Mise en place du Firewall IPCop
Réalisé par:
 Mohamed ZAOUI
Mise en place du Firewall IPCop
1 Mohamed ZAOUI
Sommaire
Introduction .......................................................
Mise en place du Firewall IPCop
2 Mohamed ZAOUI
3. Blacklists personnalisées.................................................
Mise en place du Firewall IPCop
3 Mohamed ZAOUI
De nos jours, la plus part des entreprises possèdent de nombreux
postes in...
Mise en place du Firewall IPCop
4 Mohamed ZAOUI
I. Description du contexte et de l’architecture
IPCop est une distribution...
Mise en place du Firewall IPCop
5 Mohamed ZAOUI
II. Les Interfaces réseaux
Quatre interfaces réseau sont définies par IPCo...
Mise en place du Firewall IPCop
6 Mohamed ZAOUI
III. Installation :
1. Préalable :
Avoir préparé un PC avec au moins 512 M...
Mise en place du Firewall IPCop
7 Mohamed ZAOUI
2. Lancement de l’installation :
Une fois le media crée, ce dernier doit ê...
Mise en place du Firewall IPCop
8 Mohamed ZAOUI
Valider en pressant la touche entrée.
Sélectionner ici Ok plus valider ave...
Mise en place du Firewall IPCop
9 Mohamed ZAOUI
Ici le programme nous indique qu’il va partitionner le disque et installer...
Mise en place du Firewall IPCop
10 Mohamed ZAOUI
Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP s...
Mise en place du Firewall IPCop
11 Mohamed ZAOUI
Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte rése...
Mise en place du Firewall IPCop
12 Mohamed ZAOUI
A cet écran l’installation d’IPCOP est terminée, nous allons désormais pr...
Mise en place du Firewall IPCop
13 Mohamed ZAOUI
Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez,...
Mise en place du Firewall IPCop
14 Mohamed ZAOUI
A cet écran, choisissez le nom de domaine de votre infrastructure réseau,...
Mise en place du Firewall IPCop
15 Mohamed ZAOUI
3. Configuration complémentaire :
Nous allons finaliser la configuration ...
Mise en place du Firewall IPCop
16 Mohamed ZAOUI
Sélectionner Affectation des pilotes et des cartes puis valider.
Nous voy...
Mise en place du Firewall IPCop
17 Mohamed ZAOUI
A ce stade, tout va bien, il faut valider.
Nous allons désormais procéder...
Mise en place du Firewall IPCop
18 Mohamed ZAOUI
Choisir RED puis OK.
Ici nous pouvons soit choisir de saisir une adresse ...
Mise en place du Firewall IPCop
19 Mohamed ZAOUI
Choisir ORANGE puis OK
Ici nous pouvons choisir de saisir une adresse IP ...
Mise en place du Firewall IPCop
20 Mohamed ZAOUI
Saisir ici les adresses DNS de organisation , ainsi que l’adresse IP (LAN...
Mise en place du Firewall IPCop
21 Mohamed ZAOUI
Il ne reste plus qu’à définir si IPCOP doit être serveur DHCP ou non.
En ...
Mise en place du Firewall IPCop
22 Mohamed ZAOUI
Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous...
Mise en place du Firewall IPCop
23 Mohamed ZAOUI
Si lorsque ce vous saisissez le mot de passe, rien ne s’affiche, c’est no...
Mise en place du Firewall IPCop
24 Mohamed ZAOUI
Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarr...
Mise en place du Firewall IPCop
25 Mohamed ZAOUI
Vous pouvez alors relancer la configuration IPCOP en tapant la commande «...
Mise en place du Firewall IPCop
26 Mohamed ZAOUI
2. Accès à distance via un navigateur Internet
Pour des raisons que on ig...
Mise en place du Firewall IPCop
27 Mohamed ZAOUI
On arrive alors à la fenêtre de configuration IPCOP :
Il faut désormais v...
