Vous êtes sur la page 1sur 50

Mise en place du Firewall IPCop

Réalisé par:

 Mohamed ZAOUI
Mise en place du Firewall IPCop

Sommaire

Introduction .......................................................................................... 3

I. Description du contexte et de l’architecture .............................................. 4

II. Les Interfaces réseaux ........................................................................... 5

III. Installation : .................................................................................... 6

Accès à IPCOP ........................................................................................ 24

1. Accès local en mode terminal ............................................................. 24

2. Accès à distance via un navigateur Internet ........................................... 26

3. Accès à distance via un accès Telnet sur SSH ........................................ 28

V. Installation des Add-Ons : .................................................................... 30

4. Installation de Advanced Proxy Transfert du fichier d’installation ............... 30

5. Installation de l’addon ...................................................................... 32

6. Configuration de Advanced Proxy ........................................................ 34

7. Activation du Proxy Avancé :............................................................. 34

8. Gestion du contrôle d’accès ............................................................... 35

9. Les restrictions de temps ................................................................. 35

10. Les limites de transfert ................................................................. 36

11. Réduction du téléchargement .......................................................... 36

VI. Installation de UrlFilter et Transfert du fichier d’installation................. 36

1. Activation du Filtreur d’URL ...........................................................37

2. Catégories de blocage ......................................................................37

1 Mohamed ZAOUI
Mise en place du Firewall IPCop

3. Blacklists personnalisées .................................................................. 38

4. Liste d’expressions personnalisées...................................................... 38

5. Bloquer les extensions de fichiers ...................................................... 38

6. Contrôle d’accès basé sur le réseau ................................................... 39

7. Contrôle d’accès basé sur le temps ................................................... 39

8. Paramètres des pages bloquées......................................................... 40

9. Paramètres avancés ....................................................................... 40

10. Ajout massif de Black List ........................................................... 40

11. Installation des blacklists .............................................................. 41

VI. Configuration de l’authentification : .................................................... 42

VIII. Installation des Addons supplémentaires : ............................................... 44

1. Installation de Update Accelerator....................................................... 44

2. Transfert du fichier d’installation ........................................................ 45

3. Installation de l’addon ...................................................................... 45

4. Configuration d’update Accelerator ...................................................... 45

IX. Configuration du navigateur client............................................................46

Conclusion........................................................................................48

Bibliographie.....................................................................................49

2 Mohamed ZAOUI
Mise en place du Firewall IPCop

De nos jours, la plus part des entreprises possèdent de nombreux


postes informatiques qui sont en général reliés entre eux par un réseau local.
Ce réseau permet d'échanger des données entre les divers collaborateurs
internes à l'entreprise et ainsi de travailler en équipe sur des
projets communs. La possibilité de travail collaboratif apportée par un
réseau local constitue un premier pas. L'étape suivante concerne le
besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire
Internet.

En effet, une entreprise n'est jamais complètement fermée sur elle même. Il
est par exemple nécessaire de pouvoir partager des informations avec les
clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi
laisser une porte ouverte à divers acteurs étrangers. Cette porte peut être
utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à
l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer
de telles actions sont nombreux et variés : attaque visant le vol de données,
passe-temps, ...

Pour parer à ces attaques, une architecture de réseau sécurisée est


nécessaire. L'architecture devant être mise en place doit comporter un
composant essentiel qui est le firewall.

3 Mohamed ZAOUI
Mise en place du Firewall IPCop

I. Description du contexte et de l’architecture

IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle
vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur
une architecture de type PC. Elle offre la classique Zone démilitarisée (dmz)
ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). IPCop
peut également servir de serveur mandataire (Proxy), serveur fournissant des
adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP),
et en installant des greffons ou modules, de bien d'autres choses (contrôle de
contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...).
Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée
(zone bleue).

4 Mohamed ZAOUI
Mise en place du Firewall IPCop

II. Les Interfaces réseaux

Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et
ORANGE. (Voir le graph précédent)

1) L'Interface réseau ROUGE


Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le
but premier d'IPCop est de protéger les autres réseaux (VERT, BLEU et
ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de
ce réseau ROUGE.

2) L’Interface réseau VERTE


Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en
règle générale d'un réseau local. Cette interface utilise une carte réseau
Ethernet dans la machine IPCop.

