IPCOP Install

7/23/2019 IPCOP Install

1/13

Firewall IPCop : scuriser son rseau avec

Linux

IPCop est un systme d'exploitation complet bas sur un noyau Linuxoptimis qui est destin assurer la scurit de votre rseau.

Utilisant trs peu de ressources systmes, il peut tre install surun vieux PC !"##$%& ()$o de *+$ et -era o--ice de pare-eu trsper-ormant pour l'ensemble de vos ordinateurs.

INTRODUCTION

IPCopest un projet Open Source dont le but est dobtenir une distribution Linuxcompltement ddie la scurit et aux services essentiels d'un rseau. Ce sstme

d'exploitation part entire !onctionne sur une mac"ine ddie# et utilise trs peu deressources sstmes $un ordinateur PC %uip de & (o de mmoire vive et d'unprocesseur)** (+, su!!it-. Plus concrtement# IPCop va jouer le rle dintermdiaire entre un rseauconsidr comme non s/r $Internet- et un rseau %ue lon sou"aite scuriser $le rseau local

par exemple-# tout en !ournissant des services permettant la 0estion et le suivi de celui1ci.

Pour ce !aire# un ordinateur muni de plusieurs cartes rseau sera ncessaire# alors %uel'installation est la porte de toute personne possdant un minimum de notions en rseau IPet en sstme Linux $adressa0e# pin0# commandes s"ell de base-# pas la peine donc d'2tre unexpert 31-.

4ans ce tutorial nous aborderons dans un premier temps le !onctionnement des inter!aces dupare1!eu $ou !ire5all-# les di!!rents services proposs par IPCop# les plu01ins disponiblesainsi %ue leurs !onctions. Puis# dans un second temps# nous dtaillerons linstallation dunserveurIPCop avant de conclure en comparant ce sstme par rapport d'autres solutionsexistantes.

4velopp initialement partir du code source dun projet similaire nomm Smoot"6all#IPCop et celui1ci ont maintenant pris une orientation di!!rente $cependant la procduredinstallation des deux sstmes reste %uasi identi%ue# ce dossier pourra donc vous servir sivous le sou"aite, installer un serveur Smoot"6all7-.

La con!i0uration des services via linter!ace 5ebdadministration !era %uant elle lobjetdun !utur dossier.

FIREWALL ET ROUTAE

La partie !ire5all dIPCop se compose de plusieurs inter!aces dont c"acune peut 2tre ou nonutilise# lexception de linter!ace rou0e# %ui elle# est obli0atoire 8
http://www.generation-nt.com/divers/click.php?id=9759&url=http%3A%2F%2Fwww.ipcop.org%2Fhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/divers/click.php?id=9760&url=http%3A%2F%2Fwww.smoothwall.org%2Fhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/divers/click.php?id=9759&url=http%3A%2F%2Fwww.ipcop.org%2Fhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/divers/click.php?id=9760&url=http%3A%2F%2Fwww.smoothwall.org%2Fhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html


2/13

Rou!e

9one du rseau ris%ue $ Internet -.

"er#

9one du rseau prot0er $ rseau local -.

$leu

9one spci!i%ue pour les prip"ri%ues sans !il. Il nest possible de !aire communi%uerlinter!ace :erte et linter!ace ;leu %uen crant un :Pric ;oni!ace sont disponiblesici.

Oran!e

9one dmilitarise $ 4(9 -# cette ,one est considre comme publi%ue# elle estaccessible de lextrieur mais ne possde aucun accs sortant $pour des serveurs 5eb

par exemple-.

Le routa0e se!!ectue de !a?on automati%ue entre linter!ace dentre du tra!ic $rou0e- et lesinter!aces de sortie $vert# bleu etoran0e-. Il su!!it pour cela %ue c"a%ue mac"ine possdecomme passerelle l'adresse IP de la carte d'inter!ace derrire la%uelle elle se situe $parexemple @A).@&B.@.@ comme passerelle car il s'a0it de l'adresse IP de l'inter!ace verte-.

