avec un ensemble simple de rgles prconfigures:
-

Le trafic est autoris de la zone verte toute autre zone (orange et bleu) et la circulation
est autorise dans chaque zone.

Tout le reste est interdit par dfaut.

Similaire au module Outgoing traffic , vous pouvez activez/dsactivez, modifier ou

supprimer des rgles en cliquant sur l'icne approprie sur la ct droite du tableau.
Vous pouvez galement ajouter vos propres rgles en cliquant sur le lien Ajouter une rgle
de pare-feu Inter-Zone

33

Le firewall Inter-Zone peut tre activs/dsactivs dans son ensemble en utilisant l'option
Activer le pare-feu Inter-Zone .
NB : Lorsqu'il est dsactiv, tout le trafic est autoris entre toutes les zones autres que la zone
rouge.
d) VPN traffic :

Le firewall VPN permet d'ajouter des rgles appliques aux htes qui sont connects via un
VPN.
Par dfaut, le firewall VPN est dsactiv, ce qui signifie que le trafic entre les htes VPN et
les htes de la zone verte puissent circuler librement, ainsi quavec toute les autres zones.
NB :
-

Noter que les htes VPN ne sont pas soumis aux autres sections du firewall Inter-Zone
traffic et Outgoing traffic .

La manipulation des rgles est identique la section Outgoing traffic .

34

e) System Access :

Dans cette section, vous pouvez dfinir des rgles qui accordent ou refusent l'accs au firewall
Endian lui-mme.
f) Firewall Diagrams :

35

Sur cette page vous pouvez trouver une liste de tous les modules du firewall. Pour chacun des
modules, un diagramme a t cr pour mieux comprendre le trafic.

3.6.

LE MENU

PROXY :

Un proxy est un service sur votre Endian qui peut agir comme un contrleur d'accs entre les
clients et les services rseau.
Si tout le trafic web passe par un proxy on lappelle proxy transparent. Un proxy non
transparent est reli par la configuration de votre navigateur. Voici une liste de proxy qui est
disponible sur Endian Firewall. Chaque proxy peut tre configur via les liens qui se trouvent
dans le sous-menu sur la ct gauche de l'cran:

HTTP : configurer le proxy Web, y compris les politiques d'accs, d'authentification,

filtrage de contenu et antivirus.

POP3 : configurer le proxy pour la rcupration du courrier via le protocole POP, y

compris filtre anti-spam et antivirus.

FTP : activer ou dsactiver le proxy FTP (scan des fichiers, qui sont tlchargs via
FTP, pour les virus).

36

SMTP : configurer le proxy pour l'envoi ou la rcupration du courrier via le protocole

SMTP, y compris filtre anti-spam et antivirus.

DNS : configurer un cache pour le serveur de noms de domaine (DNS), y compris

anti-spyware.

HTTP :

Configuration :
-

Activez le proxy sur la zone que vous voulez que le trafic http passe travers lui.(la zone
verte, orange ou bleue).

Choisissez le mode de proxy, soit:

 Mode transparent : tout le trafic passe travers lui sans aucune configuration sur les
navigateurs.
 Mode non transparent : vous devez configurer les navigateurs manuellement.

Configurer les autres champs.

37

Authentification :
-

Endian supporte quatre types dauthentification: Local Authentication (NCSA), LDAP

(v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) and Radius.

Chaque type dauthentification ncessite une configuration des paramtres diffrents.

Access Policy:
-

Les politiques daccs seront appliques pour tous les clients connects via le proxy,
indpendamment de leur authentification. Les rgles de politique d'accs sont les
politiques d'accs bas sur : le temps daccs, la source, la destination, l'authentification,
le type de navigateur, les types MIME, dtection de virus et filtrage de contenu.

Vous pouvez slectionner un type de filtre pour chaque rgle pour spcifier si laccs
internet est bloqu ou autoris, dans ce dernier cas, vous pouvez activer et slectionnez
un type de filtre.

