projet firewall ipcop

UNIVERSITE CHEIKH ANTA DIOP DE DAKAR (SENEGAL) FACULTE DES SCIENCES ET TECHNIQUES / DEPARTEMENT DE MATHEMATIQUES ET INFORMATIQUE

MASTERE TRANSMISSION DES DONNEES ET SECURITE DE LINFORMATION (TDSI) Premire anne

Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOPPrsent par : Ahmed Youssef Ould Cheikh

Projet fin danne en mastre 1 TDSI

2006

SommaireI. Introduction sur les pare-feu........................................................................... 3II-1 Exemples dutilisation des commandes iptables ............................................................ 6

II. Iptables : thorie et implmentation ............................................................... 4 III. Mise en place dun firewall logiciel avec la distribution IPCop ................. 8

III 1 Quest-ce que IPCOP ? ............................................................................................... 8 III 2 Possibilit de mise en place dIPCOP .......................................................................... 8 III 3 Liste de services offerts par IPCOP ............................................................................ 9 III 4 Configuration minimale requise : .............................................................................. 10

IV.

Installation dIPCOP : ................................................................................ 10

IV 1 O trouver IPCOP ? .................................................................................................. 11 IV 2 Installation ................................................................................................................. 11

V.

Administration dIPCOP............................................................................ 21

V 1 Accs linterface dadministration dIPCOP ........................................................... 21 V 2 Prsentation de linterface : ........................................................................................ 22 V 3 Menu Systme ............................................................................................................ 23 V 4 Menu Etat ................................................................................................................... 23 V 5 Menu Rseau .............................................................................................................. 24 V 6 Menu Services ............................................................................................................ 24 V 7 Menu Pare-feu ............................................................................................................ 24 V 8 Menu RPVs ................................................................................................................ 25 V 9 Menu Journaux ........................................................................................................... 25 V 10 Utilitaire setup .......................................................................................................... 25

VI.

Paramtrage : ............................................................................................. 26

VI 1 Autoriser laccs SSH ............................................................................................... 26 VI 2 Mise en place daddons ............................................................................................. 27 VI 2.1 Advanced proxy ................................................................................................. 27 VI 2.2 url filter .............................................................................................................. 30 VI 2.2 Exemple de configuration du pare-feu ............................................................... 31

VII.

CONCLUSION....................................................................................... 32

VIII. Rfrences ............................................................................................... 32 Annexes ............................................................................................................... 32

Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C

2


2006

I.

Introduction sur les pare-feuUn pare-feu (Firewall) est un systme qui filtre les changes rseaux. Il y a essentiellement deux types de filtrages : - Les pare-feu qui isolent deux rseaux. Leur rle essentiel est de restreindre les accs provenant de lextrieur (par exemple dinternet vers votre LAN). Ils peuvent aussi interdire des changes issus de lintrieur (de LAN vers Internet). - Les pare-feu qui isolent les applications du rseau. Ces pare-feu sont locaux un poste de travail ou un serveur. Ils interdisent soit des connexions provenant du rseau soit des changes issus des applications locales.

I 1 Limplmentation des pare-feuIl est possible de distinguer les techniques pare-feu daprs la couche rseau o elles sont implmentes. - La couche rseau. Par exemple le code pare-feu des routeurs filtrants est implment au niveau du pilote IP. - La couche transport. Par exemple, la technologie SOCKS sappuie sur la couche transport. Elle permet de filtrer de manire transparente tout transfert TCP. - La couche applicative. Ici, le filtrage est effectu soit directement par lapplication rseau (le serveur) ou par une application intermdiaire (un wrapper). Par exemple les directives Allow ou Deny du serveur Web Apache limite les changes certains clients.

I-2 Les composants dun pare-feuRouteur filtrant Le routeur filtrant transfre les paquets IP dun rseau un autre. Il utilise essentiellement deux techniques pare-feu : - Le filtrage des paquets IP. - Le NAT (la translation dadresse) Proxy Un proxy est une application qui sert dintermdiaire entre un client et un serveur. Le client envoie sa requte au proxy, et celui-ci la rmet en direction du serveur. De mme, la rponse du serveur est reue par le proxy qui la retransmet au client. Un proxy peut tre configure pour filtrer les requtes. Des logiciels proxys peuvent possder de la mmoire cache, RAM et disque, qui amliore les performances daccs des postes du rseau intrieur. Il ya essentiellement deux types de proxy : Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP) Les proxys transparents qui sont des intermdiaires pour tout type de protocole TCP. La technologie SOCKS est de ce type.