Mise en place du Firewall IPCop
28 Mohamed ZAOUI
3. Accès à distance via un accès Telnet sur SSH
Pour cela nous allons sur...
Mise en place du Firewall IPCop
29 Mohamed ZAOUI
Il faut alors cocher les case « Accès SSH », et « autorise le transfert T...
Mise en place du Firewall IPCop
30 Mohamed ZAOUI
V. Installation des Add-Ons :
Pour installer les add-on sur IPCOP nous al...
Mise en place du Firewall IPCop
31 Mohamed ZAOUI
Comme pour Putty, il faut accepter le certificat.
Nous avons alors ici un...
Mise en place du Firewall IPCop
32 Mohamed ZAOUI
La fenêtre suivante apparait pour confirmer la copie :
Cliquer sur Copier...
Mise en place du Firewall IPCop
33 Mohamed ZAOUI
Lister le contenu du répertoire avec la commande « ll»
En tapant la comma...
Mise en place du Firewall IPCop
34 Mohamed ZAOUI
6. Configuration de Advanced Proxy
Lorsque nous retournons dans notre nav...
Mise en place du Firewall IPCop
35 Mohamed ZAOUI
Si cette solution peut être séduisante nous verrons plus loin qu’elle peu...
Mise en place du Firewall IPCop
36 Mohamed ZAOUI
10. Les limites de transfert
La section Limites de transfert permet (à co...
Mise en place du Firewall IPCop
37 Mohamed ZAOUI
1. Activation du Filtreur d’URL
Nous voyons ici que le filtreur d’URL est...
Mise en place du Firewall IPCop
38 Mohamed ZAOUI
3. Blacklists personnalisées
Dans cette section il est possible d’ajouter...
Mise en place du Firewall IPCop
39 Mohamed ZAOUI
6. Contrôle d’accès basé sur le réseau
Cette section permet de définir le...
Mise en place du Firewall IPCop
40 Mohamed ZAOUI
8. Paramètres des pages bloquées
Ici il est possible de paramétrer l’affi...
Mise en place du Firewall IPCop
41 Mohamed ZAOUI
11. Installation des blacklists
Dans le bas de cette page il nous est pos...
Mise en place du Firewall IPCop
42 Mohamed ZAOUI
VI. Configuration de l’authentification :
Il est possible dans IPCOP de p...
Mise en place du Firewall IPCop
43 Mohamed ZAOUI
Les informations sont alors vérifiées, par un serveur LDAP externe, Advan...
Mise en place du Firewall IPCop
44 Mohamed ZAOUI
Dans la partie droite de cette fenêtre nous avons la possibilité d’affect...
Mise en place du Firewall IPCop
45 Mohamed ZAOUI
2. Transfert du fichier d’installation
Via WinSCP transférer le package I...
Mise en place du Firewall IPCop
46 Mohamed ZAOUI
Cependant pour activer la fonction de cet addon il est impératif de passe...
Mise en place du Firewall IPCop
47 Mohamed ZAOUI
Lors de l’ouverture du navigateur nous avons alors une fenêtre du type :
...
Mise en place du Firewall IPCop
48 Mohamed ZAOUI
La mise en place d'un FIRWAll IPCOP permet donc de sécuriser au
maximum l...
Mise en place du Firewall IPCop
49 Mohamed ZAOUI
Bibliographie :
http://www.ipcop.org : site officiel de l’IPCOP
http://...
