ipcop final v1.1

Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting

REMERCIEMENTS

L’aboutissement de ce travail s’est fait grâce au concours

de plusieurs personnes que je voudrais remercier :

L’éternel DIEU tout puissant pour, la force et le courage ;

Monsieur ABANDA Armand Claude chef d’établissement

de l’IAI-Cameroun et son personnel pour le cadre et

l’enseignement ;

Monsieur FOPA Gabriel Directeur Général d’ITGStore-

Consulting qui a bien voulu nous recevoir dans sa structure ;

Monsieur TAKOUFET Sylvain responsable de la plate-

forme de développement des projets pour son soutien et ses

conseils ;

Monsieur MOLO Athanase mon superviseur à l’IAI-

Cameroun pour ses conseils et orientations ;

Monsieur CHAKODE Rodrigue mon maître de stage pour

le suivi, ses conseils et sa disponibilité ;

Ma famille pour le soutien moral et financier ;

L’ensemble du personnel d’ITGStore-Consulting pour

leurs conseils ;

Tous ceux qui de près ou de loin ont contribué au

déroulement de mon stage.

A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51


SOMMAIRE

REMERCIEMENTS............................................................1

INTRODUCTION GENERALE............................................4

I-) INSERTION.......................................................................6

II-) PRESENTATION d’ITGStore............................................7

III-) DESCRIPTION................................................................8

IV-) ACTIVITES......................................................................9

IV.1-) La supervision.................................................9

IV.2-) Le stockage, PRAS..........................................9

IV.3-) La gestion des performances........................10

IV.4-) Mise en œuvre d’infrastructure Internet et Intranet...................................................................10

IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux...................10

IV.6-) Mise en œuvre d’infrastructure de NOC.......10

V-) RESSOURCES INFORMATIQUES D’ITGStore................11

V.1-) Ressources matérielles...................................11

V.2-) Ressources logicielles....................................12

VI-) CONCLUSION...............................................................13

II-) GENERALITE SUR LES PARE-FEUX..............................16



III-) FONCTIONNEMENT D’UN FIREWALL........................16

III.1-) Catégories de firewall...................................18

III.2-) Types d’implémentations..............................18

IV-) PRESENTATION D’IPCop.............................................19

IV.1-) Définition d’IPCop.........................................19

IV.2-) Description....................................................20

V-) ETUDE DES FONCTIONNALITES D’IPCop....................30

V.1-) Filtrage du réseau par iptables......................30

V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux :.............................................................34

V.3-) Prise en charge des serveurs DHCP, DNS, … 34

V.4-) Administration de la machine par une interface web sécurisée.........................................................34

V.5-) Détection des intrusions avec Snort...............35

V.6-) Gestion des réseaux privés virtuels (VPN)....35

VI-) CAHIER DES CHARGES................................................35

VII-) INSTALLATION D’IPCop.............................................36

VIII-) CONFIGURATION D’IPCop........................................42

VIII.1-) Configuration du Proxy et du filtre d’url....44

VIII.2-) Configuration Du Service IDS....................46

VIII.3-) Installation et configuration de CopFilter. .47

VIII.4-) Gestion de trafic.........................................49

CONCLUSION.................................................................50

WEBOGRAPHIE.......................................................................51



INTRODUCTION GENERALE

Dans le cadre de la formation de ses ingénieurs des

travaux en maintenance micro-informatique et réseaux, l’IAI-

Cameroun préconise un stage académique d’une durée de trois

mois dans une entreprise pour les étudiants de troisième

année. Ce stage ayant pour but de :

Garantir la mise en pratique des connaissances acquises au cours de l’année ;

Favoriser l’insertion rapide de ses étudiants dans le monde professionnel ;

Garantir des cadres informaticiens compétents et excellents.

Dans cet esprit d’excellence, ITGStore-Consulting qui est

une société des services en ingénierie informatique (SSII)

nouvellement implantée au Cameroun a bien voulu nous

accueillir. Durant la période que j’ai eu à passé dans cette

structure, j’ai eu pour mission d’implémenter une politique de

firewalling grâce à la distribution linux IPCop.

Pour mener à bien ce projet, j’ai été encadré par

Monsieur CHAKODE Rodrigue, Ingénieur Systèmes à ITGStore



et Monsieur MOLO NGAH Athanase, Instructeur Cisco et

Enseignant à l’IAI-Cameroun.

Le présent rapport se décompose en plusieurs parties qui

détailleront la réalisation de ce projet dans ces différentes

étapes. Nous présenterons d’abord la structure d’accueil à

savoir ITGStore-Consulting ; nous parlerons ensuite des

généralités d’un firewall ; puis de l’étude du cas particulier

d’IPCop avec quelques politiques de sécurité que nous avons

mis en œuvre.

A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n 1


I-) INSERTION

Notre admission en stage à ITGStore-Consulting a eu lieu

le Lundi 25 Août 2008. Notre stage commence ce jour là par la

réunion d’évaluation du travail de la semaine précédente entre

le responsable de la plate-forme des projets et le personnel.

Dans la circonstance, nous sommes présentés aux personnels

par le responsable de la plate-forme de projet où nous sommes

chaleureusement accueillis. Au cours de cette réunion, nous

sommes interrogés sur les formations à l’IAI-Cameroun et sur

nos prospectives. Ce sont des réponses données à ce dernier

point, en rapprochement avec les objectifs d’ITGStore qui est



amené à proposer des solutions y afférant à ses clients qui ont

servi d’orientation pour le choix des thèmes attribués à

chacun de nous.

II-) PRESENTATION d’ITGStore

ITGStore est SSII (Société de Services d’Ingénierie

Informatique) au capital 15000000FCFA. Basée en région

parisienne, avec depuis 2006 une agence à Douala

(Cameroun), ITGStore est identifiable par cette fiche

signalétique.



Fiche D’identification D’ITGStore-Consulting

RAISON SOCIALE: ITGStore-Consulting

SIGLE: ITGStore

ADRESSE : B.P : 820 Douala

TEL. : (237)33436361

TELEFAX : (237)33436363 Douala

FORME JURIDIQUE : SARL

SIEGE : Immeuble Kadji Akwa-Douala

CAPITAL SOCIAL : 15000000 FCFA

ACTIVITES : Supervision, Stockage, PRAS, Gestion des

performances, Mise en œuvre d’infrastructure Intranet et

Internet, Etude et mise en œuvre d’infrastructure réseau

intégrant les PABX et serveurs vocaux, Mise en œuvre

d’infrastructure de NOC.

