la mise en place d’un pare-feu linux ipcop

7/22/2019 La mise en place dun pare-feu linux IPCOP

1/34

www.udivers.com www.udivers.com 1

Configuration de IPCOP


2/34


Plan

Introduction

Quest-ce que Ipcop ?

Possibilit de mise en place dIpcop

Liste des services offerts par Ipcop

Configuration minimale requise

Installation dIpcop

Administration dipcop

Prsentation de linterface web


3/34


Introduction

IPCOP est une passerelle qui intgre un pare-feu. Cest une

distribution linux faite pour protger un rseau des menaces

dInternet et surveiller son fonctionnement.

IPCOP est gratuit, il est tlchargeable sous forme dun fichier

image graver sur cd.

IPCOP est distribu sous la licence GPL , ce qui signifie en d

autres termes que le logiciel est distribuable gratuitement.


4/34


IPCOP permet de fonctionner sous plusieurs configurations

possibles :

- Partage dune connexion Internet : IPCOP sert alors de

passerelle entre Internet et le rseau interne.

- Partage dune connexion Internet avec une DMZ (zone

dmilitarise) : IPCOP sert de passerelle et gre une DMZ (il

faut donc 3 interfaces rseau). Les serveurs dans la DMZ

doivent tre en ip fixes, il suffit ensuite de configurer IPCOP

pour quil route les demandes venant dInternet vers lesserveurs adapts selon les ports.

- Partage dune connexion Internet + DMZ + point daccs wif:

IPCOP peut grer des clients wifi, il sont spars du rseau

interne.

mise en place dIpcop


5/34


Dans la philosophie IPCOP, les zones sontschmatises par des couleurs :

- la zone RED reprsente internet.

- La zone ORANGE reprsente la DMZ. - La zone BLEU reprsente les clients wifi (qui

sont dans un rseau spar).

- La zone GREEN reprsente le rseau interne. - Enfin, la zone BLACK reprsente IPCOP lui-

mme.

mise en place dIpcop (suite)


6/34


Le schma ci-dessous reprsente la configuration par dfaut du

pare-feu de la passerelle, savoir :

- Le rseau interne (le LAN) peut accder toutes les zones.

- La zone wifi peut accder internet et la DMZ.- La zone DMZ pourra accder internet.

- Aucun accs depuis Internet

-Pour autoriser un accs un serveur situ dans la DMZ (zone

orange), il faudra le spcifier au travers de linterface webdIPCOP.

mise en place dIpcop (suite)


7/34


Schma reprsentant la configuration


8/34


Les services offerts par Ipcop

interface web pour l'administration et la configuration

d'IPCOP en franais.

affichage de l'tat du systme et graphique

CPU/Mmoire/Disque/trafic sur priode

journalire/semaine/mois/anne.

Informations sur les connexions en cours.

Serveur SSH pour accs distant scuris.

Proxy HTTp/HTTPS. Serveur DHCP.

Cache DNS.


9/34


Les services offerts par Ipcop (suite)

Lissage de trafic.

Renvoi de ports TCP/UDP.

Support des DNS dynamiques.

systme de dtection d'intrusion (interne et externe). Support VPN pour relier des rseaux distants entre eux ou se

connecter distance un poste.


10/34



Accs aux logs par interface web : du systme, de la

connexion vers Internet, du proxy, du firewall, de la dtection

des tentatives d'intrusion.

- Mise jour d'IPCOP par l'interface web.

- Sauvegarde de la configuration du systme sur disquette.

- Arrt/Redmarrage distance.

- Support des modems RTC/RNIS.


11/34



- Support de la quasi-totalit des modems ADSL USB et PCI

- Possibilit d'utiliser une DMZ avec gestion des accs.

- Possibilit de scuriser un rseau sans fil.


12/34


Configuration minimale

586 ou quivalent

300 Mo d'espace disque

Au moins 20 Mo de RAM jusqu' 4 Go

Carte graphique compatible VGA pour l'installation une 4 interfaces rseau Ethernet

Connexion Internet (Modem, Cble, ISDN, ADSL,...)

Un lecteur cdrom pour linstallation.


13/34


Configuration minimale (suite)

Pour lutilisation de tous les services, en particulier pour le

serveur mandataire (proxy web / cache DNS), il faut mieux

prvoir un processeur type pentium 200, 64 Mo de ram, et

500 Mo de disque dur.

Lors de linstallation dIPCOP, le disque dur de lordinateur est

compltement utilis, quil soit petit ou gros. Il faut donc une

machine avec un seul disque (un deuxime disque dur serait

inutile et inutilisable car IPCOP ne sert qu faire passerelle et

rien dautre, et il nutilise quun seul disque dur).


