Upload
moncef-elbouazzaoui
View
14
Download
0
Embed Size (px)
Citation preview
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
REMERCIEMENTS
L’aboutissement de ce travail s’est fait grâce au concours
de plusieurs personnes que je voudrais remercier :
L’éternel DIEU tout puissant pour, la force et le courage ;
Monsieur ABANDA Armand Claude chef d’établissement de
l’IAI-Cameroun et son personnel pour le cadre et
l’enseignement ;
Monsieur FOPA Gabriel Directeur Général d’ITGStore-
Consulting qui a bien voulu nous recevoir dans sa structure ;
Monsieur TAKOUFET Sylvain responsable de la plate-forme
de développement des projets pour son soutien et ses conseils ;
Monsieur MOLO Athanase mon superviseur à l’IAI-
Cameroun pour ses conseils et orientations ;
Monsieur CHAKODE Rodrigue mon maître de stage pour le
suivi, ses conseils et sa disponibilité ;
Ma famille pour le soutien moral et financier ;
L’ensemble du personnel d’ITGStore-Consulting pour leurs
conseils ;
Tous ceux qui de près ou de loin ont contribué au
déroulement de mon stage.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
SOMMAIRE
REMERCIEMENTS .......................................................... 1
INTRODUCTION GENERALE ............................................ 4
................................................................................... 6
I-) INSERTION ................................................................... 6
II-) PRESENTATION d’ITGStore ........................................... 8
III-) DESCRIPTION .............................................................. 9
IV-) ACTIVITES ................................................................ 10
IV.1-) La supervision ................................................ 10
IV.2-) Le stockage, PRAS .......................................... 11
IV.3-) La gestion des performances ......................... 11
IV.4-) Mise en œuvre d’infrastructure Internet et Intranet .................................................................... 11
IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux .................... 12
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IV.6-) Mise en œuvre d’infrastructure de NOC ......... 12
V-) RESSOURCES INFORMATIQUES D’ITGStore .................. 12
V.1-) Ressources matérielles ................................... 12
V.2-) Ressources logicielles ..................................... 14
VI-) CONCLUSION ............................................................ 15
................................................................................. 16
II-) GENERALITE SUR LES PARE-FEUX ............................... 19
III-) FONCTIONNEMENT D’UN FIREWALL ........................... 19
III.1-) Catégories de firewall .................................... 21
III.2-) Types d’implémentations ............................... 22
IV-) PRESENTATION D’IPCop ............................................ 23
IV.1-) Définition d’IPCop ........................................... 23
IV.2-) Description ..................................................... 24
V-) ETUDE DES FONCTIONNALITES D’IPCop ...................... 36
V.1-) Filtrage du réseau par iptables ....................... 36
V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux : ............................................................. 41
V.3-) Prise en charge des serveurs DHCP, DNS, … . . 42
V.4-) Administration de la machine par une interface web sécurisée ......................................................... 42
V.5-) Détection des intrusions avec Snort ............... 42
V.6-) Gestion des réseaux privés virtuels (VPN) ..... 43
VI-) CAHIER DES CHARGES ............................................... 43
VII-) INSTALLATION D’IPCop ............................................ 44
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
VIII-) CONFIGURATION D’IPCop ........................................ 51
VIII.1-) Configuration du Proxy et du filtre d’url ...... 53
VIII.2-) Configuration Du Service IDS ....................... 55
VIII.3-) Installation et configuration de CopFilter ..... 56
VIII.4-) Gestion de trafic ........................................... 59
CONCLUSION ............................................................. 60
WEBOGRAPHIE ........................................................... 61
INTRODUCTION GENERALE
Dans le cadre de la formation de ses ingénieurs des
travaux en maintenance micro-informatique et réseaux, l’IAI-
Cameroun préconise un stage académique d’une durée de trois
mois dans une entreprise pour les étudiants de troisième
année. Ce stage ayant pour but de :
• Garantir la mise en pratique des connaissances acquises au cours de l’année ;
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
• Favoriser l’insertion rapide de ses étudiants dans le monde professionnel ;
• Garantir des cadres informaticiens compétents et excellents.
Dans cet esprit d’excellence, ITGStore-Consulting qui est
une société des services en ingénierie informatique (SSII)
nouvellement implantée au Cameroun a bien voulu nous
accueillir. Durant la période que j’ai eu à passé dans cette
structure, j’ai eu pour mission d’implémenter une politique de
firewalling grâce à la distribution linux IPCop.
Pour mener à bien ce projet, j’ai été encadré par Monsieur
CHAKODE Rodrigue, Ingénieur Systèmes à ITGStore et Monsieur
MOLO NGAH Athanase, Instructeur Cisco et Enseignant à l’IAI-
Cameroun.
Le présent rapport se décompose en plusieurs parties qui
détailleront la réalisation de ce projet dans ces différentes
étapes. Nous présenterons d’abord la structure d’accueil à
savoir ITGStore-Consulting ; nous parlerons ensuite des
généralités d’un firewall ; puis de l’étude du cas particulier
d’IPCop avec quelques politiques de sécurité que nous avons
mis en œuvre.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
I-) INSERTION
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Notre admission en stage à ITGStore-Consulting a eu lieu
le Lundi 25 Août 2008. Notre stage commence ce jour là par la
réunion d’évaluation du travail de la semaine précédente entre
le responsable de la plate-forme des projets et le personnel.
Dans la circonstance, nous sommes présentés aux personnels
par le responsable de la plate-forme de projet où nous sommes
chaleureusement accueillis. Au cours de cette réunion, nous
sommes interrogés sur les formations à l’IAI-Cameroun et sur
nos prospectives. Ce sont des réponses données à ce dernier
point, en rapprochement avec les objectifs d’ITGStore qui est
amené à proposer des solutions y afférant à ses clients qui ont
servi d’orientation pour le choix des thèmes attribués à chacun
de nous.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
II-) PRESENTATION d’ITGStore
ITGStore est SSII (Société de Services d’Ingénierie
Informatique) au capital 15000000FCFA. Basée en région
parisienne, avec depuis 2006 une agence à Douala (Cameroun),
ITGStore est identifiable par cette fiche signalétique.
Fiche D’identification D’ITGStore-Consulting
RAISON SOCIALE: ITGStore-Consulting
SIGLE: ITGStore
ADRESSE : B.P : 820 Douala
TEL. : (237)33436361
TELEFAX : (237)33436363 Douala
FORME JURIDIQUE : SARL
SIEGE : Immeuble Kadji Akwa-Douala
CAPITAL SOCIAL : 15000000 FCFA
ACTIVITES : Supervision, Stockage, PRAS, Gestion des
performances, Mise en œuvre d’infrastructure Intranet et
Internet, Etude et mise en œuvre d’infrastructure réseau
intégrant les PABX et serveurs vocaux, Mise en œuvre
d’infrastructure de NOC.