:oici un exemple plus parlant de sc"ma rseau ralisable avec IPCop 8
http://www.generation-nt.com/divers/click.php?id=9759&url=http%3A%2F%2Fwww.ipcop.org%2Fmodules.php%27op%3Dmodload%26name%3DphpWiki%26file%3Dindex%26pagename%3DIPCop140BlueVpnHowtoFRhttp://www.generation-nt.com/divers/click.php?id=9759&url=http%3A%2F%2Fwww.ipcop.org%2Fmodules.php%27op%3Dmodload%26name%3DphpWiki%26file%3Dindex%26pagename%3DIPCop140BlueVpnHowtoFRhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.htmlhttp://www.generation-nt.com/divers/click.php?id=9759&url=http%3A%2F%2Fwww.ipcop.org%2Fmodules.php%27op%3Dmodload%26name%3DphpWiki%26file%3Dindex%26pagename%3DIPCop140BlueVpnHowtoFRhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html


3/13

%ER"ICE%

Les services permettent de crer di!!rents serveurs# ou tout simplement d'ajouter un rle a!in%u'IPCop soit plus %u'un simple !ire5all $ pare1!eu -.

4ivers services sont disponibles avec IPCop# certains peuvent 2tre dsactivs tandis %ue

dautres %ui sont ncessaires ne peuvent l2tre. Seuls les services visibles depuis l'on0let Etat du systme vont 2tre exposs ici# bien entendu d'autres sont disponibles mais ils !erontl'objet d'un !utur dossier concernant l'inter!ace 5ebd'administration.

4escription des services 8

RP"

ce service vous permet de crer un Dseau Priv :irtuel $ :P< pour les intimes - entrevotre IPCop et un autre IPCop. Il peut etre dsactiv si l'on ne !ait pas de :P


4/13

rseau sont con!i0ures en mode F client DHCPG $ H


5/13

CopFil#er

On ne peut pas vraiment d!inir CopMilter de plu01in tellement ltendu de ce %uilapporte IPCop est importante. CopMilter re0roupe en !ait un ensemble de plu01ins

permettant de!!ectuer un contrle antivirus sur les e1mails entrants# de stopper lespam $ pourriel -# de!!ectuer des tEc"es de monitorin0# etc.

Demar%ue 8 tous les plu01ins s'installent et se dsinstallent de la m2me !a?on. Pour installer unplu01in il vous su!!it de tlc"ar0er le !ic"ier d'installation sur votre ordinateur# de le copiersur votre serveur IPCop laide de lutilitaire 6inSCP$attention il !aut utiliser le port ))) etnon le port )) par d!aut- puis en!in de taper ces commandes en SS+ 8

#ar 2x34 5ipcop2NomDuPlugin2VersionDuPlugin6#ar6!3

ipcop2NomDuPlugin7ins#all

ne !ois installs# les plu01ins seront disponibles immdiatement dans linter!ace 5eb $aucunredmarra0e nest ncessaire-.

Pour dsinstaller un plu01in il su!!it de taper dans le S"ell la commande 8

ipcop2NomDuPlugin7unins#all

Cette liste de plu01ins nest bien s/r pas ex"austive# il sa0it l uni%uement des plu01ins lesplus connus pour IPCop. noter %u' dvProx et DL Milter sont 0alement disponibles pourSmoot"6all.

A##en#ion :

Certains plu01ins# comme CopMilter# ncessitent des ressources sstmes plus importantes%uun IPCop de base $il !aut alors compter sur un PC %uip d'un processeur * (", et de)&(o de mmoire vive-.

CONFIURATION 8ATERIELLE

>tant dpourvu de tout lment non ncessaire au bon !onctionnement du sstme $pas decouc"e 0rap"i%ue# commandes et services non utiles supprims# etc.-# IPCop ne ncessite pasune 0rosse con!i0uration pour !onctionner convenablement $un ordinateur PC aant un

processeur )** (", et & (o de mmoire vive su!!it pour un rseau dune vin0taine depostes-.

Cependant votre mac"ine devra possder au moins autant de cartes rseaux %ue dinter!aces
http://www.generation-nt.com/divers/click.php?id=12609&url=http%3A%2F%2Fwww.copfilter.net%2Fhttp://www.generation-nt.com/telecharger/fiche/330/WinSCP/http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-4.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-4.htmlhttp://www.generation-nt.com/divers/click.php?id=12609&url=http%3A%2F%2Fwww.copfilter.net%2Fhttp://www.generation-nt.com/telecharger/fiche/330/WinSCP/http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-4.html


6/13

%ue vous compte, exploiter $sau! si vous utilise, un modem pour linter!ace rou0e- ainsi%uun lecteur C41DO( pour e!!ectuer linstallation. Il peut 2tre 0alement utile dajouter unlecteur de dis%uettes si lon sou"aite e!!ectuer et restaurer des sauve0ardes.

titre indicati!# la con!i0uration matrielle minimale est un processeur de tpe *B *)(o deD(#un dis%ue dur de *(o# et une carte rseau $si vous utilise, un modem-.

n cran et un clavier sont bien videmment ncessaires pour linstallation# mais dont onpourrait se passer une !ois celle1ci termine $ condition de dsactiver lerreur correspondant labsence de clavier au dmarra0e dans le ;IOS...-.

