Vous êtes sur la page 1sur 55

RAPPORT DE

STAGE

PROJET : FIREWALL

Réalisé par : HACHCHADI Mohammed

Encadré par : MOUMEN Yassine

2013/2014
Dédicace
Tout d’abord et avant d’annoncer le 1er mot de mon
rapport, J’aimerais Que ce travail présente mes
respects :

A MES PARENTS :
Grâce à vos tendres encouragements et vos grands
sacrifices, vous avez pu créer le climat affectueux
propice à la poursuite de mes études.
Aucune dédicace ne saurait exprimer mes respects, mes
considérations et mes profonds sentiments pour vous.

A MES FORMATEURS :
Votre générosité et votre soutient m’oblige à vous
prendre en considération sur ce dédicace.

A TOUTES MES AMIES :


Trouvez ici le témoignage d’une fidélité et amitié infinies.

2
Remerciement
Le succès et la réussite de mon stage n’auraient pas été possibles,
sans la participation effective de certaines personnes, qui ont assuré
mon encadrement durant toute la période de formation alternance
prévue dans mon cursus scolaire.

A cet effet, je remercie, en premier lieu, Mr BEGDOURI Mohammed


le directeur Administratif et financier, qui ont eus l’amabilité de
nous autoriser à effectuer notre stage au sein de cette Division.

Pour mon encadrant :


Mr MOUMEN Yassine

Et mes collègues : Zakaria, Said, Abdelhak, Mohcine, Karim..

Que je remercie pour les conseils précieux qu’ils m’ont procurés tout
au long de mon apprentissage.

Je tiens à associer à ces remerciements tous les employés de


Cabinet Begdouri que je ne serais nommé individuellement pour leurs
coopérations et leurs gentillesses, qu’ils trouvent ci l’expression de
ma reconnaissance.

Je tiens également à adresser nos vifs remerciements à mon


formateur Mr Jamal Ben Rahal à qui je n’oublierai jamais
l’enseignement précieux qu’il m’a prodigué, et je le remercie aussi
pour la sympathie qu’il témoigne à mon égard.

3
Avant-Propos
- Les stages professionnels jouent un rôle capital dans la formation
des stagiaires des Instituts de Formation Professionnels, ils sont
le trait entre la théorie et la pratique.

- A cet effet, l’Institut de Formation organise chaque année des


stages pratiques en faveur des stagiaires au sein des
établissements publiques ou privés pour améliorer le rendement de
la formation à l’institut.

- Afin d’atteindre cet objectif, j’ai eu l’occasion d’avoir un stage au


sien du Cabinet Begdouri d’une période de Cinquante jours allant
du 02 Févier au 27 Mars 2014.

- J’espère que ce rapport sera apprécié par tous mes dirigeants, mes
enseignants et vous tiendrez au courant de toutes les étapes de ce
stage et activité de l’office.

4
De nos jours, la plus part des entreprises possèdent de nombreux
postes informatiques qui sont en général reliés entre eux par un
réseau local. Ce réseau permet d'échanger des données entre les
divers collaborateurs internes à l'entreprise et ainsi de travailler en
équipe sur des projets communs. La possibilité de travail
collaboratif apportée par un réseau local constitue un premier pas.
L'étape suivante concerne le besoin d'ouverture du réseau local vers
le monde extérieur, c'est à dire Internet.

En effet, une entreprise n'est jamais complètement fermée sur


elle-même. Il est par exemple nécessaire de pouvoir partager des
informations avec les clients de l'entreprise.

Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une


porte ouverte à divers acteurs étrangers. Cette porte peut être
utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent
nuire à l'entreprise (piratage de données, destruction,...). Les
mobiles pour effectuer de telles actions sont nombreux et variés :
attaque visant le vol de données, passetemps, ...

5
Pour parer à ces attaques, une architecture de réseau sécurisée est
nécessaire. L'architecture devant être mise en place doit comporter
un composant essentiel qui est le firewall. Cet outil a pour but de
sécuriser au maximum le réseau local de l'entreprise, de détecter les
tentatives d'intrusion et d'y parer au mieux possible. Cela permet de
rendre le réseau ouvert sur Internet beaucoup plus sûr.

De plus, il peut également permettre de restreindre l'accès interne


vers l'extérieur. En effet, des employés peuvent s'adonner à des
activités que l'entreprise ne cautionne pas, comme par exemple le
partage de fichiers. En plaçant un firewall limitant ou interdisant
l'accès à ces services, l'entreprise peut donc avoir un contrôle sur
les activités se déroulant dans son enceinte.

Le firewall propose donc un véritable contrôle sur le trafic réseau de


l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic
réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été
prévu. Tout ceci sans l'encombrer avec des activités inutiles, et
d'empêcher une personne sans autorisation d'accéder à ce réseau de
données.

