29
IPCop : Présentation INTRODUCTION IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. Ce système d'exploitation à part entière fonctionne sur une machine dédiée, et utilise très peu de ressources systèmes (un ordinateur PC équipé de 64 Mo de mémoire vive et d'un processeur à 233 MHz suffit). Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre un réseau considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci. Pour ce faire, un ordinateur muni de plusieurs cartes réseau sera nécessaire, alors que l'installation est à la portée de toute personne possédant un minimum de notions en réseau IP et en système Linux (adressage, ping, commandes shell de base), pas la peine donc d'être un expert ;-). Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du pare-feu (ou firewall), les différents services proposés par IPCop, les plug-ins disponibles ainsi que leurs fonctions. Puis, dans un second temps, nous détaillerons l’installation d’un serveur IPCop avant de conclure en comparant ce système par rapport à d'autres solutions existantes. Développé initialement à partir du code source d’un projet similaire nommé SmoothWall , IPCop et celui-ci ont maintenant pris une orientation différente (cependant la procédure d’installation des deux systèmes reste quasi identique, ce dossier pourra donc vous servir si vous le souhaitez à installer un serveur SmoothWall…). La configuration des services via l’interface web d’administration fera quant à elle l’objet d’un futur dossier. FIREWALL ET ROUTAGE La partie firewall d’IPCop se compose de plusieurs interfaces dont chacune peut être ou non utilisée, à l’exception de l’interface rouge, qui elle, est obligatoire : Rouge Zone du réseau à risque ( Internet ). Vert Zone du réseau à protéger ( réseau local ). Bleu Zone spécifique pour les périphériques sans fil. Il n’est possible de faire communiquer l’interface Verte Page 1 - 29

IPCOP Explication

Embed Size (px)

Citation preview

Page 1: IPCOP Explication

IPCop : Présentation

• INTRODUCTION

IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. Ce système d'exploitation à part entière fonctionne sur une machine dédiée, et utilise très peu de ressources systèmes (un ordinateur PC équipé de 64 Mo de mémoire vive et d'un processeur à 233 MHz suffit). Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre un réseau considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci.

Pour ce faire, un ordinateur muni de plusieurs cartes réseau sera nécessaire, alors que l'installation est à la portée de toute personne possédant un minimum de notions en réseau IP et en système Linux (adressage, ping, commandes shell de base), pas la peine donc d'être un expert ;-).

Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du pare-feu (ou firewall), les différents services proposés par IPCop, les plug-ins disponibles ainsi que leurs fonctions. Puis, dans un second temps, nous détaillerons l’installation d’un serveur IPCop avant de conclure en comparant ce système par rapport à d'autres solutions existantes.

Développé initialement à partir du code source d’un projet similaire nommé SmoothWall, IPCop et celui-ci ont maintenant pris une orientation différente (cependant la procédure d’installation des deux systèmes reste quasi identique, ce dossier pourra donc vous servir si vous le souhaitez à installer un serveur SmoothWall…).

La configuration des services via l’interface web d’administration fera quant à elle l’objet d’un futur dossier.

• FIREWALL ET ROUTAGE

La partie firewall d’IPCop se compose de plusieurs interfaces dont chacune peut être ou non utilisée, à l’exception de l’interface rouge, qui elle, est obligatoire :

• RougeZone du réseau à risque ( Internet ).

• VertZone du réseau à protéger ( réseau local ).

• BleuZone spécifique pour les périphériques sans fil. Il n’est possible de faire communiquer l’interface Verte

Page 1 - 29

Page 2: IPCOP Explication

et l’interface Bleu qu’en créant un VPN, des explications de John Bradshaw traduites par Eric Boniface sont disponibles ici.

• OrangeZone démilitarisée ( DMZ ), cette zone est considérée comme publique, elle est accessible de l’extérieur mais ne possède aucun accès sortant (pour des serveurs web par exemple).

Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possède comme passerelle l'adresse IP de la carte d'interface derrière laquelle elle se situe (par exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte).

Voici un exemple plus parlant de schéma réseau réalisable avec IPCop :

IPCop : Services

• SERVICES

Les services permettent de créer différents serveurs, ou tout simplement d'ajouter un rôle afin qu'IPCop soit plus qu'un simple firewall ( pare-feu ).

Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici, bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration.

Page 2 - 29

Page 3: IPCOP Explication

Description des services :

• RPVce service vous permet de créer un Réseau Privé Virtuel ( VPN pour les intimes ) entre votre IPCop et un autre IPCop. Il peut etre désactivé si l'on ne fait pas de VPN.

• Serveur CRONcron est le nom d’un démon ( ou processus ) qui permet de planifier l’exécution de tâches à des dates et heures définies à l’avance, ce service pourrait être comparé aux " Tâches planifiées " de Windows. Ce service ne peut être désactivé.

• Serveur DHCPvous permet de créer un serveur DHCP afin d’allouer dynamiquement une adresse IP, une passerelle et l’adresse de vos serveurs DNS à des ordinateurs dont les cartes réseau sont configurées en mode « client DHCP » ( GNU Linux et Mac ) ou « Automatique » ( Windows ). Il peut être désactivé.