3) L'Interface réseau BLEUE


Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un
réseau séparé. Les ordinateurs de ce réseau ne peuvent accéder au réseau
VERT sauf par le biais d'œilletons ( << pinholes >> ) volontairement établis,
ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet
dans la machine IPCop.

4) L'Interface réseau ORANGE


Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs
accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au
réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un
oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau
Ethernet dans la machine IPCop.

5 Mohamed ZAOUI
Mise en place du Firewall IPCop

III. Installation :

1. Préalable :

Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou


4 cartes réseau en fonction de la configuration choisie. Il est préférable de
connecter directement les cartes à leur élément actif respectif. Il est rappelé
que les différentes interface d'un FireWall ne doivent pas être connectées au
même réseau physique ou
alors uniquement sur des ports appartenant à des VLAN 802.1q différents.

En règle générale, l'interface rouge est directement connecté au port LAN de


votre routeur d'accès Internet, le port vert au switch de votre réseau local, le
port orange à un switch (ou VLAN) dédié à votre DMZ et enfin l'interface
bleue directement à votre switch ou VLAN dédié aux bornes WIFI.

Nous considérons également que votre connexion internet est de type ADSL
ou SDSL et qu'elle se fait à l'aide d'un Routeur Ethernet, ce qui est la
majorité des cas dans les établissements.

Après avoir téléchargé la dernière version stable sur le site sourceforge.net,


gravez une image iso bootable.

6 Mohamed ZAOUI
Mise en place du Firewall IPCop

2. Lancement de l’installation :

Une fois le media crée, ce dernier doit être inséré dans le lecteur cdrom du pc hôte. Il est
alors nécessaire de booter avec ce cd (configuration requise dans le setup du poste).

A cet écran il est possible de démarrer l’installation en pressant « Entrée », les options
permettent soit de préciser certains paramètres liés au matériels soit de modifier des
paramètres tels que la langue d’installation, ou le partitionnement par défaut de l’installation.

Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons
Français.

7 Mohamed ZAOUI
Mise en place du Firewall IPCop

Valider en pressant la touche entrée.

Sélectionner ici Ok plus valider avec Entrée.

8 Mohamed ZAOUI
Mise en place du Firewall IPCop

Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers,
sélectionner Ok puis valider.

9 Mohamed ZAOUI
Mise en place du Firewall IPCop

Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner « Passer »
(en vous déplaçant avec les flèches puis en validant votre choix avec la barre d’espace) puis
valider.

Cet écran est primordial dans l’installation d’IPCOP car c’est ici que allez définir votre carte
réseau Green (VERTE) liée au LAN. IPCOP dispose d’un module de recherche et de
configuration automatique pour de nombreuses cartes réseau. Valider alors la fonction de
recherche.

10 Mohamed ZAOUI
Mise en place du Firewall IPCop

Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre
système. Vérifier que cette dernière correspond bien au matériel présent dans votre machine
et valider.

Sur cet écran vous allez définir l’adresse IP de votre carte réseau VERTE.

Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons
l’adresse : 192.168.1.1

11 Mohamed ZAOUI
Mise en place du Firewall IPCop

A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première
étape de la configuration.

Sur cet écran choisir le clavier correspondant à votre disposition de clavier. Dans notre cas
choisissons fr puis validons.

12 Mohamed ZAOUI
Mise en place du Firewall IPCop

Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.

Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous gardons
le nom par défaut, à savoir ipcop.

13 Mohamed ZAOUI
Mise en place du Firewall IPCop

A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut être
de type FQDN, nous choisirons dans notre exemple fpe.ac.ma, puis validez.

Cet écran permet de configurer une liaison (Rouge) de type RNIS ou Numéris (FT).
Aujourd’hui rare, nous choisissons de désactiver cette fonction.

14 Mohamed ZAOUI
Mise en place du Firewall IPCop

3. Configuration complémentaire :

Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors choisir le type
de configuration réseau nous retenons.

Valider en pressant « entrée »

Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+ORANGE+RED


(Les autres configurations seront détaillées plus loin), puis nous validons.

Il faut ensuite définir les affectations de cartes réseau (Pour la carte Rouge dans notre cas)

15 Mohamed ZAOUI
Mise en place du Firewall IPCop

Sélectionner Affectation des pilotes et des cartes puis valider.

Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider ici pour
effectuer une recherche de la carte réseau.