6
Partie I :

Présentation de cabinet Begdouri

7
1) Présentation de Cabinet BEGDOURI

MOYENS MATERIELS ET TECHNIQUES DU CABINET


Le cabinet occupe un local de 164m² au cinquième étage de
l'immeuble N°10, sise à rue American au quartier de l'Océan.
Le Cabinet Begdouri est doté d'une configuration opérationnelle au
niveau informatique qui lui permet de mener à bien les missions qui
lui confiées. Ainsi la configuration matérielle est constituée de
quinze unités de travail : un serveur, trois stations de travail, sept
PC de bureau et quatre PC portables. Le cabinet dispose aussi de
deux imprimantes A4 laser noir et blanc, d'une imprimante A4 laser
couleur, de deux traceurs A0 couleur, d’une imprimante
photocopieurs A4 et a3 laser noir et blanc, d'une imprimante
photocopieuse A4 et A3 laser couleur et d'une imprimante scanner
photocopieur A0.
Par ailleurs, le cabinet a "également la capacité de mobiliser de
manière instantanée, si nécessaire. Des moyens beaucoup plus
importants compte tenu des relations denses et solides que le
cabinet a pu tisser avec en nombre important de professionnels et
de prestataires de services liés à son champ d'activité. Le cabinet
dispose aussi de trois voitures de services qui sont à la disposition du
personnel pour tous les déplacements sur chantier et visites sur le
terrain.

MOYENS HUMAINS DU CABINET


Grâce à l'expérience professionnelle du Chef de Cabinet aussi dans
le secteur public que dans le secteur privé, le cabinet dispose d'un
réseau relationnel avec des spécialistes-experts dans dévies
domaines liés à l'Architecture, à l'Urbanisme, à l'environnement et à
l'Aménagement du Territoire.
De ce fait, le Cabinet aux capacités de mobiliser - selon les besoins -
les profile de haut niveau.

8
L'équipe permanente du cabinet d'architecture Begdouri est
constituée de :
1 - -> Architecte-Urbaniste-Diplôme d-Architecte d.p.l.g : (juin 1980)
Diplôme des Etudes Approfondies (DEA) en Urbanisme (juin 1981)
1 --> Architecte-Diplôme de l'ENA (Octobre 2006)
1--> Géographe Urbaniste doctorant en urbanisme
1--> Informaticien Diplômé des Etudes Supérieures en
Management(ESIG)
1--> Economiste -Licence en sciences économiques (Juliet
2000) 1--> Secrétaire de Direction
1--> Technicien projeteur spécialisé en
Architecture(2005) 1--> Technicien spécialisé en
Urbanisme(2006)
1--> Technicien métreur(2007)
3--> Technicien dessinateurs(2010)
1--> Technicien infographiste(2007)

D'autres ressources humaines sont associées sans faire partie de


l'agence tels des architectes, économistes, ingénieurs, démographes,
juristes, sociologues et géographes au travaillent, selon la demande,
comme consultants.
Par ailleurs, le Cabinet est ouvert aux étudiants-chercheurs des
Institutions de formation supérieure telles l'Ecole Nationales
d'Architecture, l'Institut National d'Aménagement et d'Urbanisme,
la Faculté des Lettres (Département géographie), ainsi que d'autres
institutions d'enseignement supérieur au Maroc et à l'étranger

9
2) Organigramme de Cabinet BEGDOURI

3) Présentation de DSI

Au sein d'une entreprise, le DSI, directeur du service informatique,


est responsable des infrastructures informatiques et télécom.
Le rôle du DSI est de coordonner une équipe (service informatique)
dont l'objectif est de mettre en place et assurer la maintenance des
outils technologiques de l'entreprise.
Si sa fonction était à forte consonance technique il y a encore
quelques années, le DSI endosse aujourd'hui une responsabilité
toujours plus fonctionnelle.
Autrement dit, il est là pour assurer la mise en adéquations des
outils informatiques avec les objectifs stratégiques globaux de
l'entreprise.
Ainsi, la connaissance du métier de l'entreprise tend à prévaloir sur
la connaissance informatique.

1
MISSIONS
□ Développer, exploiter et maintenir l’infrastructure réseaux
et télécoms de l’entreprise ;
□ Piloter les projets d’infrastructure réseaux et télécoms ;
□ Gérer la sécurité du sysètme d’information ;
□ Administrer et assurer la maintenance de la plateforme
serveurs (matériels et systèmes d’exploitation) ;
□ Sécuriser l’infrastructure technique ;
ATTRIBUTIONS
1- Maintenir à niveau l’infrastructure réseaux et télécoms ;
2- Acquérir les moyens techniques et les prestations de
services afférentes à l’infrastructure technique réseaux et
télécoms ;
3- Mettre en place les normes et les procédures d’exploitation de
l’infrastructure technique réseaux et télécoms ;
4- Elaborer, mettre en œuvre et veiller à l’application de la politique
de sécurité du système d’information ;
5- Etudier les besoins de l’entreprise en termes de solutions
réseaux et télécoms ;
6- Encadrer et supporter les entités de l’entreprise ;
7- Suivre les accords avec les acteurs télécoms ;
8- Assurer la veille technologie ;
9- Dimensionner et gérer la capacité de l’infrastructure réseaux
et télécoms ;
10- Etudier les besoins des entités de l’entreprise en termes
de moyens réseaux et télécoms ;
11- Anticiper les besoins et proposer des plans d’évolution
; 12- Acquérir les solutions réseaux et télécoms ;
13- Piloter les déploiements de l’infrastructure ;
14- Elaborer les tableaux de bords des indicateurs de
performance de l’infrastructure ;
15- Gérer les contrats de services avec les prestataires
; 16- Suivre les accords s avec les partenaires télécoms ;
17- Fournir un support aux projets de l’entreprise intégrants le
volet réseaux et télécoms ;

1
Partie II : Présentation du pro

1
1
I. Introduction sur les firewalls
Un pare-feu (Firewall) est un système qui filtre les échanges
réseaux. Il y a essentiellement deux types de filtrages :

-Les pare-feu qui isolent deux réseaux. Leur rôle essentiel est de
restreindre les accès provenant de l’extérieur (par exemple
d’internet vers votre LAN). Ils peuvent aussi interdire des échanges
issus de l’intérieur (de LAN vers Internet).

