Firewall IPCop : sécuriser son réseau avec Linux 1/50

IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. Après avoir passé au crible le principe de fonctionnement et l’installation de ce système nous allons rentrer un peu plus dans les détails et nous pencher sur la configuration des fonctions proposées par IPCop à l’aide de l’interface web d'administration de celui-ci.

Chaque menu va être détaillé et expliqué, à l'exception des services qui feront l'objet d'un prochain dossier. Les moins expérimentés d’entre vous pourront donc découvrir les principes de l'interface web de controle d'IPCop au travers de ce dossier tandis que les plus expérimentés trouveront un complément d’information à leurs connaissances.

L’interface graphique d’IPCop se compose de sept onglets (huit si vous utilisez CopFilter), ils font référence aux différentes possibilités offertes :

• Onglet Système

Tout ce qui concerne de près ou de loin le système en lui-même, c'est-à-dire la vérification et l'installation des mises à jour, la modification des mots de passes, les sauvegardes, l'activation de l'accès SSH, et consorts.

• Onglet Etat

Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci : services actifs, utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de trafic et d’utilisation de la mémoire, connexions actuelles,…

Firewall IPCop : sécuriser son réseau avec Linux 2/50

• Onglet Réseau

Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface rouge est composée d’un modem (et non un routeur ou modem-routeur) vous pouvez le configurer et gérer la connexion de celui-ci dans les menus de cet onglet. Il s'agit là de spécifier les paramètres de connexion ou d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de l'installation.

• Onglet Services

Etant donné le nombre de services et d'options de configuration possibles pour ceux-ci, plus de détails seront founi dans un futur dossier. En revanche vous pouvez consulter un rapide decriptif de ces services dans notre précédent dossier consacré à la découverte et l'installation d'IPCop.

• Onglet Pare-feu

Comme pour tout bon firewall qui se respecte, il est possible de désactiver le ping et d’ouvrir des ports pour laisser passer des applications ou même de rediriger ceux-ci pour plus de précision (PAT pour Port Area Translation).

• Onglet RPVs

Il est possible de créer des réseaux privés virtuels (plus connus sous le nom de VPN pour Virtual Private Network) pour relier les réseaux locaux de deux IPCop. Ce menu vous permettra de mettre ces réseaux en place et de contrôler leur état.

• Onglet Journaux

Obtenir un suivi des évènements au travers de journaux (ou logs) est indispensable pour détecter la cause de problèmes, qu’il s’agisse du pare-feu, du noyau du système, ou encore des adresses bloquées par le filtreur d’url.

Firewall IPCop : sécuriser son réseau avec Linux 3/50

Nous allons maintenant aborder avec le plus de détails possibles les fonctions proposées dans chacun de ces onglets.

• SYSTEME

Accueil : C’est la première page qui s’affiche lorsque l’on tape l’adresse de l’interface web d’administration d'IPCop dans le navigateur (http://AdresseIpInterfaceVerte:81 pour rappel).

Sur cette page il vous est possible de couper tout le trafic passant par IPCop via le bouton [Déconnexion] (la connexion s’établit de manière automatique lors du démarrage du serveur), mais également de consulter le temps depuis lequel la connexion est établie.

D’autres informations relatives à l’interface rouge sont disponibles : nom d’hôte sur le réseau du FAI, date d’installation de la dernière mise à jour effectuée, également l’heure du serveur et le nombre d’utilisateurs connectés (à l’interface ou en SSH).

Firewall IPCop : sécuriser son réseau avec Linux 4/50

Mises à jour :Des mises à jour paraissent tous les un à deux mois pour le système, apportant de nouvelles options ou tout simplement des corrections de bugs.

Les mises à jour s’installent très simplement : il suffit de cliquer sur [Détails], de télécharger le fichier sur le système local, puis d’uploader ce fichier sur le serveur via les boutons [Parcourir] et [Chargement] de la page. Il n’est pas nécessaire de redémarrer le serveur pour que les mises à jour prennent effet.

La roadmap (feuille de route) de la version 1.5 d’IPCop prévoit l’automatisation du téléchargement et de l’installation des mises à jour sur le serveur.

Il est aussi possible dans ce menu de vider le cache du serveur (le /var/log) à l’aide du bouton [Vider le Cache] prévu à cet effet.

Firewall IPCop : sécuriser son réseau avec Linux 5/50

Mots de passe :Les mots de passes admin (pour l’accès à l’interface web) et dial (utilisateur seulement autorisé a connecter ou déconnecter la connexion par modem) peuvent être modifiés sur cette page. Ces mots de passes doivent contenir au moins 6 caractères (plus conseillés). Le mot de passe admin peut également être modifié via la commande setup en SSH (qui permet par ailleurs de modifier le mot de passe root).

Accès SSH :L’accès SSH n’est pas activé par défaut, et peut ne pas l’être si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA et DSA, elles sont cryptées sur 1024 bits.

Il est possible de refuser le transfert SCP, empêchant ainsi de copier des fichiers sur IPCop avec WinSCP (par exemple). D’autres options relatives à la version du client SSH utilisé et à l’authentification par mot de passe et clés publiques sont de la partie.Bien entendu, toute modification doit être validée à l’aide du bouton [Enregistrer] pour être prise en compte…

Firewall IPCop : sécuriser son réseau avec Linux 6/50

Interface Graphique :L’interface graphique d’IPCop peut être un petit peu personnalisée, rien de bien transcendant mis à part le choix de la langue de celle-ci. On peut aussi choisir d’afficher le nom de la machine dans la barre de titre du navigateur (définit au préalable lors de l’installation du système ou via la commande setup).

Les autres options ne concernent pas directement, ou pas du tout, l’interface graphique mais ont tout de même leur utilité : autoriser le JavaScript, activer le rafraichissement automatique de la page d’accueil et activer les bips de connexion / déconnexion (en effet cela permet de savoir si IPCop a fini de démarrer et est connecté lorsque l’on redémarre celui-ci et que bien entendu il est dépourvu d’écran et autres périphériques).

Toute modification est prise en compte à l’aide du bouton [Enregistrer]. Il est par ailleurs possible de remettre à zéro celle-ci grâce au bouton [Restaurer les paramètres par défaut].

Sauvegarde :Comme tout système informatique, les pannes hardware ou software sont rares mais existent. Avec IPCop il est possible de réaliser deux types de sauvegardes : une première sur la machine, et une seconde sur disquette.

