Les rseaux des EPLEFPA Guide IpCop
Chantier national DRTIC
http://drtic.educagri.fr/
Mai 2010
Les rseaux des EPLEFPA Guide IpCop
2
Table des matires1Schma de
principe...............................................................................................................................................3
2A quoi sert IPCOP :
..............................................................................................................................................3
3Les Interfaces rseaux
.........................................................................................................................................4
3.1L'Interface rseau ROUGE
...........................................................................................................................4
3.2L' Interface rseau VERTE
...........................................................................................................................4
3.3L'Interface rseau BLEUE
............................................................................................................................4
3.4L'Interface rseau ORANGE
........................................................................................................................4
3.5Niveau relatif de scurit sur les interfaces rseau d'IPCop
.........................................................................4
4Installation.............................................................................................................................................................5
4.1Pralable
:......................................................................................................................................................5
4.2Dbut de
l'installation....................................................................................................................................6
4.3Paramtrage par l'interface
Web..................................................................................................................20
4.4Ajout des add-on
ncessaires.................................................................................................................21
4.5Paramtrage des add-on
.........................................................................................................................26
1.Advanced
Proxy........................................................................................................................................26
2.URL
Filter.................................................................................................................................................28
3.Block Out trafic
(BOT).............................................................................................................................32
4.OpenVPN
(Zerina)....................................................................................................................................40
Les rseaux des EPLEFPA Guide IpCop
3
1 Schma de principe
2 A quoi sert IPCOP :IPCop est une distribution Linux de
scurisation des rseaux locaux. Elle vise fournir un moyen simple
mais puissant pour configurer un pare-feu sur une architecture de
type PC. Elle offre la classique Zone dmilitarise (dmz)ainsi que
les tunnels rseau priv virtuel (acronyme VPN en anglais). IPCop
peut galement servir de serveur mandataire (proxy), serveur
fournissant des adresses IP dynamique (DHCP), de relais DNS, de
serveur de temps (NTP), et en installant des greffons ou modules,
de bien d'autres choses (contrle de contenu, liste noire, liste
d'accs, DNS dynamique, contrle de trafic, etc...). Le support des
clients sans fil est aussi prvu par le biais d'une zone ddie(zone
bleue).
Les rseaux des EPLEFPA Guide IpCop
4
3 Les Interfaces rseauxQuatre interfaces rseau sont dfinies par
IPCop : ROUGE, VERTE, BLEUE et ORANGE. (Voir le graph prcedent)
3.1 L'Interface rseau ROUGECe rseau correspond l'Internet ou
tout autre rseau considr non sr. Le but premier d'IPCop est de
protger les autres rseaux (VERT, BLEU et ORANGE) et les ordinateurs
qui leurs sont rattachs du trafic provenant de ce rseau ROUGE.
3.2 L' Interface rseau VERTECette interface est relie aux
ordinateurs qu'IPCop doit protger. Il s'agit en rgle gnrale d'un
rseau local. Cette interface utilise une carte rseau Ethernet dans
la machine IPCop.
3.3 L'Interface rseau BLEUECe rseau optionnel vous permet de
regrouper vos priphriques sans fil sur un rseau spar. Les
ordinateurs de ce rseau ne peuvent accder au rseau VERT sauf par le
biais d'oeilletons ( > ) volontairement tablis, ou par le biais
d'un VPN. Cette interface utilise une carte rseau Ethernet dans la
machine IPCop.
3.4 L'Interface rseau ORANGECe rseau optionnel vous permet
d'isoler sur un rseau spar vos serveurs accessibles au public. Les
ordinateurs relis ce rseau ne peuvent accder au rseaux VERT ou
BLEU, moins que vous n'tablissiez volontairement un oeilleton (
> ). Cette interface utilise une carte rseau Ethernet dans la
machine IPCop.