-Les pare-feu qui isolent les applications du réseau. Ces pare-feu


sont locaux à un poste de travail ou à un serveur. Ils interdisent soit
des connexions provenant du réseau soit des échanges issus des
applications locales.

1. L’implémentation des pare-feu


Il est possible de distinguer les techniques pare-feu d’après la
couche réseau où elles sont implémentées.
- La couche réseau. Par exemple le code pare-feu des routeurs
filtrants est implémenté au niveau du pilote IP.
- La couche transport. Par exemple, la technologie SOCKS s’appuie
sur la couche transport. Elle permet de filtrer de manière
transparente tout transfert TCP.
-La couche applicative. Ici, le filtrage est effectué soit directement
par l’application réseau (le serveur) ou par une application
intermédiaire (un wrapper). Par exemple les directives Allow ou Deny
du serveur Web Apache limite les échanges à certains clients.
2. Les composants d’un pare-feu
Routeur filtrant
Le routeur filtrant transfère les paquets IP d’un réseau
à un autre. Il utilise essentiellement deux techniques pare-feu :
- Le filtrage des paquets IP.
- Le NAT (la translation d’adresse)

1
Proxy
Un proxy est une application qui sert d’intermédiaire entre un client
et un serveur. Le client envoie sa requête au proxy, et celui-ci la
réémet en direction du serveur. De même, la réponse du serveur est
reçue par le proxy qui la retransmet au client. Un proxy peut être
configure pour filtrer les requêtes. Des logiciels proxys peuvent
posséder de la mémoire cache, RAM et disque, qui améliore les
performances d’accès des postes du réseau intérieur.

Il y a essentiellement deux types de proxy :


- Les proxys applicatifs, associes a certains protocoles (par
exemple HTTP et FTP)
- Les proxys transparents qui sont des intermédiaires pour tout type
de protocole TCP. La technologie SOCKS est de ce type.

Rempart
Un rempart (Bastion Host) est un ordinateur accessible de l’exté-
rieur, cote Internet, et qui est donc vulnérable aux attaques. Il doit
être plus particulièrement protégé. Les remparts abritent les logi-
ciels Proxy et les services.

DMZ
Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau
accessible à partir du réseau extérieur et qui abrite les remparts.
L’accès au réseau est contrôle par des routeurs filtrant.

3Les
. logiciels linux de type pare-feu

iptables : cette commande configure le code Netfilter inclus dans le


pilote IP du noyau linux. Ce code permet de créer des pare-feu
isolant deux réseaux ou isolant les applications locales du réseau.

1
tcpd, wrap : cette commande ou cette bibliothèque implémente
un pare-feu applicatif qui peut filtrer les connexions réseaux pour
la plupart des services réseaux.

dante : ce logiciel implémente un serveur compatible SOCKS.

Squid : ce logiciel peut isoler deux réseaux s’il est installe sur un ser-
veur ayant accès à ces réseaux.

4. Les distributions linux de type pare-feu


La configuration de Netfilter est puissante mais complexe. Tous les
administrateurs n’ont pas forcement les compétences réseaux pour
élaborer un ensemble cohérent de règles Iptables. Il existe plusieurs
produits proposant une vision plus simple. Ce sont eux qui vont géné-
rer de manière transparente les règles Iptables. L’utilisateur, lui se
contente d’interdire ou d’autoriser tel out tel service et mettre en
place ou non le NAT. Les paquets proviennent non pas de la carte
eth0 ou ppp0 mais plutôt du réseau «gentil » (vert) ou « méchant »
(rouge).Concrètement, il effectue ses paramétrages soit via des fi-
chiers de configuration soit par une interface graphique.

Devil-Linux : Fonctionne complètement à partir d’un CD-Rom. La


configuration peut être stockée sur une clé USB.
Floppyfw : Routeur filtrant base sur debian.
Smooth Wall : Pare-feu à base de noyau 2.6
ipCop : Pare-feu pour le particulier ou l’entreprise, basé sur Smooth
Wall.

1
II. Iptables : théorie et implémentation

Le système Netfilter/iptables implémente un routeur filtrant. Il


peut donc servir comme pare-feu pour isoler deux réseaux grâce au
filtrage des paquets et au NAT. Il peut être utilisé également comme
pare-feu local. Dans ce cas, il protège les applications serveurs du
ré- seau ou bien limite les connexions internes à certains sites.
L’absence de pare-feu local est considérée comme une des failles ma-
jeures d’un système.
Netfilter est le code inclus dans le pilote réseau des noyaux Linux
2.4 et 2.6. La commande iptables configure Netfilter.

1- Les concepts de tables, chaines et règles


a) Les chaines et les règles

Une chaine est composée d’une pile de règles. Chaque règle d’une
chaine est composée de deux parties : un critère et une politique. Le
critère précise les cas d’application. La politique elle, précise l’action
accomplie.

Exemple : la chaine INPUT est composée des règles qui filtrent les
paquets destinés aux processus locaux. Une des règles peut avoir
comme critère la provenance du paquet, par exemple, le serveur DNS
et comme politique l’acceptation du paquet. Si un paquet provient du
serveur DNS il est accepté, il sera donc transmis à l’application
locale qui l’attend. Si le critère ne s’applique pas au paquet, on
examine la règle suivante de la chaine. L’ordre des règles est donc
primordial. Si aucune règle ne s’applique, on exécute la politique
associée à la chaine. Dans le cas de la chaine INPUT, cette politique
pourrait être par exemple de rejeter le paquet.

