Vous êtes sur la page 1sur 34

Configuration de

IPCOP

www.udivers.com www.udivers.com 1
Plan
Introduction
– Qu’est-ce que Ipcop ?
– Possibilité de mise en place d’Ipcop
– Liste des services offerts par Ipcop
– Configuration minimale requise
Installation d’Ipcop
Administration d’ipcop
Présentation de l’interface web

www.udivers.com www.udivers.com 2
Introduction
• IPCOP est une passerelle qui intègre un pare-feu.
C’est une distribution linux faite pour protéger un
réseau des menaces d’Internet et surveiller son
fonctionnement.
• IPCOP est gratuit, il est téléchargeable sous forme
d’un fichier image à graver sur cd.
• IPCOP est distribué sous la licence GPL , ce qui
signifie en d’ autres termes que le logiciel est
distribuable gratuitement.

www.udivers.com www.udivers.com 3
mise en place d’Ipcop

• IPCOP permet de fonctionner sous plusieurs


configurations possibles :
- Partage d’une connexion Internet : IPCOP sert
alors de passerelle entre Internet et le réseau
interne.
- Partage d’une connexion Internet avec une DMZ
(zone démilitarisée) : IPCOP sert de passerelle et
gère une DMZ (il faut donc 3 interfaces réseau).
Les serveurs dans la DMZ doivent être en ip fixes,
il suffit ensuite de configurer IPCOP pour qu’il
route les demandes venant d’Internet vers les
serveurs adaptés selon les ports.
- Partage d’une connexion
www.udivers.com
Internet + DMZ + point 4
www.udivers.com
d’accès wif: IPCOP peut gérer des clients wifi, il
mise en place d’Ipcop (suite)

• Dans la philosophie IPCOP, les zones


sont schématisées par des couleurs :
• - la zone RED représente internet.
• - La zone ORANGE représente la DMZ.
• - La zone BLEU représente les clients
wifi (qui sont dans un réseau séparé).
• - La zone GREEN représente le réseau
interne.
• - Enfin, la zone BLACK représente IPCOP
lui-même.
www.udivers.com www.udivers.com 5
mise en place d’Ipcop (suite)

• Le schéma ci-dessous représente la configuration par défaut du


pare-feu de la passerelle, à savoir :
- Le réseau interne (le LAN) peut accéder à toutes les zones.
- La zone wifi peut accéder à internet et à la DMZ.
- La zone DMZ pourra accéder à internet.
- Aucun accès depuis Internet
-Pour autoriser un accès à un serveur situé dans la DMZ (zone
orange), il faudra le spécifier au travers de l’interface web
d’IPCOP.

www.udivers.com www.udivers.com 6
Schéma représentant la configuration

www.udivers.com www.udivers.com 7
Les services offerts par Ipcop

• interface web pour l'administration et la


configuration d'IPCOP en français.
• affichage de l'état du système et graphique
CPU/Mémoire/Disque/trafic sur période
journalière/semaine/mois/année.
• Informations sur les connexions en cours.
• Serveur SSH pour accès distant sécurisé.
• Proxy HTTp/HTTPS.
• Serveur DHCP.
• Cache DNS.

www.udivers.com www.udivers.com 8
Les services offerts par Ipcop (suite)

• Lissage de trafic.
• Renvoi de ports TCP/UDP.
• Support des DNS dynamiques.
• système de détection d'intrusion (interne et
externe).
• Support VPN pour relier des réseaux distants
entre eux ou se connecter à distance à un poste.

www.udivers.com www.udivers.com 9
Les services offerts par Ipcop (suite)

• Accès aux logs par interface web : du système, de


la connexion vers Internet, du proxy, du firewall,
de la détection des tentatives d'intrusion.
• - Mise à jour d'IPCOP par l'interface web.
• - Sauvegarde de la configuration du système sur
disquette.
• - Arrêt/Redémarrage à distance.
• - Support des modems RTC/RNIS.

