45194597-Ipcop-Final-v1-1

Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting

REMERCIEMENTS

L’aboutissement de ce travail s’est fait grâce au concours

de plusieurs personnes que je voudrais remercier :

L’éternel DIEU tout puissant pour, la force et le courage ;

Monsieur ABANDA Armand Claude chef d’établissement de

l’IAI-Cameroun et son personnel pour le cadre et

l’enseignement ;

Monsieur FOPA Gabriel Directeur Général d’ITGStore-

Consulting qui a bien voulu nous recevoir dans sa structure ;

Monsieur TAKOUFET Sylvain responsable de la plate-forme

de développement des projets pour son soutien et ses conseils ;

Monsieur MOLO Athanase mon superviseur à l’IAI-

Cameroun pour ses conseils et orientations ;

Monsieur CHAKODE Rodrigue mon maître de stage pour le

suivi, ses conseils et sa disponibilité ;

Ma famille pour le soutien moral et financier ;

L’ensemble du personnel d’ITGStore-Consulting pour leurs

conseils ;

Tous ceux qui de près ou de loin ont contribué au

déroulement de mon stage.

A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u nPage 51


SOMMAIRE

REMERCIEMENTS .......................................................... 1

INTRODUCTION GENERALE ............................................ 4

................................................................................... 6

I-) INSERTION ................................................................... 6

II-) PRESENTATION d’ITGStore ........................................... 8

III-) DESCRIPTION .............................................................. 9

IV-) ACTIVITES ................................................................ 10

IV.1-) La supervision ................................................ 10

IV.2-) Le stockage, PRAS .......................................... 11

IV.3-) La gestion des performances ......................... 11

IV.4-) Mise en œuvre d’infrastructure Internet et Intranet .................................................................... 11

IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux .................... 12



IV.6-) Mise en œuvre d’infrastructure de NOC ......... 12

V-) RESSOURCES INFORMATIQUES D’ITGStore .................. 12

V.1-) Ressources matérielles ................................... 12

V.2-) Ressources logicielles ..................................... 14

VI-) CONCLUSION ............................................................ 15

................................................................................. 16

II-) GENERALITE SUR LES PARE-FEUX ............................... 19

III-) FONCTIONNEMENT D’UN FIREWALL ........................... 19

III.1-) Catégories de firewall .................................... 21

III.2-) Types d’implémentations ............................... 22

IV-) PRESENTATION D’IPCop ............................................ 23

IV.1-) Définition d’IPCop ........................................... 23

IV.2-) Description ..................................................... 24

V-) ETUDE DES FONCTIONNALITES D’IPCop ...................... 36

V.1-) Filtrage du réseau par iptables ....................... 36

V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux : ............................................................. 41

V.3-) Prise en charge des serveurs DHCP, DNS, … . . 42

V.4-) Administration de la machine par une interface web sécurisée ......................................................... 42

V.5-) Détection des intrusions avec Snort ............... 42

V.6-) Gestion des réseaux privés virtuels (VPN) ..... 43

VI-) CAHIER DES CHARGES ............................................... 43

VII-) INSTALLATION D’IPCop ............................................ 44



VIII-) CONFIGURATION D’IPCop ........................................ 51

VIII.1-) Configuration du Proxy et du filtre d’url ...... 53

VIII.2-) Configuration Du Service IDS ....................... 55

VIII.3-) Installation et configuration de CopFilter ..... 56

VIII.4-) Gestion de trafic ........................................... 59

CONCLUSION ............................................................. 60

WEBOGRAPHIE ........................................................... 61

INTRODUCTION GENERALE

Dans le cadre de la formation de ses ingénieurs des

travaux en maintenance micro-informatique et réseaux, l’IAI-

Cameroun préconise un stage académique d’une durée de trois

mois dans une entreprise pour les étudiants de troisième

année. Ce stage ayant pour but de :

• Garantir la mise en pratique des connaissances acquises au cours de l’année ;



• Favoriser l’insertion rapide de ses étudiants dans le monde professionnel ;

• Garantir des cadres informaticiens compétents et excellents.

Dans cet esprit d’excellence, ITGStore-Consulting qui est

une société des services en ingénierie informatique (SSII)

nouvellement implantée au Cameroun a bien voulu nous

accueillir. Durant la période que j’ai eu à passé dans cette

structure, j’ai eu pour mission d’implémenter une politique de

firewalling grâce à la distribution linux IPCop.

Pour mener à bien ce projet, j’ai été encadré par Monsieur

CHAKODE Rodrigue, Ingénieur Systèmes à ITGStore et Monsieur

MOLO NGAH Athanase, Instructeur Cisco et Enseignant à l’IAI-

Cameroun.

Le présent rapport se décompose en plusieurs parties qui

détailleront la réalisation de ce projet dans ces différentes

étapes. Nous présenterons d’abord la structure d’accueil à

savoir ITGStore-Consulting ; nous parlerons ensuite des

généralités d’un firewall ; puis de l’étude du cas particulier

d’IPCop avec quelques politiques de sécurité que nous avons

mis en œuvre.



I-) INSERTION



Notre admission en stage à ITGStore-Consulting a eu lieu

le Lundi 25 Août 2008. Notre stage commence ce jour là par la

réunion d’évaluation du travail de la semaine précédente entre

le responsable de la plate-forme des projets et le personnel.

Dans la circonstance, nous sommes présentés aux personnels

par le responsable de la plate-forme de projet où nous sommes

chaleureusement accueillis. Au cours de cette réunion, nous

sommes interrogés sur les formations à l’IAI-Cameroun et sur

nos prospectives. Ce sont des réponses données à ce dernier

point, en rapprochement avec les objectifs d’ITGStore qui est

amené à proposer des solutions y afférant à ses clients qui ont

servi d’orientation pour le choix des thèmes attribués à chacun

de nous.



II-) PRESENTATION d’ITGStore

ITGStore est SSII (Société de Services d’Ingénierie

Informatique) au capital 15000000FCFA. Basée en région

parisienne, avec depuis 2006 une agence à Douala (Cameroun),

ITGStore est identifiable par cette fiche signalétique.

Fiche D’identification D’ITGStore-Consulting

RAISON SOCIALE: ITGStore-Consulting

SIGLE: ITGStore

ADRESSE : B.P : 820 Douala

TEL. : (237)33436361

TELEFAX : (237)33436363 Douala

FORME JURIDIQUE : SARL

SIEGE : Immeuble Kadji Akwa-Douala

CAPITAL SOCIAL : 15000000 FCFA

ACTIVITES : Supervision, Stockage, PRAS, Gestion des

performances, Mise en œuvre d’infrastructure Intranet et

Internet, Etude et mise en œuvre d’infrastructure réseau

intégrant les PABX et serveurs vocaux, Mise en œuvre

d’infrastructure de NOC.