1
b) Les politiques des règles de filtrage
Les politiques natives :
Les politiques spécifient ce que l’on fait d’un paquet :
- ACCEPT on laisse passer le paquet.
- DROP le paquet est abandonné.
- QUEUE le paquet est transféré dans l’espace utilisateur (si
le noyau le permet).
- RETURN la politique finale de la règle s’applique sans
exploiter les règles suivantes.

Les politiques rajoutées :


Iptables peut utiliser des modules qui offrent un certain nombre
d’extensions spécifiant notamment de nouvelles cibles. Voici les
cibles rajoutées par les extensions standards :
- LOG le paquet est écrit dans le journal de bord (les logfiles)
- REJECT le paquet est abandonné comme DROP, mais un message
d’erreur ICMP est envoyé à la source du paquet.

c) Les tables
Les chaines gérées par Netfilter sont en fait incluses dans des enti-
tés plus vastes appelées « tables
». Chaque table correspond aux différentes possibilités d’iptables :
- La table filter filtre les paquets IP. Elle est constituée
des chaines INPUT, OUTPUT et FORWARD.
- La table nat effectue le NAT et de manière plus globale
elle permet de rediriger des paquets. Elle est constituée
des chaines PREROUTING, OUTPUT et POSTROUTING.
- La table mangle peut modifier certains champs des paquets
IP, par exemple leur priorité. Elle est constituée des chaines
PRE- ROUTING et OUTPUT.

1
d) Les différentes chaines prédéfinies
INPUT : les paquets destinés aux processus locaux passent par la
chaine INPUT.
OUTPUT : les paquets réseaux issus des processus locaux passent
par la chaine OUTPUT.
FORWARD : les paquets en transit provenant d’un réseau et destinés
à un autre réseau passent par la chaine FORWARD.
PREROUTING : la chaine PREROUTING peut modifier un paquet dès
qu’il entre dans le système avant qu’il soit routé.
POSTROUTING : la chaine POSTROUTING peut modifier un paquet
juste avant sa sortie du système après être passé par le module de
routage.

e) Les chaines utilisateur


Souvent, un ensemble de règles sont identiques d’une chaine à l’autre.
Pour simplifier la maintenance, il est possible de créer des chaines
utilisateurs. Ces chaines, dont le nom est à la discrétion de
l’administrateur, se compose comme de véritables sous programmes
de règles .Elles peuvent être appelées à partir de plusieurs chaines
prédéfinies, typiquement INPUT et FORWARD.

2- Exemples d’utilisation des commandes iptables


Nous disposons de deux machines linux pour faire les tests : une
machine sera le pare-feu et l’autre sera la machine autorisée pour
certains services et l’attaquant en même temps.
Nous allons configurer notre firewall en ligne de commande de la
manière suivante :

- On bloque tous le trafic entrant par défaut.


- On autorise au cas par cas : le trafic appartenant ou lié à des
connexions déjà établies et le trafic à destinations des
serveurs (web, ssh, etc.) que nous souhaitons mettre à
disposition.

1
Nous allons saisir toutes les commandes dans un script Shell ensuite
l’exécuter.

Lister les règles courantes : iptables –L

Remarque : la première commande (iptables – L) : elle liste les


règles pare-feu de la tables filter.

Supprimer les règles prédéfinies par les commandes suivantes :


[root@localhost root]# iptables –F
[root@localhost root]# iptables –X

2
Exemple de script automatisé pour la mise en place d’un firewall
local
#!/bin/bash
#Nom du script /etc/init.d/parefeu_local
#date de creation le 2 mars 2014
#auteur hachchadi
#configuration parefeu local pour un serveur linux
#
#chkconfig: 2345 08 92
#description : parefeu local pour un serveur linux
case "$1" in
start)
echo "demarre le parefeu"
iptables –X
iptables –F
iptables -A INPUT -i lo -j ACCEPT;iptables -A OUPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -j LOG
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
;;
stop)

echo "arrete le parefeu"


iptables –X
iptables –F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
;;
status)
iptables –L
esac

#FIN DU SCRIPT

On pourra démarrer le script après l’avoir rendu exécutable par la


commande : #/etc/init.d/parefeu_local start

2
III. Mise en place d’un firewall logiciel avec la
distribution IPCop
1- Qu’est -ce que IPCOP ?
IPCOP est un projet Open Source dont le but est d’obtenir une
distribution GNU/Linux complètement dédiée à la sécurité et aux
services essentiels d'un réseau. C’est une distribution linux faite
pour protéger un réseau des menaces d’Internet et surveiller son
fonctionnement. IPCOP est gratuit, il est téléchargeable sous forme
d’un fichier image à graver sur cd. IPCOP est distribué sous la
licence
« GNU General Public License », ce qui signifie, en d’autres termes,
que le logiciel en lui-même est distribuable gratuitement
(cf.http://www.gnu.org/copyleft/gpl.html pour la licence complète).

2- Possibilité de mise en place d’IPCOP


IPCOP permet de fonctionner sous plusieurs configurations possibles
:
 Partage d’une connexion Internet : IPCOP sert alors de
passe- relle entre Internet et le réseau interne.
 Partage d’une connexion Internet avec une DMZ (zone
démilita- risée) : IPCOP sert de passerelle et gère une DMZ (il
faut donc 3 interfaces réseau). Les serveurs dans la DMZ
doivent être en ip fixes, il suffit ensuite de configurer IPCOP
pour qu’il route les demandes venant d’Internet vers les
serveurs adaptés selon les ports.
 Partage d’une connexion Internet + DMZ + point d’accès wifi :
IPCOP peut gérer des clients wifi, ils sont séparés du réseau in-
terne.