• Serveur NTPil s'agit là d'un service de serveur de temps, ceci permet de synchroniser l'heure de votre IPCop en fonction de celle d'un serveur NTP d'internet. Il est possible de désactiver ce service.

• Serveur Webne peut être désactivé car ce service permet l'accès à l'interface web d'administration.

• Serveur d'accès à distance ( SSH )vous permet d’accéder à votre serveur IPCop via le protocole SSH (avec PuTTY dont on peut automatiser les connexions par exemple). il peut être désactivé.

• Serveur d'enregistrement de journauxvous permet d’avoir des rapports de suivi des événements survenus sur le réseau et les services (tentatives d’intrusion, trafic sortant et entrant, etc.). Ce service peut être désactivé.

• Serveur d'enregistrement des journaux du noyauce service peut être désactivé. Son rôle est d'analyser le noyau du système, vous permettant ainsi de repérer les erreurs du système.

• Serveur mandataire (proxy)peut être désactivé. Ce service permet de créer un serveur proxy jouant le rôle de tampon entre les ordinateurs de votre réseau et Internet.

• Système de détection d’intrusionpeut être désactivé. Il permet d’activer la détection d’intrusion sur les interfaces avec les règles Snort (inscription gratuite obligatoire sur le site de Snort pour pouvoir profiter de ce service), il est possible de choisir l’interface sur laquelle on souhaite l’activer ou la désactiver.

IPCop : Plug-ins

• PLUG-INS

Des plug-ins (modules supplémentaires ) peuvent être installés afin d’améliorer des services existants ou afin d’ajouter des rôles supplémentaires à votre serveur IPCop.

• AdvProxy Advanced Proxy est, comme son nom l’indique, un serveur proxy avancé. Il enrichit ainsi les options existantes au niveau du proxy d’IPCop, son installation est nécessaire pour pouvoir utiliser et activer le plug-in URL Filter.

• URL Filter Ce plug-in vous permettra d’effectuer un filtrage d’url afin d’interdire l’accès à certaines catégories de

Page 3 - 29

Page 4: IPCOP Explication

sites web (contenu pornographique, violence, drogue, hack, warez, etc.).

• CopFilter On ne peut pas vraiment définir CopFilter de plug-in tellement l’étendu de ce qu’il apporte à IPCop est importante. CopFilter regroupe en fait un ensemble de plug-ins permettant d’effectuer un contrôle antivirus sur les e-mails entrants, de stopper le spam ( pourriel ), d’effectuer des tâches de monitoring, etc.

Remarque : tous les plug-ins s'installent et se désinstallent de la même façon. Pour installer un plug-in il vous suffit de télécharger le fichier d'installation sur votre ordinateur, de le copier sur votre serveur IPCop à l’aide de l’utilitaire WinSCP (attention il faut utiliser le port 222 et non le port 22 par défaut) puis enfin de taper ces commandes en SSH :

• tar -xzf –ipcop-NomDuPlugin-VersionDuPlugin.tar.gz

• ipcop-NomDuPlugin/install

Une fois installés, les plug-ins seront disponibles immédiatement dans l’interface web (aucun redémarrage n’est nécessaire).

Pour désinstaller un plug-in il suffit de taper dans le Shell la commande :

• ipcop-NomDuPlugin/uninstall

Cette liste de plug-ins n’est bien sûr pas exhaustive, il s’agit là uniquement des plug-ins les plus connus pour IPCop. A noter qu' AdvProxy et URL Filter sont également disponibles pour SmoothWall.

Attention :Certains plug-ins, comme CopFilter, nécessitent des ressources systèmes plus importantes qu’un IPCop de base (il faut alors compter sur un PC équipé d'un processeur à 350 Mhz et de 256Mo de mémoire vive).

IPCop : Configuration matérielle

• CONFIGURATION MATERIELLE

Etant dépourvu de tout élément non nécessaire au bon fonctionnement du système (pas de couche graphique, commandes et services non utiles supprimés, etc.), IPCop ne nécessite pas une grosse configuration pour fonctionner convenablement (un ordinateur PC ayant un processeur à 233 Mhz et 64 Mo de mémoire vive suffit pour un réseau d’une vingtaine de postes).

Cependant votre machine devra posséder au moins autant de cartes réseaux que d’interfaces que vous comptez exploiter (sauf si vous utilisez un modem pour l’interface rouge) ainsi qu’un lecteur CD-ROM pour effectuer

Page 4 - 29

Page 5: IPCOP Explication

l’installation. Il peut être également utile d’ajouter un lecteur de disquettes si l’on souhaite effectuer et restaurer des sauvegardes.

A titre indicatif, la configuration matérielle minimale est un processeur de type 386, 32Mo de RAM, un disque dur de 300Mo, et une carte réseau (si vous utilisez un modem).

La liste des cartes réseaux et des modems compatibles avec IPCop peut être consultée ici, il arrive que certains modèles qui ne figurent pas dans la liste soient tout de même reconnus, cependant pour éviter d'éventuels problèmes, il vaut mieux utiliser un périphérique qui figure dans celle-ci...

Un écran et un clavier sont bien évidemment nécessaires pour l’installation, mais dont on pourrait se passer une fois celle-ci terminée (à condition de désactiver l’erreur correspondant à l’absence de clavier au démarrage dans le BIOS...).