www.udivers.com www.udivers.com 10
Les services offerts par Ipcop (suite)

• - Support de la quasi-totalité des modems ADSL


USB et PCI
• - Possibilité d'utiliser une DMZ avec gestion des
accès.
• - Possibilité de sécuriser un réseau sans fil.

www.udivers.com www.udivers.com 11
Configuration minimale

• · 586 ou équivalent
• · 300 Mo d'espace disque
• · Au moins 20 Mo de RAM jusqu'à 4 Go
• · Carte graphique compatible VGA pour
l'installation
• · une à 4 interfaces réseau Ethernet
• · Connexion Internet (Modem, Câble, ISDN,
ADSL,...)
• · Un lecteur cdrom pour l’installation.

www.udivers.com www.udivers.com 12
Configuration minimale (suite)

• Pour l’utilisation de tous les services, en


particulier pour le serveur mandataire (proxy web
/ cache DNS), il faut mieux prévoir un processeur
type pentium 200, 64 Mo de ram, et 500 Mo de
disque dur.
• Lors de l’installation d’IPCOP, le disque dur de
l’ordinateur est complètement utilisé, qu’il soit
petit ou gros. Il faut donc une machine avec un
seul disque (un deuxième disque dur serait inutile
et inutilisable car IPCOP ne sert qu’à faire
passerelle et rien d’autre, et il n’utilise qu’un seul
disque dur).
www.udivers.com www.udivers.com 13
Installation d’Ipcop

• IPCOP est disponible en téléchargement dans la


section download du site www.IPCOP.org.
• IPCOP est disponible sous forme de fichier source
à compiler et sous forme d’une image à graver
sur un cd.
• Pour installer IPCOP, le plus simple est de
télécharger l’image de sa version la plus récente
puis de la graver sur un cd
• Le cd, une fois gravé, est un cd bootable.

www.udivers.com www.udivers.com 14
Installation d’Ipcop
(suite)
D abor il faut s assurer que le disque dur ne
contient aucune information importante car IPCop
va tout supprimer.
une fois le cd inséré l’écran suivant apparait
après le démarrage
• Il faut cliquer sur entrer pour commencer l
installation.
• Ensuite, il faut simplement suivre les instructions.

www.udivers.com www.udivers.com 15
Installation d’Ipcop (suite)

www.udivers.com www.udivers.com 16
Les principales fenêtre d’installation

www.udivers.com www.udivers.com 17
Ensuite, il faut configurer cette carte réseau, on entre donc l’adresse ip
de la passerelle (on est dans la zone « verte »).

www.udivers.com www.udivers.com 18
La configuration du réseau

• Allez dans « Type de configuration réseau » pour


choisir l’architecture du réseau.
• Voici les possibilités proposées :
- GREEN (RED is modem/ISDN)
- GREEN + ORANGE (RED is modem/ISDN)
- GREEN + RED
- GREEN + ORANGE + RED
- GREEN + BLUE (RED is modem / ISDN)
- GREEN + ORANGE + BLUE (RED is modem/ISDN)
- GREEN + BLUE + RED
- GREEN + ORANGE +BLUE + RED
www.udivers.com www.udivers.com 19
La configuration du réseau

www.udivers.com www.udivers.com 20
• On choisit l’option GREEN + RED
• Ensuite on passe à la configuration de l’adressage
IP pour les zone verte + rouge
• Interface RED :
– IP : 192.168.1.2/255.255.255.0
– Passerelle : 192.168.1.254
– Serveur DNS :212.217.0.1
• L interface Green est configurée auparavant :
192.168.1.1/255.255.255.0
• Les mots de passe des comptes « root » et «
admin » vous seront ensuite demandés, le
compte « root » a la possibilité de se connecter
en local ou en SSH à l’ IPCop tandis que le
compte « admin » permet d’accéder à l’interface
web d’administration de celui-ci.
www.udivers.com www.udivers.com 21
Administration d’Ipcop