DIRECTEUR GENERAL : FOPA Gabriel
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
LOGO :
ITGStore-Consulting est une jeune entreprise en terre
camerounaise qui depuis son implantation en 2006 s’impose
parmi les leaders de la ville de Douala dans son domaine
d’activité. L’Equipe Technique de la structure compte des
Ingénieurs issus des universités et des grandes écoles
supérieures du Cameroun. Les bureaux d’ITGStore sont situés
au rez de chaussée de l’immeuble Kadji à Akwa-Douala
III-) DESCRIPTION
ITGStore-Consulting est constituée :
D’une direction générale dont le bureau est situé en
France et ayant à sa tête un Directeur Général en la personne
de Monsieur FOPA Gabriel ;
Ensuite on a un responsable des projets qui est
responsable de la coordination de la plate-forme des projets de
la structure au niveau du Cameroun.
Enfin on a le service de la comptabilité qui est géré par un
cabinet d’expert comptable, le service marketing et l’équipe
technique. Il est à noter qu’à ITGStore-Consulting, tout
ingénieur peut être amené à gérer un projet.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IV-) ACTIVITES
Les principaux métiers d’ITGStore-Consulting sont :
IV.1-) La supervision
La supervision est une solution qui permet d’établir à
chaque instant l’état (fonctionnel ou non) d’un composant
technique, d’un logiciel, d’un serveur ou d’un équipement
réseau.
ITGStore-Consulting s’appuie sur des experts
expérimentés dans le domaine de la supervision, pour proposer
à ses clients une collaboration dans le conseil, l’étude du
besoin, les spécifications et la mise en œuvre des solutions
techniques à la dimension des entreprises.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
ITGStore-Consulting met à la disposition des entreprise des
experts qui sont intervenus ou interviennent comme acteurs
majeurs au sein de projet de supervision (construction de NOC)
dans des entreprises telles que : France Télécom, Orange,
Lucent Technologie…
IV.2-) Le stockage, PRAS
ITGStore met à la disposition des entreprises des solutions
avancées de sauvegarde et des outils de restauration très
performants
IV.3-) La gestion des performances
ITGStore-Consulting met à la disposition des entreprises
des experts expérimentés pour l’étude, les spécifications, le
choix des indicateurs de performance et la mise en œuvre de
solutions appropriées au profil de l’entreprise.
IV.4-) Mise en œuvre d’infrastructure Internet et Intranet
ITGStore-Consulting définit et valide avec des entreprises
intéressées la stratégie Internet la plus adaptée à leurs besoins.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
La structure vous accompagne également dans le choix des
solutions à mettre en œuvre ainsi que les processus de
déploiement.
IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux
L’infrastructure de communication téléphonique,
représente une vitrine clé de l’entreprise.
ITGStore-Consulting vous accompagne dans la définition,
des spécifications, les choix et la mise en œuvre des
infrastructures internes de télécoms, intégrant le câblage, le
PABX, les serveurs vocaux. Pour cela, ITGStore s’appuie sur une
expérience confirmée et des systèmes techniques ajustés aux
besoins de l’entreprise.
IV.6-) Mise en œuvre d’infrastructure de NOC
V-) RESSOURCES INFORMATIQUES D’ITGStore
Le parc informatique d’ITGStore est constitué des éléments
suivants :
V.1-) Ressources matérielles
Imprimantes :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Une imprimante HP broder NC-6200h trois en un qui en
plus des impressions peut scanner et être utilisée pour envoyer
des fax.
Ordinateurs :
A ITGStore nous avons deux types d’ordinateurs à savoir :
Serveurs dont les caractéristiques sont des Pentium IV
3GHz 1Go de RAM parmi lesquels :
La marque SUN ;
La marque HP ;
La marque Dell ;
Des clones ;
La marque LG.
Des postes de travail (des postes fixes et des Laptops)
Equipements réseaux :
Trois Hub NetGear de 05 ports chacun ;
Un Switch Cisco 2948G-L3 ;
Un modem routeur ADSL ;
Autres équipements :
Le NAS NetGear (équipement de stockage);
Des onduleurs et des parasurtenseurs.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
V.2-) Ressources logicielles
Systèmes d’exploitation :
Les différents systèmes d’exploitation utilisés à ITGStore-
Consulting sont :
Distributions Linux : Suse 10, Solaris 8 et 10, Fedora 5 et
6 ;
Windows: XP SP1et SP2, server 2003.
Applications :
MS Office 2003 et 2007
Antivirus: Avast 5.7, Mcafee 8.0;
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
VI-) CONCLUSION
L’insertion à ITGStore-Consulting a été très facile
notamment avec la présence dans cette structure des anciens
étudiants de l’IAI-Cameroun, son personnel très jeune et
attentif. La phase qui suit nous présente la réalisation de notre
projet à savoir l’implémentation d’une politique de firewalling
grâce à IPCop.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
I-) INTRODUCTION
La sécurité d’un système est le niveau de garantie que
donne ce système pendant son état optimal de fonctionnement.
Que se soit pour des réseaux personnels ou d’entreprises, la
sécurité informatique permet d’empêcher :
► La divulgation non autorisée des données ;
► La modification non autorisée des données ;
► L’utilisation non autorisée des ressources réseaux ou du
système informatique de façon générale.
Cela est d’autant plus strict lorsque les équipements
informatiques sont connectés à Internet ou à un autre réseau
avec des connexions types câbles ou ADSL. Ces règles sont
mises en place grâce à des systèmes de protection tels que :
des pare-feux, des IDS, des antivirus, des anti-spam, des anti-
spywares.
Terminologie :
Le pare-feu (ou firewall en Anglais) est un dispositif
(élément logiciel et/ou matériel) reliant deux réseaux et filtrant
les données échangées par ceux-ci pour assurer leur sécurité.
IDS (Intrusion Detection System)
Problématique
De plus en plus les entreprises gèrent des données
importantes stockées dans des serveurs; et pour garantir la
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
sécurité de ces données et matériels, il faut mettre sur pied des
mécanismes permettant en temps réel le contrôle des accès, la
gestion du trafic et le filtrage des informations qui transitent.
D’où la nécessité d’installer un firewall tel IPCop.
II-) GENERALITE SUR LES PARE-FEUX
A l’origine le terme pare-feu est employé dans les théâtres
pour designer un mécanisme permettant au feu de ne pas se
propager de la salle de théâtre vers la scène.
Le pare-feu est donc utilisé en informatique pour designer
une porte empêchant aux ménaces d’un réseau externe de se
propager dans votre réseau informatique interne.
III-) FONCTIONNEMENT D’UN FIREWALL
Un firewall a pour principale fonction de contrôler le trafic
entre les différents réseaux, en filtrant les flux de données qui
transitent dans ces réseaux (Internet (zone non contrôlée) et le
réseau interne (zone très importante)). Plus précisément, un
firewall est chargé de filtrer :
• L’origine ou la destination des paquets (adresse IP,
interfaces réseau, etc.)