DIRECTEUR GENERAL : FOPA Gabriel



LOGO :

ITGStore-Consulting est une jeune entreprise en terre

camerounaise qui depuis son implantation en 2006 s’impose

parmi les leaders de la ville de Douala dans son domaine

d’activité. L’Equipe Technique de la structure compte des

Ingénieurs issus des universités et des grandes écoles

supérieures du Cameroun. Les bureaux d’ITGStore sont situés

au rez de chaussée de l’immeuble Kadji à Akwa-Douala

III-) DESCRIPTION

ITGStore-Consulting est constituée :

D’une direction générale dont le bureau est situé en

France et ayant à sa tête un Directeur Général en la personne

de Monsieur FOPA Gabriel ;

Ensuite on a un responsable des projets qui est

responsable de la coordination de la plate-forme des projets de

la structure au niveau du Cameroun.

Enfin on a le service de la comptabilité qui est géré par un

cabinet d’expert comptable, le service marketing et l’équipe

technique. Il est à noter qu’à ITGStore-Consulting, tout

ingénieur peut être amené à gérer un projet.



IV-) ACTIVITES

Les principaux métiers d’ITGStore-Consulting sont :

IV.1-) La supervision

La supervision est une solution qui permet d’établir à

chaque instant l’état (fonctionnel ou non) d’un composant

technique, d’un logiciel, d’un serveur ou d’un équipement

réseau.

ITGStore-Consulting s’appuie sur des experts

expérimentés dans le domaine de la supervision, pour proposer

à ses clients une collaboration dans le conseil, l’étude du

besoin, les spécifications et la mise en œuvre des solutions

techniques à la dimension des entreprises.



ITGStore-Consulting met à la disposition des entreprise des

experts qui sont intervenus ou interviennent comme acteurs

majeurs au sein de projet de supervision (construction de NOC)

dans des entreprises telles que : France Télécom, Orange,

Lucent Technologie…

IV.2-) Le stockage, PRAS

ITGStore met à la disposition des entreprises des solutions

avancées de sauvegarde et des outils de restauration très

performants

IV.3-) La gestion des performances

ITGStore-Consulting met à la disposition des entreprises

des experts expérimentés pour l’étude, les spécifications, le

choix des indicateurs de performance et la mise en œuvre de

solutions appropriées au profil de l’entreprise.

IV.4-) Mise en œuvre d’infrastructure Internet et Intranet

ITGStore-Consulting définit et valide avec des entreprises

intéressées la stratégie Internet la plus adaptée à leurs besoins.



La structure vous accompagne également dans le choix des

solutions à mettre en œuvre ainsi que les processus de

déploiement.

IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux

L’infrastructure de communication téléphonique,

représente une vitrine clé de l’entreprise.

ITGStore-Consulting vous accompagne dans la définition,

des spécifications, les choix et la mise en œuvre des

infrastructures internes de télécoms, intégrant le câblage, le

PABX, les serveurs vocaux. Pour cela, ITGStore s’appuie sur une

expérience confirmée et des systèmes techniques ajustés aux

besoins de l’entreprise.

IV.6-) Mise en œuvre d’infrastructure de NOC

V-) RESSOURCES INFORMATIQUES D’ITGStore

Le parc informatique d’ITGStore est constitué des éléments

suivants :

V.1-) Ressources matérielles

Imprimantes :



Une imprimante HP broder NC-6200h trois en un qui en

plus des impressions peut scanner et être utilisée pour envoyer

des fax.

Ordinateurs :

A ITGStore nous avons deux types d’ordinateurs à savoir :

Serveurs dont les caractéristiques sont des Pentium IV

3GHz 1Go de RAM parmi lesquels :

La marque SUN ;

La marque HP ;

La marque Dell ;

Des clones ;

La marque LG.

Des postes de travail (des postes fixes et des Laptops)

Equipements réseaux :

Trois Hub NetGear de 05 ports chacun ;

Un Switch Cisco 2948G-L3 ;

Un modem routeur ADSL ;

Autres équipements :

Le NAS NetGear (équipement de stockage);

Des onduleurs et des parasurtenseurs.



V.2-) Ressources logicielles

Systèmes d’exploitation :

Les différents systèmes d’exploitation utilisés à ITGStore-

Consulting sont :

Distributions Linux : Suse 10, Solaris 8 et 10, Fedora 5 et

6 ;

Windows: XP SP1et SP2, server 2003.

Applications :

MS Office 2003 et 2007

Antivirus: Avast 5.7, Mcafee 8.0;



VI-) CONCLUSION

L’insertion à ITGStore-Consulting a été très facile

notamment avec la présence dans cette structure des anciens

étudiants de l’IAI-Cameroun, son personnel très jeune et

attentif. La phase qui suit nous présente la réalisation de notre

projet à savoir l’implémentation d’une politique de firewalling

grâce à IPCop.







I-) INTRODUCTION

La sécurité d’un système est le niveau de garantie que

donne ce système pendant son état optimal de fonctionnement.

Que se soit pour des réseaux personnels ou d’entreprises, la

sécurité informatique permet d’empêcher :

► La divulgation non autorisée des données ;

► La modification non autorisée des données ;

► L’utilisation non autorisée des ressources réseaux ou du

système informatique de façon générale.

Cela est d’autant plus strict lorsque les équipements

informatiques sont connectés à Internet ou à un autre réseau

avec des connexions types câbles ou ADSL. Ces règles sont

mises en place grâce à des systèmes de protection tels que :

des pare-feux, des IDS, des antivirus, des anti-spam, des anti-

spywares.

Terminologie :

Le pare-feu (ou firewall en Anglais) est un dispositif

(élément logiciel et/ou matériel) reliant deux réseaux et filtrant

les données échangées par ceux-ci pour assurer leur sécurité.

IDS (Intrusion Detection System)

Problématique

De plus en plus les entreprises gèrent des données

importantes stockées dans des serveurs; et pour garantir la



sécurité de ces données et matériels, il faut mettre sur pied des

mécanismes permettant en temps réel le contrôle des accès, la

gestion du trafic et le filtrage des informations qui transitent.

D’où la nécessité d’installer un firewall tel IPCop.

II-) GENERALITE SUR LES PARE-FEUX

A l’origine le terme pare-feu est employé dans les théâtres

pour designer un mécanisme permettant au feu de ne pas se

propager de la salle de théâtre vers la scène.

Le pare-feu est donc utilisé en informatique pour designer

une porte empêchant aux ménaces d’un réseau externe de se

propager dans votre réseau informatique interne.

III-) FONCTIONNEMENT D’UN FIREWALL

Un firewall a pour principale fonction de contrôler le trafic

entre les différents réseaux, en filtrant les flux de données qui

transitent dans ces réseaux (Internet (zone non contrôlée) et le

réseau interne (zone très importante)). Plus précisément, un

firewall est chargé de filtrer :

• L’origine ou la destination des paquets (adresse IP,

interfaces réseau, etc.)