3

Projet fin danne en mastre 1 TDSI Rempart

2006

Un rempart (Bastion Host) est un ordinateur accessible de lextrieur, cote Internet, et qui est donc vulnrable aux attaques. Il doit tre plus particulirement protege. Les remparts abritent les logiciels Proxy et les services. DMZ Une DMZ (De-Militarized Zone) ou zone dmilitarise, est un rseau accessible partir du rseau extrieur et qui abrite les remparts. Laccs au rseau est contrle par des routeurs filtrant.

I-3 Les logiciels linux de type pare-feuiptables : cette commande configure le code Netfilter inclus dans le pilote IP du noyau linux. Ce code permet de crer des pare-feu isolant deux rseaux ou isolant les applications locales du rseau. tcpd, wrap : cette commande ou cette bibliothque implmente un pare-feu applicatif qui peut filtrer les connexions rseaux pour la plupart des services rseaux. dante : ce logiciel implmente un serveur compatible SOCKS. squid : ce logiciel peut isoler deux rseaux sil est installe sur un serveur ayant accs ces rseaux.

I-4 Les distributions linux de type pare-feuLa configuration de Netfilter est puissante mais complexe. Tous les administrateurs nont pas forcement les comptences rseaux pour laborer un ensemble cohrent de rgles Iptables. Il existe plusieurs produits proposant une vision plus simple. Ce sont eux qui vont gnrer de manire transparente les rgles Iptables. Lutilisateur, lui se contente dinterdire ou dautoriser tel out tel service et mettre en place ou non le NAT. Les paquets proviennent non pas de la carte eth0 ou ppp0 mais plutt du rseau gentil (vert) ou mchant (rouge). Concrtement, il effectue ses paramtrages soit via des fichiers de configuration soit par une interface graphique. Devil-Linux : Fonctionne compltement partir dun cdrom. La configuration peut-tre stocke sur une cl USB. floppyfw : Routeur filtrant base sur debian. Smooth Wall : Pare-feu base de noyau 2.6 ipCop : Pare-feu pour le particulier ou lentreprise, bas sur Smooth Wall.

II.

Iptables : thorie et implmentationMise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C

4


2006

Le systme Netfilter/iptables implmente un routeur filtrant. Il peut donc servir comme parefeu pour isoler deux rseaux grce au filtrage des paquets et au NAT. Il peut tre utilis galement comme pare-feu local. Dans ce cas, il protge les applications serveurs du rseau ou bien limite les connexions internes certains sites. Labsence de pare-feu local est considre comme une des failles majeures dun systme. Netfilter est le code inclus dans le pilote rseau des noyaux Linux 2.4 et 2.6. La commande iptables configure Netfilter.

II-1 Les concepts de tables, chaines et rglesa) Les chaines et les rgles Une chaine est compose dune pile de rgles. Chaque rgle dune chaine est compose de deux parties : un critre et une politique. Le critre prcise les cas dapplication. La politique elle, prcise laction accomplie. Exemple : la chaine INPUT est compose des rgles qui filtrent les paquets destins aux processus locaux. Une des rgles peut avoir comme critre la provenance du paquet, par exemple, le serveur DNS et comme politique lacceptation du paquet. Si un paquet provient du serveur DNS il est accept, il sera donc transmis lapplication locale qui lattend. Si le critre ne sapplique pas au paquet, on examine la rgle suivante de la chaine. Lordre des rgles est donc primordial. Si aucune rgle ne sapplique, on excute la politique associe la chaine. Dans le cas de la chaine INPUT, cette politique pourrait tre par exemple de rejeter le paquet. b) Les politiques des rgles de filtrage Les politiques natives : Les politiques spcifient ce que lon fait dun paquet : - ACCEPT on laisse passer le paquet. - DROP le paquet est abandonn. - QUEUE le paquet est transfr dans lespace utilisateur (si le noyau le permet). - RETURN la politique finale de la rgle sapplique sans exploiter les rgles suivantes. Les politiques rajoutes : Iptables peut utiliser des modules qui offrent un certain nombre dextensions spficifiant notamment de nouvelles cibles. Voici les cibles rajoutes par les extensions standard : - LOG le paquet est crit dans le journal de bord (les logfiles) - REJECT le paquet est abandonn comme DROP, mais un message derreur ICMP est envoy la source du paquet. c) Les tables Les chaines gres par Netfilter sont en fait incluses dans des entits plus vastes appeles tables . Chaque table correspond aux diffrentes possibilits diptables : - La table filter filtre les paquets IP. Elle est constitue des chaines INPUT, OUTPUT et FORWARD. Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C5