• Les utilisateurs
• Les données et les options contenues dans ces données
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Les pare-feux récents embarquent des fonctionnalités
suivantes :
• Filtrage sur adresses IP/Protocole,
• Inspection à l’état et applicative,
• Intelligence artificielle pour détecter le trafic anormal,
• Filtrage applicatif
o HTTP (restriction des URL accessibles),
o Courriel
o Logiciel d’antivirus, anti-logiciel malveillant
• Translation d’adresse,
• Tunnels IPSec, PPTP, L2TP,
• Identification des connexions,
• Serveurs de protocoles de connexion (Telnet, SSH), de
protocoles de transfert de fichier (SCP),
• Clients de protocoles de transfert de fichier (TFTP),
• Serveur Web pour offrir une interface de configuration
agréable,
• Serveur mandataire (« Proxy » en anglais),
• Système de détection d’intrusion (« IDS » en anglais)
• Système de prévention d’intrusion (« IPS » en anglais)
Le schéma ci-dessous illustre le fonctionnement d’un
firewall
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 1 : Schéma de fonctionnement d’un firewall
III.1-) Catégories de firewall
Les équipements (ou les logiciels) de sécurité à l’instar des
firewalls connaissent de nombreuses évolutions. C’est ainsi que
suivant la génération de pare-feu ou de son rôle on peut citer :
1) Pare-feu sans états (stateless firewall : ici le pare-feu
compare chaque paquet à une liste de règles
préconfigurées)
2) Pare-feu à états (stateful firewall : le pare-feu vérifie
que chaque paquet d’une connexion est bien la suite
du paquet précédent)
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
3) Pare-feu applicatif (ici le pare-feu vérifie la conformité
d’un paquet à un protocole attendu. Exemple
s’assurer que seul du http passe par le port 80)
4) Pare-feu identifiant (ici le pare-feu réalise
l’identification des connexions à travers le filtre IP)
5) Pare-feu personnel (permet de lutter contre les virus
et les logiciels espions)
III.2-) Types d’implémentations
Il existe trois types d’implémentation de firewall parmi
lesquelles :
Versions libres
• Linux Netfilter/IPtables, pare-feu libre des noyaux Linux
2.4 et 2.6.
• Linux IPchains, pare-feu libre du noyau Linux 2.2.
• Packet Filter ou PF, pare-feu libre d’OpenBSD (système
d’exploitation libre de type Unix, dérivé de 4.4BSD)
importé depuis sur les autres BSD.
• IPFilter ou IPF, pare-feu libre de BSD (Berkeley Software
Distribution : famille de systèmes d’exploitation Unix,
développés à l’université de Berkeley) et Solaris10.
• IPfirewall ou IPFW, pare-feu libre de FreeBSD.
• NuFW Pare-feu identifiant sous Licence GPL pour la partie
serveur et les clients Linux, FreeBSD et Mac OS. NuFW est
basé sur Netfilter et en augmente les fonctionnalités.
• iSafer, pare-feu libre pour Windows.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Versions propriétaires
• les boîtiers pare-feu : juniper
Distributions Linux
• SmoothWall : distribution linux packageant Netfilter et
d'autres outils de sécurité pour transformer un PC en pare-
feu dédié et complet.
• IPCop : distribution linux packageant Netfilter et d'autres
outils de sécurité pour transformer un PC en pare-feu
dédié et complet.
• Endian Firewall : distribution linux packageant Netfilter
et d'autres outils de sécurité pour transformer un PC en
pare-feu dédié et complet.
• Pfsense : distribution firewall open source très avancée
basée sur FreeBSD et dérivée de m0n0wall qui utilise en
autre OpenBSD packet Filter.
IV-) PRESENTATION D’IPCop
IV.1-) Définition d’IPCop
IPCop (policier des IP) est un projet Open Source dont le
but est d’obtenir une distribution Linux qui permet de faire le
firewalling.
IPCop a été crée en réponse à plusieurs besoins. Le
premier d’entre eux était le besoin d’une protection sûre et
efficace de nos réseaux personnels et d’entreprises.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Lorsque le projet IPCop a été lancé en 2001, il existait déjà
d’autres pare-feu. L’équipe de projet d’IPCop avait décidé de
partir du code de base d’un pare-feu sous GPL. L’objectif était
de remanier ce code pour se mettre à l’écoute des attentes des
utilisateurs. Parmi ces attentes se trouvait celle de laisser à
chaque utilisateur la possibilité de créer son propre IPCop, celle
de proposer et d’ajouter des améliorations et celle d’apprendre
grâce au travail des autres. A ce jour plusieurs révisions d’IPCop
ont été publiées, et plusieurs fonctionnalités ont été ajoutées :
la possibilité d’organiser le parc en quatre catégories de
réseaux, la détection d’intrusion sur tout le réseau et la
configuration à partir d’une interface web n’en sont que
quelques exemples.
IPCop est basée sur Linux From Scratch (projet visant à
préciser toutes étapes nécessaires à la création de son propre
système Linux. LFS a pour objectif de vous guider à travers
l'installation d'un système de base comportant le maximum
d'éléments de sécurisation.), destiné à assurer la sécurité d’un
réseau.
C’est un système d’exploitation à part entière qui peut
être installé sur un PC (dont les caractéristiques minimales sont
les suivantes : CPU =233MHz, RAM= 64Mo, HDD=800Mo) pour
faire office de firewall très performant
IV.2-) Description
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
L’interface d’administration d’IPCop est composée de sept
onglets (huit si on installe CopFilter). Ces onglets font
références aux différentes possibilités d’administration offertes
par IPCop.
IV.2.1-) Onglet SYSTEME
L’onglet système regroupe tout ce qui concerne le système
en lui-même à savoir : la vérification et l’installation des mises à
jour, la modification des mots de passe, les sauvegardes,
l’activation de l’accès SSH, …
Accueil :
C’est la première page qui s’affiche lorsque l’on tape
l’adresse de l’interface web d’administration d'IPCop dans le
navigateur. Sur cette page il vous est possible de couper tout le
trafic passant par IPCop via le bouton Déconnexion (la
connexion s’établit de manière automatique lors du démarrage
du serveur), mais également de consulter le temps depuis
lequel la connexion est établie.
Mises à jour :
Des mises à jour sont mensuelles pour le système, apportant
de nouvelles options ou des corrections de bugs. Les mises à
jour s’installent simplement : il suffit de cliquer sur détail, de
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
télécharger le fichier, puis d’uploader ce fichier sur le serveur
via le bouton parcourir et chargement de la page.
Mots de passe :
Les mots de passes admin (pour l’accès à l’interface web) et
dial (utilisateur seulement autorisé a connecter ou déconnecter
la connexion par modem) peuvent être modifiés sur cette page.