Prochain SlideShare
Chargement dans…5
×

Mise en place du Firewall IPCop

13 973 vues

Publié le

Mise en place du Firewall IPCop

Publié dans : Technologie
0 commentaire
13 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
13 973
Sur SlideShare
0
Issues des intégrations
0
Intégrations
17
Actions
Partages
0
Téléchargements
2 351
Commentaires
0
J’aime
13
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Mise en place du Firewall IPCop

  1. 1. Mise en place du Firewall IPCop Réalisé par:  Mohamed ZAOUI
  2. 2. Mise en place du Firewall IPCop 1 Mohamed ZAOUI Sommaire Introduction .......................................................................................... 3 I. Description du contexte et de l’architecture .............................................. 4 II. Les Interfaces réseaux........................................................................... 5 III. Installation : .................................................................................... 6 Accès à IPCOP........................................................................................ 24 1. Accès local en mode terminal ............................................................. 24 2. Accès à distance via un navigateur Internet........................................... 26 3. Accès à distance via un accès Telnet sur SSH ........................................ 28 V. Installation des Add-Ons :.................................................................... 30 4. Installation de Advanced Proxy Transfert du fichier d’installation ............... 30 5. Installation de l’addon ...................................................................... 32 6. Configuration de Advanced Proxy ........................................................ 34 7. Activation du Proxy Avancé :............................................................. 34 8. Gestion du contrôle d’accès ............................................................... 35 9. Les restrictions de temps ................................................................. 35 10. Les limites de transfert................................................................. 36 11. Réduction du téléchargement .......................................................... 36 VI. Installation de UrlFilter et Transfert du fichier d’installation................. 36 1. Activation du Filtreur d’URL ...........................................................37 2. Catégories de blocage......................................................................37
  3. 3. Mise en place du Firewall IPCop 2 Mohamed ZAOUI 3. Blacklists personnalisées.................................................................. 38 4. Liste d’expressions personnalisées...................................................... 38 5. Bloquer les extensions de fichiers...................................................... 38 6. Contrôle d’accès basé sur le réseau ................................................... 39 7. Contrôle d’accès basé sur le temps ................................................... 39 8. Paramètres des pages bloquées......................................................... 40 9. Paramètres avancés....................................................................... 40 10. Ajout massif de Black List ........................................................... 40 11. Installation des blacklists .............................................................. 41 VI. Configuration de l’authentification : .................................................... 42 VIII. Installation des Addons supplémentaires : ............................................... 44 1. Installation de Update Accelerator....................................................... 44 2. Transfert du fichier d’installation........................................................ 45 3. Installation de l’addon ...................................................................... 45 4. Configuration d’update Accelerator ...................................................... 45 IX. Configuration du navigateur client............................................................46 Conclusion........................................................................................48 Bibliographie.....................................................................................49
  4. 4. Mise en place du Firewall IPCop 3 Mohamed ZAOUI De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire Internet. En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte à divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de telles actions sont nombreux et variés : attaque visant le vol de données, passe-temps, ... Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall.
  5. 5. Mise en place du Firewall IPCop 4 Mohamed ZAOUI I. Description du contexte et de l’architecture IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture de type PC. Elle offre la classique Zone démilitarisée (dmz) ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). IPCop peut également servir de serveur mandataire (Proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...). Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée (zone bleue).
  6. 6. Mise en place du Firewall IPCop 5 Mohamed ZAOUI II. Les Interfaces réseaux Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE. (Voir le graph précédent) 1) L'Interface réseau ROUGE Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. 2) L’Interface réseau VERTE Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. 3) L'Interface réseau BLEUE Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accéder au réseau VERT sauf par le biais d'œilletons ( << pinholes >> ) volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. 4) L'Interface réseau ORANGE Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau Ethernet dans la machine IPCop.
  7. 7. Mise en place du Firewall IPCop 6 Mohamed ZAOUI III. Installation : 1. Préalable : Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou 4 cartes réseau en fonction de la configuration choisie. Il est préférable de connecter directement les cartes à leur élément actif respectif. Il est rappelé que les différentes interface d'un FireWall ne doivent pas être connectées au même réseau physique ou alors uniquement sur des ports appartenant à des VLAN 802.1q différents. En règle générale, l'interface rouge est directement connecté au port LAN de votre routeur d'accès Internet, le port vert au switch de votre réseau local, le port orange à un switch (ou VLAN) dédié à votre DMZ et enfin l'interface bleue directement à votre switch ou VLAN dédié aux bornes WIFI. Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements. Après avoir téléchargé la dernière version stable sur le site sourceforge.net, gravez une image iso bootable.