Firewall IPCop : sécuriser son réseau avec Linux 7/50

Les sauvegardes sur la machines sont à considérer comme des points de restauration qui permettent de revenir à une configuration précédente suite à une modification n’étant pas satisfaisante. Plusieurs sauvegardes de ce type peuvent être créées sur le système, il est d’ailleurs possible de sauvegarder la dernière en date sur l’ordinateur local et de la restaurer à l’aide des boutons [Parcourir] et [Importer dat].

Les sauvegardes réalisées sur disquettes sont précieuses en cas de panne sévère. En effet, si vous devez réinstaller complètement le système cette disquette de sauvegarde vous sera demandé à l’installation et vous fera ainsi gagner un temps précieux (en effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de la sauvegarde, sans intervention de votre part). Bien entendu, si votre IPCop ne contient pas de lecteur de disquette ou que celui-ci n'est pas monté vous ne pouvez pas effectuer ce type de sauvegarde ;-)

Firewall IPCop : sécuriser son réseau avec Linux 8/50

Arrêter :Il est possible de redémarrer ou d’arrêter le système a distance à l’aide des boutons éponymes.Depuis la version 1.4.10 d’IPCop vous pouvez également planifier un redémarrage ou un arrêt fixe de votre machine IPCop (au quart d’heure près).

Firewall IPCop : sécuriser son réseau avec Linux 9/50

Crédits :IPCop est un projet OpenSource sous licence GNU / GPL, toute une communauté de développeurs se charge donc de maintenir et d’optimiser ce projet. Il est par conséquent normal que le nom de ces personnes apparaisse sur IPCop. Cette liste est lisible dans cette section. Par ailleurs, les adresses mails de ces personnes figurent si vous aviez besoin de les contacter pour faire avancer le projet.

Firewall IPCop : sécuriser son réseau avec Linux 10/50

• ETAT :

Les menus de l'onglet « Etat » sont tous à titre informatif. En effet, aucune modification n’est effectuée depuis ceux-ci, ils sont donc là pour fournir des informations et non permettre une quelconque configuration.

Etat du système :Ce menu permet, comme son nom l’indique, de consulter l’activité du système. En effet vous obtenez de celui-ci une vue globale du système et des services.

Les services du système sont listés avec leur état. On remarquera que certains ne peuvent être désactivés à l’aide de l’interface web, ceci sera surement possible dans les versions futures…

Le résultat de la commande "w" figure aussi, vous permettant ainsi de savoir quel utilisateur est connecté à IPCop (en local ou en SSH), ce qu’il fait et depuis combien de temps.

Les modules chargés apparaissent également (commande "lsmod"), ainsi que la version du noyau utilisée.

Firewall IPCop : sécuriser son réseau avec Linux 11/50

Firewall IPCop : sécuriser son réseau avec Linux 12/50

Etat du réseau :

Comme pour le menu système, tout ce qui figure ici est à titre informel, mais non dénué d’intérêt !Vous retrouverez ici la configuration de vos interfaces réseau classées par couleur.Pour chaque interface vous aurez l’adresse MAC de la carte utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de la MTU utilisée, ainsi que l’état du transfert des paquets (commande "ifconfig").Figurent aussi les entrées de la table de routage et la table ARP (pour Adresse Resolution Protocol), logiquement la liste devient plus importante lors de l’activation du serveur DHCP…

Firewall IPCop : sécuriser son réseau avec Linux 13/50

Graphiques système :Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources matérielles (processeur, mémoire, swap et accès disque), mais permettent également d’identifier les pics de sollicitation des ressources par plage horaire.

Les légendes des graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer sur le graphique d’un élément affiche les graphiques de cet élément avec d’autres unités temporelles (jour, semaine, mois, année) vous permettant ainsi d’obtenir une vue d’ensemble de l’utilisation.

Firewall IPCop : sécuriser son réseau avec Linux 14/50

Firewall IPCop : sécuriser son réseau avec Linux 15/50

Courbes de trafic :Les courbes de trafic représentent le niveau de sollicitation de la bande passante par rapport au temps, là aussi il s’agit d’identifier les pics d’utilisation et de saturation du trafic.

Tout comme les graphiques système, lorsque vous cliquez sur un graphique vous obtenez une vue dans une autre unité de temps.

Firewall IPCop : sécuriser son réseau avec Linux 16/50

Firewall IPCop : sécuriser son réseau avec Linux 17/50

Connexions :Il est possible de suivre en temps réel les communications établies entre IPCop et les éléments qui l’entourent. Le tableau des connexions vous permet de suivre celles-ci, les adresses ip et les ports utilisés y sont répertoriés ainsi que d‘autres informations (protocole, bail, zone, ack, etc…)

• RPVs

L’onglet RPVs ne contient qu’un seul menu du même nom. Vous aurez remarqué que les différents onglets sont relatifs à des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) étant un domaine complètement à part au regard des autres catégories proposées par IPCop.

Un VPN consiste à utiliser ce que l’on appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,…) pour relier deux réseaux physiques en utilisant un réseau non sécurisé, mais fiable, la finalité étant que ces deux réseaux distincts ne forment plus qu’un seul et même réseau.

Le VPN est très à la mode ces derniers temps. En effet, avec la généralisation du haut débit il est moins couteux pour une entreprise de relier les réseaux de ses agences à l’aide d’un VPN qu’en utilisant une Ligne Spécialisée (LS, ce qui revient à louer une liaison « directe » partant d’un point A à un point B à un prestataire télécom) qui est très coûteuse, mais certes plus sure qu’un VPN puisque transitant par un réseau entièrement sécurisé.

Même s’il transite par internet, le VPN est tout de même une technique très sécurisée, avec des systèmes de chiffrement et des moyens de contrôle plus ou moins puissants selon le protocole que l’on choisira.Dans le cas d’IPCop c’est le protocole IPSec qui est utilisé. Ce dernier est supporté par la plupart des systèmes d’exploitations et périphériques actuels (Windows, Linux, Mac OS, …). Il travaille sur une couche de niveau 3 du modèle OSI, ce qui permet d’avoir un suivi de l’activité au niveau du paquet.

Deux modes de VPN sont ici possibles :

• Réseau à réseau : consiste à relier deux réseaux physiques entre eux.

• Système à réseau : consiste à relier une machine nomade au réseau.

Firewall IPCop : sécuriser son réseau avec Linux 18/50

Pour créer un nouveau VPN il faut cliquer sur le bouton [Ajouter], sélectionner le mode souhaité puis [Ajouter], remplir les informations souhaitées et sélectionner la méthode d’authentification :

• Clé partagée (PSK) : il s’agit là d’une "pass-phrase" qui sera connue des deux côtés.