Une fois la carte trouvée, il nous est proposé de l’affecter au réseau RED (rouge). Valider à
ce niveau.

16 Mohamed ZAOUI
Mise en place du Firewall IPCop

A ce stade, tout va bien, il faut valider.

Nous allons désormais procéder à la configuration de l’adresse de la carte RED :

17 Mohamed ZAOUI
Mise en place du Firewall IPCop

Choisir RED puis OK.

Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au réseau rouge
(Souvent dans le réseau du routeur), soit de laisse le routeur ou le FAI nous fournir une
adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over
Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons
Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque
réseau proposé.

La configuration de l’adresse de la carte ORANGE :

18 Mohamed ZAOUI
Mise en place du Firewall IPCop

Choisir ORANGE puis OK

Ici nous pouvons choisir de saisir une adresse IP statique correspondant au réseau ORANGE
qui représente la DMZ.

Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit
interroger IPCOP.

19 Mohamed ZAOUI
Mise en place du Firewall IPCop

Saisir ici les adresses DNS de organisation , ainsi que l’adresse IP (LAN) de votre routeur.

20 Mohamed ZAOUI
Mise en place du Firewall IPCop

Il ne reste plus qu’à définir si IPCOP doit être serveur DHCP ou non.

En fonction de votre architecture, vous pouvez soit activer ou désactiver DHCP. Si vous
l’activer, vous devrez alors connitre votre plan d’adressage IP LAN, afin de créer l’étendue
DHCP. Dans notre cas nous n’activerons pas le DHCP.

21 Mohamed ZAOUI
Mise en place du Firewall IPCop

Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à
la dernière étape consistant à configurer les différents mots de passe du système. Valider
l’option « Continuer ».

Il est fort probable que l’écran de configuration DHCP apparaisse de nouveau, valider alors par
le bouton OK.

Le premier mot de passe que nous devons saisir est celui du compte « root » à savoir le
super utilisateur qui vous permet d’entrer en mode console sur votre ipcop et surtout de
pouvoir installer les AddOns.

22 Mohamed ZAOUI
Mise en place du Firewall IPCop

Si lorsque ce vous saisissez le mot de passe, rien ne s’affiche, c’est normal

Le second compte appelé « admin » permet quant à lui d’administrer IPCOP depuis l’interface
Web, ce compte ne permet pas d’ouvrir une session en mode console.

Enfin le dernier mot de passe permet de protéger la clé de cryptage des sauvegardes de
configuration d’IPCOP.

23 Mohamed ZAOUI
Mise en place du Firewall IPCop

Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarrer

Accès à IPCOP

1. Accès local en mode terminal

Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte
« root »

24 Mohamed ZAOUI
Mise en place du Firewall IPCop

Vous pouvez alors relancer la configuration IPCOP en tapant la commande « setup »

Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin.

N’oubliez pas de fermer votre session sur IPCOP avec la commande « logout »

25 Mohamed ZAOUI
Mise en place du Firewall IPCop

2. Accès à distance via un navigateur Internet

Pour des raisons que on ignore on a pu constater que l’affichage des menus était de meilleure
qualité avec Internet Explorer qu’avec Firefox. On utilise donc dans ce tutorial Internet
Explorer.

Exécutez alors votre navigateur Internet favori puis saisissez l’adresse IP GREEN de votre
IPCOP dans la barre d’adresse de votre navigateur suivie de :81 comme ci-dessous :

Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité :

26 Mohamed ZAOUI
Mise en place du Firewall IPCop

On arrive alors à la fenêtre de configuration IPCOP :

Il faut désormais vous connecter en cliquant sur le bouton « Connexion

Saisir ici le login « Admin. » avec le mot de passe configuré auparavant.

Vous avez désormais accès à toutes les fonctions de votre IPCOP.

27 Mohamed ZAOUI
Mise en place du Firewall IPCop

3. Accès à distance via un accès Telnet sur SSH

Pour cela nous allons sur la page de configuration Web dans l’onglet « Système » puis « accès
SSH »

28 Mohamed ZAOUI
Mise en place du Firewall IPCop

Il faut alors cocher les case « Accès SSH », et « autorise le transfert TCP », puis
« Enregistrer »

Nous pouvons désormais utiliser Putty pour administrer notre IPCOP à distance :

Noter bien la ligne en surbrillance : IPCOP écoute sur le port 222 pour SSH et non 22

Tout comme notre navigateur, Putty nous informe qu’il faut accepter un certificat pour
accéder a IPCOP, nous répondons donc Oui.