  8. 8. Mise en place du Firewall IPCop 7 Mohamed ZAOUI 2. Lancement de l’installation : Une fois le media crée, ce dernier doit être inséré dans le lecteur cdrom du pc hôte. Il est alors nécessaire de booter avec ce cd (configuration requise dans le setup du poste). A cet écran il est possible de démarrer l’installation en pressant « Entrée », les options permettent soit de préciser certains paramètres liés au matériels soit de modifier des paramètres tels que la langue d’installation, ou le partitionnement par défaut de l’installation. Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons Français.
  9. 9. Mise en place du Firewall IPCop 8 Mohamed ZAOUI Valider en pressant la touche entrée. Sélectionner ici Ok plus valider avec Entrée.
  10. 10. Mise en place du Firewall IPCop 9 Mohamed ZAOUI Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers, sélectionner Ok puis valider.
  11. 11. Mise en place du Firewall IPCop 10 Mohamed ZAOUI Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner « Passer » (en vous déplaçant avec les flèches puis en validant votre choix avec la barre d’espace) puis valider. Cet écran est primordial dans l’installation d’IPCOP car c’est ici que allez définir votre carte réseau Green (VERTE) liée au LAN. IPCOP dispose d’un module de recherche et de configuration automatique pour de nombreuses cartes réseau. Valider alors la fonction de recherche.
  12. 12. Mise en place du Firewall IPCop 11 Mohamed ZAOUI Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre système. Vérifier que cette dernière correspond bien au matériel présent dans votre machine et valider. Sur cet écran vous allez définir l’adresse IP de votre carte réseau VERTE. Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons l’adresse : 192.168.1.1
  13. 13. Mise en place du Firewall IPCop 12 Mohamed ZAOUI A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première étape de la configuration. Sur cet écran choisir le clavier correspondant à votre disposition de clavier. Dans notre cas choisissons fr puis validons.
  14. 14. Mise en place du Firewall IPCop 13 Mohamed ZAOUI Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez. Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous gardons le nom par défaut, à savoir ipcop.
  15. 15. Mise en place du Firewall IPCop 14 Mohamed ZAOUI A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut être de type FQDN, nous choisirons dans notre exemple fpe.ac.ma, puis validez. Cet écran permet de configurer une liaison (Rouge) de type RNIS ou Numéris (FT). Aujourd’hui rare, nous choisissons de désactiver cette fonction.
  16. 16. Mise en place du Firewall IPCop 15 Mohamed ZAOUI 3. Configuration complémentaire : Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors choisir le type de configuration réseau nous retenons. Valider en pressant « entrée » Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+ORANGE+RED (Les autres configurations seront détaillées plus loin), puis nous validons. Il faut ensuite définir les affectations de cartes réseau (Pour la carte Rouge dans notre cas)
  17. 17. Mise en place du Firewall IPCop 16 Mohamed ZAOUI Sélectionner Affectation des pilotes et des cartes puis valider. Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider ici pour effectuer une recherche de la carte réseau. Une fois la carte trouvée, il nous est proposé de l’affecter au réseau RED (rouge). Valider à ce niveau.
  18. 18. Mise en place du Firewall IPCop 17 Mohamed ZAOUI A ce stade, tout va bien, il faut valider. Nous allons désormais procéder à la configuration de l’adresse de la carte RED :
  19. 19. Mise en place du Firewall IPCop 18 Mohamed ZAOUI Choisir RED puis OK. Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au réseau rouge (Souvent dans le réseau du routeur), soit de laisse le routeur ou le FAI nous fournir une adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque réseau proposé. La configuration de l’adresse de la carte ORANGE :
  20. 20. Mise en place du Firewall IPCop 19 Mohamed ZAOUI Choisir ORANGE puis OK Ici nous pouvons choisir de saisir une adresse IP statique correspondant au réseau ORANGE qui représente la DMZ. Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit interroger IPCOP.