• Générer un certificat : en fonction des informations remplies, un certificat est généré par la machine sur le principe des clés publiques. Ceci caractérise la partie droite du réseau, la partie gauche s’identifiera ensuite en faisant Transférer un certificat à partir du certificat de la partie droite (Télécharger le certificat dans la partie Autorités de certification de la page RPVs) .

On validera ou annulera ensuite avec les boutons correspondants situés en bas de page.

Firewall IPCop : sécuriser son réseau avec Linux 19/50

Une fois le VPN créé, on pourra l’activer ou le désactiver avec la case correspondante, redémarrer la connexion, afficher le certificat, éditer les paramètres de celui-ci ou le supprimer.

Note : Dans le cas de l'utilisation de la zone bleue d'IPCop (Wi-Fi), on pourra la faire communiquer avec la zone verte à l'aide d'un VPN (voir http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCop140BlueVpnHowtoFR , page ci-après...).

Firewall IPCop : sécuriser son réseau avec Linux 20/50

VPN sur l'interface Blue VPN : mini-tutorial/expérience

John Bradshaw a partagé son expérience sur la configuration d'un VPN sur l'interface Blue (l'interface wifi) sur la liste de diffusion IPCop-user. Il nous a donné son accord pour rajouter son post dans ce Wiki. EO.

Ma plus grosse migraine avec IPCop fut de faire fonctionner le VPN sur le réseau wifi (interface Blue). A voir le nombre de messages sur ce sujet, il semble que je ne sois pas le seul. Finalement, je suis arrivé à le faire fonctionner et je pense qu'il est utile que je publie un mini tutorial pour ceux qui sont en train d'essayer la même chose.

1. Sous l'onglet VPN, cochez la case "VPN on BLUE" ("VPN sur l'interface Bleue"). Cliquez sur Sauvegarder.

2. Creez vos certificats machines/racines en cliquant sur le bouton Generate Root/Host Certificates. Après la création, il y aura 2 lignes. La première est le certificat racine (Root certificate). Le sujet doit être quelque chose du genre : C=US, O=My Network, CN=My Network CA. Cette info sera nécessaire par la suite.

3. Ajoutez une nouvelle connexion (sur la même page). Sélectionnez une connexion machine-à-réseau (host-to-net - roadwarrior). Donnez lui un nom comme par exemple BlueNetwork. L'interface doit être (cela paraît évident) la BLEUE. Le réseau local doit être 0.0.0.0/0.0.0.0 (ceci vous donnera accès aux réseaux VERT et ROUGE). Pour l'authentification, j'utilise les certificats plutôt qu'une clé partagée, aussi je m'assure que le bouton correct soit sélectionné. Remplissez le nom, le pays et le mot de passe (vous pouvez aussi indiquer les autres informations si vous le souhaitez). Sauvegardez.

4. Maintenant vous devriez avoir une connexion nommée BlueNetwork. Téléchargez le certificat (en cliquant sur l'icône représentant un petit disque) et sauvegardez le sur une disquette ou un périphérique USB. Nous l'appellerons blue.p12.

5. Mon ordinateur sur le réseau BLEU est une machine sous Windows XP SP2. Avec SP2, vous devez suivre les instructions de cette page http://support.microsoft.com/default.aspx?scid=kb;en-us;885407 pour tous les clienst qui vont traverser le réseau nat. Je ne sais pas si cela est vraiment nécessaire, mais ma connexion ne fonctionnait pas, aussi j'ai changé quelques petites choses (dont celle-ci) et maintenant tout fonctionne.

6. Sur la machine Windows (réseau BLEU), téléchargez l'outil ipsec.exe ici : http://vpn.ebootis.de/package.zip. Suivez les instructions ici : http://vpn.ebootis.de/ à partir de l'étape 5. Pour l'étape 8, vous devez cliquer (bouton de droite) sur personnel (premier onglet) -> toutes taches (all tasks) -> import. Le certificat que vous voulez importer est celui que nous avons créé à l'étape 4 (blue.p12).

Firewall IPCop : sécuriser son réseau avec Linux 21/50

7. Avec l'adresse de mon interface bleue 192.168.10.1 et les informations de l'étape 2 : C=US, O=My Network, CN=My Network CA, mon fichier ipsec.conf ressemble à ceci :

conn BlueNetwork right=192.168.10.1 rightsubnet=* left=%any rightca='C=US, O=My Network, CN=My Network CA' network=auto auto=start

8. Lancez ipsec.exe

9. Ca ne fonctionnera pas tout de suite pour x raisons. Je ne sais pas pourquoi. J'ai rebooté, puis relancé/réparé ma connexion wifi (bien qu'elle apparaissait comme connectée). Et maintenant tout fonctionne, j'ai accès à mon server de fichiers, ainsi que mon serveur Web interne (côté VERT) et à l'Internet (ROUGE).

10. Un remarque sur la connexion à mes partages réseaux : je dois utiliser l'adresse IP directement (i.e. \\192.168.20.150\répertoire_partagé) plutôt qu'explorer les partages ou bien d'utiliser le nom des répertoires (i.e. \\strongbad\partage1).

En espérant que ceci vous aide et ne rajoute pas de la confusion.

Good luck / Bon courage. John Bradshaw4 February 2005 Traduction Eric Boniface - 21 février 2005

Firewall IPCop : sécuriser son réseau avec Linux 22/50

• PARE-FEU :

Transfert de ports :Il s’agit là du Port Address Translation (PAT, parfois aussi nommé Port Forwarding), qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port d’une machine faisant partie d’une des zones d’IPCop.

Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés par http (ici TCP, il faudra donc créer une règle pour ce protocole) et rediriger les paquets vers l’adresse IP de votre serveur web (192.168.1.250 par exemple) sur le port HTTP (80 par défaut, 8080 parfois).

Une fois les redirections créées vous pourrez tout à fait les désactiver, modifier, ajouter d’autres adresses ayant l'accès (si vous souhaitez effectuer un filtrage précis en fonction des adresses IP pouvant accéder à votre serveur web), ou tout simplement supprimer cette règle si elle ne vous est plus utile.La liste des ports en fonction du protocole utilisé est gérée par le IANA (Internet Assigned Numbers Authority) est disponible ici : http://www.iana.org/assignments/port-numbers .