La souris n’étant pas prise en charge il faudra se déplacer à l’aide de la touche [TAB] dans les menus (un retour en arrière est possible à l’aide de la combinaison [SHIFT] + [TAB], tout comme sous Windows), ceux-ci seront validés avec la touche [ENTREE].

Note : Il est conseillé d’utiliser des cartes réseaux de marque ou de modèle différents pour les interfaces, ou alors de connaitre les adresse MAC de celles-ci. En effet, s'il y a des cartes identiques IPCop ne pourra les différencier que par leur adresse MAC.Par ailleurs les cartes réseaux d’une marque à base de chip d’un autre fabricant ne sont pas conseillées car elles risquent de ne pas être reconnues lors de l’installation (par exemple une carte réseau X à base de chipset de marque Y qui est reconnu comme un modèle du constructeur Y dans Windows)

IPCop : Tutorial de l' installation (1/3)

Page 5 - 29

Page 6: IPCOP Explication

• INSTALLATION

Avant de se lancer dans l’installation d’ IPCop sous la forme d'un tutorial, quelques étapes préalables sont nécessaires.

Dans un premier temps, vous devrez télécharger une image iso de la dernière version d’ IPCop en suivant ce lien puis graver celle-ci au moyen d’un logiciel de gravure (CDBurnerXP Pro par exemple).

Une fois l’image gravée sur un CD il faudra vous assurer que votre BIOS est bien configuré pour que votre ordinateur boot sur le CD-ROM.

Une fois l’ordinateur allumé et le CD d’installation inséré, au boot de la machine cet écran apparait :

Il suffit d’appuyer sur [Entrée] pour confirmer que vous souhaitez bien procéder à l’installation, ensuite celle-ci démarre.

La langue que vous souhaitez utiliser pendant l’installation vous est alors demandé, suivi d’un message d’accueil.

Il vous sera ensuite proposé de choisir le type de support d’installation, votre machine n’étant pas forcément reliée à internet et tous les fichiers nécessaires à l’installation se trouvant déjà sur le CD-ROM, vous sélectionnerez ce mode d’installation.

Un message de confirmation vous demandant d’insérer le CD d’ IPCop dans le lecteur s’affiche, ce message est normal, sélectionner [OK].

Page 6 - 29

Page 7: IPCOP Explication

Ensuite, un avertissement vous informe que votre disque dur va être partitionné et qu'un nouveau système de fichiers va être installé sur celui-ci, sélectionner à nouveau [OK].

Le partitionnement du disque et l’installation des fichiers commencent alors, cette étape terminée il vous sera demandé si vous souhaitez ou non restaurer une configuration d’un système IPCop défunt… Cette option est très pratique si vous désirez créer plusieurs IPCop avec les mêmes réglages à partir de configurations identiques.

Dans notre cas il s’agit de notre première installation, sélectionner [Passer] pour poursuivre l’installation.

IPCop : Tutorial de l' installation (2/3)

Une nouvelle fenêtre concernant la configuration du réseau s’affiche alors :

Il s’agit ici de rechercher une carte réseau qui sera utilisée pour l’interface verte, une fois cette carte réseau détectée il vous sera demandé de spécifier une adresse privée : cette adresse correspondra à la passerelle des ordinateurs du réseau vert.

Note : il est conseillé de faire une recherche plutôt que de sélectionner manuellement une carte dans la liste (Rappel : les cartes X à base de chipset Y reconnues comme des cartes Y par Windows sont à éviter)

Sélection de l’adresse IP de l’interface verte, par exemple 192.168.1.1 :

Un message s’affiche ensuite vous indiquant qu’ IPCop s’est installé avec succès et vous demande de retirer le

Page 7 - 29

Page 8: IPCOP Explication

CD d’installation du lecteur, une fois le CD éjecté appuyer sur [Entrée].

Le système redémarre alors, l’installation se poursuit et la disposition de votre clavier vous est maintenant demandée, sélectionner « fr-latin1 » puis [OK], sélectionner ensuite « Europe/Paris » comme fuseau horaire (du moins si vous êtes en France).

Un nom d’hôte vous sera ensuite demandé, il correspond au nom sous lequel votre serveur IPCop apparaitra sur le réseau, viendra ensuite le nom de votre domaine (laisser « localdomain » si vous n’en avez pas).

Arrive désormais l’étape de configuration du modem (si existant) :

• Si vous possédez un modem pour vous connecter à Internet, vous pouvez relier celui-ci directement à votre IPCop, si tel est le cas il vous faudra sélectionner un périphérique dans la liste disponible (« *AUTODETECT* » permet de simplifier la recherche), puis activer le RNIS en poursuivant la suite de l’installation avec le bouton correspondant. Votre modem sera ainsi défini comme interface rouge.

• Si vous ne possédez pas de modem, sélectionner « Désactiver RNIS (ISDN) » pour poursuivre l’installation, une de vos cartes réseaux désignera automatiquement l’interface rouge dans la suite du processus d’installation.