  21. 21. Mise en place du Firewall IPCop 20 Mohamed ZAOUI Saisir ici les adresses DNS de organisation , ainsi que l’adresse IP (LAN) de votre routeur.
  22. 22. Mise en place du Firewall IPCop 21 Mohamed ZAOUI Il ne reste plus qu’à définir si IPCOP doit être serveur DHCP ou non. En fonction de votre architecture, vous pouvez soit activer ou désactiver DHCP. Si vous l’activer, vous devrez alors connitre votre plan d’adressage IP LAN, afin de créer l’étendue DHCP. Dans notre cas nous n’activerons pas le DHCP.
  23. 23. Mise en place du Firewall IPCop 22 Mohamed ZAOUI Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à la dernière étape consistant à configurer les différents mots de passe du système. Valider l’option « Continuer ». Il est fort probable que l’écran de configuration DHCP apparaisse de nouveau, valider alors par le bouton OK. Le premier mot de passe que nous devons saisir est celui du compte « root » à savoir le super utilisateur qui vous permet d’entrer en mode console sur votre ipcop et surtout de pouvoir installer les AddOns.
  24. 24. Mise en place du Firewall IPCop 23 Mohamed ZAOUI Si lorsque ce vous saisissez le mot de passe, rien ne s’affiche, c’est normal Le second compte appelé « admin » permet quant à lui d’administrer IPCOP depuis l’interface Web, ce compte ne permet pas d’ouvrir une session en mode console. Enfin le dernier mot de passe permet de protéger la clé de cryptage des sauvegardes de configuration d’IPCOP.
  25. 25. Mise en place du Firewall IPCop 24 Mohamed ZAOUI Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarrer Accès à IPCOP 1. Accès local en mode terminal Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte « root »
  26. 26. Mise en place du Firewall IPCop 25 Mohamed ZAOUI Vous pouvez alors relancer la configuration IPCOP en tapant la commande « setup » Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin. N’oubliez pas de fermer votre session sur IPCOP avec la commande « logout »
  27. 27. Mise en place du Firewall IPCop 26 Mohamed ZAOUI 2. Accès à distance via un navigateur Internet Pour des raisons que on ignore on a pu constater que l’affichage des menus était de meilleure qualité avec Internet Explorer qu’avec Firefox. On utilise donc dans ce tutorial Internet Explorer. Exécutez alors votre navigateur Internet favori puis saisissez l’adresse IP GREEN de votre IPCOP dans la barre d’adresse de votre navigateur suivie de :81 comme ci-dessous : Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité :
  28. 28. Mise en place du Firewall IPCop 27 Mohamed ZAOUI On arrive alors à la fenêtre de configuration IPCOP : Il faut désormais vous connecter en cliquant sur le bouton « Connexion Saisir ici le login « Admin. » avec le mot de passe configuré auparavant. Vous avez désormais accès à toutes les fonctions de votre IPCOP.
  29. 29. Mise en place du Firewall IPCop 28 Mohamed ZAOUI 3. Accès à distance via un accès Telnet sur SSH Pour cela nous allons sur la page de configuration Web dans l’onglet « Système » puis « accès SSH »
  30. 30. Mise en place du Firewall IPCop 29 Mohamed ZAOUI Il faut alors cocher les case « Accès SSH », et « autorise le transfert TCP », puis « Enregistrer » Nous pouvons désormais utiliser Putty pour administrer notre IPCOP à distance : Noter bien la ligne en surbrillance : IPCOP écoute sur le port 222 pour SSH et non 22 Tout comme notre navigateur, Putty nous informe qu’il faut accepter un certificat pour accéder a IPCOP, nous répondons donc Oui.
