Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
REMERCIEMENTS
L’aboutissement de ce travail s’est fait grâce au concours
de plusieurs personnes que je voudrais remercier :
L’éternel DIEU tout puissant pour, la force et le courage ;
Monsieur ABANDA Armand Claude chef d’établissement
de l’IAI-Cameroun et son personnel pour le cadre et
l’enseignement ;
Monsieur FOPA Gabriel Directeur Général d’ITGStore-
Consulting qui a bien voulu nous recevoir dans sa structure ;
Monsieur TAKOUFET Sylvain responsable de la plate-
forme de développement des projets pour son soutien et ses
conseils ;
Monsieur MOLO Athanase mon superviseur à l’IAI-
Cameroun pour ses conseils et orientations ;
Monsieur CHAKODE Rodrigue mon maître de stage pour
le suivi, ses conseils et sa disponibilité ;
Ma famille pour le soutien moral et financier ;
L’ensemble du personnel d’ITGStore-Consulting pour
leurs conseils ;
Tous ceux qui de près ou de loin ont contribué au
déroulement de mon stage.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
SOMMAIRE
REMERCIEMENTS............................................................1
INTRODUCTION GENERALE............................................4
I-) INSERTION.......................................................................6
II-) PRESENTATION d’ITGStore............................................7
III-) DESCRIPTION................................................................8
IV-) ACTIVITES......................................................................9
IV.1-) La supervision.................................................9
IV.2-) Le stockage, PRAS..........................................9
IV.3-) La gestion des performances........................10
IV.4-) Mise en œuvre d’infrastructure Internet et Intranet...................................................................10
IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux...................10
IV.6-) Mise en œuvre d’infrastructure de NOC.......10
V-) RESSOURCES INFORMATIQUES D’ITGStore................11
V.1-) Ressources matérielles...................................11
V.2-) Ressources logicielles....................................12
VI-) CONCLUSION...............................................................13
II-) GENERALITE SUR LES PARE-FEUX..............................16
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
III-) FONCTIONNEMENT D’UN FIREWALL........................16
III.1-) Catégories de firewall...................................18
III.2-) Types d’implémentations..............................18
IV-) PRESENTATION D’IPCop.............................................19
IV.1-) Définition d’IPCop.........................................19
IV.2-) Description....................................................20
V-) ETUDE DES FONCTIONNALITES D’IPCop....................30
V.1-) Filtrage du réseau par iptables......................30
V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux :.............................................................34
V.3-) Prise en charge des serveurs DHCP, DNS, … 34
V.4-) Administration de la machine par une interface web sécurisée.........................................................34
V.5-) Détection des intrusions avec Snort...............35
V.6-) Gestion des réseaux privés virtuels (VPN)....35
VI-) CAHIER DES CHARGES................................................35
VII-) INSTALLATION D’IPCop.............................................36
VIII-) CONFIGURATION D’IPCop........................................42
VIII.1-) Configuration du Proxy et du filtre d’url....44
VIII.2-) Configuration Du Service IDS....................46
VIII.3-) Installation et configuration de CopFilter. .47
VIII.4-) Gestion de trafic.........................................49
CONCLUSION.................................................................50
WEBOGRAPHIE.......................................................................51
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
INTRODUCTION GENERALE
Dans le cadre de la formation de ses ingénieurs des
travaux en maintenance micro-informatique et réseaux, l’IAI-
Cameroun préconise un stage académique d’une durée de trois
mois dans une entreprise pour les étudiants de troisième
année. Ce stage ayant pour but de :
Garantir la mise en pratique des connaissances acquises au cours de l’année ;
Favoriser l’insertion rapide de ses étudiants dans le monde professionnel ;
Garantir des cadres informaticiens compétents et excellents.
Dans cet esprit d’excellence, ITGStore-Consulting qui est
une société des services en ingénierie informatique (SSII)
nouvellement implantée au Cameroun a bien voulu nous
accueillir. Durant la période que j’ai eu à passé dans cette
structure, j’ai eu pour mission d’implémenter une politique de
firewalling grâce à la distribution linux IPCop.
Pour mener à bien ce projet, j’ai été encadré par
Monsieur CHAKODE Rodrigue, Ingénieur Systèmes à ITGStore
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
et Monsieur MOLO NGAH Athanase, Instructeur Cisco et
Enseignant à l’IAI-Cameroun.
Le présent rapport se décompose en plusieurs parties qui
détailleront la réalisation de ce projet dans ces différentes
étapes. Nous présenterons d’abord la structure d’accueil à
savoir ITGStore-Consulting ; nous parlerons ensuite des
généralités d’un firewall ; puis de l’étude du cas particulier
d’IPCop avec quelques politiques de sécurité que nous avons
mis en œuvre.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
I-) INSERTION
Notre admission en stage à ITGStore-Consulting a eu lieu
le Lundi 25 Août 2008. Notre stage commence ce jour là par la
réunion d’évaluation du travail de la semaine précédente entre
le responsable de la plate-forme des projets et le personnel.
Dans la circonstance, nous sommes présentés aux personnels
par le responsable de la plate-forme de projet où nous sommes
chaleureusement accueillis. Au cours de cette réunion, nous
sommes interrogés sur les formations à l’IAI-Cameroun et sur
nos prospectives. Ce sont des réponses données à ce dernier
point, en rapprochement avec les objectifs d’ITGStore qui est
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
amené à proposer des solutions y afférant à ses clients qui ont
servi d’orientation pour le choix des thèmes attribués à
chacun de nous.
II-) PRESENTATION d’ITGStore
ITGStore est SSII (Société de Services d’Ingénierie
Informatique) au capital 15000000FCFA. Basée en région
parisienne, avec depuis 2006 une agence à Douala
(Cameroun), ITGStore est identifiable par cette fiche
signalétique.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Fiche D’identification D’ITGStore-Consulting
RAISON SOCIALE: ITGStore-Consulting
SIGLE: ITGStore
ADRESSE : B.P : 820 Douala
TEL. : (237)33436361
TELEFAX : (237)33436363 Douala
FORME JURIDIQUE : SARL
SIEGE : Immeuble Kadji Akwa-Douala
CAPITAL SOCIAL : 15000000 FCFA
ACTIVITES : Supervision, Stockage, PRAS, Gestion des
performances, Mise en œuvre d’infrastructure Intranet et
Internet, Etude et mise en œuvre d’infrastructure réseau
intégrant les PABX et serveurs vocaux, Mise en œuvre
d’infrastructure de NOC.
DIRECTEUR GENERAL : FOPA Gabriel
LOGO :
ITGStore-Consulting est une jeune entreprise en terre
camerounaise qui depuis son implantation en 2006 s’impose
parmi les leaders de la ville de Douala dans son domaine
d’activité. L’Equipe Technique de la structure compte des
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Ingénieurs issus des universités et des grandes écoles
supérieures du Cameroun. Les bureaux d’ITGStore sont situés
au rez de chaussée de l’immeuble Kadji à Akwa-Douala
III-) DESCRIPTION
ITGStore-Consulting est constituée :
D’une direction générale dont le bureau est situé en
France et ayant à sa tête un Directeur Général en la personne
de Monsieur FOPA Gabriel ;
Ensuite on a un responsable des projets qui est
responsable de la coordination de la plate-forme des projets de
la structure au niveau du Cameroun.