3.5 Niveau relatif de scurit sur les interfaces rseau d'IPCopLe
modle de scurit mis en uvre avec IPCop comporte un rseau totalement
sr (VERT). Les requtes issues de ce rseau sont considres comme
lgitimes et autorises par IPCop (et ce qu'elles soient inities par
un utilisateur ou par une machine infecte par un virus, un cheval
de Troie ou toute autre sorte de > ). IPCop 1.4.X supporte
l'activation du systme de dtection des intrusions (IDS) sur chaque
interface rseau de la configuration. Il est fortement recommand de
surveiller le journal des vnements de l'IDS pour vos rseaux
internes dans le but de vrifier qu'aucune des machines dont vous
tes responsable n'a de comportement trange, comportement parfois
signe d'une infection par un virus. Un classement des rseaux
proposs par IPCop par ordre dcroissant de niveau de confiance donne
la suite cidessous : ROUGEORANGEBLEUVERT
Les rseaux des EPLEFPA Guide IpCop
5
4 Installation4.1 Pralable :Avoir prpar un PC avec au moins 512
Mo de RAM et contenant 1, 2, 3 ou 4 cartes rseau en fonction de la
configuration choisie. Il est prfrable de connecter directement les
cartes leur lment actif respectif. Il est rappel que les diffrentes
interface d'un FireWall ne doivent pas tre connectes au mme rseau
physique ou alors uniquement sur des ports appartenant des VLAN
802.1q diffrents. En rgle gnrale, l'interface rouge est directement
connect au port LAN de votre routeur d'accs Internet, le port vert
au switch de votre rseau local, le port orange un switch (ou VLAN)
ddi votre DMZ et enfin l'interface bleue directement votre switch
ou VLAN ddi aux bornes WIFI. Nous considrons galement que votre
connexion internet est de type ADSL ou SDSL et qu'elle se fait
l'aide d'un Routeur Ethernet, ce qui est la majorit des cas dans
les tablissements. Relevez quelques paramtres clefs sur votre
interface actuelle avant de vous lancez dans l'installation :
vrifiez comment vous obtenez actuellement une adresse IP : adresse
IP statique, par DHCP , par PPPOE ou par PPTP . si vous obtenez
l'adresse par DHCP, vrifiez si votre systme possde un nom d'hte
qu'il indique au serveur de votre FAI. rcuprez les adresses des
serveurs de noms que vous utilisez. Le serveur DHCP de votre FAI
peut vous fournir automatiquement ces adresses ou vous pouvez avoir
les indiquer manuellement. relevez les ventuelles adresses par
dfaut de sous-domaine. Cela vous permet d'accder certains services
tels que mail ou news sans taper le nom d'hte complet. Voyez
l'explication dans le paragraphe de configuration de DHCP . Aprs
avoir tlcharg la dernire version stable sur le site
sourceforge.net, gravez une image iso bootable.
Les rseaux des EPLEFPA Guide IpCop
6
4.2 Dbut de l'installationBooter sur le cd
Message indiquant la destruction de tout ce qui se trouve sur le
disque dur Entrer Choix des langues :
Franais
ok
Les rseaux des EPLEFPA Guide IpCop Message de bienvenue
7
OK
support en cd puis OK
Les rseaux des EPLEFPA Guide IpCop La procdure de dtection du
matriel et dinstallation des paquets commence alors :
8
Si le matriel lui plait alors la prparation du disque dur peut
commencer : (cration de fichier log) = long ne pas sinquiter,
laisser faire !
Partitionnement (peut tre long selon votre configuration
matrielle)
Les rseaux des EPLEFPA Guide IpCop
9
Une fois linstallation des paquets termine, passons au premier
paramtrage du pare feu.
Les rseaux des EPLEFPA Guide IpCop
10
Si vous possdez une sauvegarde dIPCOP choisissez lemplacement
sinon passer (slection avec espace puis tabulation pour descendre
jusqu OK et entrer). Etape de configuration rseau
Recherche carte rseau pour linterface vert
Les rseaux des EPLEFPA Guide IpCop il en propose une ! !
11
ok si elle correspond bien a celle que vous vouliez cot LAN.
Sil y a un souci avec le driver par rapport votre carte vous
pouvez obtenir cela
Sinon la configuration continue
Saisir de lIP et le masque de lInterface verte (la carte qui
sera relie votre LAN), par exemple : 10.31.1.2 avec le masque en
255.255.255.0
Les rseaux des EPLEFPA Guide IpCop retirer le cd Menu de
Configuration du clavier Choisissez le bon clavier (gnralement
fr-latin1)
12
Menu de Fuseau horaire puis le bon fuseau horaire.