  31. 31. Mise en place du Firewall IPCop 30 Mohamed ZAOUI V. Installation des Add-Ons : Pour installer les add-on sur IPCOP nous allons avoir recours au logiciel permettant d’envoyer des fichiers sur la machine IPCOP depuis un poste Windows à savoir WinSCP. Pour utiliser WINSCP il est impératif d’avoir activé le protocole SSH sur l’IPCOP (voir plus haut) 4. Installation de Advanced Proxy Transfert du fichier d’installation Via WinSCP transférer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP Saisir les informations de connexion puis cliquer sur « Connecter ».
  32. 32. Mise en place du Firewall IPCop 31 Mohamed ZAOUI Comme pour Putty, il faut accepter le certificat. Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre micro, et à droite les fichiers de votre IPCOP. Nous allons alors nous positionner dans le répertoire « tmp » de l’IPCOP. La copie s’effectue par un simple Glisser-Coller, nous allons alors sélectionner le fichier d’installation d’advancedProxy puis le glisser vers le répertoire /tmp de l’IPCOP
  33. 33. Mise en place du Firewall IPCop 32 Mohamed ZAOUI La fenêtre suivante apparait pour confirmer la copie : Cliquer sur Copier Nous constatons que le fichier est bien copié. 5. Installation de l’addon Nous allons alors passer en mode console ou directement sur notre machine pour installer cet add-on. Basculer dans le répertoire tmp, avec la commande « cd /tmp »
  34. 34. Mise en place du Firewall IPCop 33 Mohamed ZAOUI Lister le contenu du répertoire avec la commande « ll» En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée : Pour lancer l’installation il faut taper la commande suivante : « /install » comme ci-dessous : Une fois l’installation terminée, nous avons ce type d’écran :
  35. 35. Mise en place du Firewall IPCop 34 Mohamed ZAOUI 6. Configuration de Advanced Proxy Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter : 7. Activation du Proxy Avancé : Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer. Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des navigateurs internet (paramétrage du proxy). Tout trafic passant par la passerelle IPCOP sera analysé par le proxy.
  36. 36. Mise en place du Firewall IPCop 35 Mohamed ZAOUI Si cette solution peut être séduisante nous verrons plus loin qu’elle peut poser quelques problèmes dans certains cas. 8. Gestion du contrôle d’accès La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permits pour utiliser IPCOP. Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites. Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple. Une adresse interdite, ne pourra pas accéder à internet ! 9. Les restrictions de temps La section restrictions de temps, permet de définir les horaires d’accès au web. Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.
  37. 37. Mise en place du Firewall IPCop 36 Mohamed ZAOUI 10. Les limites de transfert La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des fichiers en réception et en émission. 11. Réduction du téléchargement La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou par poste client. Pour toute modification des paramètres de l’AdvancedProxy ne pas oublier de redémarrer le service en cliquant sur Sauver et redémarrer VI. Installation de UrlFilter et Transfert du fichier d’installation Via WinSCP transférer le package UrlFilter .x.x.x.tar.gz dans le dossier /tmp de l’IPCOP. Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :
  38. 38. Mise en place du Firewall IPCop 37 Mohamed ZAOUI 1. Activation du Filtreur d’URL Nous voyons ici que le filtreur d’URL est bien disponible, cependant pour l’activer nous devons passer par AdvancedProxy. Section UrlFilter : Et bien sur ne pas oublier d’enregistrer les changements ! 2. Catégories de blocage Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter d’autres catégories de blocage.
  39. 39. Mise en place du Firewall IPCop 38 Mohamed ZAOUI 3. Blacklists personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL à bloquer. Un domaine est de la forme www.rasd.com Une URL sera de la forme http://www.rasd.com/index.php 4. Liste d’expressions personnalisées. Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant l’expression : Gateway 5. Bloquer les extensions de fichiers Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…) compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…) Uniquement par le biais de la navigation HTTP.
  40. 40. Mise en place du Firewall IPCop 39 Mohamed ZAOUI 6. Contrôle d’accès basé sur le réseau Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle qui doivent être bannies. 7. Contrôle d’accès basé sur le temps Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant : Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la journée (ici les postes du réseau 192.168.1.0/24 peuvent accéder sans restrictions au contenu Internet de 10h00 à 12h00 du lundi au vendredi.)