DIRECTEUR GENERAL : FOPA Gabriel

LOGO :

ITGStore-Consulting est une jeune entreprise en terre

camerounaise qui depuis son implantation en 2006 s’impose

parmi les leaders de la ville de Douala dans son domaine

d’activité. L’Equipe Technique de la structure compte des



Ingénieurs issus des universités et des grandes écoles

supérieures du Cameroun. Les bureaux d’ITGStore sont situés

au rez de chaussée de l’immeuble Kadji à Akwa-Douala

III-) DESCRIPTION

ITGStore-Consulting est constituée :

D’une direction générale dont le bureau est situé en

France et ayant à sa tête un Directeur Général en la personne

de Monsieur FOPA Gabriel ;

Ensuite on a un responsable des projets qui est

responsable de la coordination de la plate-forme des projets de

la structure au niveau du Cameroun.

Enfin on a le service de la comptabilité qui est géré par

un cabinet d’expert comptable, le service marketing et l’équipe

technique. Il est à noter qu’à ITGStore-Consulting, tout

ingénieur peut être amené à gérer un projet.



IV-) ACTIVITES

Les principaux métiers d’ITGStore-Consulting sont :

IV.1-) La supervision

La supervision est une solution qui permet d’établir à

chaque instant l’état (fonctionnel ou non) d’un composant

technique, d’un logiciel, d’un serveur ou d’un équipement

réseau.

ITGStore-Consulting s’appuie sur des experts

expérimentés dans le domaine de la supervision, pour proposer

à ses clients une collaboration dans le conseil, l’étude du

besoin, les spécifications et la mise en œuvre des solutions

techniques à la dimension des entreprises.



ITGStore-Consulting met à la disposition des entreprise

des experts qui sont intervenus ou interviennent comme

acteurs majeurs au sein de projet de supervision (construction

de NOC) dans des entreprises telles que : France Télécom,

Orange, Lucent Technologie…

IV.2-) Le stockage, PRAS

ITGStore met à la disposition des entreprises des

solutions avancées de sauvegarde et des outils de restauration

très performants

IV.3-) La gestion des performances

ITGStore-Consulting met à la disposition des entreprises

des experts expérimentés pour l’étude, les spécifications, le

choix des indicateurs de performance et la mise en œuvre de

solutions appropriées au profil de l’entreprise.

IV.4-) Mise en œuvre d’infrastructure Internet et Intranet

ITGStore-Consulting définit et valide avec des entreprises

intéressées la stratégie Internet la plus adaptée à leurs



besoins. La structure vous accompagne également dans le

choix des solutions à mettre en œuvre ainsi que les processus

de déploiement.

IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux

L’infrastructure de communication téléphonique,

représente une vitrine clé de l’entreprise.

ITGStore-Consulting vous accompagne dans la définition,

des spécifications, les choix et la mise en œuvre des

infrastructures internes de télécoms, intégrant le câblage, le

PABX, les serveurs vocaux. Pour cela, ITGStore s’appuie sur

une expérience confirmée et des systèmes techniques ajustés

aux besoins de l’entreprise.

IV.6-) Mise en œuvre d’infrastructure de NOC

V-) RESSOURCES INFORMATIQUES D’ITGStore

Le parc informatique d’ITGStore est constitué des éléments

suivants :

V.1-) Ressources matérielles

Imprimantes :



Une imprimante HP broder NC-6200h trois en un qui en

plus des impressions peut scanner et être utilisée pour envoyer

des fax.

Ordinateurs :

A ITGStore nous avons deux types d’ordinateurs à savoir :

Serveurs dont les caractéristiques sont des Pentium IV

3GHz 1Go de RAM parmi lesquels :

La marque SUN ;

La marque HP ;

La marque Dell ;

Des clones ;

La marque LG.

Des postes de travail (des postes fixes et des Laptops)

Equipements réseaux :

Trois Hub NetGear de 05 ports chacun ;

Un Switch Cisco 2948G-L3 ;

Un modem routeur ADSL ;

Autres équipements :

Le NAS NetGear (équipement de stockage);

Des onduleurs et des parasurtenseurs.



V.2-) Ressources logicielles

Systèmes d’exploitation :

Les différents systèmes d’exploitation utilisés à ITGStore-

Consulting sont :

Distributions Linux : Suse 10, Solaris 8 et 10, Fedora 5 et

6 ;

Windows: XP SP1et SP2, server 2003.

Applications :

MS Office 2003 et 2007

Antivirus: Avast 5.7, Mcafee 8.0;



VI-) CONCLUSION

L’insertion à ITGStore-Consulting a été très facile

notamment avec la présence dans cette structure des anciens

étudiants de l’IAI-Cameroun, son personnel très jeune et

attentif. La phase qui suit nous présente la réalisation de notre

projet à savoir l’implémentation d’une politique de firewalling

grâce à IPCop.



I-) INTRODUCTION

La sécurité d’un système est le niveau de garantie que

donne ce système pendant son état optimal de fonctionnement.

Que se soit pour des réseaux personnels ou d’entreprises, la

sécurité informatique permet d’empêcher :

► La divulgation non autorisée des données ;

► La modification non autorisée des données ;

► L’utilisation non autorisée des ressources réseaux ou du

système informatique de façon générale.

Cela est d’autant plus strict lorsque les équipements

informatiques sont connectés à Internet ou à un autre réseau

avec des connexions types câbles ou ADSL. Ces règles sont

mises en place grâce à des systèmes de protection tels que :

des pare-feux, des IDS, des antivirus, des anti-spam, des anti-

spywares.

Terminologie :

Le pare-feu (ou firewall en Anglais) est un dispositif

(élément logiciel et/ou matériel) reliant deux réseaux et filtrant

les données échangées par ceux-ci pour assurer leur sécurité.

IDS (Intrusion Detection System)

Problématique

De plus en plus les entreprises gèrent des données

importantes stockées dans des serveurs; et pour garantir la



sécurité de ces données et matériels, il faut mettre sur pied

des mécanismes permettant en temps réel le contrôle des

accès, la gestion du trafic et le filtrage des informations qui

transitent. D’où la nécessité d’installer un firewall tel IPCop.

II-) GENERALITE SUR LES PARE-FEUX

A l’origine le terme pare-feu est employé dans les théâtres

pour designer un mécanisme permettant au feu de ne pas se

propager de la salle de théâtre vers la scène.

Le pare-feu est donc utilisé en informatique pour designer

une porte empêchant aux ménaces d’un réseau externe de se

propager dans votre réseau informatique interne.

III-) FONCTIONNEMENT D’UN FIREWALL

Un firewall a pour principale fonction de contrôler le trafic

entre les différents réseaux, en filtrant les flux de données qui

transitent dans ces réseaux (Internet (zone non contrôlée) et le

réseau interne (zone très importante)). Plus précisément, un

firewall est chargé de filtrer :

L’origine ou la destination des paquets (adresse IP,

interfaces réseau, etc.)