Dans la philosophie IPCOP, les zones sont schématisées par des cou-
leurs :
- La zone RED représente internet.
- La zone ORANGE représente la DMZ.
2
- La zone BLEU représente les clients wifi (qui sont dans un ré-
seau séparé).
- La zone GREEN représente le réseau interne.

Le schéma ci-dessous représente la configuration par défaut


du pare-feu de la passerelle, à savoir :

- Le réseau interne (le LAN) peut accéder à toutes les zones.


- La zone wifi peut accéder internet et à la DMZ.
- La zone DMZ pourra accéder à internet.
- Aucun accès depuis Internet
Pour autoriser un accès à un serveur situé dans la DMZ (zone
orange), il faudra le spécifier au travers de l’interface web d’IPCOP.

Accès autorisés par défaut.

2
3- Liste de services offerts par IPCOP

Voici la liste des services offerts par IPCOP :

- Interface web pour l'administration et la configuration


d’IPCOP en français.
- Affichage de l'état du système et graphiques
CPU/Mémoire/Disque/trafic sur période
journalière/semaine/mois/année.
- Informations sur les connexions en cours.
- Serveur SSH pour accès distant sécurisé.
- Proxy HTTP/HTTPS.
- Serveur DHCP.-
- Cache DNS.
- Renvoi de ports TCP/UDP/GRE.
- Support des DNS dynamiques.
- Système de détection d'intrusion (interne et externe).
- Support VPN pour relier des réseaux distants entre eux ou
se connecter à distance avec un poste.
- Accès aux logs par interface web : du système, de la
connexion vers Internet, du proxy, du firewall, de la détection
des tentatives d'intrusion.
- Mise à jour d'IPCOP par l'interface web.
- Sauvegarde de la configuration du système sur disquette.
- Synchronisation sur serveur de temps, peut servir le temps
aux machines internes.
- Arrêt/Redémarrage à distance.
- Support des modems RTC/RNIS.
- Support de la quasi-totalité des modems ADSL USB et PCI
(Voir la liste du matériel compatible dans la section
documentation de www.IPCOP.org).
- Possibilité d'utiliser une DMZ avec gestion des accès.
- Possibilité de sécuriser un réseau sans fil.

2
4- Configuration minimale requise :
Ce système d'exploitation à part entière fonctionne sur une machine
dédiée, et utilise très peu de ressources systèmes :
- un ordinateur PC équipé de 64 Mo de mémoire vive et
d'un processeur à 233 MHz suffit
- 300 Mo d'espace disque
- Carte graphique compatible VGA pour l'installation
- De deux à 4 interfaces réseau Ethernet
- Connexion Internet (Modem, Câble, ISDN, ADSL,...)
- Un lecteur CD-Rom pour l’installation.

Pour l’utilisation de tous les services, en particulier pour le serveur


mandataire (proxy web / cache DNS), il faut mieux prévoir un
processeur type pentium 200, 64 Mo de ram, et 500Mo de disque
dur.
Lors de l’installation d’IPCOP, le disque dur de l’ordinateur est
complètement utilisé, qu’il soit petit ou gros. Il faut donc une
machine avec un seul disque (un deuxième disque dur serait inutile et
inutilisable car IPCOP ne sert qu’à faire passerelle et rien d’autre,
et il n’utilise qu’un seul disque dur).

2
IV. Installation d’IPCOP :
1- Où trouver IPCOP ?
IPCOP est disponible en téléchargement dans la section download du
site www.ipcop.org.
IPCOP est disponible sous forme de fichier source à compiler et sous
forme d’une image à graver sur un cd. Pour installer IPCOP, le plus
simple est de télécharger l’image de sa version la plus récente puis de
la graver sur un CD avec un logiciel adapté (nero ou easy cd creator
par exemple).Le cd, une fois gravé, est un cd bootable.

2- Installation
1. D’abord, pensez à vérifier qu’il n’y a pas d’information à
sauvegar- der sur le disque car IPCOP va tout effacer.
2. Ensuite, régler le bios de l’ordinateur pour qu’il boot sur le cd.
3. Insérer le cd et démarrer, l’écran suivant devrait apparaître :

2
4. Appuyer sur entrée pour démarrer l’installation.
5. Ensuite, il faut simplement suivre les instructions, la chose
consiste en choisir le langage pour l’installation : Il faut donc
se placer sur « Français » et appuyer sur la touche entrée

6. Le programme d’installation vous souhaite la bienvenue, appuyer


sur entrée.
7. Le programme vous demande la source pour l’installation,
choisissez le lecteur cd-rom.

8. Confirmer ensuite que le CD-Rom se trouve dans le lecteur en


appuyant sur entrée.

2
9. On en vient au formatage du disque, appuyer sur entrée pour
com- mencer (cela prend quelques minutes).

10. Le programme d’installation permet de rétablir une


configuration d’IPCOP qui a été sauvegardé sur disquette, pour
reproduire les ré- glages effectués (dans le cas d’une réinstallation
par exemple). Dans le cas où vous n’avez pas de disquette, déplacer
vous sur le bouton « Passer » grâce à la touche de tabulation et
appuyer sur entrée.