Ces mots de passes doivent contenir au moins 6 caractères
(plus conseillés). Le mot de passe admin peut également être
modifié via la commande setup en SSH (qui permet par ailleurs
de modifier le mot de passe root).
Accès SSH :
L’accès SSH n’est pas activé par défaut, et peut ne pas l’être
si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA et
DSA, elles sont cryptées sur 1024 bits. Il est possible de refuser
le transfert SCP, empêchant ainsi de copier des fichiers sur
IPCop avec WinSCP (par exemple). D’autres options relatives à
la version du client SSH utilisé et à l’authentification par mot de
passe et clés publiques sont prises en comptes.
Interface graphique :
L’interface graphique d’IPCop permet de choisir d’afficher le
nom de la machine dans la barre de titre du navigateur, de
rafraîchir automatiquement la page d’accueil, de sélectionner la
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
langue pour votre page d’administration et de restaurer les
paramètres par défaut.
Sauvegarde :
Comme tout système informatique, les pannes matérielles ou
logicielles sont rares mais existent. Avec IPCop il est possible de
réaliser deux types de sauvegardes : une sur la machine et une
sur disquette.
Les sauvegardes sur machine sont à considérer comme des
points de restauration qui permettent de revenir à une
configuration antérieure suite à une modification non
satisfaisante. On peut également sauvegarder la dernière date
sur l’ordinateur local et la restaurer à l’aide des boutons
parcourir et importer.
Les sauvegardes réalisées sur disquettes sont utiles en cas
de panne sévère. En effet ; si vous devez réinstaller le système,
cette disquette de sauvegarde vous sera demandée pendant
l’installation pour restaurer les configurations.
Arrêter :
Il est possible depuis la version 1.4.10 de redémarrer ou
d’arrêter IPCop a distance à l’aide des boutons correspondants
ou tout simplement planifier ces tâches.
Crédits :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IPCop est un projet Open Source sous licence GNU ; toute
une communauté de développeurs se charge de maintenir et
d’optimiser ce projet. Il est par conséquent normal que le nom
de ces personnes apparaisse sur IPCop. Cette liste est lisible
dans cette section. Par ailleurs, les adresses mails de ces
personnes figurent si vous aviez besoin de les contacter pour
faire avancer le projet.
IV.2.2-) Onglet ETAT
Les menus de l’onglet Etat sont tous à titre informatif. Cet
onglet regroupe les résumés de l’état système ainsi que des
outils de surveillance graphique : services actifs, utilisation de
mémoire, du processeur, du disque dur … etc.
Etat du système :
Ce menu permet de consulter l’activité du système. Les
services du système sont listés avec leur état. Ici on peut voir
quel utilisateur est connecté à IPCop, ce qu’il fait, depuis
combien de temps est ce qu’il est connecté. Il permet
également d’avoir des informations sur la version du noyau
utilisé.
Etat du réseau :
Ici on a les résultats de la configuration des interfaces des
réseaux. Pour chaque interface on l’adresse MAC de la carte
réseau utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de
la MTU (Maximum Transmission Unit) qui est taille maximale
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
(en octets) du paquet pouvant être transmis en une seule fois,
l’état du transfert des paquets, les entrées de la table de
routage, ainsi que la table ARP.
Graphiques systèmes :
Les graphiques systèmes sont très utiles pour évaluer
l’utilisation des ressources matérielles (processeur, mémoire,
swap et accès disque), mais permettent également d’identifier
les pics de sollicitation des ressources par plage horaire.
Courbes de trafic :
Elles représentent le niveau de sollicitation de la bande
passante par rapport au temps. Tout comme les graphiques
systèmes, lorsque vous cliquez sur un graphique (courbe), vous
obtenez une vue dans une autre unité de temps.
Connexion :
C’est un tableau qui permet en temps réel de suivre les
communications entre IPCop et les éléments qui l’entourent.
Les adresses IP, les ports utilisés et d’autres informations utiles
y sont répertoriés (protocoles, bail, zone, etc.…).
IV.2.3-) Onglet RESEAU
Les menus de cet onglet seront utiles dans le cas de
l’utilisation de l’interface rouge avec une connexion par
modem. En effet, si on utilise une carte réseau pour l’interface
rouge cet onglet ne sera d’aucune utilité.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Connexion :
Dans ce menu on va pouvoir définir nos paramètres de
connexion Internet avec nos identifiants. Ces informations sont
en général fournies par le fournisseur d’accès Internet (FAI).
Toutes ces informations (identifiants, modem, serveur DNS,
…) peuvent être sauvegardées dans 5 profils, vous permettant
ainsi de vous connecter avec différents abonnements.
D’autres options permettent d’affiner un peu plus les
paramètres de base, comme par exemple la possibilité de se
déconnecter au bout d’un certain délai d’inactivité et de se
reconnecter automatiquement.
Chargement :
Par défaut IPCop reconnaît beaucoup de modems, mais en
cas de problème de détection avec le votre, il est possible de
récupérer le driver Fritz!DSL de celui-ci.
Modem :
Il est possible de personnaliser les réglages propres à la
connexion du modem au travers de ce menu. Attention ceci est
réservé à un public averti ! En cas de mauvaise manipulation,
vous pourrez remettre les paramètres par défaut.
Alias :
Dans le cas où votre FAI vous a fournit une plage d’adresses
IP publiques, vous pourrez créer des alias pour que les adresses
de cette plage soient distribuées sur l’interface rouge : dans le
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
menu «Etat du réseau» votre interface rouge aura ainsi
plusieurs adresses IP (utile dans le cas des serveurs web et ftp).
IV.2.4-) Onglet SERVICES
Cet onglet permet de visualiser l’ensemble des services
en actifs et serveurs installés dans IPCop. Parmi ces services et
serveurs on peut citer :
Serveur Mandataire (Proxy) :
Un serveur Proxy consiste principalement à aller chercher les
pages que les utilisateurs consultent et à les stocker dans un
cache afin des les afficher plus rapidement lors de la prochaine
visite de celles-ci.
Serveur DHCP :
Un serveur DHCP (Dynamic Host Configuration Protocol) permet
d'allouer une configuration IP (Adresse, Passerelle, Serveurs
DNS) à une interface réseau de façon automatique.
DNS Dynamiques :
Un serveur DNS est un serveur qui associe un nom de
domaine à une adresse IP, un DNS Dynamique joue le même
rôle mais pour des adresses IP non fixes.
Hôtes statiques :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Dans le cas où on dispose de serveurs ou de machines
nécessitant d'avoir toujours la même adresse (publique ou
privée) ceci vous permettra de leur réserver et de leur définir
une adresse fixe.
Serveur de temps :
Un serveur de temps diffuse l'heure et la date à tous les
ordinateurs d'un réseau. On pourra ici se synchroniser à partir
d’Internet ou synchroniser les réseaux des interfaces d’IPCop.
Lissage du trafic (Shapping) :
Le lissage de trafic permet de limiter le trafic alloué à un
protocole, il s'agit en quelque sorte de la gestion de la bande
passante.
