Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

IPCop : Présentation • INTRODUCTION IPCop est un projet Open Source dont le but

IPCop : Présentation • INTRODUCTION IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. Ce système d'exploitation à part entière fonctionne sur une machine dédiée, et utilise très peu de ressources systèmes (un ordinateur PC équipé de 64 Mo de mémoire vive et d'un processeur à 233 MHz suffit). Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre un réseau considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci. Pour ce faire, un ordinateur muni de plusieurs cartes réseau sera nécessaire, alors que l'installation est à la portée de toute personne possédant un minimum de notions en réseau IP et en système Linux (adressage, ping, commandes shell de base), pas la peine donc d'être un expert ;-). Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du pare-feu (ou firewall), les différents services proposés par IPCop, les plug-ins disponibles ainsi que leurs fonctions. Puis, dans un second temps, nous détaillerons l’installation d’un serveur IPCop avant de conclure en comparant ce système par rapport à d'autres solutions existantes. Développé initialement à partir du code source d’un projet similaire nommé SmoothWall, IPCop et celui-ci ont maintenant pris une orientation différente (cependant la procédure d’installation des deux systèmes reste quasi identique, ce dossier pourra donc vous servir si vous le souhaitez à installer un serveur SmoothWall…). La configuration des services via l’interface web d’administration fera quant à elle l’objet d’un futur dossier. • FIREWALL ET ROUTAGE La partie firewall d’IPCop se compose de plusieurs interfaces dont chacune peut être ou non utilisée, à l’exception de l’interface rouge, qui elle, est obligatoire : • Rouge Zone du réseau à risque ( Internet ). • Vert Zone du réseau à protéger ( réseau local ). • Bleu Zone spécifique pour les périphériques sans fil. Il n’est possible de faire communiquer l’interface Verte Page 1 - 29 et l’interface Bleu qu’en créant un VPN, des explications de John Bradshaw traduites par Eric Boniface sont disponibles ici. • Orange Zone démilitarisée ( DMZ ), cette zone est considérée comme publique, elle est accessible de l’extérieur mais ne possède aucun accès sortant (pour des serveurs web par exemple). Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possède comme passerelle l'adresse IP de la carte d'interface derrière laquelle elle se situe (par exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte). Voici un exemple plus parlant de schéma réseau réalisable avec IPCop : IPCop : Services • SERVICES Les services permettent de créer différents serveurs, ou tout simplement d'ajouter un rôle afin qu'IPCop soit plus qu'un simple firewall ( pare-feu ). Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici, bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration. Page 2 - 29 Description des services : • RPV ce service vous permet de créer un Réseau Privé Virtuel ( VPN pour les intimes ) entre votre IPCop et un autre IPCop. Il peut etre désactivé si l'on ne fait pas de VPN. • Serveur CRON cron est le nom d’un démon ( ou processus ) qui permet de planifier l’exécution de tâches à des dates et heures définies à l’avance, ce service pourrait être comparé aux " Tâches planifiées " de Windows. Ce service ne peut être désactivé. • Serveur DHCP vous permet de créer un serveur DHCP afin d’allouer dynamiquement une adresse IP, une passerelle et l’adresse de vos serveurs DNS à des ordinateurs dont les cartes réseau sont configurées en mode « client DHCP » ( GNU Linux et Mac ) ou « Automatique » ( Windows ). Il peut être désactivé. • Serveur NTP il s'agit là d'un service de serveur de temps, ceci permet de synchroniser l'heure de votre IPCop en fonction de celle d'un serveur NTP d'internet. Il est possible de désactiver ce service. • Serveur Web ne peut être désactivé car ce service permet l'accès à l'interface web d'administration. • Serveur d'accès à distance ( SSH ) vous permet d’accéder à votre serveur IPCop via le protocole SSH (avec PuTTY dont on peut automatiser les connexions par exemple). il peut être désactivé. • Serveur d'enregistrement de journaux vous permet d’avoir des rapports de suivi des événements survenus sur le réseau et les services (tentatives d’intrusion, trafic sortant et entrant, etc.). Ce service peut être désactivé. • Serveur d'enregistrement des journaux du noyau ce