Firewall IPCop : sécuriser son réseau avec Linux 23/50

Accès externes :Vous pouvez ouvrir des "brèches" dans le fire-wall pour ouvrir complètement un accès au réseau sur un port, c'est-à-dire que les ports choisis seront complètements ouverts, ceci peut être utile pour autoriser l’accès à l’interface de configuration ou l’accès en SSH à IPCop depuis la zone rouge (Internet par exemple).

Pour sécuriser un petit peu l'ouverture complète de ces ports, on pourra spécifier quelles adresses IP sont autorisées à les utiliser (dans le cas d’un serveur FTP dont on connaît les clients par exemple, ou l’adresse IP de l’administrateur distant).

Options du firewall :Dans ce menu vous avez la possibilité de choisir quelle interface répondra ou non au ping. On désactivera le ping pour des raisons de sécurité si on le souhaite (ce qui permet tout de même d’éviter certaines attaques).

Firewall IPCop : sécuriser son réseau avec Linux 24/50

• RESEAU :

Les menus de cet onglet vous seront utiles dans le cas de l’utilisation de l’interface rouge avec une connexion par modem. En effet, si vous utilisez une carte réseau pour l’interface rouge cet onglet ne vous sera d’aucune utilité.

Connexion :Dans ce menu vous allez pouvoir définir vos paramètres de connexion internet avec vos identifiants. Ces informations sont en général fournies par votre fournisseur d’accès à internet.

Toutes ces informations (identifiants, modem, serveur DNS,…) peuvent être sauvegardées dans 5 profils, vous permettant ainsi de vous connecter avec différents abonnements ou avec les paramètres de plusieurs abonnements de façon très simple sans avoir à ressaisir les données à chaque fois.

D’autres options permettent d’affiner un peu plus les paramètres de base, comme par exemple la possibilité de se déconnecter au bout d’un certain délai d’inactivité et de se reconnecter automatiquement si besoin avec même un autre profil si le profil actuel n’arrive pas à établir la connexion.

Remarque : on pourra, si on ne souhaite pas se rendre sur cette page fréquemment, utiliser l'utilitaire Copwatch pour paramétrer, établir et contrôler la connexion d'IPCop directement sous Windows.

Firewall IPCop : sécuriser son réseau avec Linux 25/50

Chargement :Par défaut IPCop reconnait beaucoup de modems, mais en cas de problème de détection avec le votre, il est possible de récupérer le driver Fritz!DSL de celui-ci s’il ne fait pas partie de la liste de modems reconnus par IPCop.

Modem :Il est possible de personnaliser les réglages propres à la connexion du modem au travers de ce menu.Attention ceci est réservé à un public averti ! En cas de mauvaise manipulation, vous pourrez remettre les paramètres par défaut à l’aide du bouton correspondant.

Firewall IPCop : sécuriser son réseau avec Linux 26/50

Alias :Dans le cas où votre FAI vous a fournit une plage d’adresses ip publiques, vous pourrez créer des alias pour que les adresses de cette plage soient distribuées sur l’interface rouge : dans le menu « Etat du réseau » votre interface rouge aura ainsi plusieurs adresses ip (utile dans le cas de serveurs web et ftp).

• JOURNAUX

Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques…Lorsque l’on cliquera sur une adresse IP dans les journaux, une page de whois s’ouvrira alors, permettant d’obtenir des informations sur l’origine de cette adresse.

Firewall IPCop : sécuriser son réseau avec Linux 27/50

Configuration des journaux :Il est possible via ce menu de paramétrer le type de classement (ordre chronologique ou non), le nombre de lignes par page, la durée pendant laquelle les résumés des journaux seront conservés ainsi que leur niveau de détail. Il est par ailleurs possible d’enregistrer ces journaux sur un serveur distant (serveur syslog) : pratique car dans les cas de plusieurs serveurs on consultera l’ensemble de leurs journaux au même endroit.

Résumé des journaux :Comme son nom l’indique, on retrouvera ici un résumé des journaux. Il s’agit là de faire un rapide bilan sur les activités du serveur web (pour l’interface d’administration), le pare-feu et l’espace disponible sur les partitions montées.

Firewall IPCop : sécuriser son réseau avec Linux 28/50

Journaux du pare-feu :Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont organisés par date, différentes informations relatives à la communication sont ensuite disponibles sous forme d’un tableau :

Heure Chaine Interface Protocole IP Source

Port Source

Adresse MAC

IP Destination

Port Destination

Journaux IDS :Les journaux du Système de Détection d’Intrusion (Intrusion Detection System en anglais, d’où IDS) sont relatifs au service de Détection d’Intrusion d’IPCop qui agit en fonction des règles Snort (enregistrement gratuit nécessaire pour pouvoir bénéficier de ce service).

Dans ces journaux, les « attaques » sont recensées là aussi sous forme de tableaux. Elles sont triées par date, une priorité est affectée en fonction du type de menace identifié, le nom de celle-ci, son type et l’adresse source de l’attaque.

Firewall IPCop : sécuriser son réseau avec Linux 29/50

Journaux Système :A chaque fois qu’une modification sera effectuée (via l’interface web ou non) ou qu’un évènement arrivera (arrêt du système ou d’un service, redémarrage d’une interface réseau,…) cela figurera dans ce journal.

• CONCLUSION

L’interface d’administration d’ IPCop rend accessible des choses qui ne le seraient pas forcément s’il fallait avoir recours à la ligne de commande. Cela permet également et surtout aux personnes n’ayant pas de connaissances poussées en Linux d’utiliser et de gérer le plus simplement du monde cette distribution.

Il est toutefois possible pour ceux qui le désirent d’effectuer toutes ces manipulations via l’interface SSH, ceci est cependant réservé aux plus experts d’entre vous.

Firewall IPCop : sécuriser son réseau avec Linux 30/50

Firewall IPCop : guide des services

IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à assurer la sécurité de votre réseau. Ce dossier fait suite au dossier de présentation et d’installation du système ainsi qu’au dossier concernant l’ interface web d’administration, il clôturera le sujet en abordant l’onglet « Services » et ses sous-menus.

Dans notre premier dossier consacré à IPCop nous avions brièvement évoqué l’onglet Services, nous allons maintenant aborder ceux-ci, dans leur ordre d’apparition au sein de l’interface :

• Serveur Mandataire ( Proxy )

Un serveur Proxy consiste principalement à aller chercher les pages que les utilisateurs consultent et à les stocker dans un cache afin des les afficher plus rapidement lors de la prochaine visite de celles-ci.