Enfin on a le service de la comptabilité qui est géré par
un cabinet d’expert comptable, le service marketing et l’équipe
technique. Il est à noter qu’à ITGStore-Consulting, tout
ingénieur peut être amené à gérer un projet.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IV-) ACTIVITES
Les principaux métiers d’ITGStore-Consulting sont :
IV.1-) La supervision
La supervision est une solution qui permet d’établir à
chaque instant l’état (fonctionnel ou non) d’un composant
technique, d’un logiciel, d’un serveur ou d’un équipement
réseau.
ITGStore-Consulting s’appuie sur des experts
expérimentés dans le domaine de la supervision, pour proposer
à ses clients une collaboration dans le conseil, l’étude du
besoin, les spécifications et la mise en œuvre des solutions
techniques à la dimension des entreprises.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
ITGStore-Consulting met à la disposition des entreprise
des experts qui sont intervenus ou interviennent comme
acteurs majeurs au sein de projet de supervision (construction
de NOC) dans des entreprises telles que : France Télécom,
Orange, Lucent Technologie…
IV.2-) Le stockage, PRAS
ITGStore met à la disposition des entreprises des
solutions avancées de sauvegarde et des outils de restauration
très performants
IV.3-) La gestion des performances
ITGStore-Consulting met à la disposition des entreprises
des experts expérimentés pour l’étude, les spécifications, le
choix des indicateurs de performance et la mise en œuvre de
solutions appropriées au profil de l’entreprise.
IV.4-) Mise en œuvre d’infrastructure Internet et Intranet
ITGStore-Consulting définit et valide avec des entreprises
intéressées la stratégie Internet la plus adaptée à leurs
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
besoins. La structure vous accompagne également dans le
choix des solutions à mettre en œuvre ainsi que les processus
de déploiement.
IV.5-) Etude mise en œuvre d’infrastructure réseau intégrant les PABX et serveurs vocaux
L’infrastructure de communication téléphonique,
représente une vitrine clé de l’entreprise.
ITGStore-Consulting vous accompagne dans la définition,
des spécifications, les choix et la mise en œuvre des
infrastructures internes de télécoms, intégrant le câblage, le
PABX, les serveurs vocaux. Pour cela, ITGStore s’appuie sur
une expérience confirmée et des systèmes techniques ajustés
aux besoins de l’entreprise.
IV.6-) Mise en œuvre d’infrastructure de NOC
V-) RESSOURCES INFORMATIQUES D’ITGStore
Le parc informatique d’ITGStore est constitué des éléments
suivants :
V.1-) Ressources matérielles
Imprimantes :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Une imprimante HP broder NC-6200h trois en un qui en
plus des impressions peut scanner et être utilisée pour envoyer
des fax.
Ordinateurs :
A ITGStore nous avons deux types d’ordinateurs à savoir :
Serveurs dont les caractéristiques sont des Pentium IV
3GHz 1Go de RAM parmi lesquels :
La marque SUN ;
La marque HP ;
La marque Dell ;
Des clones ;
La marque LG.
Des postes de travail (des postes fixes et des Laptops)
Equipements réseaux :
Trois Hub NetGear de 05 ports chacun ;
Un Switch Cisco 2948G-L3 ;
Un modem routeur ADSL ;
Autres équipements :
Le NAS NetGear (équipement de stockage);
Des onduleurs et des parasurtenseurs.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
V.2-) Ressources logicielles
Systèmes d’exploitation :
Les différents systèmes d’exploitation utilisés à ITGStore-
Consulting sont :
Distributions Linux : Suse 10, Solaris 8 et 10, Fedora 5 et
6 ;
Windows: XP SP1et SP2, server 2003.
Applications :
MS Office 2003 et 2007
Antivirus: Avast 5.7, Mcafee 8.0;
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
VI-) CONCLUSION
L’insertion à ITGStore-Consulting a été très facile
notamment avec la présence dans cette structure des anciens
étudiants de l’IAI-Cameroun, son personnel très jeune et
attentif. La phase qui suit nous présente la réalisation de notre
projet à savoir l’implémentation d’une politique de firewalling
grâce à IPCop.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
I-) INTRODUCTION
La sécurité d’un système est le niveau de garantie que
donne ce système pendant son état optimal de fonctionnement.
Que se soit pour des réseaux personnels ou d’entreprises, la
sécurité informatique permet d’empêcher :
► La divulgation non autorisée des données ;
► La modification non autorisée des données ;
► L’utilisation non autorisée des ressources réseaux ou du
système informatique de façon générale.
Cela est d’autant plus strict lorsque les équipements
informatiques sont connectés à Internet ou à un autre réseau
avec des connexions types câbles ou ADSL. Ces règles sont
mises en place grâce à des systèmes de protection tels que :
des pare-feux, des IDS, des antivirus, des anti-spam, des anti-
spywares.
Terminologie :
Le pare-feu (ou firewall en Anglais) est un dispositif
(élément logiciel et/ou matériel) reliant deux réseaux et filtrant
les données échangées par ceux-ci pour assurer leur sécurité.
IDS (Intrusion Detection System)
Problématique
De plus en plus les entreprises gèrent des données
importantes stockées dans des serveurs; et pour garantir la
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
sécurité de ces données et matériels, il faut mettre sur pied
des mécanismes permettant en temps réel le contrôle des
accès, la gestion du trafic et le filtrage des informations qui
transitent. D’où la nécessité d’installer un firewall tel IPCop.
II-) GENERALITE SUR LES PARE-FEUX
A l’origine le terme pare-feu est employé dans les théâtres
pour designer un mécanisme permettant au feu de ne pas se
propager de la salle de théâtre vers la scène.
Le pare-feu est donc utilisé en informatique pour designer
une porte empêchant aux ménaces d’un réseau externe de se
propager dans votre réseau informatique interne.
III-) FONCTIONNEMENT D’UN FIREWALL
Un firewall a pour principale fonction de contrôler le trafic
entre les différents réseaux, en filtrant les flux de données qui
transitent dans ces réseaux (Internet (zone non contrôlée) et le
réseau interne (zone très importante)). Plus précisément, un
firewall est chargé de filtrer :
L’origine ou la destination des paquets (adresse IP,
interfaces réseau, etc.)
