Vous êtes sur la page 1sur 41

Les réseaux des EPLEFPA

Guide « IpCop »

Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010


Les réseaux des EPLEFPA – Guide IpCop 2

Table des matières


1Schéma de principe...............................................................................................................................................3
2A quoi sert IPCOP : ..............................................................................................................................................3
3Les Interfaces réseaux .........................................................................................................................................4
3.1L'Interface réseau ROUGE ...........................................................................................................................4
3.2L' Interface réseau VERTE ...........................................................................................................................4
3.3L'Interface réseau BLEUE ............................................................................................................................4
3.4L'Interface réseau ORANGE ........................................................................................................................4
3.5Niveau relatif de sécurité sur les interfaces réseau d'IPCop .........................................................................4
4Installation.............................................................................................................................................................5
4.1Préalable :......................................................................................................................................................5
4.2Début de l'installation....................................................................................................................................6
4.3Paramétrage par l'interface Web..................................................................................................................20
4.4Ajout des « add-on » nécessaires.................................................................................................................21
4.5Paramétrage des « add-on ».........................................................................................................................26
1.Advanced Proxy........................................................................................................................................26
2.URL Filter.................................................................................................................................................28
3.Block Out trafic (BOT).............................................................................................................................32
4.OpenVPN (Zerina)....................................................................................................................................40
Les réseaux des EPLEFPA – Guide IpCop 3

1 Schéma de principe

2 A quoi sert IPCOP :

IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle vise à fournir un moyen simple mais
puissant pour configurer un pare-feu sur une architecture de type PC. Elle offre la classique Zone démilitarisée
(dmz)ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais).
IPCop peut également servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique
(DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres
choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...). Le support des
clients sans fil est aussi prévu par le biais d'une zone dédiée(zone bleue).
Les réseaux des EPLEFPA – Guide IpCop 4

3 Les Interfaces réseaux


Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE. (Voir le graph
précedent)

3.1 L'Interface réseau ROUGE


Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger
les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de
ce réseau ROUGE.

3.2 L' Interface réseau VERTE


Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local.
Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

3.3 L'Interface réseau BLEUE


Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs
de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d'oeilletons ( << pinholes >> ) volontairement
établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

3.4 L'Interface réseau ORANGE


Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public. Les
ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n'établissiez
volontairement un oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau Ethernet dans la
machine IPCop.

3.5 Niveau relatif de sécurité sur les interfaces réseau d'IPCop


Le modèle de sécurité mis en œuvre avec IPCop comporte un réseau totalement sûr (VERT). Les requêtes
issues de ce réseau sont considérées comme légitimes et autorisées par IPCop (et ce qu'elles soient initiées par
un utilisateur ou par une machine infectée par un virus, un cheval de Troie ou toute autre sorte de
<< malware >> ).

IPCop 1.4.X supporte l'activation du système de détection des intrusions (IDS) sur chaque interface réseau de
la configuration. Il est fortement recommandé de surveiller le journal des évènements de l'IDS pour vos réseaux
internes dans le but de vérifier qu'aucune des machines dont vous êtes responsable n'a de comportement
étrange, comportement parfois signe d'une infection par un virus.

Un classement des réseaux proposés par IPCop par ordre décroissant de niveau de confiance donne la suite ci-
dessous :