Les utilisateurs

Les données et les options contenues dans ces données



Les pare-feux récents embarquent des fonctionnalités

suivantes :

Filtrage sur adresses IP/Protocole,

Inspection à l’état et applicative,

Intelligence artificielle pour détecter le trafic anormal,

Filtrage applicatif

o HTTP (restriction des URL accessibles),

o Courriel

o Logiciel d’antivirus, anti-logiciel malveillant

Translation d’adresse,

Tunnels IPSec, PPTP, L2TP,

Identification des connexions,

Serveurs de protocoles de connexion (Telnet, SSH), de

protocoles de transfert de fichier (SCP),

Clients de protocoles de transfert de fichier (TFTP),

Serveur Web pour offrir une interface de configuration

agréable,

Serveur mandataire (« Proxy » en anglais),

Système de détection d’intrusion (« IDS » en anglais)

Système de prévention d’intrusion (« IPS » en anglais)

Le schéma ci-dessous illustre le fonctionnement d’un

firewall



Figure 1 : Schéma de fonctionnement d’un firewall

III.1-) Catégories de firewall

Les équipements (ou les logiciels) de sécurité à l’instar

des firewalls connaissent de nombreuses évolutions. C’est ainsi

que suivant la génération de pare-feu ou de son rôle on peut

citer :

1) Pare-feu sans états (stateless firewall : ici le pare-feu

compare chaque paquet à une liste de règles

préconfigurées)



2) Pare-feu à états (stateful firewall : le pare-feu vérifie

que chaque paquet d’une connexion est bien la suite

du paquet précédent)

3) Pare-feu applicatif (ici le pare-feu vérifie la

conformité d’un paquet à un protocole attendu.

Exemple s’assurer que seul du http passe par le port

80)

4) Pare-feu identifiant (ici le pare-feu réalise

l’identification des connexions à travers le filtre IP)

5) Pare-feu personnel (permet de lutter contre les virus

et les logiciels espions)

III.2-) Types d’implémentations

Il existe trois types d’implémentation de firewall parmi

lesquelles :

Versions libres

Linux Netfilter/IPtables, pare-feu libre des noyaux

Linux 2.4 et 2.6.

Linux IPchains, pare-feu libre du noyau Linux 2.2.

Packet Filter ou PF, pare-feu libre d’OpenBSD (système

d’exploitation libre de type Unix, dérivé de 4.4BSD)

importé depuis sur les autres BSD.

IPFilter ou IPF, pare-feu libre de BSD (Berkeley

Software Distribution : famille de systèmes d’exploitation

Unix, développés à l’université de Berkeley) et Solaris10.

IPfirewall ou IPFW, pare-feu libre de FreeBSD.



NuFW Pare-feu identifiant sous Licence GPL pour la

partie serveur et les clients Linux, FreeBSD et Mac OS.

NuFW est basé sur Netfilter et en augmente les

fonctionnalités.

iSafer, pare-feu libre pour Windows.

Versions propriétaires

les boîtiers pare-feu : juniper

Distributions Linux

SmoothWall : distribution linux packageant Netfilter et

d'autres outils de sécurité pour transformer un PC en

pare-feu dédié et complet.

IPCop : distribution linux packageant Netfilter et d'autres

outils de sécurité pour transformer un PC en pare-feu

dédié et complet.

Endian Firewall : distribution linux packageant Netfilter

et d'autres outils de sécurité pour transformer un PC en

pare-feu dédié et complet.

Pfsense : distribution firewall open source très avancée

basée sur FreeBSD et dérivée de m0n0wall qui utilise en

autre OpenBSD packet Filter.

IV-) PRESENTATION D’IPCop

IV.1-) Définition d’IPCop



IPCop (policier des IP) est un projet Open Source dont le

but est d’obtenir une distribution Linux qui permet de faire le

firewalling.

IPCop a été crée en réponse à plusieurs besoins. Le

premier d’entre eux était le besoin d’une protection sûre et

efficace de nos réseaux personnels et d’entreprises.

Lorsque le projet IPCop a été lancé en 2001, il existait

déjà d’autres pare-feu. L’équipe de projet d’IPCop avait décidé

de partir du code de base d’un pare-feu sous GPL. L’objectif

était de remanier ce code pour se mettre à l’écoute des

attentes des utilisateurs. Parmi ces attentes se trouvait celle de

laisser à chaque utilisateur la possibilité de créer son propre

IPCop, celle de proposer et d’ajouter des améliorations et celle

d’apprendre grâce au travail des autres. A ce jour plusieurs

révisions d’IPCop ont été publiées, et plusieurs fonctionnalités

ont été ajoutées : la possibilité d’organiser le parc en quatre

catégories de réseaux, la détection d’intrusion sur tout le

réseau et la configuration à partir d’une interface web n’en

sont que quelques exemples.

IPCop est basée sur Linux From Scratch (projet visant à

préciser toutes étapes nécessaires à la création de son propre

système Linux. LFS a pour objectif de vous guider à travers

l'installation d'un système de base comportant le maximum

d'éléments de sécurisation.), destiné à assurer la sécurité d’un

réseau.

C’est un système d’exploitation à part entière qui peut

être installé sur un PC (dont les caractéristiques minimales



sont les suivantes : CPU =233MHz, RAM= 64Mo,

HDD=800Mo) pour faire office de firewall très performant

IV.2-) Description

L’interface d’administration d’IPCop est composée de sept

onglets (huit si on installe CopFilter). Ces onglets font

références aux différentes possibilités d’administration offertes

par IPCop.

IV.2.1-) Onglet SYSTEME

L’onglet système regroupe tout ce qui concerne le système

en lui-même à savoir : la vérification et l’installation des mises

à jour, la modification des mots de passe, les sauvegardes,

l’activation de l’accès SSH, …

Accueil :

C’est la première page qui s’affiche lorsque l’on tape

l’adresse de l’interface web d’administration d'IPCop dans le

navigateur. Sur cette page il vous est possible de couper tout

le trafic passant par IPCop via le bouton Déconnexion (la

connexion s’établit de manière automatique lors du démarrage



du serveur), mais également de consulter le temps depuis

lequel la connexion est établie.

Mises à jour :

Des mises à jour sont mensuelles pour le système, apportant

de nouvelles options ou des corrections de bugs. Les mises à

jour s’installent simplement : il suffit de cliquer sur détail, de

télécharger le fichier, puis d’uploader ce fichier sur le serveur

via le bouton parcourir et chargement de la page.

Mots de passe :

Les mots de passes admin (pour l’accès à l’interface web) et

dial (utilisateur seulement autorisé a connecter ou déconnecter

la connexion par modem) peuvent être modifiés sur cette page.

Ces mots de passes doivent contenir au moins 6 caractères

(plus conseillés). Le mot de passe admin peut également être

modifié via la commande setup en SSH (qui permet par ailleurs

de modifier le mot de passe root).

Accès SSH :

L’accès SSH n’est pas activé par défaut, et peut ne pas l’être

si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA

et DSA, elles sont cryptées sur 1024 bits. Il est possible de

refuser le transfert SCP, empêchant ainsi de copier des fichiers

sur IPCop avec WinSCP (par exemple). D’autres options

relatives à la version du client SSH utilisé et à



l’authentification par mot de passe et clés publiques sont

prises en comptes.