IPCop : Tutorial de l' installation (3/3)

Apparaît alors le choix du type de configuration réseau :

C’est ici que nous allons choisir le type de configuration qu’ IPCop va adopter :

Page 8 - 29

Page 9: IPCOP Explication

• choix du type d’interfaces (rouge, verte, bleu et orange) • affectation des cartes réseaux à une interface • configuration de l’adressage IP des cartes réseaux • configuration du serveur DNS et de la passerelle (dans le cas où l’interface rouge n’est pas configurée

via un DHCP ou un modem).

Une fois cette étape terminée, sélectionner [Continuer] pour passer à l’étape suivante.

Désormais il va falloir configurer une adresse pour chaque interface. L’interface rouge peut être statique, dynamique, PPPoE ou PPTP (si modem) :

Il s’agit ici de définir les adresses IP des différentes interfaces, ces adresses correspondront à la passerelle sur les postes qui seront connectés derrière ces interfaces.

Concernant les interfaces verte, bleu et orange la configuration est identique :

Si vous n’avez pas activé l’adressage via DHCP ( Dynamique ), il faudra préciser une configuration de la passerelle et du DNS que l’interface rouge devra utiliser.

IPCop : Accès et commande setup

Une fois le menu de configuration du réseau passé, il vous est possible de créer un serveur DHCP pour l’interface verte.

Le DHCP permet d’allouer de façon dynamique une adresse IP, une passerelle et des adresses de serveurs DNS à un client qui se connecte sur le réseau. Ce type de service est très pratique lorsque l’adresse d’un serveur DNS

Page 9 - 29

Page 10: IPCOP Explication

ou d’une passerelle change : en effet il n’est alors pas nécessaire de reconfigurer tous les postes du réseau ! Il facilite également l’ajout d’un poste sur le réseau.

Les mots de passe des comptes « root » et « admin » vous seront ensuite demandés, le compte « root » a la possibilité de se connecter en local ou en SSH à l’ IPCop tandis que le compte « admin » permet d’accéder à l’interface web d’administration de celui-ci.

Attention :Même si vous avez sélectionné un clavier français lors de l’installation, celui-ci est encore considéré comme un clavier QWERTY : il faudra donc en tenir compte lorsque vous saisirez les mots de passe sous peine de mauvaise surprise lors de la première identification!!

Une fois ces étapes passées, un message vous informe que l’installation est terminée et que l’ordinateur va maintenant redémarrer.

Vous pourrez désormais accéder à l’interface web d’ IPCop en entrant l'une des adresses suivantes :

• http://AdresseIpInterfaceVerte:81

• https://AdresseIpInterfaceVerte:445

sur le navigateur internet de n’importe quel poste présent sur l’interface verte, par exemple :

• http://192.168.1.1:81

Cliquez sur « Connexion » dans l’interface web pour activer le trafic internet, un nom d’utilisateur et un mot de passe vous sont alors demandés, le nom d’utilisateur est ici « admin » et le mot de passe correspond à celui que vous avez défini pendant l’installation.

Une fois l’accès SSH activé dans le menu « Système » vous pourrez utiliser le compte « root » pour accéder au Shell ou envoyer des fichiers ( plug-ins par exemple ) sur votre serveur IPCop.

Remarque concernant la commande " Setup " :Tout ce qui a été défini au-delà de l’extraction du CD-ROM d’installation et du redémarrage de la machine, peut être modifié en tapant la commande « setup » dans le Shell ( en local ou en SSH ).

IPCop : Conclusion

Page 10 - 29

Page 11: IPCOP Explication

• CONCLUSION

IPCop permet d’utiliser une machine de récupération, même très vieille (64Mo de RAM, processeur à 233 MHz) pour couvrir les besoins en sécurité internet de la plupart des PME, il vous permettra ainsi de réaliser des économies par rapport à d’autres solutions disponibles sur le marché réalisant la même tâche.

À la fois complet et léger vous ne pourrez plus vous en passer une fois que vous aurez goûté à son interface d’administration très simple et intuitive. Par ailleurs ce système ne demande aucune maintenance particulière et est conçu pour fonctionner non-stop pendant des mois sans avoir besoin de redémarrer.

La possibilité d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil à la fois fiable et évolutif. Par ailleurs, la facilité d'installation des mises à jour et la non-nécessité de redémarrer est un plus non négligeable. Seule ombre au tableau : celles-ci ne s'effectuent pas de façon automatique et il faut donc les vérifier de temps en temps à l'aide de l'onglet prévu à cet effet...

L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est plus nécessaire d'avoir un firewall d'installé sur chaque poste du réseau, le serveur se chargeant d'effectuer le filtrage en amont. En revanche, cela demande tout de même d'avoir un ordinateur supplémentaire qui sera installé sur site. Contrainte que possède IPCop par rapport à des solutions physiques payantes qui prennent elles moins de place et qui possèdent parfois des règles de filtrage que l'ont peut un peu plus affiner, mais le coût de ce genre de solution ( surtout si elles gèrent le VPN ) n'a rien à voir avec celui d'un IPCop !

Un dossier concernant l’interface web d’administration est également disponible pour vous perfectionner dans l'art d'installer et de gérer un serveur IPCop.

IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à assurer la sécurité de votre réseau. Après avoir présenté son fonctionnement et son installation dans un précédent dossier, nous détaillerons dans ce guide plus en détail l'interface web d'administration et les services proposés.

IPCop : Présentation de l'interface web d'administration

IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. Après avoir passé au crible le principe de fonctionnement et l’installation de ce système nous allons rentrer un peu plus dans les détails et nous pencher sur la configuration

Page 11 - 29

Page 12: IPCOP Explication

des fonctions proposées par IPCop à l’aide de l’interface web d'administration de celui-ci.

Chaque menu va être détaillé et expliqué, à l'exception des services qui feront l'objet d'un prochain dossier. Les moins expérimentés d’entre vous pourront donc découvrir les principes de l'interface web de controle d'IPCop au travers de ce dossier tandis que les plus expérimentés trouveront un complément d’information à leurs connaissances.

L’interface graphique d’IPCop se compose de sept onglets (huit si vous utilisez CopFilter), ils font référence aux différentes possibilités offertes :

• Onglet Système

Tout ce qui concerne de près ou de loin le système en lui-même, c'est-à-dire la vérification et l'installation des mises à jour, la modification des mots de passes, les sauvegardes, l'activation de l'accès SSH, et consorts.

• Onglet Etat

Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci : services actifs, utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de trafic et d’utilisation de la mémoire, connexions actuelles,…

• Onglet Réseau

Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface rouge est composée d’un modem (et non un routeur ou modem-routeur) vous pouvez le configurer et gérer la connexion de celui-ci dans les menus de cet onglet. Il s'agit là de spécifier les paramètres de connexion ou d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de l'installation.

Page 12 - 29

Page 13: IPCOP Explication

IPCop : Présentation de l'interface (suite)

• Onglet Services

Etant donné le nombre de services et d'options de configuration possibles pour ceux-ci, plus de détails seront founi dans un futur dossier. En revanche vous pouvez consulter un rapide decriptif de ces services dans notre précédent dossier consacré à la découverte et l'installation d'IPCop.

• Onglet Pare-feu

Comme pour tout bon firewall qui se respecte, il est possible de désactiver le ping et d’ouvrir des ports pour laisser passer des applications ou même de rediriger ceux-ci pour plus de précision (PAT pour Port Area Translation).

• Onglet RPVs

Il est possible de créer des réseaux privés virtuels (plus connus sous le nom de VPN pour Virtual Private Network) pour relier les réseaux locaux de deux IPCop. Ce menu vous permettra de mettre ces réseaux en place et de contrôler leur état.

Page 13 - 29

Page 14: IPCOP Explication

• Onglet Journaux

Obtenir un suivi des évènements au travers de journaux (ou logs) est indispensable pour détecter la cause de problèmes, qu’il s’agisse du pare-feu, du noyau du système, ou encore des adresses bloquées par le filtreur d’url.

Nous allons maintenant aborder avec le plus de détails possibles les fonctions proposées dans chacun de ces onglets.

IPCop : Onglet Système

• SYSTEME

Accueil : C’est la première page qui s’affiche lorsque l’on tape l’adresse de l’interface web d’administration d'IPCop dans le navigateur (http://AdresseIpInterfaceVerte:81 pour rappel).

Sur cette page il vous est possible de couper tout le trafic passant par IPCop via le bouton [Déconnexion] (la connexion s’établit de manière automatique lors du démarrage du serveur), mais également de consulter le temps depuis lequel la connexion est établie.

D’autres informations relatives à l’interface rouge sont disponibles : nom d’hôte sur le réseau du FAI, date d’installation de la dernière mise à jour effectuée, également l’heure du serveur et le nombre d’utilisateurs connectés (à l’interface ou en SSH).

Page 14 - 29

Page 15: IPCOP Explication

Mises à jour :Des mises à jour paraissent tous les un à deux mois pour le système, apportant de nouvelles options ou tout simplement des corrections de bugs.

Les mises à jour s’installent très simplement : il suffit de cliquer sur [Détails], de télécharger le fichier sur le système local, puis d’uploader ce fichier sur le serveur via les boutons [Parcourir] et [Chargement] de la page. Il n’est pas nécessaire de redémarrer le serveur pour que les mises à jour prennent effet.

La roadmap (feuille de route) de la version 1.5 d’IPCop prévoit l’automatisation du téléchargement et de l’installation des mises à jour sur le serveur.

Il est aussi possible dans ce menu de vider le cache du serveur (le /var/log) à l’aide du bouton [Vider le Cache] prévu à cet effet.

Mots de passe :Les mots de passes admin (pour l’accès à l’interface web) et dial (utilisateur seulement autorisé a connecter ou déconnecter la connexion par modem) peuvent être modifiés sur cette page. Ces mots de passes doivent contenir au moins 6 caractères (plus conseillés). Le mot de passe admin peut également être modifié via la commande setup en SSH (qui permet par ailleurs de modifier le mot de passe root).

Page 15 - 29

Page 16: IPCOP Explication

Accès SSH :L’accès SSH n’est pas activé par défaut, et peut ne pas l’être si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA et DSA, elles sont cryptées sur 1024 bits.