ROUGE→ORANGE→BLEU→VERT
Les réseaux des EPLEFPA – Guide IpCop 5

4 Installation

4.1 Préalable :

Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou 4 cartes réseau en fonction de la
configuration choisie. Il est préférable de connecter directement les cartes à leur élément actif respectif. Il est
rappelé que les différentes interface d'un FireWall ne doivent pas être connectées au même réseau physique ou
alors uniquement sur des ports appartenant à des VLAN 802.1q différents.
En règle générale, l'interface rouge est directement connecté au port LAN de votre routeur d'accès Internet, le
port vert au switch de votre réseau local, le port orange à un switch (ou VLAN) dédié à votre DMZ et enfin
l'interface bleue directement à votre switch ou VLAN dédié aux bornes WIFI.
Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide
d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements.
Relevez quelques paramètres clefs sur votre interface actuelle avant de vous lancez dans l'installation :
• vérifiez comment vous obtenez actuellement une adresse IP : adresse IP statique, par DHCP , par
PPPOE ou par PPTP .
• si vous obtenez l'adresse par DHCP, vérifiez si votre système possède un nom d'hôte qu'il indique au
serveur de votre FAI.
• récupérez les adresses des serveurs de noms que vous utilisez. Le serveur DHCP de votre FAI peut vous
fournir automatiquement ces adresses ou vous pouvez avoir à les indiquer manuellement.
• relevez les éventuelles adresses par défaut de sous-domaine. Cela vous permet d'accéder à certains
services tels que mail ou news sans taper le nom d'hôte complet. Voyez l'explication dans le paragraphe
de configuration de DHCP .

Après avoir téléchargé la dernière version stable sur le site sourceforge.net, gravez une image iso bootable.
Les réseaux des EPLEFPA – Guide IpCop 6

4.2 Début de l'installation

Booter sur le cd

« Message indiquant la destruction de tout ce qui se trouve sur le disque dur »

Entrer

Choix des langues :

Français ok
Les réseaux des EPLEFPA – Guide IpCop 7

Message de bienvenue

OK

support en cd puis OK
Les réseaux des EPLEFPA – Guide IpCop 8

La procédure de détection du matériel et d’installation des paquets commence alors :

Si le matériel lui plait alors la préparation du disque dur peut commencer : (création de fichier log) = long ne
pas s’inquiéter, laisser faire !

Partitionnement (peut être long selon votre configuration matérielle)


Les réseaux des EPLEFPA – Guide IpCop 9

Une fois l’installation des paquets terminée, passons au premier paramétrage du pare feu.
Les réseaux des EPLEFPA – Guide IpCop 10

Si vous possédez une sauvegarde d’IPCOP choisissez l’emplacement sinon « passer » (sélection avec espace
puis tabulation pour descendre jusqu’à OK et entrer).

Etape de configuration réseau

Recherche carte réseau pour l’interface vert


Les réseaux des EPLEFPA – Guide IpCop 11

il en propose une ! !

ok si elle correspond bien a celle que vous vouliez coté LAN.

S’il y a un souci avec le


driver par rapport à votre
carte vous pouvez obtenir
cela…

Sinon la configuration continue

Saisir de l’IP et le masque de l’Interface verte (la carte qui sera reliée à votre LAN), par exemple :
10.31.1.2 avec le masque en 255.255.255.0
Les réseaux des EPLEFPA – Guide IpCop 12

retirer le cd

Menu de « Configuration du clavier »


Choisissez le bon clavier (généralement fr-latin1)

Menu de « Fuseau horaire »


puis le bon fuseau horaire.
Les réseaux des EPLEFPA – Guide IpCop 13

Menu de « Nom d'hôte »


Saisissez le nom d’hôte de votre serveur : (exemple : ipcop)

Si vous possédez un nom de domaine, indiquez-le ici. Si vous n'en possédez pas ou si vous ne souhaitez pas
l'utiliser, vous pouvez très bien accepter la valeur par défaut, << localdomain >> . Si vous envisagez de mettre
en place un VPN, vous pourrez préfixer << localdomain >> pour produire par exemple << x.localdomain >> et
<< y.localdomain >>

Ce nom de domaine sera automatiquement utilisé comme << suffixe de nom de domaine >> du serveur DHCP.