Les utilisateurs
Les données et les options contenues dans ces données
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Les pare-feux récents embarquent des fonctionnalités
suivantes :
Filtrage sur adresses IP/Protocole,
Inspection à l’état et applicative,
Intelligence artificielle pour détecter le trafic anormal,
Filtrage applicatif
o HTTP (restriction des URL accessibles),
o Courriel
o Logiciel d’antivirus, anti-logiciel malveillant
Translation d’adresse,
Tunnels IPSec, PPTP, L2TP,
Identification des connexions,
Serveurs de protocoles de connexion (Telnet, SSH), de
protocoles de transfert de fichier (SCP),
Clients de protocoles de transfert de fichier (TFTP),
Serveur Web pour offrir une interface de configuration
agréable,
Serveur mandataire (« Proxy » en anglais),
Système de détection d’intrusion (« IDS » en anglais)
Système de prévention d’intrusion (« IPS » en anglais)
Le schéma ci-dessous illustre le fonctionnement d’un
firewall
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 1 : Schéma de fonctionnement d’un firewall
III.1-) Catégories de firewall
Les équipements (ou les logiciels) de sécurité à l’instar
des firewalls connaissent de nombreuses évolutions. C’est ainsi
que suivant la génération de pare-feu ou de son rôle on peut
citer :
1) Pare-feu sans états (stateless firewall : ici le pare-feu
compare chaque paquet à une liste de règles
préconfigurées)
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
2) Pare-feu à états (stateful firewall : le pare-feu vérifie
que chaque paquet d’une connexion est bien la suite
du paquet précédent)
3) Pare-feu applicatif (ici le pare-feu vérifie la
conformité d’un paquet à un protocole attendu.
Exemple s’assurer que seul du http passe par le port
80)
4) Pare-feu identifiant (ici le pare-feu réalise
l’identification des connexions à travers le filtre IP)
5) Pare-feu personnel (permet de lutter contre les virus
et les logiciels espions)
III.2-) Types d’implémentations
Il existe trois types d’implémentation de firewall parmi
lesquelles :
Versions libres
Linux Netfilter/IPtables, pare-feu libre des noyaux
Linux 2.4 et 2.6.
Linux IPchains, pare-feu libre du noyau Linux 2.2.
Packet Filter ou PF, pare-feu libre d’OpenBSD (système
d’exploitation libre de type Unix, dérivé de 4.4BSD)
importé depuis sur les autres BSD.
IPFilter ou IPF, pare-feu libre de BSD (Berkeley
Software Distribution : famille de systèmes d’exploitation
Unix, développés à l’université de Berkeley) et Solaris10.
IPfirewall ou IPFW, pare-feu libre de FreeBSD.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
NuFW Pare-feu identifiant sous Licence GPL pour la
partie serveur et les clients Linux, FreeBSD et Mac OS.
NuFW est basé sur Netfilter et en augmente les
fonctionnalités.
iSafer, pare-feu libre pour Windows.
Versions propriétaires
les boîtiers pare-feu : juniper
Distributions Linux
SmoothWall : distribution linux packageant Netfilter et
d'autres outils de sécurité pour transformer un PC en
pare-feu dédié et complet.
IPCop : distribution linux packageant Netfilter et d'autres
outils de sécurité pour transformer un PC en pare-feu
dédié et complet.
Endian Firewall : distribution linux packageant Netfilter
et d'autres outils de sécurité pour transformer un PC en
pare-feu dédié et complet.
Pfsense : distribution firewall open source très avancée
basée sur FreeBSD et dérivée de m0n0wall qui utilise en
autre OpenBSD packet Filter.
IV-) PRESENTATION D’IPCop
IV.1-) Définition d’IPCop
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IPCop (policier des IP) est un projet Open Source dont le
but est d’obtenir une distribution Linux qui permet de faire le
firewalling.
IPCop a été crée en réponse à plusieurs besoins. Le
premier d’entre eux était le besoin d’une protection sûre et
efficace de nos réseaux personnels et d’entreprises.
Lorsque le projet IPCop a été lancé en 2001, il existait
déjà d’autres pare-feu. L’équipe de projet d’IPCop avait décidé
de partir du code de base d’un pare-feu sous GPL. L’objectif
était de remanier ce code pour se mettre à l’écoute des
attentes des utilisateurs. Parmi ces attentes se trouvait celle de
laisser à chaque utilisateur la possibilité de créer son propre
IPCop, celle de proposer et d’ajouter des améliorations et celle
d’apprendre grâce au travail des autres. A ce jour plusieurs
révisions d’IPCop ont été publiées, et plusieurs fonctionnalités
ont été ajoutées : la possibilité d’organiser le parc en quatre
catégories de réseaux, la détection d’intrusion sur tout le
réseau et la configuration à partir d’une interface web n’en
sont que quelques exemples.
IPCop est basée sur Linux From Scratch (projet visant à
préciser toutes étapes nécessaires à la création de son propre
système Linux. LFS a pour objectif de vous guider à travers
l'installation d'un système de base comportant le maximum
d'éléments de sécurisation.), destiné à assurer la sécurité d’un
réseau.
C’est un système d’exploitation à part entière qui peut
être installé sur un PC (dont les caractéristiques minimales
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
sont les suivantes : CPU =233MHz, RAM= 64Mo,
HDD=800Mo) pour faire office de firewall très performant
IV.2-) Description
L’interface d’administration d’IPCop est composée de sept
onglets (huit si on installe CopFilter). Ces onglets font
références aux différentes possibilités d’administration offertes
par IPCop.
IV.2.1-) Onglet SYSTEME
L’onglet système regroupe tout ce qui concerne le système
en lui-même à savoir : la vérification et l’installation des mises
à jour, la modification des mots de passe, les sauvegardes,
l’activation de l’accès SSH, …
Accueil :
C’est la première page qui s’affiche lorsque l’on tape
l’adresse de l’interface web d’administration d'IPCop dans le
navigateur. Sur cette page il vous est possible de couper tout
le trafic passant par IPCop via le bouton Déconnexion (la
connexion s’établit de manière automatique lors du démarrage
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
du serveur), mais également de consulter le temps depuis
lequel la connexion est établie.
Mises à jour :
Des mises à jour sont mensuelles pour le système, apportant
de nouvelles options ou des corrections de bugs. Les mises à
jour s’installent simplement : il suffit de cliquer sur détail, de
télécharger le fichier, puis d’uploader ce fichier sur le serveur
via le bouton parcourir et chargement de la page.
Mots de passe :
Les mots de passes admin (pour l’accès à l’interface web) et
dial (utilisateur seulement autorisé a connecter ou déconnecter
la connexion par modem) peuvent être modifiés sur cette page.
Ces mots de passes doivent contenir au moins 6 caractères
(plus conseillés). Le mot de passe admin peut également être
modifié via la commande setup en SSH (qui permet par ailleurs
de modifier le mot de passe root).
Accès SSH :
L’accès SSH n’est pas activé par défaut, et peut ne pas l’être
si l’on ne l’utilise pas. Les clés SSH d’IPCop sont du type RSA
et DSA, elles sont cryptées sur 1024 bits. Il est possible de
refuser le transfert SCP, empêchant ainsi de copier des fichiers
sur IPCop avec WinSCP (par exemple). D’autres options
relatives à la version du client SSH utilisé et à
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
l’authentification par mot de passe et clés publiques sont
prises en comptes.