2
11. Il s’agit maintenant de trouver les drivers adapté à la carte
réseau qui sera sur la zone verte (coté réseau interne). Si la carte
réseau est dans la liste du matériel compatible fourni sur
www.ipcop.org , les pilotes devraient être automatiquement
trouvés en appuyant sur la touche« recherche ». Si le matériel
n’est pas détecté, il y a possibilité de lui attribuer des pilotes
manuellement avec la touche « sélectionner ».

12. Ensuite, il faut configurer cette carte réseau, on entre donc


l’adresse ip de la passerelle vu du réseau interne étant (on est dans la
zone « verte »).

2
13. Le programme d’installation vous demande maintenant de
retirer le cd, obéissez et appuyer sur entrée pour continuer
l’installation.

14. Choisissez le type de clavier : « fr » pour un clavier français.


15. Sélectionnez ensuite le fuseau horaire auquel vous appartenez,
soit Afrique/Dakar pour notre cas.
16. Ensuite, entrez un nom pour la passerelle (ex : « ipcopTdsi
»). Ainsi qu’un nom de domaine à la fenêtre qui suit.

3
Ainsi qu’un nom de domaine à la fenêtre qui suit.

17. Le programme propose maintenant de configurer la connexion


RNIS, dans le cas où vous en n’avez pas, choisissez directement
l’option « Désactiver RNIS (ISDN) ».
18. On arrive maintenant à une étape importante : la configuration
du réseau. Le menu suivant apparaît :

3
19. Allez dans « Type de configuration réseau » pour
choisir l’architecture du réseau. Voici les possibilités
proposées :

Nous avons choisi l’architecture qui nous convient : GREEN +


ORANGE + RED

20. Ensuite, il s’agit d’attribuer des pilotes aux cartes réseau qui n’en
ont pas (la carte sur la zone verte étant déjà configurée) en allant
dans « Affectation des pilotes et des cartes ».

3
Choisissez OK pour configurer les pilotes. Les captures d’écrans sui-
vants sont un exemple avec une architecture « GREEN + ORANGE+
RED», On voit qu’il faut attribuer un pilote à la deuxième carte ré-
seau (de la zone orange) :

Ensuite il faudra faire de même pour la carte RED et si tout se passe


bien nous aurons l’écran suivant :

3
21. Toutes les cartes réseau ayant un pilote, il s’agit maintenant
de leur attribuer une adresse IP. L’adresse IP de la zone verte
étant déjà configurée.
Allez dans « Configuration de l’adresse » pour attribuer une adresse
IP à toutes les autres cartes réseau.

3
Configuration de la zone Orange (dmz)

Zone Internet (Rouge) Attribuez un adresse IP à chaque zone puis


aller sur « continuer » quand vous avez fini.

3
Remarque :
Si votre zone rouge est un carte réseau (donc pas un modem), il est
possible de configurer pour cette zone seulement en client DHCP (de
manière à ce que ce soit le routeur par exemple qui transmette
l’adresse IP et les DNS).

22. Pour finir avec ce menu, allez dans « Configuration du DNS et


de la Passerelle » pour choisir un DNS et une passerelle par défaut.
Il est peut probable que vous ayez besoin de configurer ces
informations manuellement : Dans le cas d’une zone rouge avec
modem, ces infos sont envoyé par le FAI (rien à configurer).Dans le
cas d’une interface rouge connectée à un routeur : ou la passerelle
est client dhcp du routeur (et là, rien à configurer), ou vous avez
donné une adresse IP statique à l’interface rouge (et dans ce cas, il
faut renseigner les DNS et la passerelle manuellement).

23. Enfin, la dernière étape est d’entrer un mot de passe pour


l’administrateur du poste (« root ») et un pour l’administration
distante (au travers du site web soit l’utilisateur («admin»).

Mot de passe de root : Begdouri

3
Mot de passe de l’utilisateur admin : cabegdouri

Mot de passe de la clé de cryptage des sauvegardes : hachchadiBeg

24. Pour finir, le programme redémarre l’ordinateur, IPCOP


est installé.

3
25. Ecran de démarrage et connexion en ligne de commande

3
Connexion en ligne de commande avec root

Commande ifconfig pour vérifier la configuration réseau des


interfaces.

3
V. Administration d’IPCOP
1Accès à l’interface d’administration d’IPCOP
-
L’accès à l’interface d’administration se fait du réseau interne étant
grâce à n’importe quel navigateur web récent à l’adresse suivant:
https://<@ip_passerelle>:445.

4
2Présentation de l’interface :
-
L’interface web est composée de 7 menus déroulant que nous allons
détailler en commençant par le menu « système ».Nous allons
présenter les principales fonctions de chaque page de ce site web.

3Menu
- Système

Le menu système contient des sections pour configurer IPCOP, et


l’interface web :
Section Accueil : C’est la première page affiché lorsqu’on accède à
l’interface d’IPCOP. Cette page permet principalement de
connecter/de connecter la passerelle d’Internet.
Section Mise à jour : permet de savoir si une mise à jour est
disponible. Si une mise à jour est disponible, il suffit de la
télécharger et de la transférer à IPCOP grâce à cette même section.