  41. 41. Mise en place du Firewall IPCop 40 Mohamed ZAOUI 8. Paramètres des pages bloquées Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être bloqué. 9. Paramètres avancés Vous pouvez également depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à saisir l’ip de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur bloquer l’accès aux sites pour cette (ou ces) adresse(s) IP 10. Ajout massif de Black List Pour d’avantage de filtrage il est conseillé d’installer d’autres Blacklist complémentaire à celle en place par défaut. La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la nouvelle liste de catégories alors disponible :
  42. 42. Mise en place du Firewall IPCop 41 Mohamed ZAOUI 11. Installation des blacklists Dans le bas de cette page il nous est possible d’uploader un fichier de blacklist : En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist : On sélectionne le fichier blacklists.tar.gz Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la machine cette opération peut prendre de 1 à 10 minutes ! Ne surtout pas redémarrer votre IPCOP pendant cette période !!!
  43. 43. Mise en place du Firewall IPCop 42 Mohamed ZAOUI VI. Configuration de l’authentification : Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet.Cependant pour activer cette fonction, plusieurs points sont à prendre en considération :  Le mode Proxy Transparent doit être désactivé  Les postes clients doivent donc être configurés pour passer à travers le proxy Plusieurs méthodes d’authentification sont disponibles sous IPCOP : Dans le bas de la fenêtre de configuration du Proxy Avancé nous avons : 1. None L’authentification est désactivée, aucun login/mot de passe n’est demandé. 2. Local Authentification Cette méthode d’authentification est la préférée des petites structures, la gestion des utilisateurs et mot de passe est effectuée par IPCOP lui-même. 3. Authentification avec identd Cette méthode est particulièrement prisée pour les entreprise ou • L’authentification doit se faire de manière masquée • Le Proxy doit fonctionner en mode transparent • Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle authentification. Cette méthode requiert cependant l’installation d’un client idend sur les postes clients (surtout Microsoft) 4. Authentification utilisant LDAP Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille. Les utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de passe.
  44. 44. Mise en place du Firewall IPCop 43 Mohamed ZAOUI Les informations sont alors vérifiées, par un serveur LDAP externe, Advanced Proxy fonctionne avec ces type de serveurs LDAP : • Active Directory (Windows 2000 and 2003 Server) • Novell eDirectory (NetWare 5.x und NetWare 6) • LDAP Version 2 and 3 (OpenLDAP) Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy. 5. Windows authentification Les utilisateurs doivent s’authentifier lorsqu’il accèdent au web, les informations d’identification sont vérifiée par une contrôleur de domaine externe tel que : • Windows NT 4.0 Server or Windows 2000/2003 Server • Samba 2.x / 3.x Server (running as Domain Controller) 6. RADIUS authentification Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations d’identification sont vérifiées par serveur RADIUS externe : Dans notre cas nous allons utiliser l’authentification Locale. Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des utilisateurs :
  45. 45. Mise en place du Firewall IPCop 44 Mohamed ZAOUI Dans la partie droite de cette fenêtre nous avons la possibilité d’affecter 1 groupe parmi 3 à chaque utilisateur : Standard : Toutes les restrictions sont actives tout le temps Etendu : Les membres de ce groupe outrepassent les restrictions Désactivé : Permet de désactiver un compte sans le supprimer Une fois les utilisateurs crées, ils apparaissent comme ci-dessous : VIII. Installation des Addons supplémentaires : 1. Installation de Update Accelerator Update Accelerator est un outil fort utile sur un réseau d’entreprise effectuant régulièrement des mises à jour logicielles d’antivirus, de correctifs Windows et Linux. En effet ce dernier stocke localement les produits téléchargés et les met donc à disposition localement pour les utilisateurs de manière totalement transparente pour ce dernier. Attention : Cet addon s’avère extrêmement gourmand en espace disque ou bout de quelques temps (en fonction de votre parc) il malheureusement il ne s’installe pas sur la plus grande partition Linux de votre IPCOP. Un disque dur d’un minimum de 40 Go et un dimensionnement sont donc impératifs.