• Les utilisateurs

• Les données et les options contenues dans ces données



Les pare-feux récents embarquent des fonctionnalités

suivantes :

• Filtrage sur adresses IP/Protocole,

• Inspection à l’état et applicative,

• Intelligence artificielle pour détecter le trafic anormal,

• Filtrage applicatif

o HTTP (restriction des URL accessibles),

o Courriel

o Logiciel d’antivirus, anti-logiciel malveillant

• Translation d’adresse,

• Tunnels IPSec, PPTP, L2TP,

• Identification des connexions,

• Serveurs de protocoles de connexion (Telnet, SSH), de

protocoles de transfert de fichier (SCP),

• Clients de protocoles de transfert de fichier (TFTP),

• Serveur Web pour offrir une interface de configuration

agréable,

• Serveur mandataire (« Proxy » en anglais),

• Système de détection d’intrusion (« IDS » en anglais)

• Système de prévention d’intrusion (« IPS » en anglais)

Le schéma ci-dessous illustre le fonctionnement d’un

firewall



Figure 1 : Schéma de fonctionnement d’un firewall

III.1-) Catégories de firewall

Les équipements (ou les logiciels) de sécurité à l’instar des

firewalls connaissent de nombreuses évolutions. C’est ainsi que

suivant la génération de pare-feu ou de son rôle on peut citer :

1) Pare-feu sans états (stateless firewall : ici le pare-feu

compare chaque paquet à une liste de règles

préconfigurées)

2) Pare-feu à états (stateful firewall : le pare-feu vérifie

que chaque paquet d’une connexion est bien la suite

du paquet précédent)



3) Pare-feu applicatif (ici le pare-feu vérifie la conformité

d’un paquet à un protocole attendu. Exemple

s’assurer que seul du http passe par le port 80)

4) Pare-feu identifiant (ici le pare-feu réalise

l’identification des connexions à travers le filtre IP)

5) Pare-feu personnel (permet de lutter contre les virus

et les logiciels espions)

III.2-) Types d’implémentations

Il existe trois types d’implémentation de firewall parmi

lesquelles :

Versions libres

• Linux Netfilter/IPtables, pare-feu libre des noyaux Linux

2.4 et 2.6.

• Linux IPchains, pare-feu libre du noyau Linux 2.2.

• Packet Filter ou PF, pare-feu libre d’OpenBSD (système

d’exploitation libre de type Unix, dérivé de 4.4BSD)

importé depuis sur les autres BSD.

• IPFilter ou IPF, pare-feu libre de BSD (Berkeley Software

Distribution : famille de systèmes d’exploitation Unix,

développés à l’université de Berkeley) et Solaris10.

• IPfirewall ou IPFW, pare-feu libre de FreeBSD.

• NuFW Pare-feu identifiant sous Licence GPL pour la partie

serveur et les clients Linux, FreeBSD et Mac OS. NuFW est

basé sur Netfilter et en augmente les fonctionnalités.

• iSafer, pare-feu libre pour Windows.



Versions propriétaires

• les boîtiers pare-feu : juniper

Distributions Linux

• SmoothWall : distribution linux packageant Netfilter et

d'autres outils de sécurité pour transformer un PC en pare-

feu dédié et complet.

• IPCop : distribution linux packageant Netfilter et d'autres

outils de sécurité pour transformer un PC en pare-feu

dédié et complet.

• Endian Firewall : distribution linux packageant Netfilter

et d'autres outils de sécurité pour transformer un PC en

pare-feu dédié et complet.

• Pfsense : distribution firewall open source très avancée

basée sur FreeBSD et dérivée de m0n0wall qui utilise en

autre OpenBSD packet Filter.

IV-) PRESENTATION D’IPCop

IV.1-) Définition d’IPCop

IPCop (policier des IP) est un projet Open Source dont le

but est d’obtenir une distribution Linux qui permet de faire le

firewalling.

IPCop a été crée en réponse à plusieurs besoins. Le

premier d’entre eux était le besoin d’une protection sûre et

efficace de nos réseaux personnels et d’entreprises.



Lorsque le projet IPCop a été lancé en 2001, il existait déjà

d’autres pare-feu. L’équipe de projet d’IPCop avait décidé de

partir du code de base d’un pare-feu sous GPL. L’objectif était

de remanier ce code pour se mettre à l’écoute des attentes des

utilisateurs. Parmi ces attentes se trouvait celle de laisser à

chaque utilisateur la possibilité de créer son propre IPCop, celle

de proposer et d’ajouter des améliorations et celle d’apprendre

grâce au travail des autres. A ce jour plusieurs révisions d’IPCop

ont été publiées, et plusieurs fonctionnalités ont été ajoutées :

la possibilité d’organiser le parc en quatre catégories de

réseaux, la détection d’intrusion sur tout le réseau et la

configuration à partir d’une interface web n’en sont que

quelques exemples.

IPCop est basée sur Linux From Scratch (projet visant à

préciser toutes étapes nécessaires à la création de son propre

système Linux. LFS a pour objectif de vous guider à travers

l'installation d'un système de base comportant le maximum

d'éléments de sécurisation.), destiné à assurer la sécurité d’un

réseau.

C’est un système d’exploitation à part entière qui peut

être installé sur un PC (dont les caractéristiques minimales sont

les suivantes : CPU =233MHz, RAM= 64Mo, HDD=800Mo) pour

faire office de firewall très performant

IV.2-) Description



L’interface d’administration d’IPCop est composée de sept

onglets (huit si on installe CopFilter). Ces onglets font

références aux différentes possibilités d’administration offertes

par IPCop.

IV.2.1-) Onglet SYSTEME

L’onglet système regroupe tout ce qui concerne le système

en lui-même à savoir : la vérification et l’installation des mises à

jour, la modification des mots de passe, les sauvegardes,

l’activation de l’accès SSH, …

Accueil :

C’est la première page qui s’affiche lorsque l’on tape

l’adresse de l’interface web d’administration d'IPCop dans le

navigateur. Sur cette page il vous est possible de couper tout le

trafic passant par IPCop via le bouton Déconnexion (la

connexion s’établit de manière automatique lors du démarrage

du serveur), mais également de consulter le temps depuis

lequel la connexion est établie.

Mises à jour :

Des mises à jour sont mensuelles pour le système, apportant

de nouvelles options ou des corrections de bugs. Les mises à

jour s’installent simplement : il suffit de cliquer sur détail, de



télécharger le fichier, puis d’uploader ce fichier sur le serveur

via le bouton parcourir et chargement de la page.

Mots de passe :

Les mots de passes admin (pour l’accès à l’interface web) et

dial (utilisateur seulement autorisé a connecter ou déconnecter

la connexion par modem) peuvent être modifiés sur cette page.

Ces mots de passes doivent contenir au moins 6 caractères

(plus conseillés). Le mot de passe admin peut également être

modifié via la commande setup en SSH (qui permet par ailleurs

de modifier le mot de passe root).