Interface graphique :

L’interface graphique d’IPCop permet de choisir d’afficher le

nom de la machine dans la barre de titre du navigateur, de

rafraîchir automatiquement la page d’accueil, de sélectionner

la langue pour votre page d’administration et de restaurer les

paramètres par défaut.

Sauvegarde :

Comme tout système informatique, les pannes matérielles ou

logicielles sont rares mais existent. Avec IPCop il est possible

de réaliser deux types de sauvegardes : une sur la machine et

une sur disquette.

Les sauvegardes sur machine sont à considérer comme des

points de restauration qui permettent de revenir à une

configuration antérieure suite à une modification non

satisfaisante. On peut également sauvegarder la dernière date

sur l’ordinateur local et la restaurer à l’aide des boutons

parcourir et importer.

Les sauvegardes réalisées sur disquettes sont utiles en cas

de panne sévère. En effet ; si vous devez réinstaller le système,

cette disquette de sauvegarde vous sera demandée pendant

l’installation pour restaurer les configurations.



Arrêter :

Il est possible depuis la version 1.4.10 de redémarrer ou

d’arrêter IPCop a distance à l’aide des boutons correspondants

ou tout simplement planifier ces tâches.

Crédits :

IPCop est un projet Open Source sous licence GNU ; toute

une communauté de développeurs se charge de maintenir et

d’optimiser ce projet. Il est par conséquent normal que le nom

de ces personnes apparaisse sur IPCop. Cette liste est lisible

dans cette section. Par ailleurs, les adresses mails de ces

personnes figurent si vous aviez besoin de les contacter pour

faire avancer le projet.

IV.2.2-) Onglet ETAT

Les menus de l’onglet Etat sont tous à titre informatif. Cet

onglet regroupe les résumés de l’état système ainsi que des

outils de surveillance graphique : services actifs, utilisation de

mémoire, du processeur, du disque dur … etc.

Etat du système :

Ce menu permet de consulter l’activité du système. Les

services du système sont listés avec leur état. Ici on peut voir

quel utilisateur est connecté à IPCop, ce qu’il fait, depuis

combien de temps est ce qu’il est connecté. Il permet



également d’avoir des informations sur la version du noyau

utilisé.

Etat du réseau :

Ici on a les résultats de la configuration des interfaces des

réseaux. Pour chaque interface on l’adresse MAC de la carte

réseau utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de

la MTU (Maximum Transmission Unit) qui est taille maximale

(en octets) du paquet pouvant être transmis en une seule fois,

l’état du transfert des paquets, les entrées de la table de

routage, ainsi que la table ARP.

Graphiques systèmes :

Les graphiques systèmes sont très utiles pour évaluer

l’utilisation des ressources matérielles (processeur, mémoire,

swap et accès disque), mais permettent également d’identifier

les pics de sollicitation des ressources par plage horaire.

Courbes de trafic :

Elles représentent le niveau de sollicitation de la bande

passante par rapport au temps. Tout comme les graphiques

systèmes, lorsque vous cliquez sur un graphique (courbe), vous

obtenez une vue dans une autre unité de temps.

Connexion :

C’est un tableau qui permet en temps réel de suivre les

communications entre IPCop et les éléments qui l’entourent.

Les adresses IP, les ports utilisés et d’autres informations

utiles y sont répertoriés (protocoles, bail, zone, etc.…).



IV.2.3-) Onglet RESEAU

Les menus de cet onglet seront utiles dans le cas de

l’utilisation de l’interface rouge avec une connexion par

modem. En effet, si on utilise une carte réseau pour l’interface

rouge cet onglet ne sera d’aucune utilité.

Connexion :

Dans ce menu on va pouvoir définir nos paramètres de

connexion Internet avec nos identifiants. Ces informations sont

en général fournies par le fournisseur d’accès Internet (FAI).

Toutes ces informations (identifiants, modem, serveur DNS,

…) peuvent être sauvegardées dans 5 profils, vous permettant

ainsi de vous connecter avec différents abonnements.

D’autres options permettent d’affiner un peu plus les

paramètres de base, comme par exemple la possibilité de se

déconnecter au bout d’un certain délai d’inactivité et de se

reconnecter automatiquement.

Chargement :

Par défaut IPCop reconnaît beaucoup de modems, mais en

cas de problème de détection avec le votre, il est possible de

récupérer le driver Fritz!DSL de celui-ci.

Modem :



Il est possible de personnaliser les réglages propres à la

connexion du modem au travers de ce menu. Attention ceci est

réservé à un public averti ! En cas de mauvaise manipulation,

vous pourrez remettre les paramètres par défaut.

Alias :

Dans le cas où votre FAI vous a fournit une plage d’adresses

IP publiques, vous pourrez créer des alias pour que les

adresses de cette plage soient distribuées sur l’interface

rouge : dans le menu «Etat du réseau» votre interface rouge

aura ainsi plusieurs adresses IP (utile dans le cas des serveurs

web et ftp).

IV.2.4-) Onglet SERVICES

Cet onglet permet de visualiser l’ensemble des services

en actifs et serveurs installés dans IPCop. Parmi ces services et

serveurs on peut citer :

Serveur Mandataire (Proxy) :

Un serveur Proxy consiste principalement à aller chercher

les pages que les utilisateurs consultent et à les stocker dans

un cache afin des les afficher plus rapidement lors de la

prochaine visite de celles-ci.

Serveur DHCP :



Un serveur DHCP (Dynamic Host Configuration Protocol)

permet d'allouer une configuration IP (Adresse, Passerelle,

Serveurs DNS) à une interface réseau de façon automatique.

DNS Dynamiques :

Un serveur DNS est un serveur qui associe un nom de

domaine à une adresse IP, un DNS Dynamique joue le même

rôle mais pour des adresses IP non fixes.

Hôtes statiques :

Dans le cas où on dispose de serveurs ou de machines

nécessitant d'avoir toujours la même adresse (publique ou

privée) ceci vous permettra de leur réserver et de leur définir

une adresse fixe.

Serveur de temps :

Un serveur de temps diffuse l'heure et la date à tous les

ordinateurs d'un réseau. On pourra ici se synchroniser à partir

d’Internet ou synchroniser les réseaux des interfaces d’IPCop.

Lissage du trafic (Shapping) :

Le lissage de trafic permet de limiter le trafic alloué à un

protocole, il s'agit en quelque sorte de la gestion de la bande

passante.