Menu de « Nom de domaine »

Saisir le nom de domaine : (exemple : pedago)


Les réseaux des EPLEFPA – Guide IpCop 14

Menu de « Configuration RNIS (ISDN) »

Comme nous connectons notre interface rouge directement au routeur Internet , il faut désactiver RNIS
Choisissez le bouton rouge ad hoc (tabulation)

Menu de « Réseau / Type de configuration réseau »

Maintenant il va être possible de choisir le type de configuration du FireWall (gestion de dmz, gestion de zone
wifi… en fonction de vos besoins que vous aurez préalablement déterminé : et donc du nombre de cartes réseau
que vous avez inséré dans votre machine !
Les réseaux des EPLEFPA – Guide IpCop 15

Dans notre exemple, nous choisissions une configuration à 3 cartes Ethernet, la Rouge vers le routeur Internet,
la verte vers le LAN et l'orange vers un switch DMZ.

Donc : configuration de type « green – orange – red »

Menu de « Réseau / Affectation des pilotes et des cartes »

Affectez les pilotes aux cartes en sélectionnant « rechercher »


IpCop doit trouver une carte et vous demander son affectation
Les réseaux des EPLEFPA – Guide IpCop 16

Si possible pensez à étiqueter les cartes physiquement : c'est parfois utile par la suite ...

Puis de même pour les autres affectations en utilisant la fonction de recherche automatique :

Ainsi de suite pour toutes vos interfaces


Les réseaux des EPLEFPA – Guide IpCop 17

Menu de « Réseau / Configuration de l'adresse »

Ensuite il va falloir affecter une adresse IP a chaque carte par le menu « Configuration des adresses » :

Interface par interface, en fonction du nombre de vos cartes, paramétrez les configurations IP :

Normalement la Green à déjà été faite précédemment (celle coté LAN). Vous pouvez tout de même revoir sa
configuration en la sélectionnant depuis la liste des interfaces.

Si elles sont présentes, vous configurez ensuite la carte Orange avec une IP privée de la zone DMZ, puis la
bleue avec une IP privée du réseau WIFI.

Enfin, si votre réseau ROUGE est de type Ethernet (majorité des cas en établissement), vous devez indiquer la
manière par laquelle l'interface obtient son adresse IP. Ceci dépend de votre FAI et du type de connexion.
Les réseaux des EPLEFPA – Guide IpCop 18

L'adressage statique est utilisé lorsque votre FAI vous fournit une adresse IP fixe (Cette adresse IP public fixe
est généralement délivrée sur votre demande auprès du FAI). Saisissez la dans le champ d'adresse IP de la boîte
de dialogue. IpCop déterminera automatiquement le masque de réseau. Vous pourrez toujours modifier ce
masque si nécessaire. C'est le cas généralement lorsque l'établissement est adhérent au réseau RENATER ou
que vous avez formuler une demande spécifique à votre FAI.

Attention: Votre réseau ROUGE doit posséder une adresse IP statique si vous envisagez d'utiliser la
fonctionnalité d'aliasing proposée par IPCop.

DHCP correspond au cas où votre FAI vous indique que vous devez utiliser un adressage automatique. La
connexion nécessite alors d'indiquer un nom d'hôte à leur serveur DHCP. Ce n'est très probablement pas le nom
d'hôte de votre IpCop. Vous pouvez éventuellement utiliser la première partie du nom de domaine pleinement
qualifié que vous avez relevé lors de la récupération des paramètres réseaux .

Si votre connexion se fait par PPPOE, votre FAI fournira toutes les informations nécessaires à la connexion de
sorte que vous n'avez rien à spécifier de plus après avoir sélectionné cette méthode de connexion.
Attention dans ce cas de figure la connexion se relance aux alentours de minuit pour changer d'IP.

Si votre connexion se fait par PPTP, vous devez indiquer l'adresse IP du réseau ROUGE ainsi que le masque de
réseau, tout comme dans le cas d'un adressage statique. Cette adresse est très fréquemment 10.0.0.150 avec le
masque réseau 255.255.255.0.

Si vous ne connaissez pas votre adresse IP: http://www.adresseip.com(depuis le reseau à tester!!!) si elle change
toute les 24h c'est que vous n'êtes pas en statique!!!!!