Accès SSH :

L’accès SSH n’est pas activé par défaut, et peut ne pas l’être

si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA et

DSA, elles sont cryptées sur 1024 bits. Il est possible de refuser

le transfert SCP, empêchant ainsi de copier des fichiers sur

IPCop avec WinSCP (par exemple). D’autres options relatives à

la version du client SSH utilisé et à l’authentification par mot de

passe et clés publiques sont prises en comptes.

Interface graphique :

L’interface graphique d’IPCop permet de choisir d’afficher le

nom de la machine dans la barre de titre du navigateur, de

rafraîchir automatiquement la page d’accueil, de sélectionner la



langue pour votre page d’administration et de restaurer les

paramètres par défaut.

Sauvegarde :

Comme tout système informatique, les pannes matérielles ou

logicielles sont rares mais existent. Avec IPCop il est possible de

réaliser deux types de sauvegardes : une sur la machine et une

sur disquette.

Les sauvegardes sur machine sont à considérer comme des

points de restauration qui permettent de revenir à une

configuration antérieure suite à une modification non

satisfaisante. On peut également sauvegarder la dernière date

sur l’ordinateur local et la restaurer à l’aide des boutons

parcourir et importer.

Les sauvegardes réalisées sur disquettes sont utiles en cas

de panne sévère. En effet ; si vous devez réinstaller le système,

cette disquette de sauvegarde vous sera demandée pendant

l’installation pour restaurer les configurations.

Arrêter :

Il est possible depuis la version 1.4.10 de redémarrer ou

d’arrêter IPCop a distance à l’aide des boutons correspondants

ou tout simplement planifier ces tâches.

Crédits :



IPCop est un projet Open Source sous licence GNU ; toute

une communauté de développeurs se charge de maintenir et

d’optimiser ce projet. Il est par conséquent normal que le nom

de ces personnes apparaisse sur IPCop. Cette liste est lisible

dans cette section. Par ailleurs, les adresses mails de ces

personnes figurent si vous aviez besoin de les contacter pour

faire avancer le projet.

IV.2.2-) Onglet ETAT

Les menus de l’onglet Etat sont tous à titre informatif. Cet

onglet regroupe les résumés de l’état système ainsi que des

outils de surveillance graphique : services actifs, utilisation de

mémoire, du processeur, du disque dur … etc.

Etat du système :

Ce menu permet de consulter l’activité du système. Les

services du système sont listés avec leur état. Ici on peut voir

quel utilisateur est connecté à IPCop, ce qu’il fait, depuis

combien de temps est ce qu’il est connecté. Il permet

également d’avoir des informations sur la version du noyau

utilisé.

Etat du réseau :

Ici on a les résultats de la configuration des interfaces des

réseaux. Pour chaque interface on l’adresse MAC de la carte

réseau utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de

la MTU (Maximum Transmission Unit) qui est taille maximale



(en octets) du paquet pouvant être transmis en une seule fois,

l’état du transfert des paquets, les entrées de la table de

routage, ainsi que la table ARP.

Graphiques systèmes :

Les graphiques systèmes sont très utiles pour évaluer

l’utilisation des ressources matérielles (processeur, mémoire,

swap et accès disque), mais permettent également d’identifier

les pics de sollicitation des ressources par plage horaire.

Courbes de trafic :

Elles représentent le niveau de sollicitation de la bande

passante par rapport au temps. Tout comme les graphiques

systèmes, lorsque vous cliquez sur un graphique (courbe), vous

obtenez une vue dans une autre unité de temps.

Connexion :

C’est un tableau qui permet en temps réel de suivre les

communications entre IPCop et les éléments qui l’entourent.

Les adresses IP, les ports utilisés et d’autres informations utiles

y sont répertoriés (protocoles, bail, zone, etc.…).

IV.2.3-) Onglet RESEAU

Les menus de cet onglet seront utiles dans le cas de

l’utilisation de l’interface rouge avec une connexion par

modem. En effet, si on utilise une carte réseau pour l’interface

rouge cet onglet ne sera d’aucune utilité.



Connexion :

Dans ce menu on va pouvoir définir nos paramètres de

connexion Internet avec nos identifiants. Ces informations sont

en général fournies par le fournisseur d’accès Internet (FAI).

Toutes ces informations (identifiants, modem, serveur DNS,

…) peuvent être sauvegardées dans 5 profils, vous permettant

ainsi de vous connecter avec différents abonnements.

D’autres options permettent d’affiner un peu plus les

paramètres de base, comme par exemple la possibilité de se

déconnecter au bout d’un certain délai d’inactivité et de se

reconnecter automatiquement.

Chargement :

Par défaut IPCop reconnaît beaucoup de modems, mais en

cas de problème de détection avec le votre, il est possible de

récupérer le driver Fritz!DSL de celui-ci.

Modem :

Il est possible de personnaliser les réglages propres à la

connexion du modem au travers de ce menu. Attention ceci est

réservé à un public averti ! En cas de mauvaise manipulation,

vous pourrez remettre les paramètres par défaut.

Alias :

Dans le cas où votre FAI vous a fournit une plage d’adresses

IP publiques, vous pourrez créer des alias pour que les adresses

de cette plage soient distribuées sur l’interface rouge : dans le



menu «Etat du réseau» votre interface rouge aura ainsi

plusieurs adresses IP (utile dans le cas des serveurs web et ftp).

IV.2.4-) Onglet SERVICES

Cet onglet permet de visualiser l’ensemble des services

en actifs et serveurs installés dans IPCop. Parmi ces services et

serveurs on peut citer :

Serveur Mandataire (Proxy) :

Un serveur Proxy consiste principalement à aller chercher les

pages que les utilisateurs consultent et à les stocker dans un

cache afin des les afficher plus rapidement lors de la prochaine

visite de celles-ci.

Serveur DHCP :

Un serveur DHCP (Dynamic Host Configuration Protocol) permet

d'allouer une configuration IP (Adresse, Passerelle, Serveurs

DNS) à une interface réseau de façon automatique.

DNS Dynamiques :

Un serveur DNS est un serveur qui associe un nom de

domaine à une adresse IP, un DNS Dynamique joue le même

rôle mais pour des adresses IP non fixes.

Hôtes statiques :



Dans le cas où on dispose de serveurs ou de machines

nécessitant d'avoir toujours la même adresse (publique ou

privée) ceci vous permettra de leur réserver et de leur définir

une adresse fixe.

Serveur de temps :

Un serveur de temps diffuse l'heure et la date à tous les

ordinateurs d'un réseau. On pourra ici se synchroniser à partir

d’Internet ou synchroniser les réseaux des interfaces d’IPCop.

Lissage du trafic (Shapping) :

Le lissage de trafic permet de limiter le trafic alloué à un

protocole, il s'agit en quelque sorte de la gestion de la bande

passante.