Détection d’intrusion (IDS):
S'appuyant sur les règles de Snort, qui est un système de
détection d'intrusion open source, capable d'effectuer en temps
réel des analyses de trafic et de logger les paquets sur un
réseau IP. Il peut effectuer des analyses de protocole,
recherche/correspondance de contenu et peut être utilisé pour
détecter une grande variété d'attaques
IV.2.5-) Onglet PARE-FEU
Comme pour tout bon firewall, il est possible de désactiver le
Ping et d’ouvrir des ports pour laisser passer des applications
ou même de rediriger ceux-ci. Il comprend des menus tels que :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Transferts de ports :
Il s’agit là du Port Address Translation (PAT, parfois aussi
nommé Port Forwarding), qui permet de rediriger le flux
arrivant sur un port d’IPCop vers un port d’une machine faisant
partie d’une des zones d’IPCop. Exemple : Un serveur web se
trouve derrière l’interface verte d’IPCop. Il vous faut donc
rediriger les requêtes HTTP que reçoit votre IPCop vers ce
serveur. Il faut donc choisir les protocoles utilisés par http (ici
TCP, il faudra donc créer une règle pour ce protocole) et
rediriger les paquets vers l’adresse IP de votre serveur web
(192.168.1.250 par exemple) sur le port HTTP (80 par défaut,
8080 parfois).
Accès externes :
Ce menu permet d’accorder des autorisations à certaines des
machines du réseau externe de se connecter à certains ports
bien précis.
Vous pouvez ouvrir des "brèches" dans le firewall pour ouvrir
complètement un accès au réseau sur un port, c'est-à-dire que
les ports choisis seront complètements ouverts, ceci peut être
utile pour autoriser l’accès à l’interface de configuration ou
l’accès en SSH à IPCop depuis la zone rouge (Internet par
exemple). Pour sécuriser un petit peu l'ouverture complète de
ces ports, on pourra spécifier quelles adresses IP sont
autorisées à les utiliser (dans le cas d’un serveur FTP dont on
connaît les clients par exemple, ou l’adresse IP de
l’administrateur distant).
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Options du firewall :
Dans ce menu on a la possibilité de choisir quelle interface
répondra ou non au Ping. On désactivera le Ping pour des
raisons de sécurité si on le souhaite (ce qui permet tout de
même d’éviter certaines attaques).
IV.2.6-) Onglet RPV (VPN)
L’onglet RPVs ne contient qu’un seul menu du même nom.
Vous aurez remarqué que les différents onglets sont relatifs à
des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en
anglais pour Virtual Private Network) étant un domaine
complètement à part au regard des autres catégories
proposées par IPCop. Un VPN consiste à utiliser ce que l’on
appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,
…) pour relier deux réseaux physiques en utilisant un réseau
non sécurisé, mais fiable, la finalité étant que ces deux réseaux
distincts ne forment plus qu’un seul et même réseau en
transitant par Internet.
IV.2.7-) Onglet JOURNAUX
Cet onglet permet d’obtenir un suivi des évènements à
travers des journaux (ou logs). Il est indispensable pour
détecter les causes des problèmes, qu’il s’agisse du pare-feu,
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
du noyau du système, ou encore des adresses bloquées par le
filtreur d'url.
Configuration des journaux :
Il est possible via ce menu de paramétrer le type de
classement (ordre chronologique ou non), le nombre de lignes
par page, la durée pendant laquelle les résumés des journaux
seront conservés ainsi que leur niveau de détail. Il est par
ailleurs possible d’enregistrer ces journaux sur un serveur
distant (serveur syslog).
Résumé des journaux :
Il permet de faire un rapide bilan sur les activités du serveur
web (pour l’interface d’administration), le pare-feu et l’espace
disponible sur les partitions montées.
Journaux pare-feu :
Ce log affiche toutes les connexions établies en direction
d’IPCop. Les évènements sont organisés par date, différentes
informations relatives à la communication sont ensuite
disponibles sous forme d’un tableau :
Heur
e
Chaîn
e
Interfac
e
Protocol
e
IP
sourc
e
Port
sourc
e
Adress
e MAC
IP
destinatio
n
Port
destinat
ion
Journaux IDS :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Les journaux du Système de Détection d’Intrusion (Intrusion
Detection System en anglais, d’où IDS) sont relatifs au service
de Détection d’Intrusion d’IPCop qui agit en fonction des règles
Snort. Dans ces journaux, les attaques sont également
recensées sous forme de tableaux. Elles sont triées par date,
une priorité est affectée en fonction du type de menace
identifié, le nom de celle-ci, son type et l’adresse source de
l’attaque.
Journaux systèmes :
A chaque fois qu’une modification est effectuée (via
l’interface web ou non) ou qu’un évènement arrive (arrêt du
système ou d’un service, redémarrage d’une interface réseau,
…) cela enregistré dans ce journal.
V-) ETUDE DES FONCTIONNALITES D’IPCop
IPCop admet des fonctionnalités suivantes :
V.1-) Filtrage du réseau par iptables
Depuis la version 2.4, Linux contient un module destiné au
filtrage réseau, Netfilter. Il se configure au moyen d'un outil
appelé iptables.
Le filtrage réseau consiste à faire un examen des paquets
réseaux et à prendre des décisions sur le traitement à leurs
appliquer. C'est ce que fait un firewall. Avec un système
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
GNU/Linux, pour configurer des règles de pare-feu, il faudra
donc simplement utiliser Netfilter à l'aide d'iptables. L’avantage
avec IPCop ici est qu’on a plus besoin de taper les commandes
car ses règles peuvent être configurées via l’interface web
d’administration d’IPCop. Ce pendant pour configuration en
mode commande, il est bon de savoir comment ça fonctionne.
Netfilter est un pare-feu complet fonctionnant sous Linux
(noyaux 2.4 et 2.6), il remplace ipchains qui fonctionnait sur les
noyaux 2.2.
Les chaînes (ensemble de règles appliquées aux paquets) de
Netfilter sont reparties dans 3 tables :
a)Filter : c'est la table par défaut, elle filtre les 3 trafics
principaux.
C'est la table par défaut lorsqu'on ne spécifie aucune table.
Elle contient toutes les règles de filtrage :
• INPUT : pour les paquets entrants.
• OUPUT : pour les paquets sortants.
• FORWARD : pour les paquets traversants le firewall.
Lorsqu'un paquet correspond au motif de reconnaissance
d'une règle arrive, une décision est prise.
• ACCEPT : Permet d'accepter un paquet si la règle est
vérifiée.