Projet fin danne en mastre 1 TDSI -

2006

La table nat effectue le NAT et de manire plus globale elle permet de rediriger des paquets. Elle est constitue des chaines PREROUTING, OUTPUT et POSTROUTING. La table mangle peut modifier certains champs des paquets IP, par exemple leur priorit. Elle est constitue des chaines PREROUTING et OUTPUT.

d) Les diffrentes chaines prdfinies INPUT : les paquets destins aux processus locaux passent par la chaine INPUT. OUTPUT : les paquets rseaux issus des processus locaux passent par la chaine OUTPUT. FORWARD : les paquets en transit provenant dun rseau et destins un autre rseau passent par la chaine FORWARD. PREROUTING : la chaine PREROUTING peut modifier un paquet ds quil entre dans le systme avant quil soit rout. POSTROUTING : la chaine POSTROUTING peut modifier un paquet juste avant sa sortie du systme aprs tre pass par le module de routage. e) Les chaines utilisateur Souvent, un ensemble de rgles sont identiques dune chaine lautre. Pour simplifier la maintenance, il est possible de crer des chaines utilisateurs. Ces chaines, dont le nom est la discrtion de ladministrateur, se compose comme de vritables sous- programmes de rgles. Elles peuvent tre appeles partir de plusieurs chaines prdfinies, typiquement INPUT et FORWARD.

II-1 Exemples dutilisation des commandes iptablesNous disposons de deux machines linux pour faire les tests : une machine sera le pare-feu et lautre sera la machine autorise pour certains services et lattaquant en mme temps. Nous allons configurer notre firewall en ligne de commande de la manire suivante : On bloque tous le trafic entrant par dfaut. On autorise au cas par cas : le trafic appartenant ou li des connexions dj tablies et le trafic destinations des serveurs (web, ssh, etc.) que nous souhaitons mettre disposition.

Nous allons saisir toutes les commandes dans un script Shell ensuite lexcuter. 1- lister les rgles courantes : iptables L


6


2006

Remarque : la premire commande (iptables L) : elle liste les rgles pare-feu de la tables filter. 2- supprimer les rgles prdfinies par les commandes suivantes : [root@localhost root]# iptables -F [root@localhost root]# iptables -X 3- Exemple de script automatis pour la mise en place dun firewall local#!/bin/bash #Nom du script /etc/init.d/parefeu_local #date de creation le 25 aout 2005 #auteur Ahmed Youssef #configuration parefeu local pour un serveur linux # #chkconfig: 2345 08 92 #description : parefeu local pour un serveur linux case "$1" in start) echo "demarre le parefeu" iptables -X iptables -F iptables -A INPUT -i lo -j ACCEPT;iptables -A OUPUT -o lo -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP ;;


7

Projet fin danne en mastre 1 TDSIstop) echo "arrete le parefeu" iptables -X iptables -F iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT ;; status) iptables -L esac #FIN DU SCRIPT

2006

On pourra dmarrer le script aprs lavoir rendu excutable par la commande :#/etc/init.d/parefeu_local start

III.