Interface graphique :
L’interface graphique d’IPCop permet de choisir d’afficher le
nom de la machine dans la barre de titre du navigateur, de
rafraîchir automatiquement la page d’accueil, de sélectionner
la langue pour votre page d’administration et de restaurer les
paramètres par défaut.
Sauvegarde :
Comme tout système informatique, les pannes matérielles ou
logicielles sont rares mais existent. Avec IPCop il est possible
de réaliser deux types de sauvegardes : une sur la machine et
une sur disquette.
Les sauvegardes sur machine sont à considérer comme des
points de restauration qui permettent de revenir à une
configuration antérieure suite à une modification non
satisfaisante. On peut également sauvegarder la dernière date
sur l’ordinateur local et la restaurer à l’aide des boutons
parcourir et importer.
Les sauvegardes réalisées sur disquettes sont utiles en cas
de panne sévère. En effet ; si vous devez réinstaller le système,
cette disquette de sauvegarde vous sera demandée pendant
l’installation pour restaurer les configurations.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Arrêter :
Il est possible depuis la version 1.4.10 de redémarrer ou
d’arrêter IPCop a distance à l’aide des boutons correspondants
ou tout simplement planifier ces tâches.
Crédits :
IPCop est un projet Open Source sous licence GNU ; toute
une communauté de développeurs se charge de maintenir et
d’optimiser ce projet. Il est par conséquent normal que le nom
de ces personnes apparaisse sur IPCop. Cette liste est lisible
dans cette section. Par ailleurs, les adresses mails de ces
personnes figurent si vous aviez besoin de les contacter pour
faire avancer le projet.
IV.2.2-) Onglet ETAT
Les menus de l’onglet Etat sont tous à titre informatif. Cet
onglet regroupe les résumés de l’état système ainsi que des
outils de surveillance graphique : services actifs, utilisation de
mémoire, du processeur, du disque dur … etc.
Etat du système :
Ce menu permet de consulter l’activité du système. Les
services du système sont listés avec leur état. Ici on peut voir
quel utilisateur est connecté à IPCop, ce qu’il fait, depuis
combien de temps est ce qu’il est connecté. Il permet
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
également d’avoir des informations sur la version du noyau
utilisé.
Etat du réseau :
Ici on a les résultats de la configuration des interfaces des
réseaux. Pour chaque interface on l’adresse MAC de la carte
réseau utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de
la MTU (Maximum Transmission Unit) qui est taille maximale
(en octets) du paquet pouvant être transmis en une seule fois,
l’état du transfert des paquets, les entrées de la table de
routage, ainsi que la table ARP.
Graphiques systèmes :
Les graphiques systèmes sont très utiles pour évaluer
l’utilisation des ressources matérielles (processeur, mémoire,
swap et accès disque), mais permettent également d’identifier
les pics de sollicitation des ressources par plage horaire.
Courbes de trafic :
Elles représentent le niveau de sollicitation de la bande
passante par rapport au temps. Tout comme les graphiques
systèmes, lorsque vous cliquez sur un graphique (courbe), vous
obtenez une vue dans une autre unité de temps.
Connexion :
C’est un tableau qui permet en temps réel de suivre les
communications entre IPCop et les éléments qui l’entourent.
Les adresses IP, les ports utilisés et d’autres informations
utiles y sont répertoriés (protocoles, bail, zone, etc.…).
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IV.2.3-) Onglet RESEAU
Les menus de cet onglet seront utiles dans le cas de
l’utilisation de l’interface rouge avec une connexion par
modem. En effet, si on utilise une carte réseau pour l’interface
rouge cet onglet ne sera d’aucune utilité.
Connexion :
Dans ce menu on va pouvoir définir nos paramètres de
connexion Internet avec nos identifiants. Ces informations sont
en général fournies par le fournisseur d’accès Internet (FAI).
Toutes ces informations (identifiants, modem, serveur DNS,
…) peuvent être sauvegardées dans 5 profils, vous permettant
ainsi de vous connecter avec différents abonnements.
D’autres options permettent d’affiner un peu plus les
paramètres de base, comme par exemple la possibilité de se
déconnecter au bout d’un certain délai d’inactivité et de se
reconnecter automatiquement.
Chargement :
Par défaut IPCop reconnaît beaucoup de modems, mais en
cas de problème de détection avec le votre, il est possible de
récupérer le driver Fritz!DSL de celui-ci.
Modem :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Il est possible de personnaliser les réglages propres à la
connexion du modem au travers de ce menu. Attention ceci est
réservé à un public averti ! En cas de mauvaise manipulation,
vous pourrez remettre les paramètres par défaut.
Alias :
Dans le cas où votre FAI vous a fournit une plage d’adresses
IP publiques, vous pourrez créer des alias pour que les
adresses de cette plage soient distribuées sur l’interface
rouge : dans le menu «Etat du réseau» votre interface rouge
aura ainsi plusieurs adresses IP (utile dans le cas des serveurs
web et ftp).
IV.2.4-) Onglet SERVICES
Cet onglet permet de visualiser l’ensemble des services
en actifs et serveurs installés dans IPCop. Parmi ces services et
serveurs on peut citer :
Serveur Mandataire (Proxy) :
Un serveur Proxy consiste principalement à aller chercher
les pages que les utilisateurs consultent et à les stocker dans
un cache afin des les afficher plus rapidement lors de la
prochaine visite de celles-ci.
Serveur DHCP :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Un serveur DHCP (Dynamic Host Configuration Protocol)
permet d'allouer une configuration IP (Adresse, Passerelle,
Serveurs DNS) à une interface réseau de façon automatique.
DNS Dynamiques :
Un serveur DNS est un serveur qui associe un nom de
domaine à une adresse IP, un DNS Dynamique joue le même
rôle mais pour des adresses IP non fixes.
Hôtes statiques :
Dans le cas où on dispose de serveurs ou de machines
nécessitant d'avoir toujours la même adresse (publique ou
privée) ceci vous permettra de leur réserver et de leur définir
une adresse fixe.
Serveur de temps :
Un serveur de temps diffuse l'heure et la date à tous les
ordinateurs d'un réseau. On pourra ici se synchroniser à partir
d’Internet ou synchroniser les réseaux des interfaces d’IPCop.
Lissage du trafic (Shapping) :
Le lissage de trafic permet de limiter le trafic alloué à un
protocole, il s'agit en quelque sorte de la gestion de la bande
passante.
