La mise en place d’un pare-feu linux IPCOP
Transcript of La mise en place d’un pare-feu linux IPCOP
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
1/34
www.udivers.com www.udivers.com 1
Configuration de IPCOP
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
2/34
www.udivers.com www.udivers.com 2
Plan
Introduction
Quest-ce que Ipcop ?
Possibilit de mise en place dIpcop
Liste des services offerts par Ipcop
Configuration minimale requise
Installation dIpcop
Administration dipcop
Prsentation de linterface web
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
3/34
www.udivers.com www.udivers.com 3
Introduction
IPCOP est une passerelle qui intgre un pare-feu. Cest une
distribution linux faite pour protger un rseau des menaces
dInternet et surveiller son fonctionnement.
IPCOP est gratuit, il est tlchargeable sous forme dun fichier
image graver sur cd.
IPCOP est distribu sous la licence GPL , ce qui signifie en d
autres termes que le logiciel est distribuable gratuitement.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
4/34
www.udivers.com www.udivers.com 4
IPCOP permet de fonctionner sous plusieurs configurations
possibles :
- Partage dune connexion Internet : IPCOP sert alors de
passerelle entre Internet et le rseau interne.
- Partage dune connexion Internet avec une DMZ (zone
dmilitarise) : IPCOP sert de passerelle et gre une DMZ (il
faut donc 3 interfaces rseau). Les serveurs dans la DMZ
doivent tre en ip fixes, il suffit ensuite de configurer IPCOP
pour quil route les demandes venant dInternet vers lesserveurs adapts selon les ports.
- Partage dune connexion Internet + DMZ + point daccs wif:
IPCOP peut grer des clients wifi, il sont spars du rseau
interne.
mise en place dIpcop
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
5/34
www.udivers.com www.udivers.com 5
Dans la philosophie IPCOP, les zones sontschmatises par des couleurs :
- la zone RED reprsente internet.
- La zone ORANGE reprsente la DMZ. - La zone BLEU reprsente les clients wifi (qui
sont dans un rseau spar).
- La zone GREEN reprsente le rseau interne. - Enfin, la zone BLACK reprsente IPCOP lui-
mme.
mise en place dIpcop (suite)
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
6/34
www.udivers.com www.udivers.com 6
Le schma ci-dessous reprsente la configuration par dfaut du
pare-feu de la passerelle, savoir :
- Le rseau interne (le LAN) peut accder toutes les zones.
- La zone wifi peut accder internet et la DMZ.- La zone DMZ pourra accder internet.
- Aucun accs depuis Internet
-Pour autoriser un accs un serveur situ dans la DMZ (zone
orange), il faudra le spcifier au travers de linterface webdIPCOP.
mise en place dIpcop (suite)
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
7/34
www.udivers.com www.udivers.com 7
Schma reprsentant la configuration
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
8/34
www.udivers.com www.udivers.com 8
Les services offerts par Ipcop
interface web pour l'administration et la configuration
d'IPCOP en franais.
affichage de l'tat du systme et graphique
CPU/Mmoire/Disque/trafic sur priode
journalire/semaine/mois/anne.
Informations sur les connexions en cours.
Serveur SSH pour accs distant scuris.
Proxy HTTp/HTTPS. Serveur DHCP.
Cache DNS.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
9/34
www.udivers.com www.udivers.com 9
Les services offerts par Ipcop (suite)
Lissage de trafic.
Renvoi de ports TCP/UDP.
Support des DNS dynamiques.
systme de dtection d'intrusion (interne et externe). Support VPN pour relier des rseaux distants entre eux ou se
connecter distance un poste.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
10/34
www.udivers.com www.udivers.com 10
Les services offerts par Ipcop (suite)
Accs aux logs par interface web : du systme, de la
connexion vers Internet, du proxy, du firewall, de la dtection
des tentatives d'intrusion.
- Mise jour d'IPCOP par l'interface web.
- Sauvegarde de la configuration du systme sur disquette.
- Arrt/Redmarrage distance.
- Support des modems RTC/RNIS.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
11/34
www.udivers.com www.udivers.com 11
Les services offerts par Ipcop (suite)
- Support de la quasi-totalit des modems ADSL USB et PCI
- Possibilit d'utiliser une DMZ avec gestion des accs.
- Possibilit de scuriser un rseau sans fil.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
12/34
www.udivers.com www.udivers.com 12
Configuration minimale
586 ou quivalent
300 Mo d'espace disque
Au moins 20 Mo de RAM jusqu' 4 Go
Carte graphique compatible VGA pour l'installation une 4 interfaces rseau Ethernet
Connexion Internet (Modem, Cble, ISDN, ADSL,...)
Un lecteur cdrom pour linstallation.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
13/34
www.udivers.com www.udivers.com 13
Configuration minimale (suite)
Pour lutilisation de tous les services, en particulier pour le
serveur mandataire (proxy web / cache DNS), il faut mieux
prvoir un processeur type pentium 200, 64 Mo de ram, et
500 Mo de disque dur.
Lors de linstallation dIPCOP, le disque dur de lordinateur est
compltement utilis, quil soit petit ou gros. Il faut donc une
machine avec un seul disque (un deuxime disque dur serait
inutile et inutilisable car IPCOP ne sert qu faire passerelle et
rien dautre, et il nutilise quun seul disque dur).