• Serveur DHCP

Un serveur DHCP ( Dynamic Host Configuration Protocol ) permet d'allouer une configuration IP ( Adresse, Passerelle, Serveurs DNS et WINS ) à une interface réseau de façon automatique.

Firewall IPCop : sécuriser son réseau avec Linux 31/50

• DNS Dynamiques

Un serveur DNS est un serveur qui associe un nom de domaine à une adresse IP, un DNS Dynamique joue le même rôle mais pour des adresses IP non fixes ( pour les abonnements non dégroupés entre autres ).

• Hôtes statiques

Dans le cas où vous disposez de serveurs ou de machines nécessitant d'avoir toujours la même adresse ( publique ou privée ) ceci vous permettra de leur réserver et de leur définir une adresse fixe.

• Serveur de temps

Un serveur de temps diffuse l'heure et la date à tous les ordinateurs d'un réseau. On pourra ici se synchroniser à partir d' Internet ou synchroniser les réseaux des interfaces d' IPCop.

• Lissage du trafic ( Shapping )

Le lissage de trafic permet de limiter le trafic allouer à un protocole, il ne s'agit pas tout à fait de QoS ( Qualité de service ) mais cela s'en approche...

• Détection d’intrusion

S'appuyant sur les règles Snort, le détecteur d' intrusion répère et bloque les accès aux personnes non sollicitées s'introduisant dans le réseau.

• Serveur Mandataire ( Proxy )

Un serveur proxy est souvent une machine dédiée intercalée entre les ordinateurs d’un réseau et Internet ( ou un Intranet, peu importe ). Son rôle est d’aller chercher les pages pour les utilisateurs dudit réseau, et en plus de leur fournir lesdites pages, de les stocker avec leurs contenus dans un cache afin que lors de la prochaine demande d’ affichage de celles-ci, la bande passante Internet soit moins sollicitée.

Etant donné que tout le trafic " web " transite par un serveur proxy, on pourra spécifier une limite de débit et même mettre en place quelques règles de filtrage…

Architecture avec un serveur Proxyentre Internet et le réseau local

Firewall IPCop : sécuriser son réseau avec Linux 32/50

Il existe plusieurs façons de mettre en place un serveur proxy par rapport aux ordinateurs d'un réseau local, on peut, comme spécifier sur le schéma ci-dessus mettre le serveur Proxy " physiquement " entre les machines du réseau local et la zone web, ou configurer les postes du réseau pour que ceux-ci passent par le Proxy...

Dans notre cas, on préfèrera la première possibilité, nous activerons donc le mode " transparent " permettant d' activer le serveur sans avoir à passer sur chaque poste du réseau pour que celui-ci utilise le serveur, on pourra par ailleurs activer les journaux de celui-ci pour un suivi quotidien.

Page de configuration du Proxy

Suivant la capacité du disque dur de notre machine IPCop, on spécifiera une taille plus ou moins raisonnable pour le cache. A noter qu'il n'est pas utile d' allouer énormément de mémoire pour le cache, un cache de 50 Mo remplit presque aussi bien ses fonctions qu'un cache de 500 Mo ! La taille du cache dépendra en fait du nombre de sites susceptibles d'être visités ( et donc à fortiori du nombre d'utilisateurs ).

Il est également possible d' interroger un autre serveur proxy que le nôtre, cet autre serveur étant quelque part sur internet, pour par exemple surfer de façon anonyme sur Internet ( dans le même esprit que le logiciel MultiProxy ).

Firewall IPCop : sécuriser son réseau avec Linux 33/50

Dans le cas où d'autres services font appel à la bande passante pour Internet, on pourra limiter le trafic dédié à la navigation, en revanche pour une optimisation plus précise on utilisera le menu " Lissage de trafic ( Shapping ) " qui nous permettra des réglages plus fins...

Si le plugin UrlFilter est installé, on pourra l'activer dans ce menu, il est tout de même préférable d' installer AdvProxy pour optimiser le fonctionnement de celui-ci.

• Serveur DHCP

Le partage de la connection Internet est toujours un peu délicat lorsque l'on débute, aussi on aimerait ne pas avoir à configurer à chaque fois un ordinateur que l'on veut ajouter sur notre réseau. Un serveur DHCP ( Dynamic Host Configuration Protocol ) permet, comme son nom anglais l' indique, d'attribuer de façon dynamique une configuration.

Ce serveur va nous permettre d'attribuer automatiquement des adresses :

• IP : pour chaque ordinateur à partir du moment où il sera connecté physiquement au réseau.

• Passerelle ( ou gateway en Anglais ) : un réseau local dispose d'une adresse IP privé ( non accessible directement d'Internet ), pour pouvoir sortir de notre réseau local et accéder à un autre réseau (Internet par exemple) on utilise une passerelle, appeller aussi routeur.

• Serveur DNS : un nom est plus facile à retenir qu'un numéro, en effet generation-nt.com est plus facile à retenir que 83.243.23.80. Le rôle d'un serveur DNS est ainsi de faire correspondre un nom de domaine ( ou de machine ) à une adresse IP.

• Serveur WINS : il s'agit d'un serveur de nom comme le DNS, mais spécifique à Windows. WINS signifie Windows Internet Naming Service. Il s'agit de l' implémentation Microsoft de NetBios Name Server, le " grand-père " du DNS et d' Active Directory et qui n'est plus tellement utiliser de nos jours...

• Serveur NTP : les serveurs NTP ( Network Time Protocol ) permettent d' attribuer une même date et une même heure à l'ensemble d'un réseau, un service spécifique d'IPCop est consacré à cela.

Commandes " ipconfig /all " sous Windows et " dhclient " sous Linux

Firewall IPCop : sécuriser son réseau avec Linux 34/50

Sur IPCop, le DHCP peut être activé sur les interfaces verte et bleu. Il se configure très simplement pour peu que l'on soit un petit peu attentif aux informations que l'on renseigne...

On spécifiera dans un premier temps les adresses de départ et de fin pour établir un intervalle dans lequel les adresses seront attribuées, ainsi que la durée du bail ( le temps de validité de l' adresse allouée ). On spécifiera également le nom de notre domaine si l'on souhaite que notre machine apparaisse sur celui-ci.