Détection d’intrusion (IDS):
S'appuyant sur les règles de Snort, qui est un système de
détection d'intrusion open source, capable d'effectuer en
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
temps réel des analyses de trafic et de logger les paquets sur
un réseau IP. Il peut effectuer des analyses de protocole,
recherche/correspondance de contenu et peut être utilisé pour
détecter une grande variété d'attaques
IV.2.5-) Onglet PARE-FEU
Comme pour tout bon firewall, il est possible de désactiver
le Ping et d’ouvrir des ports pour laisser passer des
applications ou même de rediriger ceux-ci. Il comprend des
menus tels que :
Transferts de ports :
Il s’agit là du Port Address Translation (PAT, parfois aussi
nommé Port Forwarding), qui permet de rediriger le flux
arrivant sur un port d’IPCop vers un port d’une machine
faisant partie d’une des zones d’IPCop. Exemple : Un serveur
web se trouve derrière l’interface verte d’IPCop. Il vous faut
donc rediriger les requêtes HTTP que reçoit votre IPCop vers
ce serveur. Il faut donc choisir les protocoles utilisés par http
(ici TCP, il faudra donc créer une règle pour ce protocole) et
rediriger les paquets vers l’adresse IP de votre serveur web
(192.168.1.250 par exemple) sur le port HTTP (80 par défaut,
8080 parfois).
Accès externes :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Ce menu permet d’accorder des autorisations à certaines
des machines du réseau externe de se connecter à certains
ports bien précis.
Vous pouvez ouvrir des "brèches" dans le firewall pour
ouvrir complètement un accès au réseau sur un port, c'est-à-
dire que les ports choisis seront complètements ouverts, ceci
peut être utile pour autoriser l’accès à l’interface de
configuration ou l’accès en SSH à IPCop depuis la zone rouge
(Internet par exemple). Pour sécuriser un petit peu l'ouverture
complète de ces ports, on pourra spécifier quelles adresses IP
sont autorisées à les utiliser (dans le cas d’un serveur FTP dont
on connaît les clients par exemple, ou l’adresse IP de
l’administrateur distant).
Options du firewall :
Dans ce menu on a la possibilité de choisir quelle interface
répondra ou non au Ping. On désactivera le Ping pour des
raisons de sécurité si on le souhaite (ce qui permet tout de
même d’éviter certaines attaques).
IV.2.6-) Onglet RPV (VPN)
L’onglet RPVs ne contient qu’un seul menu du même nom.
Vous aurez remarqué que les différents onglets sont relatifs à
des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en
anglais pour Virtual Private Network) étant un domaine
complètement à part au regard des autres catégories
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
proposées par IPCop. Un VPN consiste à utiliser ce que l’on
appelle un protocole de "tunnelisation" (L2M, PPTP, L2P,
IPSec,…) pour relier deux réseaux physiques en utilisant un
réseau non sécurisé, mais fiable, la finalité étant que ces deux
réseaux distincts ne forment plus qu’un seul et même réseau
en transitant par Internet.
IV.2.7-) Onglet JOURNAUX
Cet onglet permet d’obtenir un suivi des évènements à
travers des journaux (ou logs). Il est indispensable pour
détecter les causes des problèmes, qu’il s’agisse du pare-feu,
du noyau du système, ou encore des adresses bloquées par le
filtreur d'url.
Configuration des journaux :
Il est possible via ce menu de paramétrer le type de
classement (ordre chronologique ou non), le nombre de lignes
par page, la durée pendant laquelle les résumés des journaux
seront conservés ainsi que leur niveau de détail. Il est par
ailleurs possible d’enregistrer ces journaux sur un serveur
distant (serveur syslog).
Résumé des journaux :
Il permet de faire un rapide bilan sur les activités du serveur
web (pour l’interface d’administration), le pare-feu et l’espace
disponible sur les partitions montées.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Journaux pare-feu :
Ce log affiche toutes les connexions établies en direction
d’IPCop. Les évènements sont organisés par date, différentes
informations relatives à la communication sont ensuite
disponibles sous forme d’un tableau :
Heur
e
Chaîn
e
Interfac
e
Protocol
e
IP
sourc
e
Port
sourc
e
Adress
e MAC
IP
destinati
on
Port
destinat
ion
Journaux IDS :
Les journaux du Système de Détection d’Intrusion (Intrusion
Detection System en anglais, d’où IDS) sont relatifs au service
de Détection d’Intrusion d’IPCop qui agit en fonction des
règles Snort. Dans ces journaux, les attaques sont également
recensées sous forme de tableaux. Elles sont triées par date,
une priorité est affectée en fonction du type de menace
identifié, le nom de celle-ci, son type et l’adresse source de
l’attaque.
Journaux systèmes :
A chaque fois qu’une modification est effectuée (via
l’interface web ou non) ou qu’un évènement arrive (arrêt du
système ou d’un service, redémarrage d’une interface réseau,
…) cela enregistré dans ce journal.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
V-) ETUDE DES FONCTIONNALITES D’IPCop
IPCop admet des fonctionnalités suivantes :
V.1-) Filtrage du réseau par iptables
Depuis la version 2.4, Linux contient un module destiné au
filtrage réseau, Netfilter. Il se configure au moyen d'un outil
appelé iptables.
Le filtrage réseau consiste à faire un examen des paquets
réseaux et à prendre des décisions sur le traitement à leurs
appliquer. C'est ce que fait un firewall. Avec un système
GNU/Linux, pour configurer des règles de pare-feu, il faudra
donc simplement utiliser Netfilter à l'aide d'iptables.
L’avantage avec IPCop ici est qu’on a plus besoin de taper les
commandes car ses règles peuvent être configurées via
l’interface web d’administration d’IPCop. Ce pendant pour
configuration en mode commande, il est bon de savoir
comment ça fonctionne.
Netfilter est un pare-feu complet fonctionnant sous Linux
(noyaux 2.4 et 2.6), il remplace ipchains qui fonctionnait sur
les noyaux 2.2.
Les chaînes (ensemble de règles appliquées aux paquets) de
Netfilter sont reparties dans 3 tables :
a)Filter : c'est la table par défaut, elle filtre les 3 trafics
principaux.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
C'est la table par défaut lorsqu'on ne spécifie aucune table.
Elle contient toutes les règles de filtrage :
INPUT : pour les paquets entrants.
OUPUT : pour les paquets sortants.
FORWARD : pour les paquets traversants le firewall.
Lorsqu'un paquet correspond au motif de reconnaissance
d'une règle arrive, une décision est prise.
ACCEPT : Permet d'accepter un paquet si la règle est
vérifiée.
REJECT : Dans cet attribut, on peut indiquer quel
type de message ICMP sera envoyé vers la machine
dont le paquet est rejeté. A la suite de l’option, on
peut trouver :
icmp-net-unreachable (réseau inaccessible),
icmp-host-unreachable (machine inaccessible),
icmp-port-unreachable (port inaccessible), icmp-
proto-unreachable (protocole inaccessible), icmp-
net-prohibited (réseau interdit), icmp-host-
prohibited (machine interdite). Si le type de
protocole est tcp, on peut trouver tcp-reset qui
indique qu’il faudra envoyer un paquet RST qui
permet de fermer une connexion.