14/34


Installation dIpcop

IPCOP est disponible en tlchargement dans la section

download du site www.IPCOP.org.

IPCOP est disponible sous forme de fichier source compiler

et sous forme dune image graver sur un cd.

Pour installer IPCOP, le plus simple est de tlcharger limage

de sa version la plus rcente puis de la graver sur un cd

Le cd, une fois grav, est un cd bootable.


15/34


Installation dIpcop (suite)

D abor il faut s assurer que le disque dur ne contient aucune

information importante car IPCop va tout supprimer.

une fois le cd insr lcran suivant apparait aprs le

dmarrage Il faut cliquer sur entrer pour commencer l installation.

Ensuite, il faut simplement suivre les instructions.


16/34


Installation dIpcop (suite)


17/34


Les principales fentre dinstallation


18/34


Ensuite, il faut configurer cette carte rseau, on entre donc ladresse ip

de la passerelle (on est dans la zone verte ).


19/34


Allez dans Type de configuration rseau pour choisir

larchitecture du rseau.

Voici les possibilits proposes :

- GREEN (RED is modem/ISDN)

- GREEN + ORANGE (RED is modem/ISDN)

- GREEN + RED

- GREEN + ORANGE + RED

- GREEN + BLUE (RED is modem / ISDN)- GREEN + ORANGE + BLUE (RED is modem/ISDN)

- GREEN + BLUE + RED

- GREEN + ORANGE +BLUE + RED

La configuration du rseau


20/34


La configuration du rseau


21/34


On choisit loption GREEN + RED

Ensuite on passe la configuration de ladressage IP pour les

zone verte + rouge Interface RED :

IP : 192.168.1.2/255.255.255.0

Passerelle : 192.168.1.254

Serveur DNS :212.217.0.1 L interface Green est configure auparavant :

192.168.1.1/255.255.255.0

Les mots de passe des comptes root et admin vous

seront ensuite demands, le compte root a la possibilitde se connecter en local ou en SSH l IPCop tandis que le

compte admin permet daccder linterface web

dadministration de celui-ci.


22/34


Administration dIpcop

On peut dsormais accder linterface web dIPCop en

entrant lune des adresses suivantes partir de nimporte

quel poste prsent sur linterface GREEN :

192.168.1.1:81

192.168.1.1:445


23/34


On clique sur Connexion dans linterface web pour activer le

trafic internet.


24/34


Un nom dutilisateur et un mot de passe seront alors demands, le nom

dutilisateur est ici admin et le mot de passe correspond celui

quon a dfini pendant linstallation.


25/34


Afin de rendre accessible le firewall partir de l'interface RED , on va

sur PARE-FEU puis au niveau de Accs Externe . Sur la nouvelle

fentre, on va remplir le champ Port destination pour y entrer une

une les valeurs suivantes: 445, 81, et enfin 222.


26/34


Nous allons maintenant activer l'accs ssh.

sur l'onglet SYSTEME , puis Accs SSH

on coche le reste des cases de cette fentre, puis on enregistre


27/34


page d accueil

Prsentation de linterface web


28/34


Menu systme

Le menu systme contient des sections pour configurer IPCOP, et linterface web :

Section Accueil : Cest la premire page affich lorsquon accde linterface

dIPCOP. Cette page permet principalement de connecter/de connecter la passerelledInternet. Section Mise jour : permet de savoir si une mise jour est disponible. Si une mise

jour est disponible, il suffit de la tlcharger et de la transfrer IPCOP grce cette mme

Section.

Section Mot de passe : permet de changer le mot de passe de lutilisateur admin (qui

est ladministrateur dIPCOP) et le mot de passe de lutilisateur Dial (utilisateur qui a

Simplement le droit de connecter/deconnecter Internet dans le cas dune connexion par modem. Section Accs SSH : permet dactiver ou de dsactiver le serveur ssh sur la passerelle.

Le serveur ssh peut tre utile pour faire des choses quon ne peut pas faire directement sur le site

web dIPCOP (ex : changer une ladresse ip dune interface).

Section Interface graphique : permet de choisir la langue des pages web et

dactiver/dsactiver les menu droulant pour les navigateur non compatible avec javascript.

Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration dIPCOP. Il est aussi possible deffectuer une sauvegarde sur disquette pour restaurer cette

configuration lors dune rinstallation complte dIPCOP.

Section Arrter : permet darrter et de redmarrer la passerelle.

Section Crdits : pour contacter les auteurs dIPCOP


29/34


Menu Etat

On trouve dans ce menu des informations sur ltat du systme :

Section Etat du systme : permet de connatre ltat de tous les services ainsi que

lutilisation de la mmoire et disque.