Quand vous en avez terminé, choisissez le bouton Ok pour revenir au Menu de configuration réseau .

Si vous êtes connecté au réseau RENATER, vous êtes très probablement en adresse ip fixe.
Sinon il y a de forte chance que vous soyez en PPPOE.
Les réseaux des EPLEFPA – Guide IpCop 19

Menu de « Configuration DNS et Passerelle »

DNS : Il s'agit généralement de ceux fournis par votre FAI

Passerelle : C'est l'adresse IP de votre routeur d'accès à Internet

Menu de « Configuration de DHCP »


A activer si vous souhaitez utiliser l'IpCop pour ce service. Dans ce cas, vous devrez indiquer la plage IP pour
les baux d’adresses à délivrer

Menu de « Mot de passe root » utilisé en console


Menu de « Mot de passe admin » utilisé pour l'interface WEB
Menu de « Mot de passe Backup » utilisé pour les opérations de sauvegarde

Attention lors de la saisie des mots de passe le curseur ne bouge pas


Notez bien vos différents mots de passe

Installation terminée, cliquez sur OK pour rebooter


Les réseaux des EPLEFPA – Guide IpCop 20

4.3 Paramétrage par l'interface Web

La suite du paramétrage s'effectue depuis le navigateur Web d'un PC positionné sur le réseau.

La connexion s'effectuera sur https://adresseIP_Verte_IpCop:445/ avec le compte admin

Vous pouvez vérifier et éventuellement effectuer la mise à jour de votre serveur grâce au
Menu de « Système / Mises à jour »
Téléchargez la dernière mise à jour stable sur le site sourceforge.net sur votre PC
Installez la grâce aux champs « transférer le fichier de mise à jour » prévu dans ce menu

Menu de « Système / Accès ssh »


Autoriser l'accès SSH et cochez toutes les croix
Les réseaux des EPLEFPA – Guide IpCop 21

Menu de « Services / Serveur Mandataire (Poxy) »

Activez le service
Activez le mode transparent sur Green (éventuellement sur Blue)
Passez le cache à 500 puis enregistrez

4.4 Ajout des « add-on » nécessaires

Téléchargez depuis un PC les dernières versions stables depuis les liens du site sourceforge.net
Les réseaux des EPLEFPA – Guide IpCop 22

Récupérez les fichiers « .tar.gz » des add-on suivants :

• BOT (BlockOutTraffic) → http://www.blockouttraffic.de/


• Advanced Proxy → http://www.advproxy.net/
• URL Filter → http://www.urlfilter.net/
• OpenVPN → http://www.openvpn.eu/ (Attention : le lien de sourceforge.net n'est plus à jour)

Décompressez ces archives dans des dossiers de votre pc à l’aide de l'utilitaire WinRar qui gère les formats de
fichier .tar et .tar.gz

Téléchargez et installez le logiciel WinSCP sur votre PC (http://winscp.net/). Il vous permettra de transférer les
add-on sur votre serveur IpCop grâce à une connexion sécurisée SSH

Exécutez WinSCP en indiquant les paramétres de votre IpCop, par exemple :


• host name : 10.31.1.2 port : 222
• root et mot de passe (Connexion en root obligatoire)

Choisir « oui »
Les réseaux des EPLEFPA – Guide IpCop 23

Interface avec coté gauche les dossiers de la station Windows et coté droit les dossiers de l’IPCOP.

Transférez les dossiers entiers des add-on dans le répertoire /tmp de votre IpCop
Les réseaux des EPLEFPA – Guide IpCop 24

Attention lors de la décompression ou lors du transfert, il est possible que les droits sur les fichiers soient
modifiés, ce qui pertuberait l'installation. Il faut donc modifier les droits à l’aide du clic droit / propriétés

Un système de cases à cocher permet de rétablir les droits en exécution (cochez les X) :
Les réseaux des EPLEFPA – Guide IpCop 25

Ensuite c’est en ligne de commande sur le serveur qu’il va falloir décompresser ces archives dans les sous
dossiers précédemment créés et lancer les installations de ces modules !
Vous pouvez également vous connecter en mode console depuis votre PC en utilisant le logiciel « Putty » dont
le paramétrage est le même que celui de WinSCP vu précédemment.