Mise en place dun firewall logiciel avec la distribution IPCopIII 1 Quest-ce que IPCOP ?IPCOP est un projet Open Source dont le but est dobtenir une distribution GNU/Linux compltement ddie la scurit et aux services essentiels d'un rseau. Cest une distribution linux faite pour protger un rseau des menaces dInternet et surveiller son fonctionnement. IPCOP est gratuit, il est tlchargeable sous forme dun fichier image graver sur cd. IPCOP est distribu sous la licence GNU General Public License , ce qui signifie, en dautres termes, que le logiciel en lui-mme est distribuable gratuitement (cf. http://www.gnu.org/copyleft/gpl.html pour la licence complte).

III 2 Possibilit de mise en place dIPCOPIPCOP permet de fonctionner sous plusieurs configurations possibles : Partage dune connexion Internet : IPCOP sert alors de passerelle entre Internet et le rseau interne. Partage dune connexion Internet avec une DMZ (zone dmilitarise) : IPCOP sert de passerelle et gre une DMZ (il faut donc 3 interfaces rseau). Les serveurs dans la DMZ doivent tre en ip fixes, il suffit ensuite de configurer IPCOP pour quil route les demandes venant dInternet vers les serveurs adapts selon les ports. Partage dune connexion Internet + DMZ + point daccs wifi : IPCOP peut grer des clients wifi, ils sont spars du rseau interne. Dans la philosophie IPCOP, les zones sont schmatises par des couleurs : la zone RED reprsente internet. La zone ORANGE reprsente la DMZ.8


Projet fin danne en mastre 1 TDSI -

2006

La zone BLEU reprsente les clients wifi (qui sont dans un rseau spar). La zone GREEN reprsente le rseau interne.

Le schma ci-dessous reprsente la configuration par dfaut du pare-feu de la passerelle, savoir : - Le rseau interne (le LAN) peut accder toutes les zones. - La zone wifi peut accder internet et la DMZ. - La zone DMZ pourra accder internet. - Aucun accs depuis Internet Pour autoriser un accs un serveur situ dans la DMZ (zone orange), il faudra le spcifier au travers de linterface web dIPCOP.

Accs autoriss par dfaut.

III 3 Liste de services offerts par IPCOPVoici la liste des services offerts par IPCOP : Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C

9


2006

-

Interface web pour l'administration et la configuration dIPCOP en franais. Affichage de l'tat du systme et graphiques CPU/Mmoire/Disque/trafic sur priode journalire/semaine/mois/anne. Informations sur les connexions en cours. Serveur SSH pour accs distant scuris. Proxy HTTP/HTTPS. Serveur DHCP. Cache DNS. Renvoi de ports TCP/UDP/GRE. Support des DNS dynamiques. Systme de dtection d'intrusion (interne et externe). Support VPN pour relier des rseaux distants entre eux ou se connecter distance avec un poste. Accs aux logs par interface web : du systme, de la connexion vers Internet, du proxy, du firewall, de la dtection des tentatives d'intrusion. Mise jour d'IPCOP par l'interface web. Sauvegarde de la configuration du systme sur disquette. Synchronisation sur serveur de temps, peut servir le temps aux machines internes. Arrt/Redmarrage distance. Support des modems RTC/RNIS. Support de la quasi-totalit des modems ADSL USB et PCI (Voir la liste du matriel compatible dans la section documentation de www.IPCOP.org). Possibilit d'utiliser une DMZ avec gestion des accs. Possibilit de scuriser un rseau sans fil.

III 4 Configuration minimale requise :Ce systme d'exploitation part entire fonctionne sur une machine ddie, et utilise trs peu de ressources systmes : - un ordinateur PC quip de 64 Mo de mmoire vive et d'un processeur 233 MHz suffit - 300 Mo d'espace disque - Carte graphique compatible VGA pour l'installation - De deux 4 interfaces rseau Ethernet - Connexion Internet (Modem, Cble, ISDN, ADSL,...) - Un lecteur cdrom pour linstallation. Pour lutilisation de tous les services, en particulier pour le serveur mandataire (proxy web / cache DNS), il faut mieux prvoir un processeur type pentium 200, 64 Mo de ram, et 500 Mo de disque dur. Lors de linstallation dIPCOP, le disque dur de lordinateur est compltement utilis, quil soit petit ou gros. Il faut donc une machine avec un seul disque (un deuxime disque dur serait inutile et inutilisable car IPCOP ne sert qu faire passerelle et rien dautre, et il nutilise quun seul disque dur).