• REJECT : Dans cet attribut, on peut indiquer quel
type de message ICMP sera envoyé vers la machine
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
dont le paquet est rejeté. A la suite de l’option, on
peut trouver :
icmp-net-unreachable (réseau inaccessible),
icmp-host-unreachable (machine inaccessible),
icmp-port-unreachable (port inaccessible), icmp-
proto-unreachable (protocole inaccessible), icmp-
net-prohibited (réseau interdit), icmp-host-
prohibited (machine interdite). Si le type de
protocole est tcp, on peut trouver tcp-reset qui
indique qu’il faudra envoyer un paquet RST qui
permet de fermer une connexion.
• DROP : Permet de rejeter le paquet sans retour
d'erreur à l'expéditeur si la règle est vérifiée.
• LOG : Permet de loguer le passage du paquet si la
règle est vérifiée.
Voici quelques exemples de règles iptables :
> iptables -t filter -A INPUT -s 192.168.1.110 -jump
DROP cela signifie que tout ce vient de l’adresse
192.168.1.110 est rejeté
> iptables -t filter -A INPUT --protocol tcp
--destination-port 80 --jump ACCEPT cela signifie de
laisser passer le trafic TCP entrant sur le port 80
b)NAT : table dédiée à la redirection de paquets.
Cette table est utilisée pour la translation d'adresse ou de port.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Il y a 2 types de chaînes :
• PREROUTING : paquets entrants sur le firewall.
• POSTROUTING : paquets sortants du firewall.
Les cibles pour NAT sont :
MASQUERADE (uniquement POSTROUTING)
La passerelle (la machine où est installée iptables) transforme
les paquets sortants pour donner l'illusion qu'ils sortent de
celle-ci par un port alloué dynamiquement ; lorsque la
passerelle reçoit une réponse (d'Internet par exemple) sur ce
port, elle utilise une table de correspondance entre le port et
les machines du réseau local qu'elle gère pour lui faire suivre le
paquet.
DNAT (uniquement PREROUTING) : Permet de modifier
l'adresse de destination du paquet.
--to-destination : Utiliser avec la cible DNAT, permet de spécifier
l'adresse de destination de la translation.
SNAT (uniquement POSTOUTING) : Permet de modifier
l'adresse source du paquet.
--to-source : Utiliser avec la cible SNAT, permet de spécifier
l'adresse source de la translation.
c) Mangle : table utilisée pour les services réseaux
additionnels (Elle sert à modifier les en-têtes des paquets.
pour permettre à d'autres applications de les reconnaître.).
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Netfilter fonctionne au niveau du noyau, pour l'administrer,
iptables est utilisé.
Iptables est l'outil qui est fourni à l'administrateur pour agir
sur tous les concepts de règles de filtrage.
La première option à connaître est -t qui permet de spécifier
le nom de la table sur laquelle portera les autres paramètres. Si
cette option n'est pas spécifiée, ce sera par défaut la table
filter.
On peut aussi demander à iptables de charger un module
particulier avec l'option -m. Ce module peut ajouter de
nouvelles tables ou de nouvelles manières de tester les
paquets.
Il faut ensuite indiquer une commande pour dire par exemple
qu'une nouvelle règle doit être ajoutée dans la chaîne spécifiée.
Ci-dessous la liste des options les plus courantes pour spécifier
une commande. Une seule à la fois peut être présente, et
toutes devront être suivies du nom de la chaîne à prendre en
compte.
Options d’iptablesOptio
ns
Rôles
-L Affiche toutes les règles de la chaîne indiquée.-F Supprime toutes les règles de la chaîne. Si aucune
chaîne n'est spécifiée, toutes celles de la table sont
vidées.-N Crée une nouvelle chaîne utilisateur avec le nom passé
en paramètre.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
-X Supprime la chaîne utilisateur. Si aucun nom n'est
spécifié, toutes les chaînes utilisateur seront supprimées-P Modifie la politique par défaut de la chaîne. Il faut
indiquer en plus comme paramètre la cible à utiliser.-A Ajoute une règle à la fin de la chaîne spécifiée.-I Insère la règle avant celle indiquée. Cette place est
précisée par un numéro qui fait suite au nom de la
chaîne. La première porte le numéro 1. Si aucun numéro
n'est indiqué, la règle est insérée au début.-D Supprime une règle de la chaîne. Soit un numéro peut
être précisé, soit la définition de la chaîne à supprimer
(ses tests de concordance et sa cible).
V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux :
• La zone Verte : c’est le réseau local qu’IPCop doit
sécuriser, il peut être un réseau d’entreprise ou
personnel. C’est la zone de confiance par excellence.
• La zone Bleue : c’est le réseau constitué des
équipements sans fil (802.11b) avec une confiance
limitée.
• La zone Orange : c’est la DMZ (zone démilitarisée)
où sont installés les serveurs accessibles depuis
l’extérieur. Dans cette partie on retrouve des
serveurs de types Web, FTP, bases de données …
• La zone Rouge : c’est le réseau externe non
contrôlé à l’exemple d’Internet.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
V.3-) Prise en charge des serveurs DHCP, DNS, …
IPCop intègre dans son programme certains serveurs comme
le serveur DHCP pour le réseau vert, le serveur DNS.
V.4-) Administration de la machine par une interface web sécurisée
Cette fonctionnalité permet :
• De simplifier considérablement les tâches
d’administration du firewall ;
• L’affichage des performances du processeur, de la
mémoire, des disques et du trafic réseau par des
graphiques ;
• La visualisation des journaux d’événement et leur
archivage automatique ;
• Le choix entre plusieurs langues.
V.5-) Détection des intrusions avec Snort
Snort est système de détection d’intrusion libre sous licence
GNU/GPL (General Public License. Il est utilisé pour détecter
une grande variété d’attaques)
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
V.6-) Gestion des réseaux privés virtuels (VPN)
IPCop permet d’utiliser ce qu’on appelle un protocole de
« tunnelisation » (L2P, IPSec…) pour relier deux réseaux
physiques en utilisant un réseau non sécurisé, mais fiable. La
finalité étant que ces deux réseaux distincts ne forment plus
qu’un seul et même réseau en transitant par Internet.
VI-) CAHIER DES CHARGES
Dans le cadre de ce projet, nous devons de mettre sur pied
une politique de sécurité consistant à faire :
1)Le filtrage HTTP avec authentification ;
Proxy http (Hypertext Transfer Protocol ); Bail (pour contrôler les heures de connexion sur
internet) ;
2)Le contrôle des téléchargements (gestion du trafic) ;
Gestion du trafic ; Gestion de la bande passante.
3) La gestion des intrusions (pour limiter les risques d’attaque).