Détection d’intrusion (IDS):

S'appuyant sur les règles de Snort, qui est un système de

détection d'intrusion open source, capable d'effectuer en temps

réel des analyses de trafic et de logger les paquets sur un

réseau IP. Il peut effectuer des analyses de protocole,

recherche/correspondance de contenu et peut être utilisé pour

détecter une grande variété d'attaques

IV.2.5-) Onglet PARE-FEU

Comme pour tout bon firewall, il est possible de désactiver le

Ping et d’ouvrir des ports pour laisser passer des applications

ou même de rediriger ceux-ci. Il comprend des menus tels que :



Transferts de ports :

Il s’agit là du Port Address Translation (PAT, parfois aussi

nommé Port Forwarding), qui permet de rediriger le flux

arrivant sur un port d’IPCop vers un port d’une machine faisant

partie d’une des zones d’IPCop. Exemple : Un serveur web se

trouve derrière l’interface verte d’IPCop. Il vous faut donc

rediriger les requêtes HTTP que reçoit votre IPCop vers ce

serveur. Il faut donc choisir les protocoles utilisés par http (ici

TCP, il faudra donc créer une règle pour ce protocole) et

rediriger les paquets vers l’adresse IP de votre serveur web

(192.168.1.250 par exemple) sur le port HTTP (80 par défaut,

8080 parfois).

Accès externes :

Ce menu permet d’accorder des autorisations à certaines des

machines du réseau externe de se connecter à certains ports

bien précis.

Vous pouvez ouvrir des "brèches" dans le firewall pour ouvrir

complètement un accès au réseau sur un port, c'est-à-dire que

les ports choisis seront complètements ouverts, ceci peut être

utile pour autoriser l’accès à l’interface de configuration ou

l’accès en SSH à IPCop depuis la zone rouge (Internet par

exemple). Pour sécuriser un petit peu l'ouverture complète de

ces ports, on pourra spécifier quelles adresses IP sont

autorisées à les utiliser (dans le cas d’un serveur FTP dont on

connaît les clients par exemple, ou l’adresse IP de

l’administrateur distant).



Options du firewall :

Dans ce menu on a la possibilité de choisir quelle interface

répondra ou non au Ping. On désactivera le Ping pour des

raisons de sécurité si on le souhaite (ce qui permet tout de

même d’éviter certaines attaques).

IV.2.6-) Onglet RPV (VPN)

L’onglet RPVs ne contient qu’un seul menu du même nom.

Vous aurez remarqué que les différents onglets sont relatifs à

des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en

anglais pour Virtual Private Network) étant un domaine

complètement à part au regard des autres catégories

proposées par IPCop. Un VPN consiste à utiliser ce que l’on

appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,

…) pour relier deux réseaux physiques en utilisant un réseau

non sécurisé, mais fiable, la finalité étant que ces deux réseaux

distincts ne forment plus qu’un seul et même réseau en

transitant par Internet.

IV.2.7-) Onglet JOURNAUX

Cet onglet permet d’obtenir un suivi des évènements à

travers des journaux (ou logs). Il est indispensable pour

détecter les causes des problèmes, qu’il s’agisse du pare-feu,



du noyau du système, ou encore des adresses bloquées par le

filtreur d'url.

Configuration des journaux :

Il est possible via ce menu de paramétrer le type de

classement (ordre chronologique ou non), le nombre de lignes

par page, la durée pendant laquelle les résumés des journaux

seront conservés ainsi que leur niveau de détail. Il est par

ailleurs possible d’enregistrer ces journaux sur un serveur

distant (serveur syslog).

Résumé des journaux :

Il permet de faire un rapide bilan sur les activités du serveur

web (pour l’interface d’administration), le pare-feu et l’espace

disponible sur les partitions montées.

Journaux pare-feu :

Ce log affiche toutes les connexions établies en direction

d’IPCop. Les évènements sont organisés par date, différentes

informations relatives à la communication sont ensuite

disponibles sous forme d’un tableau :

Heur

e

Chaîn

e

Interfac

e

Protocol

e

IP

sourc

e

Port

sourc

e

Adress

e MAC

IP

destinatio

n

Port

destinat

ion

Journaux IDS :



Les journaux du Système de Détection d’Intrusion (Intrusion

Detection System en anglais, d’où IDS) sont relatifs au service

de Détection d’Intrusion d’IPCop qui agit en fonction des règles

Snort. Dans ces journaux, les attaques sont également

recensées sous forme de tableaux. Elles sont triées par date,

une priorité est affectée en fonction du type de menace

identifié, le nom de celle-ci, son type et l’adresse source de

l’attaque.

Journaux systèmes :

A chaque fois qu’une modification est effectuée (via

l’interface web ou non) ou qu’un évènement arrive (arrêt du

système ou d’un service, redémarrage d’une interface réseau,

…) cela enregistré dans ce journal.

V-) ETUDE DES FONCTIONNALITES D’IPCop

IPCop admet des fonctionnalités suivantes :

V.1-) Filtrage du réseau par iptables

Depuis la version 2.4, Linux contient un module destiné au

filtrage réseau, Netfilter. Il se configure au moyen d'un outil

appelé iptables.

Le filtrage réseau consiste à faire un examen des paquets

réseaux et à prendre des décisions sur le traitement à leurs

appliquer. C'est ce que fait un firewall. Avec un système



GNU/Linux, pour configurer des règles de pare-feu, il faudra

donc simplement utiliser Netfilter à l'aide d'iptables. L’avantage

avec IPCop ici est qu’on a plus besoin de taper les commandes

car ses règles peuvent être configurées via l’interface web

d’administration d’IPCop. Ce pendant pour configuration en

mode commande, il est bon de savoir comment ça fonctionne.

Netfilter est un pare-feu complet fonctionnant sous Linux

(noyaux 2.4 et 2.6), il remplace ipchains qui fonctionnait sur les

noyaux 2.2.

Les chaînes (ensemble de règles appliquées aux paquets) de

Netfilter sont reparties dans 3 tables :

a)Filter : c'est la table par défaut, elle filtre les 3 trafics

principaux.

C'est la table par défaut lorsqu'on ne spécifie aucune table.

Elle contient toutes les règles de filtrage :

• INPUT : pour les paquets entrants.

• OUPUT : pour les paquets sortants.

• FORWARD : pour les paquets traversants le firewall.

Lorsqu'un paquet correspond au motif de reconnaissance

d'une règle arrive, une décision est prise.

• ACCEPT : Permet d'accepter un paquet si la règle est

vérifiée.

• REJECT : Dans cet attribut, on peut indiquer quel

type de message ICMP sera envoyé vers la machine



dont le paquet est rejeté. A la suite de l’option, on

peut trouver :

icmp-net-unreachable (réseau inaccessible),

icmp-host-unreachable (machine inaccessible),

icmp-port-unreachable (port inaccessible), icmp-

proto-unreachable (protocole inaccessible), icmp-

net-prohibited (réseau interdit), icmp-host-

prohibited (machine interdite). Si le type de

protocole est tcp, on peut trouver tcp-reset qui

indique qu’il faudra envoyer un paquet RST qui

permet de fermer une connexion.

• DROP : Permet de rejeter le paquet sans retour

d'erreur à l'expéditeur si la règle est vérifiée.