DROP : Permet de rejeter le paquet sans retour
d'erreur à l'expéditeur si la règle est vérifiée.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
LOG : Permet de loguer le passage du paquet si la
règle est vérifiée.
Voici quelques exemples de règles iptables :
> iptables -t filter -A INPUT -s 192.168.1.110 -jump
DROP cela signifie que tout ce vient de l’adresse
192.168.1.110 est rejeté
> iptables -t filter -A INPUT --protocol tcp --
destination-port 80 --jump ACCEPT cela signifie de
laisser passer le trafic TCP entrant sur le port 80
b)NAT : table dédiée à la redirection de paquets.
Cette table est utilisée pour la translation d'adresse ou de port.
Il y a 2 types de chaînes :
PREROUTING : paquets entrants sur le firewall.
POSTROUTING : paquets sortants du firewall.
Les cibles pour NAT sont :
MASQUERADE (uniquement POSTROUTING)
La passerelle (la machine où est installée iptables) transforme
les paquets sortants pour donner l'illusion qu'ils sortent de
celle-ci par un port alloué dynamiquement ; lorsque la
passerelle reçoit une réponse (d'Internet par exemple) sur ce
port, elle utilise une table de correspondance entre le port et
les machines du réseau local qu'elle gère pour lui faire suivre
le paquet.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
DNAT (uniquement PREROUTING) : Permet de modifier
l'adresse de destination du paquet.
--to-destination : Utiliser avec la cible DNAT, permet de
spécifier l'adresse de destination de la translation.
SNAT (uniquement POSTOUTING) : Permet de modifier
l'adresse source du paquet.
--to-source : Utiliser avec la cible SNAT, permet de spécifier
l'adresse source de la translation.
c) Mangle : table utilisée pour les services réseaux
additionnels (Elle sert à modifier les en-têtes des paquets.
pour permettre à d'autres applications de les reconnaître.).
Netfilter fonctionne au niveau du noyau, pour l'administrer,
iptables est utilisé.
Iptables est l'outil qui est fourni à l'administrateur pour
agir sur tous les concepts de règles de filtrage.
La première option à connaître est -t qui permet de spécifier
le nom de la table sur laquelle portera les autres paramètres.
Si cette option n'est pas spécifiée, ce sera par défaut la table
filter.
On peut aussi demander à iptables de charger un module
particulier avec l'option -m. Ce module peut ajouter de
nouvelles tables ou de nouvelles manières de tester les
paquets.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Il faut ensuite indiquer une commande pour dire par
exemple qu'une nouvelle règle doit être ajoutée dans la chaîne
spécifiée. Ci-dessous la liste des options les plus courantes pour spécifier une commande.
Une seule à la fois peut être présente, et toutes devront être suivies du nom de la chaîne à prendre
en compte.
Options d’iptables
Optio
ns
Rôles
-L Affiche toutes les règles de la chaîne indiquée.
-F Supprime toutes les règles de la chaîne. Si aucune
chaîne n'est spécifiée, toutes celles de la table sont
vidées.
-N Crée une nouvelle chaîne utilisateur avec le nom passé
en paramètre.
-X Supprime la chaîne utilisateur. Si aucun nom n'est
spécifié, toutes les chaînes utilisateur seront
supprimées
-P Modifie la politique par défaut de la chaîne. Il faut
indiquer en plus comme paramètre la cible à utiliser.
-A Ajoute une règle à la fin de la chaîne spécifiée.
-I Insère la règle avant celle indiquée. Cette place est
précisée par un numéro qui fait suite au nom de la
chaîne. La première porte le numéro 1. Si aucun
numéro n'est indiqué, la règle est insérée au début.
-D Supprime une règle de la chaîne. Soit un numéro peut
être précisé, soit la définition de la chaîne à supprimer
(ses tests de concordance et sa cible).
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
V.2-) Possibilité d’organiser le parc en 04 catégories de réseaux :
La zone Verte : c’est le réseau local qu’IPCop doit
sécuriser, il peut être un réseau d’entreprise ou
personnel. C’est la zone de confiance par excellence.
La zone Bleue : c’est le réseau constitué des
équipements sans fil (802.11b) avec une confiance
limitée.
La zone Orange : c’est la DMZ (zone démilitarisée)
où sont installés les serveurs accessibles depuis
l’extérieur. Dans cette partie on retrouve des
serveurs de types Web, FTP, bases de données …
La zone Rouge : c’est le réseau externe non
contrôlé à l’exemple d’Internet.
V.3-) Prise en charge des serveurs DHCP, DNS, …
IPCop intègre dans son programme certains serveurs
comme le serveur DHCP pour le réseau vert, le serveur
DNS.
V.4-) Administration de la machine par une interface web sécurisée
Cette fonctionnalité permet :
De simplifier considérablement les tâches
d’administration du firewall ;
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
L’affichage des performances du processeur, de la
mémoire, des disques et du trafic réseau par des
graphiques ;
La visualisation des journaux d’événement et leur
archivage automatique ;
Le choix entre plusieurs langues.
V.5-) Détection des intrusions avec Snort
Snort est système de détection d’intrusion libre sous licence
GNU/GPL (General Public License. Il est utilisé pour
détecter une grande variété d’attaques)
V.6-) Gestion des réseaux privés virtuels (VPN)
IPCop permet d’utiliser ce qu’on appelle un protocole de
« tunnelisation » (L2P, IPSec…) pour relier deux réseaux
physiques en utilisant un réseau non sécurisé, mais fiable. La
finalité étant que ces deux réseaux distincts ne forment plus
qu’un seul et même réseau en transitant par Internet.
VI-) CAHIER DES CHARGES
Dans le cadre de ce projet, nous devons de mettre sur
pied une politique de sécurité consistant à faire :
1)Le filtrage HTTP avec authentification ;
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Proxy http (Hypertext Transfer Protocol ); Bail (pour contrôler les heures de connexion sur
internet) ;
2)Le contrôle des téléchargements (gestion du trafic) ;
Gestion du trafic ; Gestion de la bande passante.
3)La gestion des intrusions (pour limiter les risques d’attaque).
Toute machine qui se connecte à un serveur
particulier ou au réseau devrait être clairement
identifiée
Nous disposons pour cela comme outils de travail:
D’un ordinateur clone pentium 4 (CPU 3GHz, 1Go de
RAM, 10Go de disque dur) possédant deux cartes
réseaux Ethernet
De la distribution linux IPCop
VII-) INSTALLATION D’IPCop
Pendant l’installation de notre firewall IPCop, nous
adopterons la configuration correspondant à l’architecture
réseau suivante qui a été mise en place pour les tests :
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 2 : Schéma de fonctionnement d’IPCop à ITGStore
Configuration minimale requise
Pour installer IPCop on a besoin d’un ordinateur complet
ayant les caractéristiques minimales suivantes :
CPU → 233MHz
RAM → 64Mo
HDD → 800Mo
Après avoir préparé son ordinateur, il faut disposer d’une
copie de la version d’IPCop à installer. La distribution IPCop
est disponible gratuitement sur le site www.ipcop.org
Nous allons installer ici IPCop 1.4.20
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Il existe trois méthodes d’installation d’IPCop en fonction du support matériel que vous avez
à votre disposition
Méthode Lecteur
de
Disquett
e
Disque
tte de
pilotes
Lecteur
de CD-
ROM
Serveur
FTP/We
b
CD de boot Non Non Oui Non
Disquette de boot
puis CD
Oui Non Oui Non
Disquette de boot
puis serveur
FTP/WEB
Oui Oui Non oui
Nous allons nous intéresser à l’installation à partir d’un
CD de boot d’IPCop.