IV.

Installation dIPCOP :Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C10


2006

IV 1 O trouver IPCOP ?IPCOP est disponible en tlchargement dans la section download du site www.ipcop.org. IPCOP est disponible sous forme de fichier source compiler et sous forme dune image graver sur un cd. Pour installer IPCOP, le plus simple est de tlcharger limage de sa version la plus rcente puis de la graver sur un CD avec un logiciel adapt (nero ou easy cd creator par exemple). Le cd, une fois grav, est un cd bootable.

IV 2 Installation1. Dabord, pensez vrifier quil ny a pas dinformation sauvegarder sur le disque car IPCOP va tout effacer. 2. Ensuite, rgler le bios de lordinateur pour quil boot sur le cd. 3. Insrer le cd et dmarrer, lcran suivant devrait apparatre :

4. Appuyer sur entre pour dmarrer linstallation. 5. Ensuite, il faut simplement suivre les instructions, la chose consiste en choisir le langage pour linstallation : Il faut don se placer sur Franais et appuyer sur la touche entre pour continuer.


11


2006

6. Le programme dinstallation vous souhaite la bienvenue, appuyer sur entre. 7. Le programme vous demande la source pour linstallation, choisissez le lecteur cd-rom.

8. Confirmer ensuite que le cdrom se trouve dans le lecteur en appuyant sur entre. 9. On en vient au formatage du disque, appuyer sur entre pour commencer (cela prend quelques minutes).

10. Le programme dinstallation permet de rtablir une configuration dIPCOP qui a t sauvegard sur disquette, pour reproduire les rglages effectus (dans le cas dune rinstallation par exemple). Dans le cas ou vous navez pas de disquette, dplacer vous sur le bouton Passer grce la touche de tabulation et appuyer sur entre.


12


2006

11. Il sagit maintenant de trouver les drivers adapt la carte rseau qui sera sur la zone verte (cot rseau interne). Si la carte rseau est dans la liste du matriel compatible fourni sur www.ipcop.org, les pilotes devraient tre automatiquement trouvs en appuyant sur la touche recherche . Si le matriel nest pas dtect, il y a possibilit de lui attribuer des pilotes manuellement avec la touche slectionner .

12. Ensuite, il faut configurer cette carte rseau, on entre donc ladresse ip de la passerelle vu du rseau interne tant (on est dans la zone verte ).


13


2006

13. Le programme dinstallation vous demande maintenant de retirer le cd, obissez et appuyer sur entre pour continuer linstallation.

14. Choisissez le type de clavier : fr pour un clavier franais. 15. Slectionnez ensuite le fuseau horaire auquel vous appartenez, soit Afrique/Dakar pour notre cas. 16. Ensuite, entrez un nom pour la passerelle (ex : ipcopTdsi ). Ainsi quun nom de domaine la fentre qui suit.

Ainsi quun nom de domaine la fentre qui suit. Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C14


2006

17. Le programme propose maintenant de configurer la connexion RNIS, dans le cas o vous en navez pas, choisissez directement loption Dsactiver RNIS (ISDN) . 18. On arrive maintenant une tape importante : la configuration du rseau. Le menu suivant apparat :

19. Allez dans Type de configuration rseau pour choisir larchitecture du rseau. Voici les possibilits proposes :

Nous avons choisi larchitecture qui nous convient : GREEN + ORANGE + RED


15


2006

20. Ensuite, il sagit dattribuer des pilotes aux cartes rseau qui nen ont pas (la carte sur la zone verte tant dj configure) en allant dans Affectation des pilotes et des cartes .

Choisissez OK pour configurer les pilotes. Les captures dcrans suivants sont un exemple avec une architecture GREEN + ORANGE + RED , On voit quil faut attribuer un pilote la deuxime carte rseau (de la zone orange) :


16


2006

Ensuite il faudra faire de mme pour la carte RED et si tout se passe bien nous aurons lcran suivant :

21. Toutes les cartes rseau ayant un pilote, il sagit maintenant de leur attribuer une adresse IP. Ladresse IP de la zone verte tant dj configure. Allez dans Configuration de ladresse pour attribuer une adresse IP toutes les autres cartes rseau.