Les rseaux des EPLEFPA Guide IpCop Menu de Nom d'hte Saisissez
le nom dhte de votre serveur : (exemple : ipcop)
13
Si vous possdez un nom de domaine, indiquez-le ici. Si vous n'en
possdez pas ou si vous ne souhaitez pas l'utiliser, vous pouvez trs
bien accepter la valeur par dfaut, > . Si vous envisagez de
mettre en place un VPN, vous pourrez prfixer > pour produire par
exemple > et > Ce nom de domaine sera automatiquement utilis
comme > du serveur DHCP.
Menu de Nom de domaine Saisir le nom de domaine : (exemple :
pedago)
Les rseaux des EPLEFPA Guide IpCop Menu de Configuration RNIS
(ISDN) Comme nous connectons notre interface rouge directement au
routeur Internet , il faut dsactiver RNIS Choisissez le bouton
rouge ad hoc (tabulation)
14
Menu de Rseau / Type de configuration rseau Maintenant il va tre
possible de choisir le type de configuration du FireWall (gestion
de dmz, gestion de zone wifi en fonction de vos besoins que vous
aurez pralablement dtermin : et donc du nombre de cartes rseau que
vous avez insr dans votre machine !
Les rseaux des EPLEFPA Guide IpCop
15
Dans notre exemple, nous choisissions une configuration 3 cartes
Ethernet, la Rouge vers le routeur Internet, la verte vers le LAN
et l'orange vers un switch DMZ.
Donc : configuration de type green orange red Menu de Rseau /
Affectation des pilotes et des cartes Affectez les pilotes aux
cartes en slectionnant rechercher IpCop doit trouver une carte et
vous demander son affectation
Les rseaux des EPLEFPA Guide IpCop
16
Si possible pensez tiqueter les cartes physiquement : c'est
parfois utile par la suite ... Puis de mme pour les autres
affectations en utilisant la fonction de recherche automatique
:
Ainsi de suite pour toutes vos interfaces
Les rseaux des EPLEFPA Guide IpCop Menu de Rseau / Configuration
de l'adresse Ensuite il va falloir affecter une adresse IP a chaque
carte par le menu Configuration des adresses : Interface par
interface, en fonction du nombre de vos cartes, paramtrez les
configurations IP :
17
Normalement la Green dj t faite prcdemment (celle cot LAN). Vous
pouvez tout de mme revoir sa configuration en la slectionnant
depuis la liste des interfaces. Si elles sont prsentes, vous
configurez ensuite la carte Orange avec une IP prive de la zone
DMZ, puis la bleue avec une IP prive du rseau WIFI. Enfin, si votre
rseau ROUGE est de type Ethernet (majorit des cas en tablissement),
vous devez indiquer la manire par laquelle l'interface obtient son
adresse IP. Ceci dpend de votre FAI et du type de connexion.
Les rseaux des EPLEFPA Guide IpCop
18
L'adressage statique est utilis lorsque votre FAI vous fournit
une adresse IP fixe (Cette adresse IP public fixe est gnralement
dlivre sur votre demande auprs du FAI). Saisissez la dans le champ
d'adresse IP de la bote de dialogue. IpCop dterminera
automatiquement le masque de rseau. Vous pourrez toujours modifier
ce masque si ncessaire. C'est le cas gnralement lorsque
l'tablissement est adhrent au rseau RENATER ou que vous avez
formuler une demande spcifique votre FAI. Attention: Votre rseau
ROUGE doit possder une adresse IP statique si vous envisagez
d'utiliser la fonctionnalit d'aliasing propose par IPCop. DHCP
correspond au cas o votre FAI vous indique que vous devez utiliser
un adressage automatique. La connexion ncessite alors d'indiquer un
nom d'hte leur serveur DHCP. Ce n'est trs probablement pas le nom
d'hte de votre IpCop. Vous pouvez ventuellement utiliser la premire
partie du nom de domaine pleinement qualifi que vous avez relev
lors de la rcupration des paramtres rseaux . Si votre connexion se
fait par PPPOE, votre FAI fournira toutes les informations
ncessaires la connexion de sorte que vous n'avez rien spcifier de
plus aprs avoir slectionn cette mthode de connexion. Attention dans
ce cas de figure la connexion se relance aux alentours de minuit
pour changer d'IP. Si votre connexion se fait par PPTP, vous devez
indiquer l'adresse IP du rseau ROUGE ainsi que le masque de rseau,
tout comme dans le cas d'un adressage statique. Cette adresse est
trs frquemment 10.0.0.150 avec le masque rseau 255.255.255.0. Si
vous ne connaissez pas votre adresse IP:
http://www.adresseip.com(depuis le reseau tester!!!) si elle change
toute les 24h c'est que vous n'tes pas en statique!!!!! Quand vous
en avez termin, choisissez le bouton Ok pour revenir au Menu de
configuration rseau .