On renseignera ensuite les adresses de serveur DNS, NTP et WINS primaire et secondaire. La plupart du temps, il n'y a que la partie DNS à remplir. Si vous ne disposez pas de votre propre serveur DNS, il faudra remplir celui de votre FAI, si vous ne les connaissez pas vous pouvez toujours consulter la liste suivante ou http://www.commentcamarche.net/faq/sujet-1496-%5BFAI%5D-Serveurs-DNS-des-principaux-fournisseurs-d'acc%E8s .

9 Telecom / 9Online DNS primaire : 80.118.192.100 DNS secondaire : 80.118.196.36

AOL DNS Primaire : 205.188.146.146 DNS Secondaire : 202.67.95.0

Alice ADSL DNS primaire : 212.216.212.112 DNS secondaire : 212.216.172.62

Belgacom / SkyNet DNS primaire : 195.238.2.21 DNS secondaire : 195.238.2.22

Bluewin.ch DNS primaire : 195.186.4.111 DNS secondaire : 195.186.4.110

Cégétel DNS primaire : 212.94.174.85 DNS secondaire : 212.94.174.86 DNS 3 : 217.19.192.131 DNS 4 : 217.19.192.132

Club-internet DNS Primaire : 194.117.200.10 DNS Secondaire : 194.117.200.15

Free DNS Primaire : 212.27.32.5 DNS Secondaire : 212.27.32.6

Free Haut débit DNS Primaire : 212.27.32.176 DNS Secondaire : 212.27.32.177

Infonie DNS Primaire : 10.1.5.2 DNS Secondaire : 10.1.6.10

LibertySurf DNS Primaire : 213.36.80.2 DNS Secondaire : 213.36.80.4

Magic Online DNS Primaire : 194.149.160.9 DNS Secondaire : 194.149.160.1

Nérim DNS Primaire : 62.4.16.70 DNS Secondaire : 62.4.16.80

Net Pratique DNS Primaire : 62.210.164.14 DNS Secondaire : 62.210.164.4

NOOS DNS Primaire : 212.198.0.91 DNS Secondaire : 212.198.2.5

Sympatico.Ca DNS Primaire : 198.235.216.110 DNS Secondaire : 209.226.175.224

Télé2 DNS Primaire : 130.244.127.161 DNS Secondaire : 130.244.127.169

TISCALI-Freesbee DNS Primaire : 213.36.80.1 DNS Secondaire : 192.221.96.3

Videotron.CA DNS Primaire : 205.151.222.253 DNS Secondaire : 205.151.222.254

Wanadoo DNS Primaire : 80.10.246.2 DNS Secondaire : 80.10.246.129

WorldNet DNS Primaire : 195.3.3.1 DNS Secondaire : 195.3.3.2

World Online DNS Primaire : 212.83.128.3 DNS Secondaire : 212.83.128.4

Firewall IPCop : sécuriser son réseau avec Linux 35/50

Page de configuration du service

Les options DHCP servent lors de cas d' utilisation précis, pour rajouter un type de serveur par exemple, elles correspondent à la commande " dhcp-options ".

Pour des besoins particuliers ( des redirections de ports par exemple ), on aimerait que le serveur DHCP attribue toujours la même adresse IP à une machine. Dans ce cas, il nous faudra renseigner l' adresse MAC du périphérique réseau de cette machine. Cette adresse MAC ( unique pour chaque carte ) peut être obtenue avec la commande " ipconfig /all " sous Windows ou avec la commande " ifconfig " sous Linux ( en root ).

On pourra compléter avec une remarque pour pouvoir s'y retrouver dans le cas de beaucoup de redirections ou si l'on intervient pas souvent sur le réseau...

Firewall IPCop : sécuriser son réseau avec Linux 36/50

• DNS Dynamiques

Un serveur DNS ( Domain Name System ) est un serveur qui permet d' associer un nom de machine dans un domaine à une adresse IP : par exemple la machine www sur le domaine generation-nt.com correspond à l'adresse IP 83.243.23.80. Un serveur DNS contient en fait une base de données avec les noms de machines et leurs adresses IP correspondantes. Lors d'une communication avec un site, votre ordinateur interroge le serveur DNS de votre FAI en lui envoyant une requête DNS sur le nom de domaine et la machine souhaitée...

Pour les interfaces ne possédant pas d'adresse IP fixe ( avec un bail de 24h par exemple ), l'adresse IP change et il est alors impossible de faire correspondre le nom de la machine à la nouvelle adresse : la base de donnée d'un serveur DNS " de base " étant figée...

En revanche les serveurs DNS Dynamiques permettent aux ordinateurs ne disposant pas d'adresse IP fixe d'avoir une résolution DNS : à chaque fois que l'adresse IP sera renouvelée, l'ordinateur le signalera au serveur DNS Dynamique qui ira mettre à jour sa base en conséquence.

Dans le cas où vous ne possédez pas d'adresse IP fixe, ou même que vous souhaitez associer votre adresse IP à un nom de domaine, vous pouvez créer un compte gratuitement sur divers sites qui se chargeront de vous associer à leur DNS Dynamique...

Configuration du client DNS Dynamique

Firewall IPCop : sécuriser son réseau avec Linux 37/50

Le menu " DNS Dynamiques " d' IPCop permet de se connecter à votre fournisseur DNS Dynamique, faisant ainsi correspondre l' adresse IP de la zone rouge de votre IPCop au nom de machine chez ce fournisseur.

Fournisseurs de DNS Dynamique supportés par IPCop :

• dyndns.org • dhs.org • dnspark.com • dtdns.com • dyns.cx • dynu.ca dyn.ee dynserv.(ca/org/net/com)• easydns.com • enom.com • freedns.afraid.org • hn.org • no-ip.com • nsupdate• ovh.com • regfish.com • selfhost.de • zoneedit.com

Vous trouverez plus de détails sur la mise en place de ce type de service à cette adresse : http://www.generation-nt.com/dossiers/lire/35/transformer-une-ip-dynamique-en-ip-fixe-dyndns/ rédigé par Le_Doc...

Nous aborderons également en fin de dossier les plug-ins AdvProxy et UrlFilter dans le détail.

Firewall IPCop : sécuriser son réseau avec Linux 38/50

• Hôtes Statiques

Il s'agit ici d'une espèce de serveur DNS simplifié. En effet, le menu " Hôtes Statiques " permet d'entrer manuellement des noms d' hôtes que l'on associera ensuite à des adresses IP.

Bien entendu, il faut pour cela que les ordinateurs soient configurés avec une adresse IP fixe ou possèdent une réservation d'adresse dans un serveur DHCP...