  46. 46. Mise en place du Firewall IPCop 45 Mohamed ZAOUI 2. Transfert du fichier d’installation Via WinSCP transférer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP. 3. Installation de l’addon Via l’utilitaire Petty, extraire et installer l’addon comme suit : Extraire… I nstaller… 4. Configuration d’update Accelerator Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP :
  47. 47. Mise en place du Firewall IPCop 46 Mohamed ZAOUI Cependant pour activer la fonction de cet addon il est impératif de passer par le Proxy Avancé : Une fois activé une des seules actions à mener est de vérifier l’espace disque disponible de façon régulière en cliquant sur Maintenance. IX. configuration du navigateur client : Il s’agit de configurer la navigateur pour passer à travers le Proxy : Pour Internet Explorer : On click sur bouton droit dans l'icône IE puis propriété/connexion/paramètres avancé: Après on taper l'adresse de notre serveur Proxy et le port d'écoute
  48. 48. Mise en place du Firewall IPCop 47 Mohamed ZAOUI Lors de l’ouverture du navigateur nous avons alors une fenêtre du type : L’utilisateur peut alors changer son mot de passe à l’adresse suivante : http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi
  49. 49. Mise en place du Firewall IPCop 48 Mohamed ZAOUI La mise en place d'un FIRWAll IPCOP permet donc de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr, également permettre de restreindre l'accès interne vers l'extérieur. En plaçant un le firewall IPCOP limitant ou interdisant l'accès à des services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Comme nous l'avons vu précédemment, la mise en place d'un FIRWALL IPCOP propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. Ceci nécessite l'étude de différents points afin de bien dimensionner son utilisation et être sûr de son choix. En effet, la mise en place d'IPCOP est plus qu'un défi technique mais également humain. Il faut prendre en compte la maintenance du IPCOP.
  50. 50. Mise en place du Firewall IPCop 49 Mohamed ZAOUI Bibliographie : http://www.ipcop.org : site officiel de l’IPCOP http://www.sourceforge.net http://franck78.ath.cx - une interface aisée pour administrer le très populaire outil de filtrage d'url squidGuard∞. Traduit en Italien, Français, Allemand, Néerlandais, Russe, Portuguais et Anglais. http://firewalladdons.sourceforge.net - Addon Server pour IPCop possède une grande variété d'outils tout prèts comme DansGuardian. http://www.ipadd.de - collection d'addons binaires et des liens relatifs à IPCop. http://www.urlfilter.net - URL filter un autre GUI pour squidGuard. Propose aussi la gestion horaire! http://www.advproxy.net - Advanced Proxy remplace avantageusement la gestion de base du proxy squid par une interface très complète (authentification, restriction, ldap...). http://www.mhaddons.tk - une collection d'addons pour IPCop, dont copfilter updates, Advanced QoS, Asterisk, Sarg, Nessus et Clamav 0.83 http://www.zerina.de - OpenVPN et howto, l'équivalent IPSec en SSL. http://www.copfilter.org - Copfilter supprime silencieusement virus et spams présents dans les courriels ou le trafic web. http://banish.sidsolutions.net - Banish bloque l'accès en spécifiant au choix adresse IP, CDIR, Domain ou MAC Address. http://www.blockouttraffic.de - BlockOutTraffic (BOT) bloque le trafic sortant qui est normalement autorisé lors d'une installation standard d'IPCop. Vous pouvez créer vos propres règles au travers d'une interface graphique simple et intuitive pour réguler le trafic vers at au travers de votre firewall. http://www.elminster.com - IPCop L2TP VPN Mod Modification to allow IPCop to be used as an L2TP over IPSEC server for the standard Windows VPN client. Useful for windows Roadwarriors.

×