Il est possible de refuser le transfert SCP, empêchant ainsi de copier des fichiers sur IPCop avec WinSCP (par exemple). D’autres options relatives à la version du client SSH utilisé et à l’authentification par mot de passe et clés publiques sont de la partie.Bien entendu, toute modification doit être validée à l’aide du bouton [Enregistrer] pour être prise en compte…

IPCop : Onglet Système (suite)

Interface Graphique :L’interface graphique d’IPCop peut être un petit peu personnalisée, rien de bien transcendant mis à part le choix de la langue de celle-ci. On peut aussi choisir d’afficher le nom de la machine dans la barre de titre du navigateur (définit au préalable lors de l’installation du système ou via la commande setup).

Les autres options ne concernent pas directement, ou pas du tout, l’interface graphique mais ont tout de même leur utilité : autoriser le JavaScript, activer le rafraichissement automatique de la page d’accueil et activer les bips de connexion / déconnexion (en effet cela permet de savoir si IPCop a fini de démarrer et est connecté lorsque l’on redémarre celui-ci et que bien entendu il est dépourvu d’écran et autres périphériques).

Toute modification est prise en compte à l’aide du bouton [Enregistrer]. Il est par ailleurs possible de remettre à zéro celle-ci grâce au bouton [Restaurer les paramètres par défaut].

Page 16 - 29

Page 17: IPCOP Explication

Sauvegarde :Comme tout système informatique, les pannes hardware ou software sont rares mais existent. Avec IPCop il est possible de réaliser deux types de sauvegardes : une première sur la machine, et une seconde sur disquette.

Les sauvegardes sur la machines sont à considérer comme des points de restauration qui permettent de revenir à une configuration précédente suite à une modification n’étant pas satisfaisante. Plusieurs sauvegardes de ce type peuvent être créées sur le système, il est d’ailleurs possible de sauvegarder la dernière en date sur l’ordinateur local et de la restaurer à l’aide des boutons [Parcourir] et [Importer dat].

Les sauvegardes réalisées sur disquettes sont précieuses en cas de panne sévère. En effet, si vous devez réinstaller complètement le système cette disquette de sauvegarde vous sera demandé à l’installation et vous fera ainsi gagner un temps précieux (en effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de la sauvegarde, sans intervention de votre part). Bien entendu, si votre IPCop ne contient pas de lecteur de disquette ou que celui-ci n'est pas monté vous ne pouvez pas effectuer ce type de sauvegarde ;-)

Arrêter :Il est possible de redémarrer ou d’arrêter le système a distance à l’aide des boutons éponymes.Depuis la version 1.4.10 d’IPCop vous pouvez également planifier un redémarrage ou un arrêt fixe de votre machine IPCop (au quart d’heure près).

Page 17 - 29

Page 18: IPCOP Explication

Crédits :IPCop est un projet OpenSource sous licence GNU / GPL, toute une communauté de développeurs se charge donc de maintenir et d’optimiser ce projet. Il est par conséquent normal que le nom de ces personnes apparaisse sur IPCop. Cette liste est lisible dans cette section. Par ailleurs, les adresses mails de ces personnes figurent si vous aviez besoin de les contacter pour faire avancer le projet.

IPCop : Onglet Etat

• ETAT :

Les menus de l'onglet « Etat » sont tous à titre informatif. En effet, aucune modification n’est effectuée depuis ceux-ci, ils sont donc là pour fournir des informations et non permettre une quelconque configuration.

Etat du système :Ce menu permet, comme son nom l’indique, de consulter l’activité du système. En effet vous obtenez de celui-ci une vue globale du système et des services.

Page 18 - 29

Page 19: IPCOP Explication

Les services du système sont listés avec leur état. On remarquera que certains ne peuvent être désactivés à l’aide de l’interface web, ceci sera surement possible dans les versions futures…

Le résultat de la commande "w" figure aussi, vous permettant ainsi de savoir quel utilisateur est connecté à IPCop (en local ou en SSH), ce qu’il fait et depuis combien de temps.

Les modules chargés apparaissent également (commande "lsmod"), ainsi que la version du noyau utilisée.

Etat du réseau :Comme pour le menu système, tout ce qui figure ici est à titre informel, mais non dénué d’intérêt !

Vous retrouverez ici la configuration de vos interfaces réseau classées par couleur.

Pour chaque interface vous aurez l’adresse MAC de la carte utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de la MTU utilisée, ainsi que l’état du transfert des paquets (commande "ifconfig").Figurent aussi les entrées de la table de routage et la table ARP (pour Adresse Resolution Protocol), logiquement la liste devient plus importante lors de l’activation du serveur DHCP…

IPCop : Onglet Etat (suite)

Graphiques système :Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources matérielles (processeur, mémoire, swap et accès disque), mais permettent également d’identifier les pics de sollicitation des ressources

Page 19 - 29

Page 20: IPCOP Explication

par plage horaire.

Les légendes des graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer sur le graphique d’un élément affiche les graphiques de cet élément avec d’autres unités temporelles (jour, semaine, mois, année) vous permettant ainsi d’obtenir une vue d’ensemble de l’utilisation.

Courbes de trafic :Les courbes de trafic représentent le niveau de sollicitation de la bande passante par rapport au temps, là aussi il s’agit d’identifier les pics d’utilisation et de saturation du trafic.