• On peut désormais accéder à l’interface web


d’IPCop en entrant l’une des adresses suivantes à
partir de n’importe quel poste présent sur
l’interface GREEN :
• 192.168.1.1:81
• 192.168.1.1:445

www.udivers.com www.udivers.com 22
On clique sur « Connexion » dans l’interface web
pour activer le trafic internet.

www.udivers.com www.udivers.com 23
Un nom d’utilisateur et un mot de passe seront alors
demandés, le nom d’utilisateur est ici « admin » et le mot
de passe correspond à celui qu’on a défini pendant
l’installation.

www.udivers.com www.udivers.com 24
Afin de rendre accessible le firewall à partir de l'interface
RED , on va sur « PARE-FEU » puis au niveau de « Accès
Externe ». Sur la nouvelle fenêtre, on va remplir le
champ « Port destination » pour y entrer une à une les
valeurs suivantes: 445, 81, et enfin 222.

www.udivers.com www.udivers.com 25
Nous allons maintenant activer l'accès ssh.
sur l'onglet « SYSTEME », puis « Accès SSH »
on coche le reste des cases de cette fenêtre, puis on
enregistre

www.udivers.com www.udivers.com 26
Présentation de l’interface web

page d
accueil

www.udivers.com www.udivers.com 27
Menu système
• Le menu système contient des sections pour configurer IPCOP, et l’interface
web :
• Section Accueil : C’est la première page affiché lorsqu’on accède à l’interface
d’IPCOP. Cette page permet principalement de connecter/de connecter la
passerelle
d’Internet. Section Mise à jour : permet de savoir si une mise à jour est
disponible. Si une mise à jour est disponible, il suffit de la télécharger et de la
transférer à IPCOP grâce à cette même Section.
• Section Mot de passe : permet de changer le mot de passe de l’utilisateur
‘admin’ (qui
est l’administrateur d’IPCOP) et le mot de passe de l’utilisateur ‘Dial’ (utilisateur
qui a
Simplement le droit de connecter/deconnecter Internet dans le cas d’une
connexion par modem.
• Section Accès SSH : permet d’activer ou de désactiver le serveur ssh sur la
passerelle.
Le serveur ssh peut être utile pour faire des choses qu’on ne peut pas faire
directement sur le site web d’IPCOP (ex : changer une l’adresse ip d’une
interface).
• Section Interface graphique : permet de choisir la langue des pages web et
d’activer/désactiver les menu déroulant pour les navigateur non compatible
avec javascript.
•www.udivers.com www.udivers.com
Section Sauvegarde : permet de sauvegarder ou de restaurer sa
28
Menu Etat
On trouve dans ce menu des informations sur l’état du système :
• Section Etat du système : permet de connaître l’état de tous les
services ainsi que
l’utilisation de la mémoire et disque.
• Section Etat du réseau : permet de visualiser l’adresse ip des
interfaces réseau, de voir
les clients dhcp et les tables de routages.
• Section Graphiques système : permet de visualiser sous forme de
graphique
l’utilisation du processeur, de la mémoire et du disque dur sur les
dernières 24 heures, le dernier mois, la dernière semaine, le dernier
mois ou la dernière année.
• Section Courbes de trafics : permet de visualiser sous forme de
courbes le trafic sur
chaque interfaces (sur chaque zones) sur les dernières 24 heures, le
dernier mois, la dernière semaine, le dernier mois ou la dernière
année.
• Section Graphes du proxy : donne des graphiques sur l’utilisation du
serveur
mandataires.
www.udivers.com www.udivers.com 29
Menu Réseau

• Ce menu est dédié à la configuration du modem rtc ou adsl (si vous avez
un routeur, ce menu n’est pas utile) :
• Section Connexion : permet de rentrer les paramètres de connexion
fournie par le FAI, il est possible d’avoir plusieurs profils de connexion
(dans le ou vous avez plusieurs
abonnements par exemple, si une connexion ne fonctionne pas, IPCOP
peut utiliser un profil
• de « repli »).
• Section Chargement : permet de télécharger les drivers pour faire
fonctionner certains modems.
• Section Modem : permet de modifier les commandes pour les modems rtc.