4
Section Mot de passe : permet de changer le mot de passe de
l’utilisateur ‘admin’ (qui est l’administrateur d’IPCOP) et le mot de
passe de l’utilisateur ‘Dial’ (utilisateur qui simplement le droit de
connecter/déconnecter Internet dans le cas d’une connexion par
modem.
Section Accès SSH : permet d’activer ou de désactiver le ser-
veur SSH sur la passerelle. Le serveur SSH peut être utile pour faire
des choses qu’on ne peut pas faire directement sur le site web
d’IPCOP (ex : changer une l’adresse IP d’une interface).
Section Interface graphique : permet de choisir la langue des pages
web et d’activer/désactiver les menu déroulant pour les navigateurs
non compatibles avec JavaScript.
Section Sauvegarde : permet de sauvegarder ou de restaurer sa
configuration d’IPCOP. Il est aussi possible d’effectuer une
sauvegarde sur disquette pour restaurer cette configuration lors
d’une réinstallation complète d’IPCOP.
Section Arrêter : permet d’arrêter et de redémarrer la passerelle.
Section Crédits : pour contacter les auteurs d’IPCOP.

4Menu
- Etat

On trouve dans ce menu des informations sur l’état du système :

Section Etat du système : permet de connaître l’état de tous les


services ainsi que l’utilisation de la mémoire et disque.
Section Etat du réseau : permet de visualiser l’adresse ip des
interfaces réseau, de voir les clients dhcp et les tables de routages.
Section Graphiques système : permet de visualiser sous forme de
graphique l’utilisation du processeur, de la mémoire et du disque dur
sur les dernières 24 heures, le dernier mois, la dernière semaine, le
dernier mois ou la dernière année.
Section Courbes de trafics : permet de visualiser sous forme de
courbes le trafic sur chaque interface (sur chaque zone) sur les
dernières 24 heures, le dernier mois, la dernière semaine, le dernier
mois ou la dernière année.

4
Section Graphes du proxy : donne des graphiques sur l’utilisation du
serveur mandataires.
Section Connexion : permet de visualiser le connections en cours sur
la passerelle.

5Menu
- Réseau

Ce menu est dédié à la configuration du modem RTC ou ADSL (si vous


avez un routeur, ce menu n’est pas utile) :
Section Connexion : permet de rentrer les paramètres de connexion
fournie par le FAI, il est possible d’avoir plusieurs profils de
connexion (dans le ou vous avez plusieurs abonnements par exemple,
si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de «
repli »).
Section Chargement : permet de télécharger les drivers pour faire
fonctionner certains modems.
Section Modem : permet de modifier les commandes pour les
modems RTC.

6Menu
- Services

C’est ici qu’on configure tous les services de la passerelle :

Section Serveur Mandataire (proxy) : permet de configurer le


serveur mandataire (qui correspond au proxy web et au cache dns).

Section Serveur dhcp : permet de configurer le service dhcp de la


zone verte (et bleue si il y en a une).

Section DNS Dynamique : permet de mettre en place un client pour


mettre à jour un DNS dynamique (type dyndns.org, no-ip.com, …).

Section Hôtes statiques : permet d’ajouter des hôtes avec ip


statiques.

4
Section Serveur de temps : permet à la passerelle d’être un client
NTP d’un part et d’être un serveur NTP pour le réseau interne
d’autre part (attention : le serveur NTP met quelques heures avant
de fonctionner).

Section Lissage de trafic : permet de limiter les débits montant


et descendant des clients qui vont sur internet. On peut aussi,
donner des priorités différentes selon les services pour faire de
la qualité de service.

Section Détection d’intrusion : permet d’activer ou de désactiver les


sondes de détection d’intrusion sur toutes les zones.

7Menu
- Pare-feu

Ce menu permet de configurer le pare-feu :

Section Transferts de port : permet de définir des règles de


transfert de port pour donner accès des services d’internet étant
sur le réseau interne ou sur la DMZ si il y en a une.
Section Accès Externes : permet d’ouvrir des ports pour accéder à la
passerelle d’Internet.
Section Accès à la DMZ : (menu qui existe si la zone orange existe)
permet d’ouvrir des accès direct entre la DMZ et le réseau interne.

8Menu
- RPVs

On crée ici les Réseaux Privés Virtuel (ou Virtual Private Network en
anglais) :
Section RPVs : permet de créer des vpn (réseau à réseau, ou postes à
réseau).

4
9Menu
- Journaux

Ce menu permet d’accéder à tous les journaux générés par IPCOP et


ses services :

Section Configuration des journaux : permet de choisir si les


journaux doivent être affichés dans l’ordre chronologique et
chronologique inverse. On peut aussi choisir d’envoyer les journaux
sur un serveur syslog et changer le niveau de verbosité.
Section Résumé des journaux : cour résumé des journaux du serveur
mandataire, du système, du serveur sshd et de l’utilisation du disque.
Section Journaux du serveur mandataires : permet de visualiser les
journaux du proxy web (la section existe seulement si la
journalisation a été activée).
Section Journaux du pare-feu : permet de visualiser les journaux
d’accès au pare-feu.
Section Journaux IDS : permet de visualiser les tentatives
d’intrusion détectée par les sondes du détecteur d’intrusion.
Section Journaux système : permet de visualiser les journaux
systèmes (systems, dns, dhcp, ssh, ntp, …)

10- Utilitaire setup


L’interface graphique ne permet pas de tout faire, en particulier
changer l’adresse IP d’une carte réseau ou changer de type de
passerelle.
L’utilitaire setup permet de :
 Configurer le type de clavier (fr, us, …).
 Changer de fuseau horaire.
 Modifier le nom de la passerelle.
 Modifier le nom de domaine.
 Modifier la configuration réseau de la passerelle.
L’utilitaire setup permet par exemple de passer d’un réseau GREEN +
RED à GREEN + RED + ORANGE par exemple sans réinstaller le pare-
feu.