29 Mohamed ZAOUI
Mise en place du Firewall IPCop

V. Installation des Add-Ons :

Pour installer les add-on sur IPCOP nous allons avoir recours au logiciel permettant d’envoyer
des fichiers sur la machine IPCOP depuis un poste Windows à savoir WinSCP.

Pour utiliser WINSCP il est impératif d’avoir activé le protocole SSH sur l’IPCOP (voir plus
haut)

4. Installation de Advanced Proxy Transfert du fichier d’installation

Via WinSCP transférer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP

Saisir les informations de connexion puis cliquer sur « Connecter ».

30 Mohamed ZAOUI
Mise en place du Firewall IPCop

Comme pour Putty, il faut accepter le certificat.

Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre micro, et à
droite les fichiers de votre IPCOP.

Nous allons alors nous positionner dans le répertoire « tmp » de l’IPCOP.

La copie s’effectue par un simple Glisser-Coller, nous allons alors sélectionner le fichier
d’installation d’advancedProxy puis le glisser vers le répertoire /tmp de l’IPCOP

31 Mohamed ZAOUI
Mise en place du Firewall IPCop

La fenêtre suivante apparait pour confirmer la copie :

Cliquer sur Copier

Nous constatons que le fichier est bien copié.

5. Installation de l’addon

Nous allons alors passer en mode console ou directement sur notre machine pour installer cet
add-on.

Basculer dans le répertoire tmp, avec la commande « cd /tmp »

32 Mohamed ZAOUI
Mise en place du Firewall IPCop

Lister le contenu du répertoire avec la commande « ll»

En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

Pour lancer l’installation il faut taper la commande suivante : « /install » comme ci-dessous :

Une fois l’installation terminée, nous avons ce type d’écran :

33 Mohamed ZAOUI
Mise en place du Firewall IPCop

6. Configuration de Advanced Proxy

Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons
dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :

7. Activation du Proxy Avancé :

Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer.

Le mode transparent permet de se passer de toute configuration sur les postes clients au
niveau des navigateurs internet (paramétrage du proxy). Tout trafic passant par la passerelle
IPCOP sera analysé par le proxy.

34 Mohamed ZAOUI
Mise en place du Firewall IPCop

Si cette solution peut être séduisante nous verrons plus loin qu’elle peut poser quelques
problèmes dans certains cas.

8. Gestion du contrôle d’accès

La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permits
pour utiliser IPCOP.

Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites.

Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple.

Une adresse interdite, ne pourra pas accéder à internet !

9. Les restrictions de temps

La section restrictions de temps, permet de définir les horaires d’accès au web.

Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.

35 Mohamed ZAOUI
Mise en place du Firewall IPCop

10. Les limites de transfert

La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des
fichiers en réception et en émission.

11. Réduction du téléchargement

La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou


par poste client.

Pour toute modification des paramètres de l’AdvancedProxy ne pas oublier de redémarrer le


service en cliquant sur Sauver et redémarrer

VI. Installation de UrlFilter et Transfert du fichier d’installation

Via WinSCP transférer le package UrlFilter .x.x.x.tar.gz dans le dossier /tmp de l’IPCOP.

Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons
dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :

36 Mohamed ZAOUI
Mise en place du Firewall IPCop

1. Activation du Filtreur d’URL

Nous voyons ici que le filtreur d’URL est bien disponible, cependant pour l’activer nous devons
passer par AdvancedProxy.

Section UrlFilter :

Et bien sur ne pas oublier d’enregistrer les changements !

2. Catégories de blocage

Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer
simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter
d’autres catégories de blocage.

37 Mohamed ZAOUI
Mise en place du Firewall IPCop

3. Blacklists personnalisées

Dans cette section il est possible d’ajouter rapidement un domaine ou une URL à bloquer.

Un domaine est de la forme www.rasd.com

Une URL sera de la forme http://www.rasd.com/index.php

4. Liste d’expressions personnalisées.

Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans
une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer
toutes les URL contenant l’expression : Gateway

5. Bloquer les extensions de fichiers

Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…)
compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…)

Uniquement par le biais de la navigation HTTP.

38 Mohamed ZAOUI
Mise en place du Firewall IPCop

6. Contrôle d’accès basé sur le réseau

Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et
celle qui doivent être bannies.