service peut être désactivé. Son rôle est d'analyser le noyau du système, vous permettant ainsi de repérer les erreurs du système. • Serveur mandataire (proxy) peut être désactivé. Ce service permet de créer un serveur proxy jouant le rôle de tampon entre les ordinateurs de votre réseau et Internet. • Système de détection d’intrusion peut être désactivé. Il permet d’activer la détection d’intrusion sur les interfaces avec les règles Snort (inscription gratuite obligatoire sur le site de Snort pour pouvoir profiter de ce service), il est possible de choisir l’interface sur laquelle on souhaite l’activer ou la désactiver. IPCop : Plug-ins • PLUG-INS Des plug-ins (modules supplémentaires ) peuvent être installés afin d’améliorer des services existants ou afin d’ajouter des rôles supplémentaires à votre serveur IPCop. • AdvProxy Advanced Proxy est, comme son nom l’indique, un serveur proxy avancé. Il enrichit ainsi les options existantes au niveau du proxy d’IPCop, son installation est nécessaire pour pouvoir utiliser et activer le plug-in URL Filter. • URL Filter Ce plug-in vous permettra d’effectuer un filtrage d’url afin d’interdire l’accès à certaines catégories de Page 3 - 29 sites web (contenu pornographique, violence, drogue, hack, warez, etc.). • CopFilter On ne peut pas vraiment définir CopFilter de plug-in tellement l’étendu de ce qu’il apporte à IPCop est importante. CopFilter regroupe en fait un ensemble de plug-ins permettant d’effectuer un contrôle antivirus sur les e-mails entrants, de stopper le spam ( pourriel ), d’effectuer des tâches de monitoring, etc. Remarque : tous les plug-ins s'installent et se désinstallent de la même façon. Pour installer un plug-in il vous suffit de télécharger le fichier d'installation sur votre ordinateur, de le copier sur votre serveur IPCop à l’aide de l’utilitaire WinSCP (attention il faut utiliser le port 222 et non le port 22 par défaut) puis enfin de taper ces commandes en SSH : • tar -xzf –ipcop-NomDuPlugin-VersionDuPlugin.tar.gz • ipcop-NomDuPlugin/install Une fois installés, les plug-ins seront disponibles immédiatement dans l’interface web (aucun redémarrage n’est nécessaire). Pour désinstaller un plug-in il suffit de taper dans le Shell la commande : • ipcop-NomDuPlugin/uninstall Cette liste de plug-ins n’est bien sûr pas exhaustive, il s’agit là uniquement des plug-ins les plus connus pour IPCop. A noter qu' AdvProxy et URL Filter sont également disponibles pour SmoothWall. Attention : Certains plug-ins, comme CopFilter, nécessitent des ressources systèmes plus importantes qu’un IPCop de base (il faut alors compter sur un PC équipé d'un processeur à 350 Mhz et de 256Mo de mémoire vive). IPCop : Configuration matérielle • CONFIGURATION MATERIELLE Etant dépourvu de tout élément non nécessaire au bon fonctionnement du système (pas de couche graphique, commandes et services non utiles supprimés, etc.), IPCop ne nécessite pas une grosse configuration pour fonctionner convenablement (un ordinateur PC ayant un processeur à 233 Mhz et 64 Mo de mémoire vive suffit pour un réseau d’une vingtaine de postes). Cependant votre machine devra posséder au moins autant de cartes réseaux que d’interfaces que vous comptez exploiter (sauf si vous utilisez un modem pour l’interface rouge) ainsi qu’un lecteur CD-ROM pour effectuer Page 4 - 29 l’installation. Il peut être également utile d’ajouter un lecteur de disquettes si l’on souhaite effectuer et restaurer des sauvegardes. A titre indicatif, la configuration matérielle minimale est un processeur de type 386, 32Mo de RAM, un disque dur de 300Mo, et une carte réseau (si vous utilisez un modem). La liste des cartes réseaux et des modems compatibles avec IPCop peut être consultée ici, il arrive que certains modèles qui ne figurent pas dans la liste soient tout de même reconnus, cependant pour éviter d'éventuels problèmes, il vaut mieux utiliser un périphérique qui figure dans celle-ci... Un écran et un clavier sont bien évidemment nécessaires pour l’installation, mais dont on pourrait se passer une fois celle-ci terminée (à condition de désactiver l’erreur correspondant à l’absence de clavier au démarrage dans le BIOS...). La souris n’étant pas prise en charge il faudra se déplacer à l’aide de la touche [TAB] dans les menus (un retour en arrière est possible à l’aide de la combinaison [SHIFT] + [TAB], tout comme sous Windows), ceux-ci seront validés avec la touche [ENTREE]. Note : Il est uploads/s1/ ipcop-explication.pdf