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Toute machine qui se connecte à un serveur
particulier ou au réseau devrait être clairement
identifiée
Nous disposons pour cela comme outils de travail:
D’un ordinateur clone pentium 4 (CPU 3GHz, 1Go de
RAM, 10Go de disque dur) possédant deux cartes
réseaux Ethernet
De la distribution linux IPCop
VII-) INSTALLATION D’IPCop
Pendant l’installation de notre firewall IPCop, nous
adopterons la configuration correspondant à l’architecture
réseau suivante qui a été mise en place pour les tests :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 2 : Schéma de fonctionnement d’IPCop à ITGStore
Configuration minimale requise
Pour installer IPCop on a besoin d’un ordinateur complet
ayant les caractéristiques minimales suivantes :
CPU → 233MHz
RAM → 64Mo
HDD → 800Mo
Après avoir préparé son ordinateur, il faut disposer d’une
copie de la version d’IPCop à installer. La distribution IPCop est
disponible gratuitement sur le site www.ipcop.org
Nous allons installer ici IPCop 1.4.20
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Il existe trois méthodes d’installation d’IPCop en fonction
du support matériel que vous avez à votre disposition
Méthode Lecteur
de
Disquett
e
Disque
tte de
pilotes
Lecteur
de CD-
ROM
Serveu
r
FTP/We
b
CD de boot Non Non Oui Non
Disquette de boot
puis CD
Oui Non Oui Non
Disquette de boot
puis serveur FTP/WEB
Oui Oui Non oui
Nous allons nous intéresser à l’installation à partir d’un CD
de boot d’IPCop.
Plaçons le CD contenant la distribution IPCop qu’on a
téléchargée et gravée dans le lecteur de CD de notre machine
IPCop. Puis redémarrons la machine, appuyez sur ma touche
entrée à l’écran de boot que voici.
NB : tous vos données contenues dans le disque dur seront
entièrement supprimer ; donc prenez la penne de sauvegarder
toutes vos données dans un autre disque et non dans une
partition du même disque.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 3 : Ecran de boot d’IPCop
On voit ensuite défiler à l’écran des messages informatifs
venant du noyau.
Ensuite s’affiche l’écran permettant de sélectionner la
langue, les touches tab, flèches permettent de déplacer le
curseur sur les éléments ; pour sélectionner un élément on
utilise la touche espace et pour accepter le choix on appuie sur
la touche entrée. Choisissons le français comme langue puis
validons. A partir de ce moment toutes les boîtes de dialogues,
page web et menus utilisent la langue choisie.
La boîte de dialogue qui suit nous permet de sélectionner
le support d’installation. Choisissons comme support le CD-ROM
puis validons.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 4 : Choix de la source d’installation d’IPCop
La boîte de dialogue qui suit indique que le programme
d’installation d’IPCop prépare le disque principal (/dev/hda). En
premier lieu, le disque dur sera partitionné, puis un système de
fichier sera créé dans chaque partition. Ensuite le programme
d’installation va copier les fichiers nécessaires sur le disque.
L’installation d’IPCop se poursuit avec la configuration de
la carte réseau de l’interface verte (eth0). Nous pouvons laisser
IPCop trouver notre carte réseau et déterminer les paramètres
à donner au pilote de périphérique. Sélectionner le bouton
rechercher et appuyez sur entrée pour laisser IPCop détecter
votre configuration matérielle. Si nous choisissons plutôt le
bouton sélectionner, nous rechercherons manuellement la carte
réseau et devrons spécifier les paramètres à installer.
Le processus d’installation vous demande ensuite
d’indiquer l’adresse IP à assigner à l’interface verte (eth0).
Lorsque vous choisissez une adresse IP, IPCop détermine
automatiquement le masque de réseau en fonction de cette
adresse que vous pouvez modifier si vous le désirez. C’est cette
adresse qui sera utilisée pour se connecter à l’interface web
d’administration.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 5 : Configuration réseau de l’interface verte
La boîte dialogue qui suit vous annonce la fin de
l’installation et vous demande de retirer le CD du lecteur puis
appuyer sur ok pour continuer.
Ce qui suit à présent constitue la configuration initiale
d’IPCop à savoir le choix du type de clavier, du fuseau horaire,
du nom de la machine (ce nom est également utilisé pour se
connecter à l’interface web d’administration à la place de
l’adresse IP.), le nom de domaine ou du groupe de travail.
Il faut ensuite choisir le type de configuration réseau. Pour
ce qui est de notre cas, nous allons choisir « GREEN + RED ».
En fonction des équipements d’accès à Internet et nombre de
réseaux que voulez connecter on aura besoin de :
Connexion Modem ISDN USB ADSL Ethernet
Green+Red 1carte (G) 1carte (G) 1carte (G) 2cartes (G, R)
Green+Blue+Red2cartes (B,
G)
2cartes (B,
G)
2cartes (B,
G)
3cartes (B, G,
R)
Green+Orange+Red2cartes (O,
G)
2cartes (O,
G)
2cartes (O,
B)
3cartes (O, G,
R)
Green+Orange+Blu
e+Red
3cartes
(O, B, G)
3cartes
(O, B, G)
3cartes
(O, B, G)
4cartes
(O, B, G, R)
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Puisque Nous utilisons une connexion Ethernet, pour configurer
notre réseau « GREEND + RED » il nous faut avoir deux cartes
réseaux.
Une carte pour le réseau vert (interne) et qui aura comme
adresse IP 192.168.10.1 ; cette interface reliée à un Switch ou
directement à une autre machine à l’aide d’un câble croisé qui
sera considérée comme notre réseau interne. Cette machine
recevra une adresse IP qui lui sera attribuée automatiquement
par le serveur DHCP d’IPCop dans la plage 192.168.10. 5 à
192.168.10.50
La deuxième carte sera affectée au réseau rouge
(externe) sera en réalité constitué de tout le réseau
informatique d’ITGStore.
Il faut configurer un serveur DHCP pour le réseau Green.
Ceci permet de simplifier la tâche de l’administrateur du réseau
en attribuant de façon automatique les paramètres du réseau
(adresse IP, masque, passerelle, DNS)
Figure 6 : Configuration du serveur DHCP de l’interface verte
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Il faut enfin entrer les mots de passe de l’utilisateur «root
et admin » d’IPCop. Ces mots de passe permettent de se
connecter au système et à l’interface web d’administration
d’IPCop puis appuyé sur ok pour terminer l’installation et
redémarrer la machine.
Une fois l’installation et la configuration initiale terminées,
la machine redémarre et affiche l’interface de connexion de
l’utilisateur root.
Figure 7 : Interface de connexion de l’utilisateur root
VIII-) CONFIGURATION D’IPCop
IPCop est configurable à partir d’une interface web. Dans
n’importe quelle machine du réseau vert (ou externe si cela est
autorisé dans le menu accès externe de l’onglet pare-feu),
utiliser le navigateur de votre choix et taper l’adresse d’IPCop
https://ipcop-jm:445/ ou https://192.168.10.1:445/ où ipcop-jm
représente le nom de la machine où IPCop est installé,
192.168.10.1 représente l’adresse IP de l’interface verte de la
machine IPCop et 445 le port utilisé par l’interface web
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
d’administration d’IPCop. Après avoir tapez vous obtenez
l’interface d’administration suivante
Figure 8 : Interface web de connexion des utilisateurs admin et dial
Vous devez ensuite vous connectez. Appuyer sur le bouton
connexion et mettez comme nom d’utilisateur admin et comme
mot de passe celui que vous avez validé lors de l’installation
des configurations initiales.