Section Etat du rseau : permet de visualiser ladresse ip des interfaces rseau, de voir

les clients dhcp et les tables de routages.

Section Graphiques systme : permet de visualiser sous forme de graphique

lutilisation du processeur, de la mmoire et du disque dur sur les dernires 24 heures,

le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur

chaque interfaces (sur chaque zones) sur les dernires 24 heures, le dernier mois, la

dernire semaine, le dernier mois ou la dernire anne.

Section Graphes du proxy : donne des graphiques sur lutilisation du serveur

mandataires.

Section Connexion : permet de visualiser le connections en cours sur la passerelle.


30/34


Menu Rseau

Ce menu est ddi la configuration du modem rtc ou adsl (si vous avez un routeur, ce menu

nest pas utile) :

Section Connexion : permet de rentrer les paramtres de connexion fournie par le FAI, il est

possible davoir plusieurs profils de connexion (dans le ou vous avez plusieurs

abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil

de repli ).

Section Chargement : permet de tlcharger les drivers pour faire fonctionner certains

modems.

Section Modem : permet de modifier les commandes pour les modems rtc.


31/34


Menu ServicesCest ici quon configure tous les services de la passerelle :

Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui

correspond au proxy web et au cache dns).

Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue

si il y en a une).

Section DNS Dynamique : permet de mettre en place un client pour mettre jour un

dns dynamique (type dyndns.org, no-ip.com, ).

Section Htes statiques : permet dajouter des htes avec ip statiques. Section Serveur de temps : permet la passerelle dtre un client NTP dun part et

dtre un serveur NTP pour le rseau interne dautre part (attention : le serveur NTP met

quelques heurs avant de fonctionner).

Section Lissage de trafic : permet de limiter les dbits montant et descendant des client

qui vont sur internet. On peut aussi, donner des priorits diffrentes selon les services pour

faire de la qualit de service.

Section Dtection dintrusion : permet dactiver ou de dsactiver les sondes de

dtection dintrusion sur toutes les zones.


32/34


Menu Pare-feu

Ce menu permet de configurer le pare-feu :

Section Transferts de port : permet de dfinir des rgles de transfert de port pour

donner accs des services dinternet tant sur le rseau interne ou sur la DMZ si il yen a une.

Section Accs Externes : permet douvrir des ports pour accder la passerelle

dInternet tant.

Section Accs la DMZ : (menu qui existe si la zone orange existe) permet douvrir des

accs direct entre la DMZ et le rseau interne (dans le sens DMZ -> Lan).

Menu VPNs

On cre ici les Rseaux Privs Virtuel Section VPNs : permet de crer des vpn (rseau rseau, ou postes rseau).


33/34


Menu Journaux

Ce menu permet daccder tous les journaux gnrs par IPCOP et ses services :

Section Configuration des journaux : permet de choisir si les journaux doivent tre

afficher dans lordre chronologique et chronologique inverse. On peut aussi choisir denvoyer

les journaux sur un serveur syslog et changer le niveau de verbosit.

Section Rsum des journaux : cour rsum des journaux du serveur mandataire, du

systme, du serveur sshd et de lutilisation du disque.

Section Journaux du serveur mandataires : permet de visualiser les journaux du proxyweb (la section existe seulement si la journalisation a t activ).

Section Journaux du pare-feu : permet de visualiser les journaux daccs au pare-feu.

Section Journaux IDS : permet de visualiser les tentatives dintrusion dtecter par les

sondes du dtecteur dintrusion.

Section Journaux systme : permet de visualiser les journaux systmes (systems, dns,

dhcp, ssh, ntp, )


34/34

www udivers com www udivers com 34

Linterface graphique ne permet pas de tout faire, en particulier changer ladresse ip

dune carte rseau ou changer de type de passerelle.

Lutilitaire setup permet de :

Configurer le type de clavier (fr, us, ).

Changer de fuseau horaire.

Modifier le nom de la passerelle. Modifier le nom de domaine.

Modifier la configuration rseau de la passerelle.

Lutilitaire setup permet par exemple de passer dun rseau GREEN + RED GREEN +

RED + ORANGE par exemple sans rinstaller le pare-feu.

Pour accder lutilitaire setup, il faut se connecter la passerelle au travers de ssh

(attention : le port dcoute du serveur ssh intgr ipcop est le 222), sidentifier en tantque

root et taper setup . Cest un menu graphique trs simple utiliser.

Utilitaire setup

la mise en place d’un pare-feu linux ipcop

Documents