Cette option permet de taper l'adresse d'un serveur web rapidement dans n'importe quel navigateur ( un peu comme les mots-clés associés aux marques-pages dans Firefox... )

Page de création des hôtes statiques

• Serveur de temps

Un serveur de temps fournit une date et une heure à l'ensemble d'un réseau, permettant ainsi d'avoir les mêmes horaires sur toutes les machines. Pour information, le protocole utilisé pour réaliser cela est NTP pour Network Time Protocol (port UDP 123)...

Firewall IPCop : sécuriser son réseau avec Linux 39/50

Le fait de synchronyser l'heure de tous les ordinateurs d'un réseau permet d'avoir une heure identique sur les " logs " ( journaux ) et ainsi de mieux comprendre les répercutions d'une erreur lorsque celle-ci s'est propagé.

Serveur de temps (NTP)

Concernant IPCop, vous pouvez à la fois synchroniser celui-ci avec un serveur de temps existant ( pool.ntp.org par défaut ), ou faire jouer le rôle de serveur NTP à celui-ci : vous permettant ainsi de synchroniser facilement et rapidement la date et l'heure des ordinateurs de votre réseau.

Firewall IPCop : sécuriser son réseau avec Linux 40/50

• Lissage du trafic ( Shapping )

Le lissage de trafic permet de définir quelle quantité de bande passante ( en kbit/seconde ) pourra être utilisée pour un protocle spécifié sur un port précis. Il ne s'agit pas de QoS ( Quality of Service, pour qualité de service ) mais on s'en rapproche dans le principe : optimiser le trafic ( et notamment les temps de réponse au ping ).

Certes, il ne s'agit pas là d'une optimisation extrêmement fine. En effet, on devra spécifier explicitement un débit pour tout le trafic ou donner une priorité par protocole, mais cela suffira à combler les besoins " primaires " que l'on pourrait avoir.

Par exemple : si l'on souhaite un jour effectuer un transfert FTP ( File Transfert Protocol, pour échanger des données avec un serveur FTP distant ) et pouvoir continuer à surfer confortablement sur Internet.

On attribuera une priorité faible au protocole FTP ( port 20 en TCP et UDP ) et une priorité haute au protocole HTTP ( ports 80 et 8080 en UDP et en TCP ). Pour rappel, la liste des protocoles avec leurs numéros de ports est disponible sur cette liste mise à disponisition par le IANA ( Internet Assigned Numbers Authority ) qui a en charge, sous contrôle de l' ICANN, l' allocation des adresses IP publiques, DNS de premier niveau ( backebone Internet ) et l'attribution des numéros de ports des protocoles...

Trafic Shapping sur IPCop

Firewall IPCop : sécuriser son réseau avec Linux 41/50

La limitation du trafic se met en place très facilement sur IPCop; il vous suffit en effet de spécifer le débit souhaité en voie montante et en voie descendante ( upload et dowload pour les intimes ), de cocher la case " Lissage du trafic ( shapping ) " , puis de cliquer sur le bouton [ Enregister ].

En ce qui concerne les priorités par protocole, on sélectionnera une priorité ( haute, moyenne, faible ), le numéro de port désiré et le protocole de transport ( TCP ou UDP ), on cochera ensuite la case " Activé " pour que la modification s'active tout de suite après avoir cliqué sur le bouton [ Ajouter ] pour la faire prendre en compte par le système...

A noter qu'il est possible de mettre en place la QoS sur IPCop à l'aide de ce tutoriel ( http://en.wikibooks.org/wiki/Advanced_QoS_for_IPCop ) et que celle-ci sera disponible en natif dans la version 1.6 d' IPCop, un peu de patience ;-)

Firewall IPCop : sécuriser son réseau avec Linux 42/50

• Détection d'intrusion

Un système de détection d' intrusion se charge d' analyser les données ( paquets ) qui transitent sur un réseau pour repérer une éventuelle tentative d' accès pirate à celui-ci. Une fois l' intrusion détectée, il est possible de bloqué l'intrus à l'aide du plug-in Guardian : le pirate perdra ainsi l' accès qu'il avait réussi à obtenir via son attaque ou cheval de Troie...

Détecteur d'intrusion Snort dans IPCop

Le système de détection d'intrusion Snort est utilisé dans IPCop, ce système OpenSource est très connu et reconnu ! Le logiciel Snort pour Windows et Linux est d'ailleurs disponible dans notre rubrique Téléchargements...

Firewall IPCop : sécuriser son réseau avec Linux 43/50

Néanmoins, pour pouvoir bénéficier de ce système, vous devez vous inscrire ( gratuitement ) sur cette page. Une fois inscrit, il vous restera à copier votre Oink Code dans la page de détection d' intrusion et d' activer celle-ci...

Oink Code une fois connecté sur Snort.org

Une fois ce code rempli, vous sélectionnerez " Règles VRT Sourcefire pour utilisateurs enregistrés " ( en effet SourceFire est la société qui possède Snort ) de sélectionner l' interface sur laquelle vous souhaitez activer la détection d' intrusion ( il est possible de l' activer sur toutes ) puis de télécharger les nouvelles règles au moyen du bouton éponyme, bien entendu on pensera à Enregistrer les modifications...

Firewall IPCop : sécuriser son réseau avec Linux 44/50

• Plugin AdvProxy

AdvProxy est un plugin qui permet d' approfondir les fonctions de proxy de base d' IPCop, ajoutant, entre autres, la possibilité de spécifier quelles adresses doivent utiliser le proxy, ou quel navigateur est autorisé à naviguer sur Internet. Ce plugin se substituera au menu " Serveur Mandataire (Proxy) " de l'interface web.

Nous ne reviendrons pas sur la procédure d' installation des plugins, déjà détaillée dans notre premier dossier sur IPCop. En revanche ( et c'est le but de ce dossier ), nous allons détailler ce que ce plugin apporte par rapport à celui existant...

Les options relatives au mode du serveur et à un serveur proxy distant restent quasiment inchangées, mise à part la possibilité d' ajout de quelques informations relatives à l' indentification des utilisateurs. On notera toutefois une gestion plus fine du cache :

• LRU : Règles Squid basées sur LRU.

• heap GDSF : Demandes les plus fréquentes sous forme d' arbre.

• heap LFUDA : Dernières demandes les plus fréquement utilisées avec une gestion dynamique à l'aide d'un arbre.

• heap LRU : Politique LRU en utilisant un arbre.