Plaçons le CD contenant la distribution IPCop qu’on a
téléchargée et gravée dans le lecteur de CD de notre machine
IPCop. Puis redémarrons la machine, appuyez sur ma touche
entrée à l’écran de boot que voici.
NB : tous vos données contenues dans le disque dur seront
entièrement supprimer ; donc prenez la penne de sauvegarder
toutes vos données dans un autre disque et non dans une
partition du même disque.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 3 : Ecran de boot d’IPCop
On voit ensuite défiler à l’écran des messages informatifs
venant du noyau.
Ensuite s’affiche l’écran permettant de sélectionner la
langue, les touches tab, flèches permettent de déplacer le
curseur sur les éléments ; pour sélectionner un élément on
utilise la touche espace et pour accepter le choix on appuie
sur la touche entrée. Choisissons le français comme langue
puis validons. A partir de ce moment toutes les boîtes de
dialogues, page web et menus utilisent la langue choisie.
La boîte de dialogue qui suit nous permet de sélectionner
le support d’installation. Choisissons comme support le CD-
ROM puis validons.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 4 : Choix de la source d’installation d’IPCop
La boîte de dialogue qui suit indique que le programme
d’installation d’IPCop prépare le disque principal (/dev/hda).
En premier lieu, le disque dur sera partitionné, puis un
système de fichier sera créé dans chaque partition. Ensuite le
programme d’installation va copier les fichiers nécessaires sur
le disque.
L’installation d’IPCop se poursuit avec la configuration de
la carte réseau de l’interface verte (eth0). Nous pouvons
laisser IPCop trouver notre carte réseau et déterminer les
paramètres à donner au pilote de périphérique. Sélectionner le
bouton rechercher et appuyez sur entrée pour laisser IPCop
détecter votre configuration matérielle. Si nous choisissons
plutôt le bouton sélectionner, nous rechercherons
manuellement la carte réseau et devrons spécifier les
paramètres à installer.
Le processus d’installation vous demande ensuite
d’indiquer l’adresse IP à assigner à l’interface verte (eth0).
Lorsque vous choisissez une adresse IP, IPCop détermine
automatiquement le masque de réseau en fonction de cette
adresse que vous pouvez modifier si vous le désirez. C’est cette
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
adresse qui sera utilisée pour se connecter à l’interface web
d’administration.
Figure 5 : Configuration réseau de l’interface verte
La boîte dialogue qui suit vous annonce la fin de
l’installation et vous demande de retirer le CD du lecteur puis
appuyer sur ok pour continuer.
Ce qui suit à présent constitue la configuration initiale
d’IPCop à savoir le choix du type de clavier, du fuseau horaire,
du nom de la machine (ce nom est également utilisé pour se
connecter à l’interface web d’administration à la place de
l’adresse IP.), le nom de domaine ou du groupe de travail.
Il faut ensuite choisir le type de configuration réseau.
Pour ce qui est de notre cas, nous allons choisir « GREEN +
RED ». En fonction des équipements d’accès à Internet et nombre de réseaux que voulez
connecter on aura besoin de :
Connexion Modem ISDN USB ADSL Ethernet
Green+Red 1carte (G) 1carte (G) 1carte (G) 2cartes (G, R)
Green+Blue+Red2cartes (B,
G)
2cartes (B,
G)
2cartes (B,
G)
3cartes (B, G,
R)
Green+Orange+Red 2cartes (O, 2cartes (O, 2cartes (O, 3cartes (O, G,
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
G) G) B) R)
Green+Orange+Blu
e+Red
3cartes
(O, B, G)
3cartes
(O, B, G)
3cartes
(O, B, G)
4cartes
(O, B, G, R)
Puisque Nous utilisons une connexion Ethernet, pour
configurer notre réseau « GREEND + RED » il nous faut avoir
deux cartes réseaux.
Une carte pour le réseau vert (interne) et qui aura comme
adresse IP 192.168.10.1 ; cette interface reliée à un Switch
ou directement à une autre machine à l’aide d’un câble croisé
qui sera considérée comme notre réseau interne. Cette
machine recevra une adresse IP qui lui sera attribuée
automatiquement par le serveur DHCP d’IPCop dans la plage
192.168.10. 5 à 192.168.10.50
La deuxième carte sera affectée au réseau rouge
(externe) sera en réalité constitué de tout le réseau
informatique d’ITGStore.
Il faut configurer un serveur DHCP pour le réseau Green.
Ceci permet de simplifier la tâche de l’administrateur du
réseau en attribuant de façon automatique les paramètres du
réseau (adresse IP, masque, passerelle, DNS)
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 6 : Configuration du serveur DHCP de l’interface verte
Il faut enfin entrer les mots de passe de l’utilisateur «root
et admin » d’IPCop. Ces mots de passe permettent de se
connecter au système et à l’interface web d’administration
d’IPCop puis appuyé sur ok pour terminer l’installation et
redémarrer la machine.
Une fois l’installation et la configuration initiale
terminées, la machine redémarre et affiche l’interface de
connexion de l’utilisateur root.
Figure 7 : Interface de connexion de l’utilisateur root
VIII-) CONFIGURATION D’IPCop
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
IPCop est configurable à partir d’une interface web. Dans
n’importe quelle machine du réseau vert (ou externe si cela est
autorisé dans le menu accès externe de l’onglet pare-feu),
utiliser le navigateur de votre choix et taper l’adresse d’IPCop
https://ipcop-jm:445/ ou https://192.168.10.1:445/ où ipcop-jm
représente le nom de la machine où IPCop est installé,
192.168.10.1 représente l’adresse IP de l’interface verte de la
machine IPCop et 445 le port utilisé par l’interface web
d’administration d’IPCop. Après avoir tapez vous obtenez
l’interface d’administration suivante
Figure 8 : Interface web de connexion des utilisateurs admin et dial
Vous devez ensuite vous connectez. Appuyer sur le bouton
connexion et mettez comme nom d’utilisateur admin et comme
mot de passe celui que vous avez validé lors de l’installation
des configurations initiales.