• LOG : Permet de loguer le passage du paquet si la

règle est vérifiée.

Voici quelques exemples de règles iptables :

> iptables -t filter -A INPUT -s 192.168.1.110 -jump

DROP cela signifie que tout ce vient de l’adresse

192.168.1.110 est rejeté

> iptables -t filter -A INPUT --protocol tcp

--destination-port 80 --jump ACCEPT cela signifie de

laisser passer le trafic TCP entrant sur le port 80

b)NAT : table dédiée à la redirection de paquets.

Cette table est utilisée pour la translation d'adresse ou de port.



Il y a 2 types de chaînes :

• PREROUTING : paquets entrants sur le firewall.

• POSTROUTING : paquets sortants du firewall.

Les cibles pour NAT sont :

MASQUERADE (uniquement POSTROUTING)

La passerelle (la machine où est installée iptables) transforme

les paquets sortants pour donner l'illusion qu'ils sortent de

celle-ci par un port alloué dynamiquement ; lorsque la

passerelle reçoit une réponse (d'Internet par exemple) sur ce

port, elle utilise une table de correspondance entre le port et

les machines du réseau local qu'elle gère pour lui faire suivre le

paquet.

DNAT (uniquement PREROUTING) : Permet de modifier

l'adresse de destination du paquet.

--to-destination : Utiliser avec la cible DNAT, permet de spécifier

l'adresse de destination de la translation.

SNAT (uniquement POSTOUTING) : Permet de modifier

l'adresse source du paquet.

--to-source : Utiliser avec la cible SNAT, permet de spécifier

l'adresse source de la translation.

c) Mangle : table utilisée pour les services réseaux

additionnels (Elle sert à modifier les en-têtes des paquets.

pour permettre à d'autres applications de les reconnaître.).



Netfilter fonctionne au niveau du noyau, pour l'administrer,

iptables est utilisé.

Iptables est l'outil qui est fourni à l'administrateur pour agir

sur tous les concepts de règles de filtrage.

La première option à connaître est -t qui permet de spécifier

le nom de la table sur laquelle portera les autres paramètres. Si

cette option n'est pas spécifiée, ce sera par défaut la table

filter.

On peut aussi demander à iptables de charger un module

particulier avec l'option -m. Ce module peut ajouter de

nouvelles tables ou de nouvelles manières de tester les

paquets.

Il faut ensuite indiquer une commande pour dire par exemple

qu'une nouvelle règle doit être ajoutée dans la chaîne spécifiée.

Ci-dessous la liste des options les plus courantes pour spécifier

une commande. Une seule à la fois peut être présente, et

toutes devront être suivies du nom de la chaîne à prendre en

compte.

Options d’iptablesOptio

ns

Rôles

-L Affiche toutes les règles de la chaîne indiquée.-F Supprime toutes les règles de la chaîne. Si aucune

chaîne n'est spécifiée, toutes celles de la table sont

vidées.-N Crée une nouvelle chaîne utilisateur avec le nom passé

en paramètre.



-X Supprime la chaîne utilisateur. Si aucun nom n'est

spécifié, toutes les chaînes utilisateur seront supprimées-P Modifie la politique par défaut de la chaîne. Il faut

indiquer en plus comme paramètre la cible à utiliser.-A Ajoute une règle à la fin de la chaîne spécifiée.-I Insère la règle avant celle indiquée. Cette place est

précisée par un numéro qui fait suite au nom de la

chaîne. La première porte le numéro 1. Si aucun numéro

n'est indiqué, la règle est insérée au début.-D Supprime une règle de la chaîne. Soit un numéro peut

être précisé, soit la définition de la chaîne à supprimer

(ses tests de concordance et sa cible).

V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux :

• La zone Verte : c’est le réseau local qu’IPCop doit

sécuriser, il peut être un réseau d’entreprise ou

personnel. C’est la zone de confiance par excellence.

• La zone Bleue : c’est le réseau constitué des

équipements sans fil (802.11b) avec une confiance

limitée.

• La zone Orange : c’est la DMZ (zone démilitarisée)

où sont installés les serveurs accessibles depuis

l’extérieur. Dans cette partie on retrouve des

serveurs de types Web, FTP, bases de données …

• La zone Rouge : c’est le réseau externe non

contrôlé à l’exemple d’Internet.



V.3-) Prise en charge des serveurs DHCP, DNS, …

IPCop intègre dans son programme certains serveurs comme

le serveur DHCP pour le réseau vert, le serveur DNS.

V.4-) Administration de la machine par une interface web sécurisée

Cette fonctionnalité permet :

• De simplifier considérablement les tâches

d’administration du firewall ;

• L’affichage des performances du processeur, de la

mémoire, des disques et du trafic réseau par des

graphiques ;

• La visualisation des journaux d’événement et leur

archivage automatique ;

• Le choix entre plusieurs langues.

V.5-) Détection des intrusions avec Snort

Snort est système de détection d’intrusion libre sous licence

GNU/GPL (General Public License. Il est utilisé pour détecter

une grande variété d’attaques)



V.6-) Gestion des réseaux privés virtuels (VPN)

IPCop permet d’utiliser ce qu’on appelle un protocole de

« tunnelisation » (L2P, IPSec…) pour relier deux réseaux

physiques en utilisant un réseau non sécurisé, mais fiable. La

finalité étant que ces deux réseaux distincts ne forment plus

qu’un seul et même réseau en transitant par Internet.

VI-) CAHIER DES CHARGES

Dans le cadre de ce projet, nous devons de mettre sur pied

une politique de sécurité consistant à faire :

1)Le filtrage HTTP avec authentification ;

Proxy http (Hypertext Transfer Protocol ); Bail (pour contrôler les heures de connexion sur

internet) ;

2)Le contrôle des téléchargements (gestion du trafic) ;

Gestion du trafic ; Gestion de la bande passante.

3) La gestion des intrusions (pour limiter les risques d’attaque).



Toute machine qui se connecte à un serveur

particulier ou au réseau devrait être clairement

identifiée

Nous disposons pour cela comme outils de travail:

D’un ordinateur clone pentium 4 (CPU 3GHz, 1Go de

RAM, 10Go de disque dur) possédant deux cartes

réseaux Ethernet

De la distribution linux IPCop

VII-) INSTALLATION D’IPCop

Pendant l’installation de notre firewall IPCop, nous

adopterons la configuration correspondant à l’architecture

réseau suivante qui a été mise en place pour les tests :



Figure 2 : Schéma de fonctionnement d’IPCop à ITGStore

Configuration minimale requise

Pour installer IPCop on a besoin d’un ordinateur complet

ayant les caractéristiques minimales suivantes :

CPU → 233MHz

RAM → 64Mo

HDD → 800Mo

Après avoir préparé son ordinateur, il faut disposer d’une

copie de la version d’IPCop à installer. La distribution IPCop est

disponible gratuitement sur le site www.ipcop.org

Nous allons installer ici IPCop 1.4.20


http://www.ipcop.org/


Il existe trois méthodes d’installation d’IPCop en fonction

du support matériel que vous avez à votre disposition

Méthode Lecteur

de

Disquett

e

Disque

tte de

pilotes

Lecteur

de CD-

ROM

Serveu

r

FTP/We

b

CD de boot Non Non Oui Non

Disquette de boot

puis CD

Oui Non Oui Non

Disquette de boot

puis serveur FTP/WEB

Oui Oui Non oui

Nous allons nous intéresser à l’installation à partir d’un CD

de boot d’IPCop.