Vous devez vous connecter sur le serveur avec le compte root


Pour chaque add-on, vous devez vous positionner dans le répertoire où vous l'avez copié grâce à la commande
cd, par exemple « cd /tmp/ipcop-advproxy », puis exécuter la commande d'installation en fonction de l'add-on,
en général « ./install » ou « ./setup ».
Les réseaux des EPLEFPA – Guide IpCop 26

4.5 Paramétrage des « add-on »

1. Advanced Proxy

En interface web, maintenant dans le menu « Services » vous devez avoir le menu « proxy avancé »

Paramétrez le proxy. Interface Green et Blue en mode transparent si nécessaire :


Les réseaux des EPLEFPA – Guide IpCop 27

Activez les logs


Augmentez la Taille du cache en mémoire à 32 et sur le disque à 500

32 500

Vous pouvez choisir ensuite d'authentifier vos utilisateurs via un serveur LDAP, AD ou RADIUS. Attention,
cette possibilité ne fonctionne pas avec le proxy en mode transparent.

Sauver et redémarrer
Les réseaux des EPLEFPA – Guide IpCop 28

2. URL Filter

Idem pour de urlfilter : décompression préalable puis installation au travers de Putty ou en direct sur le serveur
firewall.

En interface web, dans le menu « Services » vous avez maintenant le sous menu « filtre d’url »
Les réseaux des EPLEFPA – Guide IpCop 29

Il faut d'abord activer le filtre d'URL dans le menu « Services / Proxy avancé »

Puis aller dans le menu « Services / Filtre d'URL » pour le paramétrer. IpCop intègre le chargement et la mise à
jour des « Black lists » tenues à jour par l’Université de Toulouse. Effectuez le téléchargement, paramétrez la
fréquence de mise à jour et sauvegardez vos paramètres :
Les réseaux des EPLEFPA – Guide IpCop 30

Sélectionnez les listes de site dont vous souhaitez interdire l'accès. Attention, certaines sont très restrictives et
bloque même l'accès à Google …

Vous pouvez également bloquer ou autoriser explicitement certains domaines ou sites


Les réseaux des EPLEFPA – Guide IpCop 31

Et enfin procéder à des réglages avancés comme, définir des adresses privilégiées non filtrées (votre propre PC
par exemple …), personnaliser le message d'erreur, activer certains champs des logs, ….

N'oubliez pas d'enregistrer vos paramètres …


Les réseaux des EPLEFPA – Guide IpCop 32

3. Block Out trafic (BOT)

Pour Block out traffic : décompression préalable, transfert en faisant attention aux soucis de droits, puis
installation ! (attention ./setup au lieu de ./install précédemment avec les autres addons)

En interface web, vous avez à présent dans le menu « Parefeu » les sous menu gérer le traffic sortant et
configuration avancée du BOT »
Les réseaux des EPLEFPA – Guide IpCop 33

Dans le menu « Parefeu / Gérer traffic sortant » choisir modifier

Vous devez ensuite saisir l’adresse mac du poste autorisé à administrer votre IpCop.
Vous trouvez l’adresse physique mac de windows avec la commande : ipconfig /all

Ensuite indiquez le port 445, cochez les suivantes (idem ci-dessous), sélectionnez reject et enfin cliquez sur le
bouton enregistrer

Ensuite vous pourrez : activer bot


Les réseaux des EPLEFPA – Guide IpCop 34

Par défaut, comme son nom l’indique, BOT (Block Out Traffic) va tout bloquer !!