17


2006

Configuration de la zone Orange (dmz)

Zone Internet (Rouge) Attribuez un adresse IP chaque zone puis aller sur continuer quand vous avez fini. Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C18


2006

Remarque : Si votre zone rouge est un carte rseau (donc pas un modem), il est possible deconfigurer pour cette zone seulement en client DHCP (de manire ce que ce soit le routeur par exemple qui transmette ladresse IP et les DNS). 22. Pour finir avec ce menu, allez dans Configuration du DNS et de la Passerelle pour choisir un DNS et une passerelle par dfaut. Il est peut probable que vous ayez besoin de configurer ces informations manuellement : Dans le cas dune zone rouge avec modem, ces infos sont envoy par le FAI (rien configurer). Dans le cas dune interface rouge connecte un routeur : ou la passerelle est client dhcp du routeur (et l, rien configurer), ou vous avez donn une adresse IP statique linterface rouge (et dans ce cas, il faut renseigner les DNS et la passerelle manuellement). 23. Enfin, la dernire tape est dentrer un mot de passe pour ladministrateur du poste ( root ) et un pour ladministration distante (au travers du site web soit lutilisateur (admin).

Mot de passe de root : azerty

Mot de passe de lutilisateur admin : adminn


19


2006

Mot de passe de la cl de cryptage des sauvegardes : adminkey

24. Pour finir, le programme redmarre lordinateur, IPCOP est install.

25. Ecran de dmarrage et connexion en ligne de commande


20


2006

Connexion en ligne de commande avec root

Commande ifconfig pour vrifier la configuration rseau des interfaces.

V.

Administration dIPCOPV 1 Accs linterface dadministration dIPCOPLaccs linterface dadministration se fait du rseau interne tant grce nimporte quel navigateur web rcent ladresse suivant : https://:445.


21


2006

V 2 Prsentation de linterface :Linterface web est compose de 7 menus droulant que nous allons dtailler en commenant par le menu systme . Nous allons prsenter les principales fonctions de chaque page de ce site web.


22


2006

V 3 Menu SystmeLe menu systme contient des sections pour configurer IPCOP, et linterface web : Section Accueil : Cest la premire page affich lorsquon accde linterface dIPCOP. Cette page permet principalement de connecter/de connecter la passerelle dInternet. Section Mise jour : permet de savoir si une mise jour est disponible. Si une mise jour est disponible, il suffit de la tlcharger et de la transfrer IPCOP grce cette mme section. Section Mot de passe : permet de changer le mot de passe de lutilisateur admin (qui est ladministrateur dIPCOP) et le mot de passe de lutilisateur Dial (utilisateur qui a simplement le droit de connecter/dconnecter Internet dans le cas dune connexion par modem. Section Accs SSH : permet dactiver ou de dsactiver le serveur SSH sur la passerelle. Le serveur SSH peut tre utile pour faire des choses quon ne peut pas faire directement sur le site web dIPCOP (ex : changer une ladresse IP dune interface). Section Interface graphique : permet de choisir la langue des pages web et dactiver/dsactiver les menu droulant pour les navigateurs non compatibles avec javascript. Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration dIPCOP. Il est aussi possible deffectuer une sauvegarde sur disquette pour restaurer cette configuration lors dune rinstallation complte dIPCOP. Section Arrter : permet darrter et de redmarrer la passerelle. Section Crdits : pour contacter les auteurs dIPCOP.

V 4 Menu EtatOn trouve dans ce menu des informations sur ltat du systme : Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C23


2006

Section Etat du systme : permet de connatre ltat de tous les services ainsi que lutilisation de la mmoire et disque. Section Etat du rseau : permet de visualiser ladresse ip des interfaces rseau, de voir les clients dhcp et les tables de routages. Section Graphiques systme : permet de visualiser sous forme de graphique lutilisation du processeur, de la mmoire et du disque dur sur les dernires 24 heures, le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interface (sur chaque zone) sur les dernires 24 heures, le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. Section Graphes du proxy : donne des graphiques sur lutilisation du serveur mandataires. Section Connexion : permet de visualiser le connections en cours sur la passerelle.