Pour ajouter une nouvelle rgle suffit de cliquer sur Crer une rgle et de remplir vos
paramtres.

Content filter :
Pour tre en mesure d'utiliser le filtre de contenu, vous devez crer un profil ContentFilter
dans une rgle de politique d'accs. Le filtre de contenu dEndian (DansGuardian) utilise trois
techniques de filtrage qui peuvent tre dfinies chacun par un profil de filtre :
1- Le premier est appel PICS (Platform for Internet Content Selection). Il est une
spcification cre par W3C qui utilise les mtadonnes pour les pages Web afin
d'aider l'tiquette de contrle parental.
2- Le second est bas sur un systme de pondration de phrase, il analyse le texte des
pages web et de calcule un score pour chaque page.
3- La dernire mthode utilise une liste noire d'URL et des domaines. Toutes les URL
demandes seront recherches dans cette liste et ne sont desservies que si elles ne sont
pas trouves.
Antivirus :

38

Dans cette section vous pouvez configurer le moteur de scanner de virus utilis par le proxy
HTTP. (ClamAV, de Sophos Antivirus est disponible depuis la version 2.3).
-

Spcifiez la taille maximale des fichiers qui doivent tre scanns par lantivirus.

Vous pouvez ajouter une liste d'URL qui ne seront pas scanns par lantivirus.

AD join :
Dans cette section, vous pouvez joindre lannuaire Active Directory. Cela n'est possible que
lorsque l'authentification est dfinie bien sre sur Windows Active Directory (NTLM).

POP3 :

Dans cette section, vous pouvez activer ou dsactiver le proxy POP3 pour chaque zone. Vous
pouvez configurer les paramtres globaux du proxy POP3. Il est galement possible d'activer
l'antivirus et le filtre anti-spam pour les e-mails entrants. Si vous voulez logger chaque
connexion sortante POP3, vous pouvez activer Enregistrer les connexions sortantes dans le
journal du pare-feu .

FTP :

39

Le FTP (File Transfer Protocol) proxy est disponible seulement comme proxy transparent, ce
qui permet la recherche de virus sur les tlchargements FTP.
Vous pouvez activer le proxy transparent FTP sur la zone verte. Les options suivantes peuvent
tre configures :
-

Enregistrer les connexions sortantes dans le journal du pare-feu.

Spcifiez les sources ( gauche) ou destinations ( droite), qui ne sont pas soumis FTP
proxy transparent. Toujours spcifier un masque de sous-rseau, une adresse IP ou une
adresse mac par ligne par ligne.
 Passer outre le relai transparent depuis la Source
 Passer outre le relai transparent vers la destination

SMTP:

40

Le proxy SMTP (Simple Mail Transfer Protocol) relais et filtre le trafic e-mail comme il est
envoy vers les serveurs de messagerie.
Le rle du proxy SMTP est de contrler et optimiser le trafic SMTP en gnral et pour
protger votre rseau contre les menaces en utilisant ce protocole.
Le SMTP est utilis chaque fois qu'un courrier lectronique sera envoy par votre client de
messagerie un serveur distance (courrier sortant).
Il sera galement utilis si vous avez un serveur de messagerie en cours d'excution sur votre
rseau local (interface VERTE) ou votre DMZ (interface ORANGE) et permettent aux mails
envoys de l'extrieur de votre rseau (demandes entrantes). La configuration de proxy SMTP
est divise en plusieurs sous-sections.

DNS :

41

Dans cette section, vous pouvez activer le DNS proxy transparent pour la zone verte, orange
et zone bleue (si elle est active).
Vous pouvez galement dfinir quels adresses qui ne seront pas soumis DNS proxy.
-

Dans la partie gauche, Sources pouvant franchir le serveur mandataire transparent ,

soit un rseau, adresse IP ou adresse mac par ligne.

Dans la partie droite, Destinations pouvant traverser le relais transparent , soit un

sous-rseau ou adresse IP par ligne.

42