Il s’agit donc maintenant d’ouvrir les ports nécessaires à nos utilisations dans les EPLEFPA. Les configurations
peuvent êtres différentes en fonction de l'utilisation de ce firewall suivant qu'il protége un réseau pédagogique,
un réseau administratif ou un mixte.

Il faut désormais créer des règles « d’acceptation de flux » de la carte verte (réseau LAN) vers la carte rouge
(routeur Internet).

Certains ports courants sont déjà présents dans BOT, et il suffira de les choisir dans une liste, d’autres sont à
créer en tant que service :

Exemple d’ouverture de port, le 510 pour notre messagerie first class (@educagri.fr) :
Les réseaux des EPLEFPA – Guide IpCop 35

Pour se simplifier la vie, il sera possible ensuite de créer des groupements de services, et ensuite il suffira de
faire une règle autorisant ce groupement de services à sortir de l’interface verte vers l’interface rouge. Par
exemple tous les protocoles de messagerie, puis un autre regroupement pour toutes les applis administratives …

Ci-dessous les services que l’on inclut dans ce groupement de services…


Les réseaux des EPLEFPA – Guide IpCop 36

Il suffit ensuite d'autoriser en une seule règle tout ce regroupement de services à sortir du « vert » vers le
« rouge » ou vers « any ».
Les réseaux des EPLEFPA – Guide IpCop 37

Attention à bien cocher règle activée (et journaliser si vous le souhaitez)

Elle apparaît ensuite dans liste des règles actuelles du serveur IpCop
Les réseaux des EPLEFPA – Guide IpCop 38

Voici la liste des principaux services dont vous avez besoin dans le cadre d'un EPL.
Vous pourrez les regrouper comme vu ci dessus avant de créer la règle les autorisant.

Autre exemple avec un regroupement de services pour sortir sur Internet :


Les réseaux des EPLEFPA – Guide IpCop 39

Exemple d'un regroupement de services pour les protocoles de messagerie :

Exemple d'un groupement de services pour les applications administratives :

Attention : le proxy transparent est activé. Il utilise le port 800.


Il faut créer un service proxy en port 800
Puis une règle qui autorise ce service à sortir de l’interface verte vers l’ipcop
Puis une autre règle qui autorise la sortie du service « domain » (déjà listé dans bot), lui
aussi de l’interface verte vers ipcop.
Les réseaux des EPLEFPA – Guide IpCop 40

4. OpenVPN (Zerina)

Pour Zerina (OpenVPN) : décompression préalable, transfert en faisant attention aux soucis de droits, puis
installation par la commande ./install. Le fichier d'installation de Zerina (install) doit être modifié
avant d'être exécuté. En effet, l'add-on ZERINA contrôle la version d'IpCop mais sans être à jour ...

La solution était sur un forum, (http://forums.ixus.fr) : il faut modifier le script d'installation.

Vous pouvez le faire en tant que root directement par la console unix du serveur ou par l'utilitaire WinSCP en
faisant un click droit/Editer sur le fichier install :

On retourne sur WinSCP, on clique de droite sur le fichier « install » puis « Editer » ce qui ouvre une fenêtre
d'édition. On descend à peine un peu, jusqu'à :

Sur la ligne de test if de la version (la première ligne en sélection ici), vous remplacez la version exigée par
l'installeur par celle que vous avez réellement installé (dans notre exemple 1.4..20). Attention si vous avez mis à
jour la version 1.4.20 vers la 1.4.21, il faudra bien évidemment saisir la valeur 1.4.21

Enregistrez le fichier modifié et exécutez le.


Les réseaux des EPLEFPA – Guide IpCop 41

Dans l'interface web, vous avez à présent dans le menu « RPVs » le sous menu « OpenVPN » qui va vous
permettre de configurer votre serveur.

La suite de la configuration du serveur et des ses clients est détaillée dans le guide « Les réseaux des EPLEFPA
- Clients OpenVPN » au chapitre traitant d'IpCop.