Détection d’intrusion (IDS):

S'appuyant sur les règles de Snort, qui est un système de

détection d'intrusion open source, capable d'effectuer en



temps réel des analyses de trafic et de logger les paquets sur

un réseau IP. Il peut effectuer des analyses de protocole,

recherche/correspondance de contenu et peut être utilisé pour

détecter une grande variété d'attaques

IV.2.5-) Onglet PARE-FEU

Comme pour tout bon firewall, il est possible de désactiver

le Ping et d’ouvrir des ports pour laisser passer des

applications ou même de rediriger ceux-ci. Il comprend des

menus tels que :

Transferts de ports :

Il s’agit là du Port Address Translation (PAT, parfois aussi

nommé Port Forwarding), qui permet de rediriger le flux

arrivant sur un port d’IPCop vers un port d’une machine

faisant partie d’une des zones d’IPCop. Exemple : Un serveur

web se trouve derrière l’interface verte d’IPCop. Il vous faut

donc rediriger les requêtes HTTP que reçoit votre IPCop vers

ce serveur. Il faut donc choisir les protocoles utilisés par http

(ici TCP, il faudra donc créer une règle pour ce protocole) et

rediriger les paquets vers l’adresse IP de votre serveur web

(192.168.1.250 par exemple) sur le port HTTP (80 par défaut,

8080 parfois).

Accès externes :



Ce menu permet d’accorder des autorisations à certaines

des machines du réseau externe de se connecter à certains

ports bien précis.

Vous pouvez ouvrir des "brèches" dans le firewall pour

ouvrir complètement un accès au réseau sur un port, c'est-à-

dire que les ports choisis seront complètements ouverts, ceci

peut être utile pour autoriser l’accès à l’interface de

configuration ou l’accès en SSH à IPCop depuis la zone rouge

(Internet par exemple). Pour sécuriser un petit peu l'ouverture

complète de ces ports, on pourra spécifier quelles adresses IP

sont autorisées à les utiliser (dans le cas d’un serveur FTP dont

on connaît les clients par exemple, ou l’adresse IP de

l’administrateur distant).

Options du firewall :

Dans ce menu on a la possibilité de choisir quelle interface

répondra ou non au Ping. On désactivera le Ping pour des

raisons de sécurité si on le souhaite (ce qui permet tout de

même d’éviter certaines attaques).

IV.2.6-) Onglet RPV (VPN)

L’onglet RPVs ne contient qu’un seul menu du même nom.

Vous aurez remarqué que les différents onglets sont relatifs à

des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en

anglais pour Virtual Private Network) étant un domaine

complètement à part au regard des autres catégories



proposées par IPCop. Un VPN consiste à utiliser ce que l’on

appelle un protocole de "tunnelisation" (L2M, PPTP, L2P,

IPSec,…) pour relier deux réseaux physiques en utilisant un

réseau non sécurisé, mais fiable, la finalité étant que ces deux

réseaux distincts ne forment plus qu’un seul et même réseau

en transitant par Internet.

IV.2.7-) Onglet JOURNAUX

Cet onglet permet d’obtenir un suivi des évènements à

travers des journaux (ou logs). Il est indispensable pour

détecter les causes des problèmes, qu’il s’agisse du pare-feu,

du noyau du système, ou encore des adresses bloquées par le

filtreur d'url.

Configuration des journaux :

Il est possible via ce menu de paramétrer le type de

classement (ordre chronologique ou non), le nombre de lignes

par page, la durée pendant laquelle les résumés des journaux

seront conservés ainsi que leur niveau de détail. Il est par

ailleurs possible d’enregistrer ces journaux sur un serveur

distant (serveur syslog).

Résumé des journaux :

Il permet de faire un rapide bilan sur les activités du serveur

web (pour l’interface d’administration), le pare-feu et l’espace

disponible sur les partitions montées.



Journaux pare-feu :

Ce log affiche toutes les connexions établies en direction

d’IPCop. Les évènements sont organisés par date, différentes

informations relatives à la communication sont ensuite

disponibles sous forme d’un tableau :

Heur

e

Chaîn

e

Interfac

e

Protocol

e

IP

sourc

e

Port

sourc

e

Adress

e MAC

IP

destinati

on

Port

destinat

ion

Journaux IDS :

Les journaux du Système de Détection d’Intrusion (Intrusion

Detection System en anglais, d’où IDS) sont relatifs au service

de Détection d’Intrusion d’IPCop qui agit en fonction des

règles Snort. Dans ces journaux, les attaques sont également

recensées sous forme de tableaux. Elles sont triées par date,

une priorité est affectée en fonction du type de menace

identifié, le nom de celle-ci, son type et l’adresse source de

l’attaque.

Journaux systèmes :

A chaque fois qu’une modification est effectuée (via

l’interface web ou non) ou qu’un évènement arrive (arrêt du

système ou d’un service, redémarrage d’une interface réseau,

…) cela enregistré dans ce journal.



V-) ETUDE DES FONCTIONNALITES D’IPCop

IPCop admet des fonctionnalités suivantes :

V.1-) Filtrage du réseau par iptables

Depuis la version 2.4, Linux contient un module destiné au

filtrage réseau, Netfilter. Il se configure au moyen d'un outil

appelé iptables.

Le filtrage réseau consiste à faire un examen des paquets

réseaux et à prendre des décisions sur le traitement à leurs

appliquer. C'est ce que fait un firewall. Avec un système

GNU/Linux, pour configurer des règles de pare-feu, il faudra

donc simplement utiliser Netfilter à l'aide d'iptables.

L’avantage avec IPCop ici est qu’on a plus besoin de taper les

commandes car ses règles peuvent être configurées via

l’interface web d’administration d’IPCop. Ce pendant pour

configuration en mode commande, il est bon de savoir

comment ça fonctionne.

Netfilter est un pare-feu complet fonctionnant sous Linux

(noyaux 2.4 et 2.6), il remplace ipchains qui fonctionnait sur

les noyaux 2.2.

Les chaînes (ensemble de règles appliquées aux paquets) de

Netfilter sont reparties dans 3 tables :

a)Filter : c'est la table par défaut, elle filtre les 3 trafics

principaux.



C'est la table par défaut lorsqu'on ne spécifie aucune table.

Elle contient toutes les règles de filtrage :

INPUT : pour les paquets entrants.

OUPUT : pour les paquets sortants.

FORWARD : pour les paquets traversants le firewall.

Lorsqu'un paquet correspond au motif de reconnaissance

d'une règle arrive, une décision est prise.

ACCEPT : Permet d'accepter un paquet si la règle est

vérifiée.

REJECT : Dans cet attribut, on peut indiquer quel

type de message ICMP sera envoyé vers la machine

dont le paquet est rejeté. A la suite de l’option, on

peut trouver :

icmp-net-unreachable (réseau inaccessible),

icmp-host-unreachable (machine inaccessible),

icmp-port-unreachable (port inaccessible), icmp-

proto-unreachable (protocole inaccessible), icmp-

net-prohibited (réseau interdit), icmp-host-

prohibited (machine interdite). Si le type de

protocole est tcp, on peut trouver tcp-reset qui

indique qu’il faudra envoyer un paquet RST qui

permet de fermer une connexion.

DROP : Permet de rejeter le paquet sans retour

d'erreur à l'expéditeur si la règle est vérifiée.



LOG : Permet de loguer le passage du paquet si la

règle est vérifiée.