Plaçons le CD contenant la distribution IPCop qu’on a

téléchargée et gravée dans le lecteur de CD de notre machine

IPCop. Puis redémarrons la machine, appuyez sur ma touche

entrée à l’écran de boot que voici.

NB : tous vos données contenues dans le disque dur seront

entièrement supprimer ; donc prenez la penne de sauvegarder

toutes vos données dans un autre disque et non dans une

partition du même disque.



Figure 3 : Ecran de boot d’IPCop

On voit ensuite défiler à l’écran des messages informatifs

venant du noyau.

Ensuite s’affiche l’écran permettant de sélectionner la

langue, les touches tab, flèches permettent de déplacer le

curseur sur les éléments ; pour sélectionner un élément on

utilise la touche espace et pour accepter le choix on appuie sur

la touche entrée. Choisissons le français comme langue puis

validons. A partir de ce moment toutes les boîtes de dialogues,

page web et menus utilisent la langue choisie.

La boîte de dialogue qui suit nous permet de sélectionner

le support d’installation. Choisissons comme support le CD-ROM

puis validons.



Figure 4 : Choix de la source d’installation d’IPCop

La boîte de dialogue qui suit indique que le programme

d’installation d’IPCop prépare le disque principal (/dev/hda). En

premier lieu, le disque dur sera partitionné, puis un système de

fichier sera créé dans chaque partition. Ensuite le programme

d’installation va copier les fichiers nécessaires sur le disque.

L’installation d’IPCop se poursuit avec la configuration de

la carte réseau de l’interface verte (eth0). Nous pouvons laisser

IPCop trouver notre carte réseau et déterminer les paramètres

à donner au pilote de périphérique. Sélectionner le bouton

rechercher et appuyez sur entrée pour laisser IPCop détecter

votre configuration matérielle. Si nous choisissons plutôt le

bouton sélectionner, nous rechercherons manuellement la carte

réseau et devrons spécifier les paramètres à installer.

Le processus d’installation vous demande ensuite

d’indiquer l’adresse IP à assigner à l’interface verte (eth0).

Lorsque vous choisissez une adresse IP, IPCop détermine

automatiquement le masque de réseau en fonction de cette

adresse que vous pouvez modifier si vous le désirez. C’est cette

adresse qui sera utilisée pour se connecter à l’interface web

d’administration.



Figure 5 : Configuration réseau de l’interface verte

La boîte dialogue qui suit vous annonce la fin de

l’installation et vous demande de retirer le CD du lecteur puis

appuyer sur ok pour continuer.

Ce qui suit à présent constitue la configuration initiale

d’IPCop à savoir le choix du type de clavier, du fuseau horaire,

du nom de la machine (ce nom est également utilisé pour se

connecter à l’interface web d’administration à la place de

l’adresse IP.), le nom de domaine ou du groupe de travail.

Il faut ensuite choisir le type de configuration réseau. Pour

ce qui est de notre cas, nous allons choisir « GREEN + RED ».

En fonction des équipements d’accès à Internet et nombre de

réseaux que voulez connecter on aura besoin de :

Connexion Modem ISDN USB ADSL Ethernet

Green+Red 1carte (G) 1carte (G) 1carte (G) 2cartes (G, R)

Green+Blue+Red2cartes (B,

G)

2cartes (B,

G)

2cartes (B,

G)

3cartes (B, G,

R)

Green+Orange+Red2cartes (O,

G)

2cartes (O,

G)

2cartes (O,

B)

3cartes (O, G,

R)

Green+Orange+Blu

e+Red

3cartes

(O, B, G)

3cartes

(O, B, G)

3cartes

(O, B, G)

4cartes

(O, B, G, R)



Puisque Nous utilisons une connexion Ethernet, pour configurer

notre réseau « GREEND + RED » il nous faut avoir deux cartes

réseaux.

Une carte pour le réseau vert (interne) et qui aura comme

adresse IP 192.168.10.1 ; cette interface reliée à un Switch ou

directement à une autre machine à l’aide d’un câble croisé qui

sera considérée comme notre réseau interne. Cette machine

recevra une adresse IP qui lui sera attribuée automatiquement

par le serveur DHCP d’IPCop dans la plage 192.168.10. 5 à

192.168.10.50

La deuxième carte sera affectée au réseau rouge

(externe) sera en réalité constitué de tout le réseau

informatique d’ITGStore.

Il faut configurer un serveur DHCP pour le réseau Green.

Ceci permet de simplifier la tâche de l’administrateur du réseau

en attribuant de façon automatique les paramètres du réseau

(adresse IP, masque, passerelle, DNS)

Figure 6 : Configuration du serveur DHCP de l’interface verte



Il faut enfin entrer les mots de passe de l’utilisateur «root

et admin » d’IPCop. Ces mots de passe permettent de se

connecter au système et à l’interface web d’administration

d’IPCop puis appuyé sur ok pour terminer l’installation et

redémarrer la machine.

Une fois l’installation et la configuration initiale terminées,

la machine redémarre et affiche l’interface de connexion de

l’utilisateur root.

Figure 7 : Interface de connexion de l’utilisateur root

VIII-) CONFIGURATION D’IPCop

IPCop est configurable à partir d’une interface web. Dans

n’importe quelle machine du réseau vert (ou externe si cela est

autorisé dans le menu accès externe de l’onglet pare-feu),

utiliser le navigateur de votre choix et taper l’adresse d’IPCop

https://ipcop-jm:445/ ou https://192.168.10.1:445/ où ipcop-jm

représente le nom de la machine où IPCop est installé,

192.168.10.1 représente l’adresse IP de l’interface verte de la

machine IPCop et 445 le port utilisé par l’interface web


https://192.168.10.1:445/

https://ipcop-jm:445/


d’administration d’IPCop. Après avoir tapez vous obtenez

l’interface d’administration suivante

Figure 8 : Interface web de connexion des utilisateurs admin et dial

Vous devez ensuite vous connectez. Appuyer sur le bouton

connexion et mettez comme nom d’utilisateur admin et comme

mot de passe celui que vous avez validé lors de l’installation

des configurations initiales.

La page d’administration d’IPCop est divisée en sept

onglets à savoir :

• SYSTEME

• ETAT

• RESEAU

• SERVICES

• PARE-FEU

• RPVS (VPN)



• JOURNAUX

Pour la configuration de notre firewall IPCop nous allons

adopter les politiques suivantes :

La première politique sera de filtrer les url ceci pour

empêcher la connexion à certains sites jugés indésirables par

le simple fait que l’accès à ces sites distrait énormément le

personnel et empêche un meilleur rendement dans une

entreprise.