Si vous tes connect au rseau RENATER, vous tes trs probablement
en adresse ip fixe. Sinon il y a de forte chance que vous soyez en
PPPOE.
Les rseaux des EPLEFPA Guide IpCop
19
Menu de Configuration DNS et Passerelle DNS : Il s'agit
gnralement de ceux fournis par votre FAI Passerelle : C'est
l'adresse IP de votre routeur d'accs Internet
Menu de Configuration de DHCP A activer si vous souhaitez
utiliser l'IpCop pour ce service. Dans ce cas, vous devrez indiquer
la plage IP pour les baux dadresses dlivrer Menu de Mot de passe
root utilis en console Menu de Mot de passe admin utilis pour
l'interface WEB Menu de Mot de passe Backup utilis pour les
oprations de sauvegarde Attention lors de la saisie des mots de
passe le curseur ne bouge pas Notez bien vos diffrents mots de
passe Installation termine, cliquez sur OK pour rebooter
Les rseaux des EPLEFPA Guide IpCop
20
4.3 Paramtrage par l'interface WebLa suite du paramtrage
s'effectue depuis le navigateur Web d'un PC positionn sur le rseau.
La connexion s'effectuera sur https://adresseIP_Verte_IpCop:445/
avec le compte admin Vous pouvez vrifier et ventuellement effectuer
la mise jour de votre serveur grce au Menu de Systme / Mises jour
Tlchargez la dernire mise jour stable sur le site sourceforge.net
sur votre PC Installez la grce aux champs transfrer le fichier de
mise jour prvu dans ce menu
Menu de Systme / Accs ssh Autoriser l'accs SSH et cochez toutes
les croix
Les rseaux des EPLEFPA Guide IpCop Menu de Services / Serveur
Mandataire (Poxy) Activez le service Activez le mode transparent
sur Green (ventuellement sur Blue) Passez le cache 500 puis
enregistrez
21
4.4 Ajout des add-on ncessairesTlchargez depuis un PC les
dernires versions stables depuis les liens du site
sourceforge.net
Les rseaux des EPLEFPA Guide IpCop Rcuprez les fichiers .tar.gz
des add-on suivants : BOT (BlockOutTraffic)
http://www.blockouttraffic.de/ Advanced Proxy
http://www.advproxy.net/ URL Filter http://www.urlfilter.net/
OpenVPN http://www.openvpn.eu/ (Attention : le lien de
sourceforge.net n'est plus jour)
22
Dcompressez ces archives dans des dossiers de votre pc laide de
l'utilitaire WinRar qui gre les formats de fichier .tar et .tar.gz
Tlchargez et installez le logiciel WinSCP sur votre PC
(http://winscp.net/). Il vous permettra de transfrer les add-on sur
votre serveur IpCop grce une connexion scurise SSH Excutez WinSCP
en indiquant les paramtres de votre IpCop, par exemple : host name
: 10.31.1.2 port : 222 root et mot de passe (Connexion en root
obligatoire)
Choisir oui
Les rseaux des EPLEFPA Guide IpCop
23
Interface avec cot gauche les dossiers de la station Windows et
cot droit les dossiers de lIPCOP.