4
Pour accéder à l’utilitaire setup, il faut se connecter à la passerelle
au travers de ssh attention :
le port d’écoute du serveur ssh intégré à ipcop est le 222 et non 22
ailleurs), s’identifier en tant que root et taper « setup ». C’est un
menu graphique très simple à utiliser :

Utilitaire setup d’IpCop

4
VI.Paramétrage :
1Autoriser l’accès SSH
-
SSH permet de se connecter de manière sécurisée sur une machine

Linux à distance. On va autoriser SSH sur le pare-feu IpCop pour

transférer des fichiers par exemple. Allez dans le menu Système

puis la section accès SSH

Ici cochez :-

- Accès SSH-
- Autorise le transfert TCP
- Permettre l’authentification par mot de passe
- Permettre l’authentification par clé publique

Ces paramètres vont nous permettre d’accéder à notre firewall


depuis notre PC et d’y transférer les fichiers nécessaires à
l’installation des plugins.

4
2Mise
- en place d’addons

L’ajout d’addons ou de plugins permet d’étendre les fonctions


d’IPCOP. Il existe des dizaines de plugins pour IPCOP, mais pour ne
pas remettre la sécurité de cette passerelle en cause, il ne faut utili-
ser que les plugins officiels d’IPCOP. Seul les plugins officiels ont été
contrôlés par l’équipe d’IPCOP, ils sont référencés dans la section «
Addons » du site www.ipcop.org.Voici deux addons officiels qui per-
mettent les fonctions du proxy web

2.1- Advanced proxy


Cet addon permet d’ajouter les fonctionnalités suivantes au proxy

d’IPCOP :

 Authentification des utilisateurs par rapport à un annuaire


LDAP, Active Directory, par rapport aux utilisateurs locaux
ou à un serveur Radius.
 Contrôle d’accès selon l’adresse IP ou Mac des clients.
 Autoriser l’accès à internet sur certaines plages
horaires seulement.

Pour installer Advanced Proxy, il faut :

1) Télécharger l’archive Advanced Proxy sur


le site www.advproxy.net

2) Placer l’archive dans le répertoire /tmp de la passerelle en


utili- sant l’utilitaire WinSCP (cf.www.winscp.net, WinSCP
permet de transférer des fichiers au travers de ssh).

4
3) Décompresser l’archive en se connectant sur la passerelle au
travers de ssh (utiliser le client Putty par exemple, il est
gratuit, en tapant la commande suivante : root@ipcopTdsi:/tmp
# tar -xzvf ipcop-advproxy-2.1.2.tar.gz

4
Login : root
Mot de passe : Begdouri

5
4) Installer Advanced Proxy en tapant dans le répertoire
/tmp/ipcop-advproxy : ./install

Pour désinstaller Advanced Proxy, il faut exécuter :


./tmp/ipcop-advproxy/uninstall

Rappel :
Le serveur SSH installé sur IPCOP doit être activé sur l’interface
web pour fonctionner. De plus, ce serveur SSH écoute sur le port
222 (et pas 22).Une fois installé, la page de configuration du proxy
est étendue avec les options citées ci-dessus.

2.2- url filter


Url filter permet de mettre en place du filtrage d’url comme son nom
l’indique. Cet utilitaire permet d’interdire aux utilisateurs de visiter
des sites web dont l’url (exemple d’url www.msn.com) contient des
termes à référence pornographique, violent…
Url filter peut aussi filtrer les « popups » publicitaires.

5
Pour installer Url filter, il faut :

1) Télécharger l’archive urlfilter sur le site www.urlfilter.net .

2) Placer l’archive dans le répertoire /tmp de la passerelle en utili-


sant l’utilitaire WinSCP.

3) Décompresser l’archive en se connectant sur la passerelle au


travers de ssh en tapant la commande suivante : tar -xzf ipcop-
urlfilter-1.9.1.tar.gz

4) Installer url filter en se plaçant dans /tmp/ ipcop-urlfilter et


en tapant : ./install

Pour désinstaller url filter, il faut exécuter :


./tmp/ipcop-urlfilter/uninstall
Une fois installé, le menu service contient une nouvelle section
« filtrage d’url » qui permet de configurer le filtrage d’url.

5
2.3- Exemple de configuration du pare-feu
Accès à la zone DMZ

Transfert de ports

5
Pour conclure,
Je tiens à signaler que l’élaboration de ce projet ma permis d’ac-
quérir beaucoup d’expériences au niveau du contacte avec le milieu
professionnel. Car, j’ai certainement appris des compétences tech-
niques et j’ai amélioré les connaissances théoriques et pratiques no-
tamment en réseaux informatiques. Pendant ce stage,
J’ai admis un certain nombre de qualités permettant de s’intégrer
dans le marcher d’emploi tout en faisant la distinction entre la for-
mation théorique et la réalité professionnelle.
En effectuant ce stage,
J’ai acquis certaines attitudes que je n'avais pas avant, que j'en
cite:
□La confiance en soi
□Le respect de l'horaire du travail
□Le respect du métier
□Le respect des supérieurs et collègues
□La rapidité d’exécution de travail

A la fin, j’avoue que je suis personnellement très satisfait de ce


stage au sein de cabinet begdouri.

5
http://www.ipcop.org

http://fr.wikipedia.org/wiki/Netfilter

http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-li-
nux-article-24818-1.html

http://fr.wikipedia.org/wiki/Firewall

Vous aimerez peut-être aussi