La page d’administration d’IPCop est divisée en sept
onglets à savoir :
SYSTEME
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
ETAT
RESEAU
SERVICES
PARE-FEU
RPVS (VPN)
JOURNAUX
Pour la configuration de notre firewall IPCop nous allons
adopter les politiques suivantes :
La première politique sera de filtrer les url ceci pour
empêcher la connexion à certains sites jugés indésirables par
le simple fait que l’accès à ces sites distrait énormément le
personnel et empêche un meilleur rendement dans une
entreprise.
VIII.1-) Configuration du Proxy et du filtre d’url
La politique d’IPCop est de tout fermer en entrée et tout autoriser en sortie. Cette politique apparaît clairement dans le fichier /etc/rc.d/rc.firewall. L’administration par le navigateur nous permet d’écrire simplement et manière plus conviviale les règles dans ce fichier.
Nous allons faire le filtrage http pour cela, nous allons
utiliser l’utilitaire UrlFilter qui est une fonctionnalité
additionnelle d’IPCop. Télécharger UrlFilter dans le lien direct
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
de son site www.urlfilter.net/download/ipcop-urlfilter-
1.9.1.tar.gz
Copier ce fichier dans une clé USB puis monter la clé
dans la machine IPCop
#mkdir /mnt/usb
#mount /dev/sda1 /mnt/usb
Décompressez le fichier téléchargé : #tar xvzf ipcop-
urlfilter-1.9.1.tar.gz
Placez-vous sur le répertoire ipcop-urlfilter #cd ipcop-
urlfilter
Ensuite lancez l’installation avec la commande #./install
Une fois le fichier installer, allez dans l’interface web
d’administration d’IPCop (https://ipcop:445/ ou
https://192.168.10.1:445/ ou http://192.168.10.1:81/ ), cliquez
sur Services puis sur Serveur mandataire (Proxy) vous verrez
filtre d’url qui apparaît désormais sur cette page.
Cocher les cases suivantes puis enregistrer :
Activer le Proxy sur green ;
Mode transparent green ;
Filtre d’url.
Télécharger une blacklist de l’université de Toulouse
dans le site ftp://ftp.univ.tlse1.fr/blakclists.tar.gz cette blacklist
contient un ensemble des sites indésirables. Allez maintenant
dans l’onglet services et cliquer sur filtrage d’url. Dans mise à
jour de la blacklist cliquer sur parcourir et allez chercher le
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
fichier contenant la blacklist téléchargée puis cliquez sur
chargez blacklist. La liste ainsi chargée est affichée plus haut ;
il suffit de cocher sur une case de la blacklist pour que son
contenu soit bloqué dans le filtre.
L’intérêt de ce type de filtrage est qu’il permet d’éviter
la connexion à certains sites tels que les sites pornographiques
les sites de jeux de musiques qui constituent une des
principales sources de perte de pour le personnel en
entreprise. Ce type de filtrage est également intéressant pour
les centres multimédias car ici seuls les url autorisées sont
accessibles.
Voici un exemple du filtrage url. Lors de la configuration
d’UrlFilter, nous avons bloqué l’accès aux sites ayant dans leur
url le mot drague c'est-à-dire les sites web jugés adultes.
Tapons dans un navigateur d’une machine du réseau LAN l’url
http://www.xxl.com , ce type de site n’étant pas autorisé, notre
firewall renvoie ceci à l’utilisateur concerné :
Figure 9 : Cas pratique d’un filtrage d’url
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Ce type de filtrage trouve également son intérêt dans
les centres multimédias pour empêches aux jeunes la
connexion aux sites jugés adultes.
VIII.2-) Configuration Du Service IDS
Snort est un système de détection d'intrusion open source
sur licence GNU, capable d'effectuer en temps réel des
analyses de trafic sur un réseau IP. Il peut effectuer des
analyses de protocole, recherche/correspondance de contenu
et peut être utilisé pour détecter une grande variété
d'attaques. Ce service est important car permet de repérer et
de retracer toutes tentatives de connexion non autorisées au
réseau vert.
Ce système est par défaut installé dans IPCop et est
désactivé par défaut. Pour utiliser ce service, vous devez
d’abord vous inscrire dans le site officiel de Snort :
www.snort.org . L’inscription à ce site vous permet d’acquérir
le code Oink nécessaire pour activer le service IDS d’IPCop.
Ce code est constitué de 40 caractères alphanumériques.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Figure 10 : Configuration du service IDS
Une fois le service installé, il est désormais possible de
repérer à chaque fois via le journal des IDS de retrouver
l’identité des machines qui ont essayé de se connecter à votre
réseau.
VIII.3-) Installation et configuration de CopFilter
CopFilter est une fonctionnalité additionnelle qui permet
à IPCop de disposer d’une solution antivirus (ClamAV, AVG
(Anti-Virus Guard), F-Prot). Ceci permet de scanner en temps
réel tous les paquets transitant d’un réseau à l’autre à la
recherche d’éventuels virus.
L’installation de CopFilter nécessite le téléchargement du
fichier dans le lien direct du site
http://www.worm-fr.com/wiki/linux/uploads/Ipcop/copfilter-
0.84beta3a.tgz . Nous allons la version 0.84beta3a de
CopFilter.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
Après avoir téléchargé le fichier, il faut le transférer dans
la machine IPCop soit à de la commande SCP en utilisant le
protocole SSH, soit à l’aide mémoire flash. Il faut ensuite
décompresser le fichier en utilisant la commande #tar xvzf
copfilter-0.84beta3a.tgz ensuite se positionner sur le
répertoire contenant le fichier #cd copfilter-0.84beta3a et
exécuter la commande #./install pour lancer l’installation.
Pour désinstaller CopFilter, se placer dans le répertoire #cd
/var/log/copfilter/0.84beta3a et exécuter la commande
#./setup_util –u
Une fois fichier installer l’onglet CopFilter s’ajoute
automatiquement dans l’interface web d’administration
d’IPCop.
Figure 11 : Configuration de CopFilter
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
VIII.4-) Gestion de trafic
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
CONCLUSION
Notre stage académique à ITGStore-Consulting a été très enrichissant, nous avons mis en place une politique de firewalling grâce à la distribution IPCop. Cette politique implémentée a l’avantage qu’elle peut être déployée et adaptée à n’importe qu’elle structure au regard des fonctionnalités qu’offre IPCop. Car la distribution IPCop utilisée pour son implémentation est financièrement accessible à n’importe quelle structure.
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Implémentation d’une politique de firewalling grâce à IPCopITGStore-consulting
WEBOGRAPHIE
www.ipcop.org
www.snort.org
http://fr.wikipedia.org/wiki/IPCop
http://www.pcinpact.com/forum/index.php?showtopic=78177
www.urlfilter.org
www.copfilter.org
http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html
http://forum.rue-montgallet.com/ruemontgallet/OSalternatifs/installation-ipcop-urlfilter-sujet_21419_1.htm
A n n é e a c a d é m i q u e 2 0 0 7 - 2 0 0 8 I A I - C a m e r o u n Page 51
Top Related