La souris ntant pas prise en c"ar0e il !audra se dplacer laide de la touc"e QTA$R dans lesmenus $un retour en arrire est possible laide de la combinaison Q%&IFTR QTA$R# toutcomme sous 6indo5s-# ceux1ci seront valids avec la touc"e QENTREER.

No#e :Il est conseill dutiliser des cartes rseaux de mar%ue ou de modle di!!rents pour lesinter!aces# ou alors de connaitre les adresse (C de celles1ci. >n e!!et# s'il a des cartesidenti%ues IPCop ne pourra les di!!rencier %ue par leur adresse (C.Par ailleurs les cartes rseaux dune mar%ue base de c"ip dun autre !abricant ne sont pasconseilles car elles ris%uent de ne pas 2tre reconnues lors de linstallation $par exemple unecarte rseau T base de c"ipset de mar%ue K %ui est reconnu comme un modle du

constructeur K dans 6indo5s-
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-4.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-4.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-4.html


7/13

IN%TALLATION

vant de se lancer dans linstallation d IPCop sous la !orme d'un tutorial# %uel%ues tapespralables sont ncessaires.

4ans un premier temps# vous devre, tlc"ar0er une ima0e iso de la dernire version d IPCop.

ne !ois lima0e 0rave sur un C4 il !audra vous assurer %ue votre ;IOS est bien con!i0urpour %ue votre ordinateur boot sur le C41DO(.

ne !ois lordinateur allum et le C4 dinstallation insr# au boot de la mac"ine cet cranapparait 8

Il su!!it dappuer sur QEn#reR pour con!irmer %ue vous sou"aite, bien procder linstallation# ensuite celle1ci dmarre.

La lan0ue %ue vous sou"aite, utiliser pendant linstallation vous est alors demand# suivi dunmessa0e daccueil.

Il vous sera ensuite propos de c"oisir le tpe de support dinstallation# votre mac"ine ntantpas !orcment relie internet et tous les !ic"iers ncessaires linstallation se trouvant dj

sur le C41DO(# vous slectionnere, ce mode dinstallation.


8/13

n messa0e de con!irmation vous demandant dinsrer le C4 d IPCop dans le lecteursa!!ic"e# ce messa0e est normal# slectionner QO9R.

>nsuite# un avertissement vous in!orme %ue votre dis%ue dur va 2tre partitionn et %u'unnouveau sstme de !ic"iers va 2tre install sur celui1ci# slectionner nouveau QO9R.

Le partitionnement du dis%ue et linstallation des !ic"iers commencent alors# cette tapetermine il vous sera demand si vous sou"aite, ou non restaurer une con!i0uration dunsstme IPCop d!unt7 Cette option est trs prati%ue si vous dsire, crer plusieurs IPCopavec les m2mes r0la0es partir de con!i0urations identi%ues.

4ans notre cas il sa0it de notre premire installation# slectionner QPasserR pour poursuivrelinstallation.

ne nouvelle !en2tre concernant la con!i0uration du rseau sa!!ic"e alors 8

Il sa0it ici de rec"erc"er une carte rseau %ui sera utilise pour linter!ace verte# une !ois cettecarte rseau dtecte il vous sera demand de spci!ier une adresse prive 8 cette adressecorrespondra la passerelle des ordinateursdu rseau vert.
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.html


9/13

No#e :il est conseill de !aire une rec"erc"e plutt %ue de slectionner manuellement unecarte dans la liste $Dappel 8 les cartes T base de c"ipset K reconnues comme des cartes K par6indo5s sont viter-

Slection de ladresse IP de linter!ace verte# par exemple @A).@&B.@.@ 8

n messa0e sa!!ic"e ensuite vous indi%uant %u IPCop sest install avec succs et vousdemande de retirer le C4 dinstallation du lecteur# une !ois le C4 ject appuer sur QEn#reR.