On pourra vider le cache de temps en temps ( nécessaire pour afficher les dernières modifications sur un site parfois ) à l'aide du bouton [ Vider le cache ] en bas de page.

Configuration du mode et du cache

Firewall IPCop : sécuriser son réseau avec Linux 45/50

AdvProxy permet par ailleurs un filtrage beaucoup plus fin au niveau de ce qui entre et sort du serveur proxy : on pourra en effet choisir de ne pas mettre en cache certains domaines ( pour des raisons de sécurité par exemple ), ou de ne pas utiliser le proxy pour certaines adresses IP ou MAC...

Exclusion et réglages de contenu et de plage horraire

Firewall IPCop : sécuriser son réseau avec Linux 46/50

Il sera par ailleurs possible de spécifier des plages horaires et des jours pendant lesquels la navigation sur internet sera ou non autorisée, également de spécifier le débit alloué par utilisateur et le type de contenu téléchargable (iso, audio, vidéo,...). A propos du contenu téléchargeable, il est possible d'affiner celui-ci en spécifiant les types MIME autorisés.

Types de MIME et navigateur

Nous y avons rapidement fait allusion plus haut, il est possible de spécifier quels navigateurs auront accès à Internet. Pratique si on a bloqué, dans une GPO, l'utilisation d' Internet Explorer pour que nos utilisateurs n'aillent pas sur internet et que ces petits malins ont installé Firefox...La section " Protection des données " permet de faire croire aux sites visités l' useragent ( navigateur ) et le referer ( page dont le lien vous amène sur celle que vous visitez actuellement ) que l'on aura défini ici.

Dans le cas où vous avez installé UrlFilter, l' activation de ce plugin se fera en bas de cette page.Il est possible d' authentifier les utilisateurs du serveur proxy si vous possédez un domaine Active Directory ou des serveurs LDAP ou RADIUS...

Firewall IPCop : sécuriser son réseau avec Linux 47/50

• Plugin UrlFilter

Comme son nom l'indique, UrlFilter permet de filtrer les adresses Internet. Pour que ce service fonctionne, le serveur proxy doit être activé. Par aileurs, si l'on compte utiliser AdvProxy avec, il est conseiller d' installer UrlFilter avant AdvProxy !

UrlFilter fonctionne selon deux principes : d'un côté nous avons une blacklist ( liste noire ) de noms de domaines classés par thèmes, de l'autre, nous avons une blacklist et une whitelist de domaines personnalisés.

La première peut être actualisée de façon automatique ( on pourra paramètrer la fréquence de mise à jour ), et la seconde est figée et une intervention est nécessaire pour la modifier...

Blacklist/Whitelist par thème ou domaine spécifier

Firewall IPCop : sécuriser son réseau avec Linux 48/50

Lors de la mise en service d'UrlFilter, il convient de faire différents essais, dans un premier temps avec les cases que l'on cochera au niveau du blocage des domaines à partir du contenu, et dans un second temps à partir des mots-clés que l'on aura choisi. En effet, lors d'une recherche sur mappy par exemple, l'adresse qui affichera l'itinéraire peut contenir la chaine de caractères sex : interdisant ainsi à l'utilisateur l'accès à l'itinéraire ! Certes on pourra spécifier le domaine mappy.com dans la whitelist personnalisée, mais si l'on doit effectuer cela à chaque fois pour chaque domaine, on se lassera vite...

Type de contenu et message d'erreur

Nous avons vu qu'avec AdvProxy, il était possible d' effectuer un filtrage du débit suivant le type de contenu téléchargé. Avec UrlFilter, nous allons pouvoir carrément bloquer certaines extensions de fichiers ( un peu comme avec les types MIME ) !

Firewall IPCop : sécuriser son réseau avec Linux 49/50

Il sera aussi possible de spécifer un message d' erreur et de faire apparaitre le thème qui a généré le blocage ( pratique au début de la mise en service pour déterminer le motif du blocage ), ou plus simplement rediriger vers une page existante...

Avec les dernières versions du plugin, il est désormais possible, comme nous l'avons spécifié en amont, de mettre à jour la blacklist des domaines classés par thème de façon automatique : évitant ainsi d'avoir à la mettre à jour de façon manuelle régulièrement.

Celle-ci et la configuration du filtre peuvent d'ailleurs être sauvegardés sur votre ordinateur local ( ou un autre support par la suite ), vous ne perdrez donc pas vos réglages et la personnalisation de votre blacklist en cas de panne...

• Conclusion

Au cours de notre dossier nous avons pu constater qu'au travers des services réseau qu'il propose, IPCop est bien plus qu'un " simple " firewall...

La facilité avec laquelle il est possible de mettre en place les services proposés montre à quel point IPCop est accessible aux débutants en matière de réseau. Par ailleurs, on notera que ces services combleront amplement les besoins d'un particulier ou d'une PME, voire, avec des plugins et une machine puissante, les besoins d'une grande entreprise...

De plus, la possibilité et la facilité d' augmenter ces services avec les plugins permettent à votre système de vraiment s'adapter à vos besoins, et non l' inverse...

Au vu de la fréquence des mises à jours et des fonctionnalités et corrections apportées à chaque fois, on peut dire qu' IPCop constitue un outil qui perdurera dans le temps et ne perdra sûrement pas en qualité, d'un point de vue rapport services / sécurité.

Une multitude de plugins et de tutoriaux pour IPCop sont disponibles un peu partout sur la toile, permettant ainsi au système de s' adapter à nos besoins et non l'inverse, je le redis pour être bien clair, et c'est, une fois de plus, quelque chose que l'on apprécie vraiment. De plus, en cas de souci, une communauté française saura vous aider en cas de problème majeur ;-)

Lorsque l'on regarde le coût d'une carte réseau pour l' ajouter sur une machine de récupération, ou le coût d'une machine d'occasion, comparé à un firewall hardware ( avec le même niveau de fonctionnalités ), on se rend bien compte qu' IPCop est une solution à envisager sérieusement lors de la mise en place d'un réseau que l'on souhaiterait un minimum sécurisé au regard des menaces actuelles provenant d' Internet !

Firewall IPCop : sécuriser son réseau avec Linux 50/50

Vous l'aurez compris au cours de nos dossiers consacrés à celui-ci, IPCop nous a satisfait, et même étonné dès le début de part sa qualité. Certes, il n'est pas parfait ( quel équipement l'est ? ) mais nous ne pouvons présager que du bon et du succès pour la suite du développement de ce projet OpenSource !

Ressource : http://www.generation-nt.com/