Tout comme les graphiques système, lorsque vous cliquez sur un graphique vous obtenez une vue dans une autre unité de temps.

Page 20 - 29

Page 21: IPCOP Explication

Connexions :Il est possible de suivre en temps réel les communications établies entre IPCop et les éléments qui l’entourent. Le tableau des connexions vous permet de suivre celles-ci, les adresses ip et les ports utilisés y sont répertoriés ainsi que d‘autres informations (protocole, bail, zone, ack, etc…)

IPCop : Onglet RPVs

• RPVs

L’onglet RPVs ne contient qu’un seul menu du même nom. Vous aurez remarqué que les différents onglets sont relatifs à des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) étant un domaine complètement à part au regard des autres catégories proposées par IPCop.

Un VPN consiste à utiliser ce que l’on appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,…) pour relier deux réseaux physiques en utilisant un réseau non sécurisé, mais fiable, la finalité étant que ces deux réseaux distincts ne forment plus qu’un seul et même réseau.

Le VPN est très à la mode ces derniers temps. En effet, avec la généralisation du haut débit il est moins couteux pour une entreprise de relier les réseaux de ses agences à l’aide d’un VPN qu’en utilisant une Ligne Spécialisée (LS, ce qui revient à louer une liaison « directe » partant d’un point A à un point B à un prestataire télécom) qui est très coûteuse, mais certes plus sure qu’un VPN puisque transitant par un réseau entièrement sécurisé.

Même s’il transite par internet, le VPN est tout de même une technique très sécurisée, avec des systèmes de chiffrement et des moyens de contrôle plus ou moins puissants selon le protocole que l’on choisira.Dans le cas d’IPCop c’est le protocole IPSec qui est utilisé. Ce dernier est supporté par la plupart des systèmes d’exploitations et périphériques actuels (Windows, Linux, Mac OS, …). Il travaille sur une couche de niveau 3

Page 21 - 29

Page 22: IPCOP Explication

du modèle OSI, ce qui permet d’avoir un suivi de l’activité au niveau du paquet.

Deux modes de VPN sont ici possibles :

• Réseau à réseau : consiste à relier deux réseaux physiques entre eux.

• Système à réseau : consiste à relier une machine nomade au réseau.

Pour créer un nouveau VPN il faut cliquer sur le bouton [Ajouter], sélectionner le mode souhaité puis [Ajouter], remplir les informations souhaitées et sélectionner la méthode d’authentification :

• Clé partagée (PSK) : il s’agit là d’une "pass-phrase" qui sera connue des deux côtés.

• Générer un certificat : en fonction des informations remplies, un certificat est généré par la machine sur le principe des clés publiques. Ceci caractérise la partie droite du réseau, la partie gauche s’identifiera ensuite en faisant Transférer un certificat à partir du certificat de la partie droite (Télécharger le certificat dans la partie Autorités de certification de la page RPVs) .

On validera ou annulera ensuite avec les boutons correspondants situés en bas de page.

Une fois le VPN créé, on pourra l’activer ou le désactiver avec la case correspondante, redémarrer la connexion, afficher le certificat, éditer les paramètres de celui-ci ou le supprimer.

Page 22 - 29

Page 23: IPCOP Explication

Note : Dans le cas de l'utilisation de la zone bleue d'IPCop (Wi-Fi), on pourra la faire communiquer avec la zone verte à l'aide d'un VPN (voir l'explication).

IPCop : Onglet Pare-feu

• PARE-FEU :

Transfert de ports :Il s’agit là du Port Address Translation (PAT, parfois aussi nommé Port Forwarding), qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port d’une machine faisant partie d’une des zones d’IPCop.

Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés par http (ici TCP, il faudra donc créer une règle pour ce protocole) et rediriger les paquets vers l’adresse IP de votre serveur web (192.168.1.250 par exemple) sur le port HTTP (80 par défaut, 8080 parfois).

Une fois les redirections créées vous pourrez tout à fait les désactiver, modifier, ajouter d’autres adresses ayant l'accès (si vous souhaitez effectuer un filtrage précis en fonction des adresses IP pouvant accéder à votre serveur web), ou tout simplement supprimer cette règle si elle ne vous est plus utile.La liste des ports en fonction du protocole utilisé est gérée par le IANA (Internet Assigned Numbers Authority) et est disponible ici.

Accès externes :Vous pouvez ouvrir des "brèches" dans le fire-wall pour ouvrir complètement un accès au réseau sur un port,

Page 23 - 29

Page 24: IPCOP Explication

c'est-à-dire que les ports choisis seront complètements ouverts, ceci peut être utile pour autoriser l’accès à l’interface de configuration ou l’accès en SSH à IPCop depuis la zone rouge (Internet par exemple).

Pour sécuriser un petit peu l'ouverture complète de ces ports, on pourra spécifier quelles adresses IP sont autorisées à les utiliser (dans le cas d’un serveur FTP dont on connaît les clients par exemple, ou l’adresse IP de l’administrateur distant).