7. Contrôle d’accès basé sur le temps

Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant :

Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la
journée (ici les postes du réseau 192.168.1.0/24 peuvent accéder sans restrictions au contenu
Internet de 10h00 à 12h00 du lundi au vendredi.)

39 Mohamed ZAOUI
Mise en place du Firewall IPCop

8. Paramètres des pages bloquées

Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être
bloqué.

9. Paramètres avancés

Vous pouvez également depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à
saisir l’ip de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur
bloquer l’accès aux sites pour cette (ou ces) adresse(s) IP

10. Ajout massif de Black List

Pour d’avantage de filtrage il est conseillé d’installer d’autres Blacklist complémentaire à celle
en place par défaut.

La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la
nouvelle liste de catégories alors disponible :

40 Mohamed ZAOUI
Mise en place du Firewall IPCop

11. Installation des blacklists

Dans le bas de cette page il nous est possible d’uploader un fichier de blacklist :

En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist :

On sélectionne le fichier blacklists.tar.gz

Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la


machine cette opération peut prendre de 1 à 10 minutes !

Ne surtout pas redémarrer votre IPCOP pendant cette période !!!

41 Mohamed ZAOUI
Mise en place du Firewall IPCop

VI. Configuration de l’authentification :

Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet.Cependant


pour activer cette fonction, plusieurs points sont à prendre en considération :

 Le mode Proxy Transparent doit être désactivé

 Les postes clients doivent donc être configurés pour passer à travers le proxy

Plusieurs méthodes d’authentification sont disponibles sous IPCOP :

Dans le bas de la fenêtre de configuration du Proxy Avancé nous avons :

1. None

L’authentification est désactivée, aucun login/mot de passe n’est demandé.

2. Local Authentification

Cette méthode d’authentification est la préférée des petites structures, la gestion des
utilisateurs et mot de passe est effectuée par IPCOP lui-même.

3. Authentification avec identd

Cette méthode est particulièrement prisée pour les entreprise ou

• L’authentification doit se faire de manière masquée

• Le Proxy doit fonctionner en mode transparent

• Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle
authentification.

Cette méthode requiert cependant l’installation d’un client idend sur les postes clients
(surtout Microsoft)

4. Authentification utilisant LDAP

Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille. Les
utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de
passe.

42 Mohamed ZAOUI
Mise en place du Firewall IPCop

Les informations sont alors vérifiées, par un serveur LDAP externe, Advanced Proxy
fonctionne avec ces type de serveurs LDAP :

• Active Directory (Windows 2000 and 2003 Server)

• Novell eDirectory (NetWare 5.x und NetWare 6)

• LDAP Version 2 and 3 (OpenLDAP)

Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy.

5. Windows authentification

Les utilisateurs doivent s’authentifier lorsqu’il accèdent au web, les informations


d’identification sont vérifiée par une contrôleur de domaine externe tel que :

• Windows NT 4.0 Server or Windows 2000/2003 Server

• Samba 2.x / 3.x Server (running as Domain Controller)

6. RADIUS authentification

Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations


d’identification sont vérifiées par serveur RADIUS externe :

Dans notre cas nous allons utiliser l’authentification Locale.

Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des
utilisateurs :

43 Mohamed ZAOUI
Mise en place du Firewall IPCop

Dans la partie droite de cette fenêtre nous avons la possibilité d’affecter 1 groupe parmi 3 à
chaque utilisateur :

Standard : Toutes les restrictions sont actives tout le temps

Etendu : Les membres de ce groupe outrepassent les restrictions

Désactivé : Permet de désactiver un compte sans le supprimer

Une fois les utilisateurs crées, ils apparaissent comme ci-dessous :

VIII. Installation des Addons supplémentaires :

1. Installation de Update Accelerator

Update Accelerator est un outil fort utile sur un réseau d’entreprise effectuant régulièrement
des mises à jour logicielles d’antivirus, de correctifs Windows et Linux. En effet ce dernier
stocke localement les produits téléchargés et les met donc à disposition localement pour les
utilisateurs de manière totalement transparente pour ce dernier.

Attention : Cet addon s’avère extrêmement gourmand en espace disque ou bout de quelques
temps (en fonction de votre parc) il malheureusement il ne s’installe pas sur la plus grande
partition Linux de votre IPCOP. Un disque dur d’un minimum de 40 Go et un
dimensionnement sont donc impératifs.