Voici quelques exemples de règles iptables :

> iptables -t filter -A INPUT -s 192.168.1.110 -jump

DROP cela signifie que tout ce vient de l’adresse

192.168.1.110 est rejeté

> iptables -t filter -A INPUT --protocol tcp --

destination-port 80 --jump ACCEPT cela signifie de

laisser passer le trafic TCP entrant sur le port 80

b)NAT : table dédiée à la redirection de paquets.

Cette table est utilisée pour la translation d'adresse ou de port.

Il y a 2 types de chaînes :

PREROUTING : paquets entrants sur le firewall.

POSTROUTING : paquets sortants du firewall.

Les cibles pour NAT sont :

MASQUERADE (uniquement POSTROUTING)

La passerelle (la machine où est installée iptables) transforme

les paquets sortants pour donner l'illusion qu'ils sortent de

celle-ci par un port alloué dynamiquement ; lorsque la

passerelle reçoit une réponse (d'Internet par exemple) sur ce

port, elle utilise une table de correspondance entre le port et

les machines du réseau local qu'elle gère pour lui faire suivre

le paquet.



DNAT (uniquement PREROUTING) : Permet de modifier

l'adresse de destination du paquet.

--to-destination : Utiliser avec la cible DNAT, permet de

spécifier l'adresse de destination de la translation.

SNAT (uniquement POSTOUTING) : Permet de modifier

l'adresse source du paquet.

--to-source : Utiliser avec la cible SNAT, permet de spécifier

l'adresse source de la translation.

c) Mangle : table utilisée pour les services réseaux

additionnels (Elle sert à modifier les en-têtes des paquets.

pour permettre à d'autres applications de les reconnaître.).

Netfilter fonctionne au niveau du noyau, pour l'administrer,

iptables est utilisé.

Iptables est l'outil qui est fourni à l'administrateur pour

agir sur tous les concepts de règles de filtrage.

La première option à connaître est -t qui permet de spécifier

le nom de la table sur laquelle portera les autres paramètres.

Si cette option n'est pas spécifiée, ce sera par défaut la table

filter.

On peut aussi demander à iptables de charger un module

particulier avec l'option -m. Ce module peut ajouter de

nouvelles tables ou de nouvelles manières de tester les

paquets.



Il faut ensuite indiquer une commande pour dire par

exemple qu'une nouvelle règle doit être ajoutée dans la chaîne

spécifiée. Ci-dessous la liste des options les plus courantes pour spécifier une commande.

Une seule à la fois peut être présente, et toutes devront être suivies du nom de la chaîne à prendre

en compte.

Options d’iptables

Optio

ns

Rôles

-L Affiche toutes les règles de la chaîne indiquée.

-F Supprime toutes les règles de la chaîne. Si aucune

chaîne n'est spécifiée, toutes celles de la table sont

vidées.

-N Crée une nouvelle chaîne utilisateur avec le nom passé

en paramètre.

-X Supprime la chaîne utilisateur. Si aucun nom n'est

spécifié, toutes les chaînes utilisateur seront

supprimées

-P Modifie la politique par défaut de la chaîne. Il faut

indiquer en plus comme paramètre la cible à utiliser.

-A Ajoute une règle à la fin de la chaîne spécifiée.

-I Insère la règle avant celle indiquée. Cette place est

précisée par un numéro qui fait suite au nom de la

chaîne. La première porte le numéro 1. Si aucun

numéro n'est indiqué, la règle est insérée au début.

-D Supprime une règle de la chaîne. Soit un numéro peut

être précisé, soit la définition de la chaîne à supprimer

(ses tests de concordance et sa cible).



V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux :

La zone Verte : c’est le réseau local qu’IPCop doit

sécuriser, il peut être un réseau d’entreprise ou

personnel. C’est la zone de confiance par excellence.

La zone Bleue : c’est le réseau constitué des

équipements sans fil (802.11b) avec une confiance

limitée.

La zone Orange : c’est la DMZ (zone démilitarisée)

où sont installés les serveurs accessibles depuis

l’extérieur. Dans cette partie on retrouve des

serveurs de types Web, FTP, bases de données …

La zone Rouge : c’est le réseau externe non

contrôlé à l’exemple d’Internet.

V.3-) Prise en charge des serveurs DHCP, DNS, …

IPCop intègre dans son programme certains serveurs

comme le serveur DHCP pour le réseau vert, le serveur

DNS.

V.4-) Administration de la machine par une interface web sécurisée

Cette fonctionnalité permet :

De simplifier considérablement les tâches

d’administration du firewall ;



L’affichage des performances du processeur, de la

mémoire, des disques et du trafic réseau par des

graphiques ;

La visualisation des journaux d’événement et leur

archivage automatique ;

Le choix entre plusieurs langues.

V.5-) Détection des intrusions avec Snort

Snort est système de détection d’intrusion libre sous licence

GNU/GPL (General Public License. Il est utilisé pour

détecter une grande variété d’attaques)

V.6-) Gestion des réseaux privés virtuels (VPN)

IPCop permet d’utiliser ce qu’on appelle un protocole de

« tunnelisation » (L2P, IPSec…) pour relier deux réseaux

physiques en utilisant un réseau non sécurisé, mais fiable. La

finalité étant que ces deux réseaux distincts ne forment plus

qu’un seul et même réseau en transitant par Internet.

VI-) CAHIER DES CHARGES

Dans le cadre de ce projet, nous devons de mettre sur

pied une politique de sécurité consistant à faire :

1)Le filtrage HTTP avec authentification ;



Proxy http (Hypertext Transfer Protocol ); Bail (pour contrôler les heures de connexion sur

internet) ;

2)Le contrôle des téléchargements (gestion du trafic) ;

Gestion du trafic ; Gestion de la bande passante.

3)La gestion des intrusions (pour limiter les risques d’attaque).

Toute machine qui se connecte à un serveur

particulier ou au réseau devrait être clairement

identifiée

Nous disposons pour cela comme outils de travail:

D’un ordinateur clone pentium 4 (CPU 3GHz, 1Go de

RAM, 10Go de disque dur) possédant deux cartes

réseaux Ethernet

De la distribution linux IPCop

VII-) INSTALLATION D’IPCop

Pendant l’installation de notre firewall IPCop, nous

adopterons la configuration correspondant à l’architecture

réseau suivante qui a été mise en place pour les tests :



Figure 2 : Schéma de fonctionnement d’IPCop à ITGStore

Configuration minimale requise

Pour installer IPCop on a besoin d’un ordinateur complet

ayant les caractéristiques minimales suivantes :

CPU → 233MHz

RAM → 64Mo

HDD → 800Mo

Après avoir préparé son ordinateur, il faut disposer d’une

copie de la version d’IPCop à installer. La distribution IPCop

est disponible gratuitement sur le site www.ipcop.org

Nous allons installer ici IPCop 1.4.20


http://www.ipcop.org/


Il existe trois méthodes d’installation d’IPCop en fonction du support matériel que vous avez

à votre disposition

Méthode Lecteur

de

Disquett

e

Disque

tte de

pilotes

Lecteur

de CD-

ROM

Serveur

FTP/We

b

CD de boot Non Non Oui Non

Disquette de boot

puis CD

Oui Non Oui Non

Disquette de boot

puis serveur

FTP/WEB

Oui Oui Non oui

Nous allons nous intéresser à l’installation à partir d’un

CD de boot d’IPCop.