Transfrez les dossiers entiers des add-on dans le rpertoire /tmp
de votre IpCop
Les rseaux des EPLEFPA Guide IpCop
24
Attention lors de la dcompression ou lors du transfert, il est
possible que les droits sur les fichiers soient modifis, ce qui
pertuberait l'installation. Il faut donc modifier les droits laide
du clic droit / proprits
Un systme de cases cocher permet de rtablir les droits en
excution (cochez les X) :
Les rseaux des EPLEFPA Guide IpCop
25
Ensuite cest en ligne de commande sur le serveur quil va falloir
dcompresser ces archives dans les sous dossiers prcdemment crs et
lancer les installations de ces modules ! Vous pouvez galement vous
connecter en mode console depuis votre PC en utilisant le logiciel
Putty dont le paramtrage est le mme que celui de WinSCP vu
prcdemment. Vous devez vous connecter sur le serveur avec le compte
root Pour chaque add-on, vous devez vous positionner dans le
rpertoire o vous l'avez copi grce la commande cd, par exemple cd
/tmp/ipcop-advproxy , puis excuter la commande d'installation en
fonction de l'add-on, en gnral ./install ou ./setup .
Les rseaux des EPLEFPA Guide IpCop
26
4.5 Paramtrage des add-on 1. Advanced ProxyEn interface web,
maintenant dans le menu Services vous devez avoir le menu proxy
avanc
Paramtrez le proxy. Interface Green et Blue en mode transparent
si ncessaire :
Les rseaux des EPLEFPA Guide IpCop Activez les logs Augmentez la
Taille du cache en mmoire 32 et sur le disque 500
27
32
500
Vous pouvez choisir ensuite d'authentifier vos utilisateurs via
un serveur LDAP, AD ou RADIUS. Attention, cette possibilit ne
fonctionne pas avec le proxy en mode transparent.
Sauver et redmarrer
Les rseaux des EPLEFPA Guide IpCop
28
2. URL FilterIdem pour de urlfilter : dcompression pralable puis
installation au travers de Putty ou en direct sur le serveur
firewall.
En interface web, dans le menu Services vous avez maintenant le
sous menu filtre durl
Les rseaux des EPLEFPA Guide IpCop
29
Il faut d'abord activer le filtre d'URL dans le menu Services /
Proxy avanc
Puis aller dans le menu Services / Filtre d'URL pour le
paramtrer. IpCop intgre le chargement et la mise jour des Black
lists tenues jour par lUniversit de Toulouse. Effectuez le
tlchargement, paramtrez la frquence de mise jour et sauvegardez vos
paramtres :
Les rseaux des EPLEFPA Guide IpCop Slectionnez les listes de
site dont vous souhaitez interdire l'accs. Attention, certaines
sont trs restrictives et bloque mme l'accs Google
30
Vous pouvez galement bloquer ou autoriser explicitement certains
domaines ou sites
Les rseaux des EPLEFPA Guide IpCop
31
Et enfin procder des rglages avancs comme, dfinir des adresses
privilgies non filtres (votre propre PC par exemple ),
personnaliser le message d'erreur, activer certains champs des
logs, .
N'oubliez pas d'enregistrer vos paramtres
Les rseaux des EPLEFPA Guide IpCop
32
3. Block Out trafic (BOT)Pour Block out traffic : dcompression
pralable, transfert en faisant attention aux soucis de droits, puis
installation ! (attention ./setup au lieu de ./install prcdemment
avec les autres addons)
En interface web, vous avez prsent dans le menu Parefeu les sous
menu grer le traffic sortant et configuration avance du BOT
Les rseaux des EPLEFPA Guide IpCop Dans le menu Parefeu / Grer
traffic sortant choisir modifier
33
Vous devez ensuite saisir ladresse mac du poste autoris
administrer votre IpCop. Vous trouvez ladresse physique mac de
windows avec la commande : ipconfig /all
Ensuite indiquez le port 445, cochez les suivantes (idem
ci-dessous), slectionnez reject et enfin cliquez sur le bouton
enregistrer
Ensuite vous pourrez : activer bot
Les rseaux des EPLEFPA Guide IpCop Par dfaut, comme son nom
lindique, BOT (Block Out Traffic) va tout bloquer !!