www.udivers.com www.udivers.com 30
Menu Services
C’est ici qu’on configure tous les services de la passerelle :
• Section Serveur Mandataire (proxy) : permet de configurer le serveur
mandataire (qui
correspond au proxy web et au cache dns).
• Section Serveur dhcp : permet de configurer le service dhcp de la zone
verte (et bleue
si il y en a une).
• Section DNS Dynamique : permet de mettre en place un client pour mettre
à jour un
dns dynamique (type dyndns.org, no-ip.com, …).
• Section Hôtes statiques : permet d’ajouter des hôtes avec ip statiques.
• Section Serveur de temps : permet à la passerelle d’être un client NTP d’un
part et
d’être un serveur NTP pour le réseau interne d’autre part (attention : le
serveur NTP met
quelques heurs avant de fonctionner).
• Section Lissage de trafic : permet de limiter les débits montant et
descendant des client
qui vont sur internet. On peut aussi, donner des priorités différentes selon
les services pour
www.udivers.com www.udivers.com 31
faire de la qualité de service.
Menu Pare-feu
• Ce menu permet de configurer le pare-feu :
• Section Transferts de port : permet de définir des règles de transfert
de port pour donner accès à des services d’internet étant sur le
réseau interne ou sur la DMZ si il y en a une.
• Section Accès Externes : permet d’ouvrir des ports pour accéder à la
passerelle d’Internet étant.
• Section Accès à la DMZ : (menu qui existe si la zone orange existe)
permet d’ouvrir des accès direct entre la DMZ et le réseau interne
(dans le sens DMZ -> Lan).

Menu VPNs

• On crée ici les Réseaux Privés Virtuel


• Section VPNs : permet de créer des vpn (réseau à réseau, ou postes à
réseau).

www.udivers.com www.udivers.com 32
Menu Journaux

Ce menu permet d’accéder à tous les journaux générés par IPCOP et


ses services :
• Section Configuration des journaux : permet de choisir si les journaux
doivent être
afficher dans l’ordre chronologique et chronologique inverse. On peut aussi
choisir d’envoyer
les journaux sur un serveur syslog et changer le niveau de verbosité.
• Section Résumé des journaux : cour résumé des journaux du serveur
mandataire, du
système, du serveur sshd et de l’utilisation du disque.
• Section Journaux du serveur mandataires : permet de visualiser les
journaux du proxy
web (la section existe seulement si la journalisation a été activé).
• Section Journaux du pare-feu : permet de visualiser les journaux d’accès au
pare-feu.
• Section Journaux IDS : permet de visualiser les tentatives d’intrusion
détecter par les
sondes du détecteur d’intrusion.
• Section Journaux système : permet de visualiser les journaux systèmes
www.udivers.com www.udivers.com 33
(systems, dns,
Utilitaire
setup

L’interface graphique ne permet pas de tout faire, en particulier


changer l’adresse ip
d’une carte réseau ou changer de type de passerelle.
L’utilitaire setup permet de :
· Configurer le type de clavier (fr, us, …).
· Changer de fuseau horaire.
· Modifier le nom de la passerelle.
· Modifier le nom de domaine.
· Modifier la configuration réseau de la passerelle.
L’utilitaire setup permet par exemple de passer d’un réseau GREEN +
RED à GREEN +
RED + ORANGE par exemple sans réinstaller le pare-feu.
Pour accéder à l’utilitaire setup, il faut se connecter à la passerelle au
travers de ssh
(attention : le port d’écoute du serveur ssh intégré à ipcop est le 222),
s’identifier en tant que
root et taper « setup ». C’est un menu graphique très simple à utiliser.
www.udivers.com www.udivers.com 34