Plaçons le CD contenant la distribution IPCop qu’on a

téléchargée et gravée dans le lecteur de CD de notre machine

IPCop. Puis redémarrons la machine, appuyez sur ma touche

entrée à l’écran de boot que voici.

NB : tous vos données contenues dans le disque dur seront

entièrement supprimer ; donc prenez la penne de sauvegarder

toutes vos données dans un autre disque et non dans une

partition du même disque.



Figure 3 : Ecran de boot d’IPCop

On voit ensuite défiler à l’écran des messages informatifs

venant du noyau.

Ensuite s’affiche l’écran permettant de sélectionner la

langue, les touches tab, flèches permettent de déplacer le

curseur sur les éléments ; pour sélectionner un élément on

utilise la touche espace et pour accepter le choix on appuie

sur la touche entrée. Choisissons le français comme langue

puis validons. A partir de ce moment toutes les boîtes de

dialogues, page web et menus utilisent la langue choisie.

La boîte de dialogue qui suit nous permet de sélectionner

le support d’installation. Choisissons comme support le CD-

ROM puis validons.



Figure 4 : Choix de la source d’installation d’IPCop

La boîte de dialogue qui suit indique que le programme

d’installation d’IPCop prépare le disque principal (/dev/hda).

En premier lieu, le disque dur sera partitionné, puis un

système de fichier sera créé dans chaque partition. Ensuite le

programme d’installation va copier les fichiers nécessaires sur

le disque.

L’installation d’IPCop se poursuit avec la configuration de

la carte réseau de l’interface verte (eth0). Nous pouvons

laisser IPCop trouver notre carte réseau et déterminer les

paramètres à donner au pilote de périphérique. Sélectionner le

bouton rechercher et appuyez sur entrée pour laisser IPCop

détecter votre configuration matérielle. Si nous choisissons

plutôt le bouton sélectionner, nous rechercherons

manuellement la carte réseau et devrons spécifier les

paramètres à installer.

Le processus d’installation vous demande ensuite

d’indiquer l’adresse IP à assigner à l’interface verte (eth0).

Lorsque vous choisissez une adresse IP, IPCop détermine

automatiquement le masque de réseau en fonction de cette

adresse que vous pouvez modifier si vous le désirez. C’est cette



adresse qui sera utilisée pour se connecter à l’interface web

d’administration.

Figure 5 : Configuration réseau de l’interface verte

La boîte dialogue qui suit vous annonce la fin de

l’installation et vous demande de retirer le CD du lecteur puis

appuyer sur ok pour continuer.

Ce qui suit à présent constitue la configuration initiale

d’IPCop à savoir le choix du type de clavier, du fuseau horaire,

du nom de la machine (ce nom est également utilisé pour se

connecter à l’interface web d’administration à la place de

l’adresse IP.), le nom de domaine ou du groupe de travail.

Il faut ensuite choisir le type de configuration réseau.

Pour ce qui est de notre cas, nous allons choisir « GREEN +

RED ». En fonction des équipements d’accès à Internet et nombre de réseaux que voulez

connecter on aura besoin de :

Connexion Modem ISDN USB ADSL Ethernet

Green+Red 1carte (G) 1carte (G) 1carte (G) 2cartes (G, R)

Green+Blue+Red2cartes (B,

G)

2cartes (B,

G)

2cartes (B,

G)

3cartes (B, G,

R)

Green+Orange+Red 2cartes (O, 2cartes (O, 2cartes (O, 3cartes (O, G,



G) G) B) R)

Green+Orange+Blu

e+Red

3cartes

(O, B, G)

3cartes

(O, B, G)

3cartes

(O, B, G)

4cartes

(O, B, G, R)

Puisque Nous utilisons une connexion Ethernet, pour

configurer notre réseau « GREEND + RED » il nous faut avoir

deux cartes réseaux.

Une carte pour le réseau vert (interne) et qui aura comme

adresse IP 192.168.10.1 ; cette interface reliée à un Switch

ou directement à une autre machine à l’aide d’un câble croisé

qui sera considérée comme notre réseau interne. Cette

machine recevra une adresse IP qui lui sera attribuée

automatiquement par le serveur DHCP d’IPCop dans la plage

192.168.10. 5 à 192.168.10.50

La deuxième carte sera affectée au réseau rouge

(externe) sera en réalité constitué de tout le réseau

informatique d’ITGStore.

Il faut configurer un serveur DHCP pour le réseau Green.

Ceci permet de simplifier la tâche de l’administrateur du

réseau en attribuant de façon automatique les paramètres du

réseau (adresse IP, masque, passerelle, DNS)



Figure 6 : Configuration du serveur DHCP de l’interface verte

Il faut enfin entrer les mots de passe de l’utilisateur «root

et admin » d’IPCop. Ces mots de passe permettent de se

connecter au système et à l’interface web d’administration

d’IPCop puis appuyé sur ok pour terminer l’installation et

redémarrer la machine.

Une fois l’installation et la configuration initiale

terminées, la machine redémarre et affiche l’interface de

connexion de l’utilisateur root.

Figure 7 : Interface de connexion de l’utilisateur root

VIII-) CONFIGURATION D’IPCop

A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n


IPCop est configurable à partir d’une interface web. Dans

n’importe quelle machine du réseau vert (ou externe si cela est

autorisé dans le menu accès externe de l’onglet pare-feu),

utiliser le navigateur de votre choix et taper l’adresse d’IPCop

https://ipcop-jm:445/ ou https://192.168.10.1:445/ où ipcop-jm

représente le nom de la machine où IPCop est installé,

192.168.10.1 représente l’adresse IP de l’interface verte de la

machine IPCop et 445 le port utilisé par l’interface web

d’administration d’IPCop. Après avoir tapez vous obtenez

l’interface d’administration suivante

Figure 8 : Interface web de connexion des utilisateurs admin et dial

Vous devez ensuite vous connectez. Appuyer sur le bouton

connexion et mettez comme nom d’utilisateur admin et comme

mot de passe celui que vous avez validé lors de l’installation

des configurations initiales.

La page d’administration d’IPCop est divisée en sept

onglets à savoir :

SYSTEME


https://192.168.10.1:445/

https://ipcop-jm:445/


ETAT

RESEAU

SERVICES

PARE-FEU

RPVS (VPN)

JOURNAUX

Pour la configuration de notre firewall IPCop nous allons

adopter les politiques suivantes :

La première politique sera de filtrer les url ceci pour

empêcher la connexion à certains sites jugés indésirables par

le simple fait que l’accès à ces sites distrait énormément le

personnel et empêche un meilleur rendement dans une

entreprise.