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
14/34
www.udivers.com www.udivers.com 14
Installation dIpcop
IPCOP est disponible en tlchargement dans la section
download du site www.IPCOP.org.
IPCOP est disponible sous forme de fichier source compiler
et sous forme dune image graver sur un cd.
Pour installer IPCOP, le plus simple est de tlcharger limage
de sa version la plus rcente puis de la graver sur un cd
Le cd, une fois grav, est un cd bootable.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
15/34
www.udivers.com www.udivers.com 15
Installation dIpcop (suite)
D abor il faut s assurer que le disque dur ne contient aucune
information importante car IPCop va tout supprimer.
une fois le cd insr lcran suivant apparait aprs le
dmarrage Il faut cliquer sur entrer pour commencer l installation.
Ensuite, il faut simplement suivre les instructions.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
16/34
www.udivers.com www.udivers.com 16
Installation dIpcop (suite)
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
17/34
www.udivers.com www.udivers.com 17
Les principales fentre dinstallation
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
18/34
www.udivers.com www.udivers.com 18
Ensuite, il faut configurer cette carte rseau, on entre donc ladresse ip
de la passerelle (on est dans la zone verte ).
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
19/34
www.udivers.com www.udivers.com 19
Allez dans Type de configuration rseau pour choisir
larchitecture du rseau.
Voici les possibilits proposes :
- GREEN (RED is modem/ISDN)
- GREEN + ORANGE (RED is modem/ISDN)
- GREEN + RED
- GREEN + ORANGE + RED
- GREEN + BLUE (RED is modem / ISDN)- GREEN + ORANGE + BLUE (RED is modem/ISDN)
- GREEN + BLUE + RED
- GREEN + ORANGE +BLUE + RED
La configuration du rseau
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
20/34
www.udivers.com www.udivers.com 20
La configuration du rseau
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
21/34
www.udivers.com www.udivers.com 21
On choisit loption GREEN + RED
Ensuite on passe la configuration de ladressage IP pour les
zone verte + rouge Interface RED :
IP : 192.168.1.2/255.255.255.0
Passerelle : 192.168.1.254
Serveur DNS :212.217.0.1 L interface Green est configure auparavant :
192.168.1.1/255.255.255.0
Les mots de passe des comptes root et admin vous
seront ensuite demands, le compte root a la possibilitde se connecter en local ou en SSH l IPCop tandis que le
compte admin permet daccder linterface web
dadministration de celui-ci.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
22/34
www.udivers.com www.udivers.com 22
Administration dIpcop
On peut dsormais accder linterface web dIPCop en
entrant lune des adresses suivantes partir de nimporte
quel poste prsent sur linterface GREEN :
192.168.1.1:81
192.168.1.1:445
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
23/34
www.udivers.com www.udivers.com 23
On clique sur Connexion dans linterface web pour activer le
trafic internet.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
24/34
www.udivers.com www.udivers.com 24
Un nom dutilisateur et un mot de passe seront alors demands, le nom
dutilisateur est ici admin et le mot de passe correspond celui
quon a dfini pendant linstallation.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
25/34
www.udivers.com www.udivers.com 25
Afin de rendre accessible le firewall partir de l'interface RED , on va
sur PARE-FEU puis au niveau de Accs Externe . Sur la nouvelle
fentre, on va remplir le champ Port destination pour y entrer une
une les valeurs suivantes: 445, 81, et enfin 222.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
26/34
www.udivers.com www.udivers.com 26
Nous allons maintenant activer l'accs ssh.
sur l'onglet SYSTEME , puis Accs SSH
on coche le reste des cases de cette fentre, puis on enregistre
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
27/34
www.udivers.com www.udivers.com 27
page d accueil
Prsentation de linterface web
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
28/34
www.udivers.com www.udivers.com 28
Menu systme
Le menu systme contient des sections pour configurer IPCOP, et linterface web :
Section Accueil : Cest la premire page affich lorsquon accde linterface
dIPCOP. Cette page permet principalement de connecter/de connecter la passerelledInternet. Section Mise jour : permet de savoir si une mise jour est disponible. Si une mise
jour est disponible, il suffit de la tlcharger et de la transfrer IPCOP grce cette mme
Section.
Section Mot de passe : permet de changer le mot de passe de lutilisateur admin (qui
est ladministrateur dIPCOP) et le mot de passe de lutilisateur Dial (utilisateur qui a
Simplement le droit de connecter/deconnecter Internet dans le cas dune connexion par modem. Section Accs SSH : permet dactiver ou de dsactiver le serveur ssh sur la passerelle.
Le serveur ssh peut tre utile pour faire des choses quon ne peut pas faire directement sur le site
web dIPCOP (ex : changer une ladresse ip dune interface).
Section Interface graphique : permet de choisir la langue des pages web et
dactiver/dsactiver les menu droulant pour les navigateur non compatible avec javascript.
Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration dIPCOP. Il est aussi possible deffectuer une sauvegarde sur disquette pour restaurer cette
configuration lors dune rinstallation complte dIPCOP.
Section Arrter : permet darrter et de redmarrer la passerelle.
Section Crdits : pour contacter les auteurs dIPCOP
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
29/34
www.udivers.com www.udivers.com 29
Menu Etat
On trouve dans ce menu des informations sur ltat du systme :
Section Etat du systme : permet de connatre ltat de tous les services ainsi que
lutilisation de la mmoire et disque.
Section Etat du rseau : permet de visualiser ladresse ip des interfaces rseau, de voir
les clients dhcp et les tables de routages.
Section Graphiques systme : permet de visualiser sous forme de graphique
lutilisation du processeur, de la mmoire et du disque dur sur les dernires 24 heures,
le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur
chaque interfaces (sur chaque zones) sur les dernires 24 heures, le dernier mois, la
dernire semaine, le dernier mois ou la dernire anne.
Section Graphes du proxy : donne des graphiques sur lutilisation du serveur
mandataires.
Section Connexion : permet de visualiser le connections en cours sur la passerelle.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
30/34
www.udivers.com www.udivers.com 30
Menu Rseau
Ce menu est ddi la configuration du modem rtc ou adsl (si vous avez un routeur, ce menu
nest pas utile) :
Section Connexion : permet de rentrer les paramtres de connexion fournie par le FAI, il est
possible davoir plusieurs profils de connexion (dans le ou vous avez plusieurs
abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil
de repli ).
Section Chargement : permet de tlcharger les drivers pour faire fonctionner certains
modems.
Section Modem : permet de modifier les commandes pour les modems rtc.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
31/34
www.udivers.com www.udivers.com 31
Menu ServicesCest ici quon configure tous les services de la passerelle :
Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui
correspond au proxy web et au cache dns).
Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue
si il y en a une).
Section DNS Dynamique : permet de mettre en place un client pour mettre jour un
dns dynamique (type dyndns.org, no-ip.com, ).
Section Htes statiques : permet dajouter des htes avec ip statiques. Section Serveur de temps : permet la passerelle dtre un client NTP dun part et
dtre un serveur NTP pour le rseau interne dautre part (attention : le serveur NTP met
quelques heurs avant de fonctionner).
Section Lissage de trafic : permet de limiter les dbits montant et descendant des client
qui vont sur internet. On peut aussi, donner des priorits diffrentes selon les services pour
faire de la qualit de service.
Section Dtection dintrusion : permet dactiver ou de dsactiver les sondes de
dtection dintrusion sur toutes les zones.
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
32/34
www.udivers.com www.udivers.com 32
Menu Pare-feu
Ce menu permet de configurer le pare-feu :
Section Transferts de port : permet de dfinir des rgles de transfert de port pour
donner accs des services dinternet tant sur le rseau interne ou sur la DMZ si il yen a une.
Section Accs Externes : permet douvrir des ports pour accder la passerelle
dInternet tant.
Section Accs la DMZ : (menu qui existe si la zone orange existe) permet douvrir des
accs direct entre la DMZ et le rseau interne (dans le sens DMZ -> Lan).
Menu VPNs
On cre ici les Rseaux Privs Virtuel Section VPNs : permet de crer des vpn (rseau rseau, ou postes rseau).
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
33/34
www.udivers.com www.udivers.com 33
Menu Journaux
Ce menu permet daccder tous les journaux gnrs par IPCOP et ses services :
Section Configuration des journaux : permet de choisir si les journaux doivent tre
afficher dans lordre chronologique et chronologique inverse. On peut aussi choisir denvoyer
les journaux sur un serveur syslog et changer le niveau de verbosit.
Section Rsum des journaux : cour rsum des journaux du serveur mandataire, du
systme, du serveur sshd et de lutilisation du disque.
Section Journaux du serveur mandataires : permet de visualiser les journaux du proxyweb (la section existe seulement si la journalisation a t activ).
Section Journaux du pare-feu : permet de visualiser les journaux daccs au pare-feu.
Section Journaux IDS : permet de visualiser les tentatives dintrusion dtecter par les
sondes du dtecteur dintrusion.
Section Journaux systme : permet de visualiser les journaux systmes (systems, dns,
dhcp, ssh, ntp, )
-
7/22/2019 La mise en place dun pare-feu linux IPCOP
34/34
www udivers com www udivers com 34
Linterface graphique ne permet pas de tout faire, en particulier changer ladresse ip
dune carte rseau ou changer de type de passerelle.
Lutilitaire setup permet de :
Configurer le type de clavier (fr, us, ).
Changer de fuseau horaire.
Modifier le nom de la passerelle. Modifier le nom de domaine.
Modifier la configuration rseau de la passerelle.
Lutilitaire setup permet par exemple de passer dun rseau GREEN + RED GREEN +
RED + ORANGE par exemple sans rinstaller le pare-feu.
Pour accder lutilitaire setup, il faut se connecter la passerelle au travers de ssh
(attention : le port dcoute du serveur ssh intgr ipcop est le 222), sidentifier en tantque
root et taper setup . Cest un menu graphique trs simple utiliser.
Utilitaire setup