V 5 Menu RseauCe menu est ddi la configuration du modem RTC ou ADSL (si vous avez un routeur, ce menu nest pas utile) : Section Connexion : permet de rentrer les paramtres de connexion fournie par le FAI, il est possible davoir plusieurs profils de connexion (dans le ou vous avez plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de repli ). Section Chargement : permet de tlcharger les drivers pour faire fonctionner certains modems. Section Modem : permet de modifier les commandes pour les modems RTC.

V 6 Menu ServicesCest ici quon configure tous les services de la passerelle : Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns). Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une). Section DNS Dynamique : permet de mettre en place un client pour mettre jour un dns dynamique (type dyndns.org, no-ip.com, ). Section Htes statiques : permet dajouter des htes avec ip statiques. Section Serveur de temps : permet la passerelle dtre un client NTP dun part et dtre un serveur NTP pour le rseau interne dautre part (attention : le serveur NTP met quelques heurs avant de fonctionner). Section Lissage de trafic : permet de limiter les dbits montant et descendant des clients qui vont sur internet. On peut aussi, donner des priorits diffrentes selon les services pour faire de la qualit de service. Section Dtection dintrusion : permet dactiver ou de dsactiver les sondes de dtection dintrusion sur toutes les zones.

V 7 Menu Pare-feuCe menu permet de configurer le pare-feu :


24


2006

Section Transferts de port : permet de dfinir des rgles de transfert de port pour donner accs des services dinternet tant sur le rseau interne ou sur la DMZ si il y en a une. Section Accs Externes : permet douvrir des ports pour accder la passerelle dInternet. Section Accs la DMZ : (menu qui existe si la zone orange existe) permet douvrir des accs direct entre la DMZ et le rseau interne.

V 8 Menu RPVsOn cre ici les Rseaux Privs Virtuel (ou Virtual Private Network en anglais) : Section RPVs : permet de crer des vpn (rseau rseau, ou postes rseau).

V 9 Menu JournauxCe menu permet daccder tous les journaux gnrs par IPCOP et ses services : Section Configuration des journaux : permet de choisir si les journaux doivent tre affichs dans lordre chronologique et chronologique inverse. On peut aussi choisir denvoyer les journaux sur un serveur syslog et changer le niveau de verbosit. Section Rsum des journaux : cour rsum des journaux du serveur mandataire, du systme, du serveur sshd et de lutilisation du disque. Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a t active). Section Journaux du pare-feu : permet de visualiser les journaux daccs au pare-feu. Section Journaux IDS : permet de visualiser les tentatives dintrusion dtecte par les sondes du dtecteur dintrusion. Section Journaux systme : permet de visualiser les journaux systmes (systems, dns, dhcp, ssh, ntp, )

V 10 Utilitaire setupLinterface graphique ne permet pas de tout faire, en particulier changer ladresse IP dune carte rseau ou changer de type de passerelle. Lutilitaire setup permet de : Configurer le type de clavier (fr, us, ). Changer de fuseau horaire. Modifier le nom de la passerelle. Modifier le nom de domaine. Modifier la configuration rseau de la passerelle.

Lutilitaire setup permet par exemple de passer dun rseau GREEN + RED GREEN + RED + ORANGE par exemple sans rinstaller le pare-feu. Pour accder lutilitaire setup, il faut se connecter la passerelle au travers de ssh attention : le port dcoute du serveur ssh intgr ipcop est le 222 et non 22 ailleurs), sidentifier en tant que root et taper setup . Cest un menu graphique trs simple utiliser :


25


2006

Utilitaire setup de IpCop

VI.

Paramtrage :VI 1 Autoriser laccs SSHSSH permet de se connecter de manire scurise sur une machine Linux distance. On va autoriser SSH sur le pare-feu IpCop pour transfrer des fichiers par exemple. Allez dans le menu Systme puis la section accs SSH :


26


2006

Ici cochez : - Accs SSH - Autorise le transfert TCP - Permettre lauthentification par mot de passe - Permettre lauthentification par cl publique Ces paramtres vont nous permettre daccder notre firewall depuis notre PC et dy transfrer les fichiers ncessaires linstallation des plugins.