34
Il sagit donc maintenant douvrir les ports ncessaires nos
utilisations dans les EPLEFPA. Les configurations peuvent tres
diffrentes en fonction de l'utilisation de ce firewall suivant
qu'il protge un rseau pdagogique, un rseau administratif ou un
mixte. Il faut dsormais crer des rgles dacceptation de flux de la
carte verte (rseau LAN) vers la carte rouge (routeur Internet).
Certains ports courants sont dj prsents dans BOT, et il suffira de
les choisir dans une liste, dautres sont crer en tant que service :
Exemple douverture de port, le 510 pour notre messagerie first
class (@educagri.fr) :
Les rseaux des EPLEFPA Guide IpCop
35
Pour se simplifier la vie, il sera possible ensuite de crer des
groupements de services, et ensuite il suffira de faire une rgle
autorisant ce groupement de services sortir de linterface verte
vers linterface rouge. Par exemple tous les protocoles de
messagerie, puis un autre regroupement pour toutes les applis
administratives
Ci-dessous les services que lon inclut dans ce groupement de
services
Les rseaux des EPLEFPA Guide IpCop
36
Il suffit ensuite d'autoriser en une seule rgle tout ce
regroupement de services sortir du vert vers le rouge ou vers any
.
Les rseaux des EPLEFPA Guide IpCop
37
Attention bien cocher rgle active (et journaliser si vous le
souhaitez)
Elle apparat ensuite dans liste des rgles actuelles du serveur
IpCop
Les rseaux des EPLEFPA Guide IpCop Voici la liste des principaux
services dont vous avez besoin dans le cadre d'un EPL. Vous pourrez
les regrouper comme vu ci dessus avant de crer la rgle les
autorisant.
38
Autre exemple avec un regroupement de services pour sortir sur
Internet :
Les rseaux des EPLEFPA Guide IpCop Exemple d'un regroupement de
services pour les protocoles de messagerie :
39
Exemple d'un groupement de services pour les applications
administratives :
Attention : le proxy transparent est activ. Il utilise le port
800.Il faut crer un service proxy en port 800 Puis une rgle qui
autorise ce service sortir de linterface verte vers lipcop Puis une
autre rgle qui autorise la sortie du service domain (dj list dans
bot), lui aussi de linterface verte vers ipcop.
Les rseaux des EPLEFPA Guide IpCop
40
4. OpenVPN (Zerina)Pour Zerina (OpenVPN) : dcompression
pralable, transfert en faisant attention aux soucis de droits, puis
installation par la commande ./install. Le fichier d'installation
de Zerina (install) doit tre modifi avant d'tre excut. En effet,
l'add-on ZERINA contrle la version d'IpCop mais sans tre jour ...
La solution tait sur un forum, (http://forums.ixus.fr) : il faut
modifier le script d'installation. Vous pouvez le faire en tant que
root directement par la console unix du serveur ou par l'utilitaire
WinSCP en faisant un click droit/Editer sur le fichier install : On
retourne sur WinSCP, on clique de droite sur le fichier install
puis Editer ce qui ouvre une fentre d'dition. On descend peine un
peu, jusqu' :
Sur la ligne de test if de la version (la premire ligne en
slection ici), vous remplacez la version exige par l'installeur par
celle que vous avez rellement install (dans notre exemple 1.4..20).
Attention si vous avez mis jour la version 1.4.20 vers la 1.4.21,
il faudra bien videmment saisir la valeur 1.4.21 Enregistrez le
fichier modifi et excutez le.
Les rseaux des EPLEFPA Guide IpCop
41
Dans l'interface web, vous avez prsent dans le menu RPVs le sous
menu OpenVPN qui va vous permettre de configurer votre serveur.
La suite de la configuration du serveur et des ses clients est
dtaille dans le guide Les rseaux des EPLEFPA - Clients OpenVPN au
chapitre traitant d'IpCop.
![[Tuto][Débutant] IPCOP Installation et - jcenatus.net fileLa config' que j'ai utilisé est un céléron 400 avec 10 Go de DD et ... Installation et Configuration d'IPCop ... zone](https://img.pdfslide.fr/doc/110x75/5b9c608a09d3f272468c8de1/tutodebutant-ipcop-installation-et-config-que-jai-utilise-est-un-celeron.jpg)