VIII.1-) Configuration du Proxy et du filtre d’url

La politique d’IPCop est de tout fermer en entrée et tout autoriser en sortie. Cette politique apparaît clairement dans le fichier /etc/rc.d/rc.firewall. L’administration par le navigateur nous permet d’écrire simplement et manière plus conviviale les règles dans ce fichier.

Nous allons faire le filtrage http pour cela, nous allons

utiliser l’utilitaire UrlFilter qui est une fonctionnalité

additionnelle d’IPCop. Télécharger UrlFilter dans le lien direct de

son site www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz

Copier ce fichier dans une clé USB puis monter la clé dans

la machine IPCop

#mkdir /mnt/usb

#mount /dev/sda1 /mnt/usb

Décompressez le fichier téléchargé : #tar xvzf ipcop-

urlfilter-1.9.1.tar.gz


http://www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz


Placez-vous sur le répertoire ipcop-urlfilter #cd ipcop-

urlfilter

Ensuite lancez l’installation avec la commande #./install

Une fois le fichier installer, allez dans l’interface web

d’administration d’IPCop (https://ipcop:445/ ou

https://192.168.10.1:445/ ou http://192.168.10.1:81/ ), cliquez

sur Services puis sur Serveur mandataire (Proxy) vous verrez

filtre d’url qui apparaît désormais sur cette page.

Cocher les cases suivantes puis enregistrer :

Activer le Proxy sur green ;

Mode transparent green ;

Filtre d’url.

Télécharger une blacklist de l’université de Toulouse

dans le site ftp://ftp.univ.tlse1.fr/blakclists.tar.gz cette blacklist

contient un ensemble des sites indésirables. Allez maintenant

dans l’onglet services et cliquer sur filtrage d’url. Dans mise à

jour de la blacklist cliquer sur parcourir et allez chercher le

fichier contenant la blacklist téléchargée puis cliquez sur

chargez blacklist. La liste ainsi chargée est affichée plus haut ; il

suffit de cocher sur une case de la blacklist pour que son

contenu soit bloqué dans le filtre.

L’intérêt de ce type de filtrage est qu’il permet d’éviter

la connexion à certains sites tels que les sites pornographiques

les sites de jeux de musiques qui constituent une des

principales sources de perte de pour le personnel en entreprise.


ftp://ftp.univ.tlse1.fr/blakclists.tar.gz

http://192.168.10.1:81/

https://192.168.10.1:445/

https://ipcop:445/


Ce type de filtrage est également intéressant pour les centres

multimédias car ici seuls les url autorisées sont accessibles.

Voici un exemple du filtrage url. Lors de la configuration

d’UrlFilter, nous avons bloqué l’accès aux sites ayant dans leur

url le mot drague c'est-à-dire les sites web jugés adultes.

Tapons dans un navigateur d’une machine du réseau LAN l’url

http://www.xxl.com , ce type de site n’étant pas autorisé, notre

firewall renvoie ceci à l’utilisateur concerné :

Figure 9 : Cas pratique d’un filtrage d’url

Ce type de filtrage trouve également son intérêt dans les

centres multimédias pour empêches aux jeunes la connexion

aux sites jugés adultes.

VIII.2-) Configuration Du Service IDS

Snort est un système de détection d'intrusion open source

sur licence GNU, capable d'effectuer en temps réel des analyses

de trafic sur un réseau IP. Il peut effectuer des analyses de


http://www.xxl.com/


protocole, recherche/correspondance de contenu et peut être

utilisé pour détecter une grande variété d'attaques. Ce service

est important car permet de repérer et de retracer toutes

tentatives de connexion non autorisées au réseau vert.

Ce système est par défaut installé dans IPCop et est

désactivé par défaut. Pour utiliser ce service, vous devez

d’abord vous inscrire dans le site officiel de Snort :

www.snort.org . L’inscription à ce site vous permet d’acquérir le

code Oink nécessaire pour activer le service IDS d’IPCop. Ce

code est constitué de 40 caractères alphanumériques.

Figure 10 : Configuration du service IDS

Une fois le service installé, il est désormais possible de

repérer à chaque fois via le journal des IDS de retrouver

l’identité des machines qui ont essayé de se connecter à votre

réseau.

VIII.3-) Installation et configuration de CopFilter


http://www.snort.org/


CopFilter est une fonctionnalité additionnelle qui permet à

IPCop de disposer d’une solution antivirus (ClamAV, AVG (Anti-

Virus Guard), F-Prot). Ceci permet de scanner en temps réel

tous les paquets transitant d’un réseau à l’autre à la recherche

d’éventuels virus.

L’installation de CopFilter nécessite le téléchargement du

fichier dans le lien direct du site http://www.worm-

fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz . Nous

allons la version 0.84beta3a de CopFilter.

Après avoir téléchargé le fichier, il faut le transférer dans

la machine IPCop soit à de la commande SCP en utilisant le

protocole SSH, soit à l’aide mémoire flash. Il faut ensuite

décompresser le fichier en utilisant la commande #tar xvzf

copfilter-0.84beta3a.tgz ensuite se positionner sur le

répertoire contenant le fichier #cd copfilter-0.84beta3a et

exécuter la commande #./install pour lancer l’installation.

Pour désinstaller CopFilter, se placer dans le répertoire #cd

/var/log/copfilter/0.84beta3a et exécuter la commande

#./setup_util –u

Une fois fichier installer l’onglet CopFilter s’ajoute

automatiquement dans l’interface web d’administration

d’IPCop.


http://www.worm-fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz

http://www.worm-fr.com/wiki/linux/uploads/Ipcop/copfilter-0.84beta3a.tgz


Figure 11 : Configuration de CopFilter



VIII.4-) Gestion de trafic



CONCLUSION

Notre stage académique à ITGStore-Consulting a été très enrichissant, nous avons mis en place une politique de firewalling grâce à la distribution IPCop. Cette politique implémentée a l’avantage qu’elle peut être déployée et adaptée à n’importe qu’elle structure au regard des fonctionnalités qu’offre IPCop. Car la distribution IPCop utilisée pour son implémentation est financièrement accessible à n’importe quelle structure.



WEBOGRAPHIE

www.ipcop.org

www.snort.org

http://fr.wikipedia.org/wiki/IPCop

http://www.pcinpact.com/forum/index.php?showtopic=78177

www.urlfilter.org

www.copfilter.org

http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html

http://forum.rue-montgallet.com/ruemontgallet/OSalternatifs/installation-ipcop-urlfilter-sujet_21419_1.htm







http://www.copfilter.org/

http://www.urlfilter.org/

http://www.pcinpact.com/forum/index.php?showtopic=78177

http://fr.wikipedia.org/wiki/IPCop

http://www.snort.org/

http://www.ipcop.org/

Documents

45194597-Ipcop-Final-v1-1