VIII.1-) Configuration du Proxy et du filtre d’url

La politique d’IPCop est de tout fermer en entrée et tout autoriser en sortie. Cette politique apparaît clairement dans le fichier /etc/rc.d/rc.firewall. L’administration par le navigateur nous permet d’écrire simplement et manière plus conviviale les règles dans ce fichier.

Nous allons faire le filtrage http pour cela, nous allons

utiliser l’utilitaire UrlFilter qui est une fonctionnalité

additionnelle d’IPCop. Télécharger UrlFilter dans le lien direct



de son site www.urlfilter.net/download/ipcop-urlfilter-

1.9.1.tar.gz

Copier ce fichier dans une clé USB puis monter la clé

dans la machine IPCop

#mkdir /mnt/usb

#mount /dev/sda1 /mnt/usb

Décompressez le fichier téléchargé : #tar xvzf ipcop-

urlfilter-1.9.1.tar.gz

Placez-vous sur le répertoire ipcop-urlfilter #cd ipcop-

urlfilter

Ensuite lancez l’installation avec la commande #./install

Une fois le fichier installer, allez dans l’interface web

d’administration d’IPCop (https://ipcop:445/ ou

https://192.168.10.1:445/ ou http://192.168.10.1:81/ ), cliquez

sur Services puis sur Serveur mandataire (Proxy) vous verrez

filtre d’url qui apparaît désormais sur cette page.

Cocher les cases suivantes puis enregistrer :

Activer le Proxy sur green ;

Mode transparent green ;

Filtre d’url.

Télécharger une blacklist de l’université de Toulouse

dans le site ftp://ftp.univ.tlse1.fr/blakclists.tar.gz cette blacklist

contient un ensemble des sites indésirables. Allez maintenant

dans l’onglet services et cliquer sur filtrage d’url. Dans mise à

jour de la blacklist cliquer sur parcourir et allez chercher le


ftp://ftp.univ.tlse1.fr/blakclists.tar.gz

http://192.168.10.1:81/

https://192.168.10.1:445/

https://ipcop:445/

http://www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz

http://www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz


fichier contenant la blacklist téléchargée puis cliquez sur

chargez blacklist. La liste ainsi chargée est affichée plus haut ;

il suffit de cocher sur une case de la blacklist pour que son

contenu soit bloqué dans le filtre.

L’intérêt de ce type de filtrage est qu’il permet d’éviter

la connexion à certains sites tels que les sites pornographiques

les sites de jeux de musiques qui constituent une des

principales sources de perte de pour le personnel en

entreprise. Ce type de filtrage est également intéressant pour

les centres multimédias car ici seuls les url autorisées sont

accessibles.

Voici un exemple du filtrage url. Lors de la configuration

d’UrlFilter, nous avons bloqué l’accès aux sites ayant dans leur

url le mot drague c'est-à-dire les sites web jugés adultes.

Tapons dans un navigateur d’une machine du réseau LAN l’url

http://www.xxl.com , ce type de site n’étant pas autorisé, notre

firewall renvoie ceci à l’utilisateur concerné :

Figure 9 : Cas pratique d’un filtrage d’url


http://www.xxl.com/


Ce type de filtrage trouve également son intérêt dans

les centres multimédias pour empêches aux jeunes la

connexion aux sites jugés adultes.

VIII.2-) Configuration Du Service IDS

Snort est un système de détection d'intrusion open source

sur licence GNU, capable d'effectuer en temps réel des

analyses de trafic sur un réseau IP. Il peut effectuer des

analyses de protocole, recherche/correspondance de contenu

et peut être utilisé pour détecter une grande variété

d'attaques. Ce service est important car permet de repérer et

de retracer toutes tentatives de connexion non autorisées au

réseau vert.

Ce système est par défaut installé dans IPCop et est

désactivé par défaut. Pour utiliser ce service, vous devez

d’abord vous inscrire dans le site officiel de Snort :

www.snort.org . L’inscription à ce site vous permet d’acquérir

le code Oink nécessaire pour activer le service IDS d’IPCop.

Ce code est constitué de 40 caractères alphanumériques.


http://www.snort.org/


Figure 10 : Configuration du service IDS

Une fois le service installé, il est désormais possible de

repérer à chaque fois via le journal des IDS de retrouver

l’identité des machines qui ont essayé de se connecter à votre

réseau.

VIII.3-) Installation et configuration de CopFilter

CopFilter est une fonctionnalité additionnelle qui permet

à IPCop de disposer d’une solution antivirus (ClamAV, AVG

(Anti-Virus Guard), F-Prot). Ceci permet de scanner en temps

réel tous les paquets transitant d’un réseau à l’autre à la

recherche d’éventuels virus.

L’installation de CopFilter nécessite le téléchargement du

fichier dans le lien direct du site

http://www.worm-fr.com/wiki/linux/uploads/Ipcop/copfilter-

0.84beta3a.tgz . Nous allons la version 0.84beta3a de

CopFilter.


http://www.worm-fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz

http://www.worm-fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz


Après avoir téléchargé le fichier, il faut le transférer dans

la machine IPCop soit à de la commande SCP en utilisant le

protocole SSH, soit à l’aide mémoire flash. Il faut ensuite

décompresser le fichier en utilisant la commande #tar xvzf

copfilter-0.84beta3a.tgz ensuite se positionner sur le

répertoire contenant le fichier #cd copfilter-0.84beta3a et

exécuter la commande #./install pour lancer l’installation.

Pour désinstaller CopFilter, se placer dans le répertoire #cd

/var/log/copfilter/0.84beta3a et exécuter la commande

#./setup_util –u

Une fois fichier installer l’onglet CopFilter s’ajoute

automatiquement dans l’interface web d’administration

d’IPCop.

Figure 11 : Configuration de CopFilter



VIII.4-) Gestion de trafic



CONCLUSION

Notre stage académique à ITGStore-Consulting a été très enrichissant, nous avons mis en place une politique de firewalling grâce à la distribution IPCop. Cette politique implémentée a l’avantage qu’elle peut être déployée et adaptée à n’importe qu’elle structure au regard des fonctionnalités qu’offre IPCop. Car la distribution IPCop utilisée pour son implémentation est financièrement accessible à n’importe quelle structure.



WEBOGRAPHIE

www.ipcop.org

www.snort.org

http://fr.wikipedia.org/wiki/IPCop

http://www.pcinpact.com/forum/index.php?showtopic=78177

www.urlfilter.org

www.copfilter.org

http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html

http://forum.rue-montgallet.com/ruemontgallet/OSalternatifs/installation-ipcop-urlfilter-sujet_21419_1.htm






http://www.copfilter.org/

http://www.urlfilter.org/

http://www.pcinpact.com/forum/index.php?showtopic=78177

http://fr.wikipedia.org/wiki/IPCop

http://www.snort.org/

http://www.ipcop.org/

ipcop final v1.1

Documents