Le sstme redmarre alors# linstallation se poursuit et la disposition de votre clavier vous estmaintenant demande# slectionner F !r1latin@ G puis QO9R# slectionner ensuite F>uropeUParis G comme !useau "oraire $du moins si vous 2tes en Mrance-.

n nom d"te vous sera ensuite demand# il correspond au nom sous le%uel votre serveurIPCop apparaitra sur le rseau# viendra ensuite le nom de votre domaine $laisser Flocaldomain G si vous nen ave, pas-.

rrive dsormais ltape de con!i0uration du modem $si existant- 8
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.html


10/13

Si vous possde, un modem pour vous connecter Internet# vous pouve, relier celui1ci directement votre IPCop# si tel est le cas il vous !audra slectionner un

prip"ri%ue dans la liste disponible $F VJO4>J>CJV G permet de simpli!ier larec"erc"e-# puis activer le D ou PPJP $si modem- 8
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-7.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-6.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-7.html


11/13

Il sa0it ici de d!inir les adresses IP des di!!rentes inter!aces# ces adresses correspondront la passerelle sur les postes %ui seront connects derrire ces inter!aces.

Concernant les inter!aces verte# bleu et oran0e la con!i0uration est identi%ue 8

Si vous nave, pas activ ladressa0e via 4+CP $ 4nami%ue -# il !audra prciser unecon!i0uration de la passerelle et du 4


12/13

sur le rseau.

Les mots de passe des comptes F root G et F admin G vous seront ensuite demands# le compteF root G a la possibilit de se connecter en local ou en SS+ l IPCop tandis %ue le compte Fadmin G permet daccder linter!ace5ebdadministration de celui1ci.

A##en#ion :(2me si vous ave, slectionn un clavier !ran?ais lors de linstallation# celui1ci est encoreconsidr comme un clavier Z6>DJK 8 il !audra donc en tenir compte lors%ue vous saisire,les mots de passe sous peine de mauvaise surprise lors de la premire identi!icationYY

ne !ois ces tapes passes# un messa0e vous in!orme %ue linstallation est termine et %uelordinateur va maintenant redmarrer.

:ous pourre, dsormais accder linter!ace 5eb d IPCop en entrant l'une des adressessuivantes 8

##p:77AdresseIpInterfaceVerte:;

sur le navi0ateur internet de nimporte %uel poste prsent sur linter!ace verte# par exemple 8 ##p:77


13/13

CONCLU%ION

IPCop permet dutiliser une mac"ine de rcupration# m2me trs vieille $&(o de D(#processeur )** (+,- pour couvrir les besoins en scurit internet de la plupart des P(># ilvous permettra ainsi de raliser des conomies par rapport dautres solutions disponibles surle marc" ralisant la m2me tEc"e.

[ la !ois complet et l0er vous ne pourre, plus vous en passer une !ois %ue vous aure, 0o/t son inter!ace dadministration trs simple et intuitive. Par ailleurs ce sstme ne demandeaucune maintenance particulire et est con?u pour !onctionner non1stop pendant des mois sansavoir besoin de redmarrer.

La possibilit d'ajout de plu01ins et d'e!!ectuer des sauve0ardes !ait d' IPCop un outil la !ois!iable et voluti!. Par ailleurs# la !acilit d'installation des mises jour et la non1ncessit deredmarrer est un plus non n0li0eable. Seule ombre au tableau 8 celles1ci ne s'e!!ectuent pasde !a?on automati%ue et il !aut donc les vri!ier de temps en temps l'aide de l'on0let prvu cet e!!et...

L'avanta0e du serveur IPCop par rapport des solutions lo0icielles est %u'il n'est plusncessaire d'avoir un !ire5all d'install sur c"a%ue poste du rseau# le serveur se c"ar0eantd'e!!ectuer le !iltra0e en amont. >n revanc"e# cela demande tout de m2me d'avoir unordinateur supplmentaire %ui sera install sur site. Contrainte %ue possde IPCop par rapport des solutions p"si%ues paantes %ui prennent elles moins de place et %ui possdent par!ois

des r0les de !iltra0e %ue l'ont peut un peu plus a!!iner# mais le co/t de ce 0enre de solution$ surtout si elles 0rent le :P< - n'a rien voir avec celui d'un IPCop Y
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-9.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-9.htmlhttp://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-9.html

IPCOP Install

Documents

Transcript of IPCOP Install