Options du firewall :Dans ce menu vous avez la possibilité de choisir quelle interface répondra ou non au ping. On désactivera le ping pour des raisons de sécurité si on le souhaite (ce qui permet tout de même d’éviter certaines attaques).

IPCop : Onglet Réseau

• RESEAU :

Les menus de cet onglet vous seront utiles dans le cas de l’utilisation de l’interface rouge avec une connexion par modem. En effet, si vous utilisez une carte réseau pour l’interface rouge cet onglet ne vous sera d’aucune utilité.

Connexion :Dans ce menu vous allez pouvoir définir vos paramètres de connexion internet avec vos identifiants. Ces informations sont en général fournies par votre fournisseur d’accès à internet.

Toutes ces informations (identifiants, modem, serveur DNS,…) peuvent être sauvegardées dans 5 profils, vous permettant ainsi de vous connecter avec différents abonnements ou avec les paramètres de plusieurs abonnements de façon très simple sans avoir à ressaisir les données à chaque fois.

D’autres options permettent d’affiner un peu plus les paramètres de base, comme par exemple la possibilité de

Page 24 - 29

Page 25: IPCOP Explication

se déconnecter au bout d’un certain délai d’inactivité et de se reconnecter automatiquement si besoin avec même un autre profil si le profil actuel n’arrive pas à établir la connexion.

Remarque : on pourra, si on ne souhaite pas se rendre sur cette page fréquemment, utiliser l'utilitaire Copwatch pour paramétrer, établir et contrôler la connexion d'IPCop directement sous Windows.

Chargement :Par défaut IPCop reconnait beaucoup de modems, mais en cas de problème de détection avec le votre, il est possible de récupérer le driver Fritz!DSL de celui-ci s’il ne fait pas partie de la liste de modems reconnus par IPCop.

Modem :Il est possible de personnaliser les réglages propres à la connexion du modem au travers de ce menu.Attention ceci est réservé à un public averti ! En cas de mauvaise manipulation, vous pourrez remettre les paramètres par défaut à l’aide du bouton correspondant.

Page 25 - 29

Page 26: IPCOP Explication

Alias :Dans le cas où votre FAI vous a fournit une plage d’adresses ip publiques, vous pourrez créer des alias pour que les adresses de cette plage soient distribuées sur l’interface rouge : dans le menu « Etat du réseau » votre interface rouge aura ainsi plusieurs adresses ip (utile dans le cas de serveurs web et ftp).

IPCop : Onglet Journaux

• JOURNAUX

Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques…Lorsque l’on cliquera sur une adresse IP dans les journaux, une page de whois s’ouvrira alors, permettant d’obtenir des informations sur l’origine de cette adresse.

Page 26 - 29

Page 27: IPCOP Explication

Configuration des journaux :Il est possible via ce menu de paramétrer le type de classement (ordre chronologique ou non), le nombre de lignes par page, la durée pendant laquelle les résumés des journaux seront conservés ainsi que leur niveau de détail. Il est par ailleurs possible d’enregistrer ces journaux sur un serveur distant (serveur syslog) : pratique car dans les cas de plusieurs serveurs on consultera l’ensemble de leurs journaux au même endroit.

Résumé des journaux :Comme son nom l’indique, on retrouvera ici un résumé des journaux. Il s’agit là de faire un rapide bilan sur les activités du serveur web (pour l’interface d’administration), le pare-feu et l’espace disponible sur les partitions montées.

IPCop : Onglet Journaux (suite)

Journaux du pare-feu :

Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont organisés par date, différentes informations relatives à la communication sont ensuite disponibles sous forme d’un tableau :

Heure Chaine Interface Protocole IP SourcePort Source

Adresse MAC

IP Destination Port Destination

Page 27 - 29

Page 28: IPCOP Explication

Journaux IDS :Les journaux du Système de Détection d’Intrusion (Intrusion Detection System en anglais, d’où IDS) sont relatifs au service de Détection d’Intrusion d’IPCop qui agit en fonction des règles Snort (enregistrement gratuit nécessaire pour pouvoir bénéficier de ce service).

Dans ces journaux, les « attaques » sont recensées là aussi sous forme de tableaux. Elles sont triées par date, une priorité est affectée en fonction du type de menace identifié, le nom de celle-ci, son type et l’adresse source de l’attaque.

Journaux Système :A chaque fois qu’une modification sera effectuée (via l’interface web ou non) ou qu’un évènement arrivera (arrêt du système ou d’un service, redémarrage d’une interface réseau,…) cela figurera dans ce journal.

IPCop : Conclusion

Page 28 - 29

Page 29: IPCOP Explication

• CONCLUSION

L’interface d’administration d’ IPCop rend accessible des choses qui ne le seraient pas forcément s’il fallait avoir recours à la ligne de commande. Cela permet également et surtout aux personnes n’ayant pas de connaissances poussées en Linux d’utiliser et de gérer le plus simplement du monde cette distribution.

Il est toutefois possible pour ceux qui le désirent d’effectuer toutes ces manipulations via l’interface SSH, ceci est cependant réservé aux plus experts d’entre vous.

Un autre dossier va suivre celui-ci et clôturera la " trilogie " des dossiers consacrés à IPCop. Ce futur dossier concernera les menus de l’onglet Services.

Page 29 - 29