VI 2 Mise en place daddonsLajout daddons ou de plugins permet dtendre les fonctions dIPCOP. Il existe des dizaines de plugins pour IPCOP, mais pour ne pas remettre la scurit de cette passerelle en cause, il ne faut utiliser que les plugins officiels dIPCOP. Seul les plugins officiels ont t contrls par lquipe dIPCOP, ils sont rfrencs dans la section Addons du site www.ipcop.org. Voici deux addons officiels qui permettent les fonctions du proxy web :

VI 2.1 Advanced proxyCet addon permet dajouter les fonctionnalits suivantes au proxy dIPCOP : Authentification des utilisateurs par rapport un annuaire LDAP, Active Directory, par rapport aux utilisateurs locaux ou un serveur Radius. Contrle daccs selon ladresse IP ou Mac des clients. Autoriser laccs internet sur certaines plages horaires seulement.

Pour installer Advanced Proxy, il faut : 1) Tlcharger larchive Advanced Proxy sur le site www.advproxy.net. 2) Placer larchive dans le rpertoire /tmp de la passerelle en utilisant lutilitaire WinSCP (cf. www.winscp.net, WinSCP permet de transfrer des fichiers au travers de ssh). Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C

27


2006

3) Dcompresser larchive en se connectant sur la passerelle au travers de ssh (utiliser le client Putty par exemple, il est gratuit, en tapant la commande suivante : root@ipcopTdsi:/tmp # tar -xzvf ipcop-advproxy-2.1.2.tar.gz


28


2006

Login : root Mot de passe : azerty

4) Installer Advanced Proxy en tapant dans le rpertoire /tmp/ipcop-advproxy : ./install

Pour dsinstaller Advanced Proxy, il faut excuter : ./tmp/ipcop-advproxy/uninstall Mise en place dun firewall sous Gnu/Linux : Installation et utilisation dIPCOP Prsent par Ahmed Youssef O C29


2006

Rappel : Le serveur SSH install sur IPCOP doit tre activ sur linterface web pour fonctionner. De plus, ce serveur SSH coute sur le port 222 (et pas 22). Une fois install, la page de configuration du proxy est tendue avec les options cites cidessus.

VI 2.2 url filterUrl filter permet de mettre en place du filtrage durl comme son nom lindique. Cet utilitaire permet dinterdire aux utilisateurs de visiter des sites web dont lurl (exemple durl www.msn.com) contient des termes rfrence pornographique, violent Url filter peut aussi filtrer les popups publicitaires. Pour installer Url filter, il faut : 1) Tlcharger larchive urlfilter sur le site www.urlfilter.net. 2) Placer larchive dans le rpertoire /tmp de la passerelle en utilisant lutilitaire WinSCP. 3) Dcompresser larchive en se connectant sur la passerelle au travers de ssh en tapant la commande suivante : tar -xzf ipcop-urlfilter-1.9.1.tar.gz 4) Installer url filter en se plaant dans /tmp/ ipcop-urlfilter et en tapant : ./install

Pour dsinstaller url filter, il faut excuter : ./tmp/ ipcop-urlfilter/uninstall Une fois install, le menu service contient une nouvelle section filtrage durl qui permet de configurer le filtrage durl.


30


2006

VI 2.2 Exemple de configuration du pare-feuAccs la zone DMZ

Transfert de ports


31


2006

VII.

CONCLUSIONIPCop est un firewall trs puissant capable de rivaliser en performance et en efficacit avec de nombreux firewalls commerciaux. Nous avons vu dans ce document linstallation, la configuration et ladministration en mode graphique trs conviviale et simple utiliser. Cependant il est ncessaire voire indispensable pour un administrateur systme de savoir utiliser la ligne de commande pour configurer un firewall sous Gnu/Linux avec Netfilter.

VIII.

Rfrences Web :[1] http://www.ipcop.org [2] http://fr.wikipedia.org/wiki/Netfilter [3] http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article24818-1.html

Bibliographie :[4] Jean-Franois Bouchaudy Linux Administration Scuriser un serveur- Linux Tome 3

Annexes : PV des runions de travail.


32

projet firewall ipcop

Documents