La page d’administration d’IPCop est divisée en sept
onglets à savoir :
• SYSTEME
• ETAT
• RESEAU
• SERVICES
• PARE-FEU
• RPVS (VPN)
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
• JOURNAUX
Pour la configuration de notre firewall IPCop nous allons
adopter les politiques suivantes :
La première politique sera de filtrer les url ceci pour
empêcher la connexion à certains sites jugés indésirables par
le simple fait que l’accès à ces sites distrait énormément le
personnel et empêche un meilleur rendement dans une
entreprise.
VIII.1-) Configuration du Proxy et du filtre d’url
La politique d’IPCop est de tout fermer en entrée et tout autoriser en sortie. Cette politique apparaît clairement dans le fichier /etc/rc.d/rc.firewall. L’administration par le navigateur nous permet d’écrire simplement et manière plus conviviale les règles dans ce fichier.
Nous allons faire le filtrage http pour cela, nous allons
utiliser l’utilitaire UrlFilter qui est une fonctionnalité
additionnelle d’IPCop. Télécharger UrlFilter dans le lien direct de
son site www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz
Copier ce fichier dans une clé USB puis monter la clé dans
la machine IPCop
#mkdir /mnt/usb
#mount /dev/sda1 /mnt/usb
Décompressez le fichier téléchargé : #tar xvzf ipcop-
urlfilter-1.9.1.tar.gz
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Placez-vous sur le répertoire ipcop-urlfilter #cd ipcop-
urlfilter
Ensuite lancez l’installation avec la commande #./install
Une fois le fichier installer, allez dans l’interface web
d’administration d’IPCop (https://ipcop:445/ ou
https://192.168.10.1:445/ ou http://192.168.10.1:81/ ), cliquez
sur Services puis sur Serveur mandataire (Proxy) vous verrez
filtre d’url qui apparaît désormais sur cette page.
Cocher les cases suivantes puis enregistrer :
Activer le Proxy sur green ;
Mode transparent green ;
Filtre d’url.
Télécharger une blacklist de l’université de Toulouse
dans le site ftp://ftp.univ.tlse1.fr/blakclists.tar.gz cette blacklist
contient un ensemble des sites indésirables. Allez maintenant
dans l’onglet services et cliquer sur filtrage d’url. Dans mise à
jour de la blacklist cliquer sur parcourir et allez chercher le
fichier contenant la blacklist téléchargée puis cliquez sur
chargez blacklist. La liste ainsi chargée est affichée plus haut ; il
suffit de cocher sur une case de la blacklist pour que son
contenu soit bloqué dans le filtre.
L’intérêt de ce type de filtrage est qu’il permet d’éviter
la connexion à certains sites tels que les sites pornographiques
les sites de jeux de musiques qui constituent une des
principales sources de perte de pour le personnel en entreprise.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Ce type de filtrage est également intéressant pour les centres
multimédias car ici seuls les url autorisées sont accessibles.
Voici un exemple du filtrage url. Lors de la configuration
d’UrlFilter, nous avons bloqué l’accès aux sites ayant dans leur
url le mot drague c'est-à-dire les sites web jugés adultes.
Tapons dans un navigateur d’une machine du réseau LAN l’url
http://www.xxl.com , ce type de site n’étant pas autorisé, notre
firewall renvoie ceci à l’utilisateur concerné :
Figure 9 : Cas pratique d’un filtrage d’url
Ce type de filtrage trouve également son intérêt dans les
centres multimédias pour empêches aux jeunes la connexion
aux sites jugés adultes.
VIII.2-) Configuration Du Service IDS
Snort est un système de détection d'intrusion open source
sur licence GNU, capable d'effectuer en temps réel des analyses
de trafic sur un réseau IP. Il peut effectuer des analyses de
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
protocole, recherche/correspondance de contenu et peut être
utilisé pour détecter une grande variété d'attaques. Ce service
est important car permet de repérer et de retracer toutes
tentatives de connexion non autorisées au réseau vert.
Ce système est par défaut installé dans IPCop et est
désactivé par défaut. Pour utiliser ce service, vous devez
d’abord vous inscrire dans le site officiel de Snort :
www.snort.org . L’inscription à ce site vous permet d’acquérir le
code Oink nécessaire pour activer le service IDS d’IPCop. Ce
code est constitué de 40 caractères alphanumériques.
Figure 10 : Configuration du service IDS
Une fois le service installé, il est désormais possible de
repérer à chaque fois via le journal des IDS de retrouver
l’identité des machines qui ont essayé de se connecter à votre
réseau.
VIII.3-) Installation et configuration de CopFilter
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
CopFilter est une fonctionnalité additionnelle qui permet à
IPCop de disposer d’une solution antivirus (ClamAV, AVG (Anti-
Virus Guard), F-Prot). Ceci permet de scanner en temps réel
tous les paquets transitant d’un réseau à l’autre à la recherche
d’éventuels virus.
L’installation de CopFilter nécessite le téléchargement du
fichier dans le lien direct du site http://www.worm-
fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz . Nous
allons la version 0.84beta3a de CopFilter.
Après avoir téléchargé le fichier, il faut le transférer dans
la machine IPCop soit à de la commande SCP en utilisant le
protocole SSH, soit à l’aide mémoire flash. Il faut ensuite
décompresser le fichier en utilisant la commande #tar xvzf
copfilter-0.84beta3a.tgz ensuite se positionner sur le
répertoire contenant le fichier #cd copfilter-0.84beta3a et
exécuter la commande #./install pour lancer l’installation.
Pour désinstaller CopFilter, se placer dans le répertoire #cd
/var/log/copfilter/0.84beta3a et exécuter la commande
#./setup_util –u
Une fois fichier installer l’onglet CopFilter s’ajoute
automatiquement dans l’interface web d’administration
d’IPCop.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 11 : Configuration de CopFilter
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
VIII.4-) Gestion de trafic
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
CONCLUSION
Notre stage académique à ITGStore-Consulting a été très enrichissant, nous avons mis en place une politique de firewalling grâce à la distribution IPCop. Cette politique implémentée a l’avantage qu’elle peut être déployée et adaptée à n’importe qu’elle structure au regard des fonctionnalités qu’offre IPCop. Car la distribution IPCop utilisée pour son implémentation est financièrement accessible à n’importe quelle structure.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
WEBOGRAPHIE
www.ipcop.org
www.snort.org
http://fr.wikipedia.org/wiki/IPCop
http://www.pcinpact.com/forum/index.php?showtopic=78177
www.urlfilter.org
www.copfilter.org
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html
http://forum.rue-montgallet.com/ruemontgallet/OSalternatifs/installation-ipcop-urlfilter-sujet_21419_1.htm
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51