44 Mohamed ZAOUI
Mise en place du Firewall IPCop

2. Transfert du fichier d’installation

Via WinSCP transférer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de


l’IPCOP.

3. Installation de l’addon

Via l’utilitaire Petty, extraire et installer l’addon comme suit :

Extraire…

I
nstaller…

4. Configuration d’update Accelerator

Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP :

45 Mohamed ZAOUI
Mise en place du Firewall IPCop

Cependant pour activer la fonction de cet addon il est impératif de passer par le Proxy
Avancé :

Une fois activé une des seules actions à mener est de vérifier l’espace disque disponible de
façon régulière en cliquant sur Maintenance.

IX. configuration du navigateur client :

Il s’agit de configurer la navigateur pour passer à travers le Proxy :

Pour Internet Explorer : On click sur bouton droit dans l'icône IE puis
propriété/connexion/paramètres avancé:

Après on taper l'adresse de notre serveur Proxy et le port d'écoute

46 Mohamed ZAOUI
Mise en place du Firewall IPCop

Lors de l’ouverture du navigateur nous avons alors une fenêtre du type :

L’utilisateur peut alors changer son mot de passe à l’adresse suivante :

http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi

47 Mohamed ZAOUI
Mise en place du Firewall IPCop

La mise en place d'un FIRWAll IPCOP permet donc de sécuriser au


maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion
et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur
Internet beaucoup plus sûr, également permettre de restreindre l'accès
interne vers l'extérieur.

En plaçant un le firewall IPCOP limitant ou interdisant l'accès à des


services, l'entreprise peut donc avoir un contrôle sur les activités se
déroulant dans son enceinte.

Comme nous l'avons vu précédemment, la mise en place d'un FIRWALL IPCOP


propose donc un véritable contrôle sur le trafic réseau de
l'entreprise. Il permet d'utiliser le réseau de la façon pour laquelle il a été
prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une
personne sans autorisation d'accéder à ce réseau de données.

Ceci nécessite l'étude de différents points afin de bien dimensionner son


utilisation et être sûr de son choix. En effet, la mise en place d'IPCOP est
plus qu'un défi technique mais également humain. Il faut prendre en compte la
maintenance du IPCOP.

48 Mohamed ZAOUI
Mise en place du Firewall IPCop

Bibliographie :

 http://www.ipcop.org : site officiel de l’IPCOP


 http://www.sourceforge.net
 http://franck78.ath.cx - une interface aisée pour administrer le très populaire outil de
filtrage d'url squidGuard∞. Traduit en Italien, Français, Allemand, Néerlandais, Russe,
Portuguais et Anglais.
 http://firewalladdons.sourceforge.net - Addon Server pour IPCop possède une grande
variété d'outils tout prèts comme DansGuardian.
 http://www.ipadd.de - collection d'addons binaires et des liens relatifs à IPCop.
 http://www.urlfilter.net - URL filter un autre GUI pour squidGuard. Propose aussi la
gestion horaire!
 http://www.advproxy.net - Advanced Proxy remplace avantageusement la gestion de
base du proxy squid par une interface très complète (authentification, restriction,
ldap...).
 http://www.mhaddons.tk - une collection d'addons pour IPCop, dont copfilter updates,
Advanced QoS, Asterisk, Sarg, Nessus et Clamav 0.83
 http://www.zerina.de - OpenVPN et howto, l'équivalent IPSec en SSL.
 http://www.copfilter.org - Copfilter supprime silencieusement virus et spams présents
dans les courriels ou le trafic web.
 http://banish.sidsolutions.net - Banish bloque l'accès en spécifiant au choix adresse IP,
CDIR, Domain ou MAC Address.
 http://www.blockouttraffic.de - BlockOutTraffic (BOT) bloque le trafic sortant qui est
normalement autorisé lors d'une installation standard d'IPCop. Vous pouvez créer vos
propres règles au travers d'une interface graphique simple et intuitive pour réguler le
trafic vers at au travers de votre firewall.
 http://www.elminster.com - IPCop L2TP VPN Mod Modification to allow IPCop to be
used as an L2TP over IPSEC server for the standard Windows VPN client. Useful for
windows Roadwarriors.

49 Mohamed ZAOUI