Faculté des sciences et techniques SETTAT Configuration de IPCOP

Plan Introduction Qu’est-ce que Ipcop ? Possibilité de mise en place d’Ipcop Liste des services offerts par Ipcop Configuration minimale requise Installation d’Ipcop Administration d’ipcop Présentation de l’interface web

Introduction IPCOP est une passerelle qui intègre un pare-feu. C’est une distribution linux faite pour protéger un réseau des menaces d’Internet et surveiller son fonctionnement. IPCOP est gratuit, il est téléchargeable sous forme d’un fichier image à graver sur cd. IPCOP est distribué sous la licence GPL , ce qui signifie en d’ autres termes que le logiciel est distribuable gratuitement.

mise en place d’Ipcop IPCOP permet de fonctionner sous plusieurs configurations possibles : - Partage d’une connexion Internet : IPCOP sert alors de passerelle entre Internet et le réseau interne. Partage d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert de passerelle et gère une DMZ (il faut donc 3 interfaces réseau). Les serveurs dans la DMZ doivent être en ip fixes, il suffit ensuite de configurer IPCOP pour qu’il route les demandes venant d’Internet vers les serveurs adaptés selon les ports. - Partage d’une connexion Internet + DMZ + point d’accès wif: IPCOP peut gérer des clients wifi, il sont séparés du réseau interne.

mise en place d’Ipcop (suite) Dans la philosophie IPCOP, les zones sont schématisées par des couleurs : - la zone RED représente internet. - La zone ORANGE représente la DMZ. - La zone BLEU représente les clients wifi (qui sont dans un réseau séparé). - La zone GREEN représente le réseau interne. - Enfin, la zone BLACK représente IPCOP lui-même.

mise en place d’Ipcop (suite) Le schéma ci-dessous représente la configuration par défaut du pare-feu de la passerelle, à savoir : Le réseau interne (le LAN) peut accéder à toutes les zones. La zone wifi peut accéder à internet et à la DMZ. La zone DMZ pourra accéder à internet. - Aucun accès depuis Internet -Pour autoriser un accès à un serveur situé dans la DMZ (zone orange), il faudra le spécifier au travers de l’interface web d’IPCOP.

Schéma représentant la configuration

Les services offerts par Ipcop interface web pour l'administration et la configuration d'IPCOP en français. affichage de l'état du système et graphique CPU/Mémoire/Disque/trafic sur période journalière/semaine/mois/année. Informations sur les connexions en cours. Serveur SSH pour accès distant sécurisé. Proxy HTTp/HTTPS. Serveur DHCP. Cache DNS.

Les services offerts par Ipcop (suite) Lissage de trafic. Renvoi de ports TCP/UDP. Support des DNS dynamiques. système de détection d'intrusion (interne et externe). Support VPN pour relier des réseaux distants entre eux ou se connecter à distance à un poste.

Les services offerts par Ipcop (suite) Accès aux logs par interface web : du système, de la connexion vers Internet, du proxy, du firewall, de la détection des tentatives d'intrusion. - Mise à jour d'IPCOP par l'interface web. - Sauvegarde de la configuration du système sur disquette. - Arrêt/Redémarrage à distance. - Support des modems RTC/RNIS.

Les services offerts par Ipcop (suite) - Support de la quasi-totalité des modems ADSL USB et PCI - Possibilité d'utiliser une DMZ avec gestion des accès. - Possibilité de sécuriser un réseau sans fil.

Configuration minimale · 586 ou équivalent · 300 Mo d'espace disque · Au moins 20 Mo de RAM jusqu'à 4 Go · Carte graphique compatible VGA pour l'installation · une à 4 interfaces réseau Ethernet · Connexion Internet (Modem, Câble, ISDN, ADSL,...) · Un lecteur cdrom pour l’installation.

Configuration minimale (suite) Pour l’utilisation de tous les services, en particulier pour le serveur mandataire (proxy web / cache DNS), il faut mieux prévoir un processeur type pentium 200, 64 Mo de ram, et 500 Mo de disque dur. Lors de l’installation d’IPCOP, le disque dur de l’ordinateur est complètement utilisé, qu’il soit petit ou gros. Il faut donc une machine avec un seul disque (un deuxième disque dur serait inutile et inutilisable car IPCOP ne sert qu’à faire passerelle et rien d’autre, et il n’utilise qu’un seul disque dur).

Installation d’Ipcop IPCOP est disponible en téléchargement dans la section download du site www.IPCOP.org. IPCOP est disponible sous forme de fichier source à compiler et sous forme d’une image à graver sur un cd. Pour installer IPCOP, le plus simple est de télécharger l’image de sa version la plus récente puis de la graver sur un cd Le cd, une fois gravé, est un cd bootable.

Installation d’Ipcop (suite) D abor il faut s assurer que le disque dur ne contient aucune information importante car IPCop va tout supprimer. une fois le cd inséré l’écran suivant apparait après le démarrage Il faut cliquer sur entrer pour commencer l installation. Ensuite, il faut simplement suivre les instructions.

Installation d’Ipcop (suite)

Les principales fenêtre d’installation

Ensuite, il faut configurer cette carte réseau, on entre donc l’adresse ip de la passerelle (on est dans la zone « verte »).

La configuration du réseau Allez dans « Type de configuration réseau » pour choisir l’architecture du réseau. Voici les possibilités proposées : - GREEN (RED is modem/ISDN) - GREEN + ORANGE (RED is modem/ISDN) - GREEN + RED - GREEN + ORANGE + RED - GREEN + BLUE (RED is modem / ISDN) - GREEN + ORANGE + BLUE (RED is modem/ISDN) - GREEN + BLUE + RED - GREEN + ORANGE +BLUE + RED

La configuration du réseau

On choisit l’option GREEN + RED Ensuite on passe à la configuration de l’adressage IP pour les zone verte + rouge Interface RED : IP : 192.168.1.2/255.255.255.0 Passerelle : 192.168.1.254 Serveur DNS :212.217.0.1 L interface Green est configurée auparavant : 192.168.1.1/255.255.255.0 Les mots de passe des comptes « root » et « admin » vous seront ensuite demandés, le compte « root » a la possibilité de se connecter en local ou en SSH à l’ IPCop tandis que le compte « admin » permet d’accéder à l’interface web d’administration de celui-ci.

Administration d’Ipcop On peut désormais accéder à l’interface web d’IPCop en entrant l’une des adresses suivantes à partir de n’importe quel poste présent sur l’interface GREEN : 192.168.1.1:81 192.168.1.1:445

On clique sur « Connexion » dans l’interface web pour activer le trafic internet.

Un nom d’utilisateur et un mot de passe seront alors demandés, le nom d’utilisateur est ici « admin » et le mot de passe correspond à celui qu’on a défini pendant l’installation.

Afin de rendre accessible le firewall à partir de l'interface RED , on va sur « PARE-FEU » puis au niveau de « Accès Externe ». Sur la nouvelle fenêtre, on va remplir le champ « Port destination » pour y entrer une à une les valeurs suivantes: 445, 81, et enfin 222.

Nous allons maintenant activer l'accès ssh Nous allons maintenant activer l'accès ssh. sur l'onglet « SYSTEME », puis « Accès SSH » on coche le reste des cases de cette fenêtre, puis on enregistre

Présentation de l’interface web page d accueil

Menu système Le menu système contient des sections pour configurer IPCOP, et l’interface web : Section Accueil : C’est la première page affiché lorsqu’on accède à l’interface d’IPCOP. Cette page permet principalement de connecter/de connecter la passerelle d’Internet. Section Mise à jour : permet de savoir si une mise à jour est disponible. Si une mise à jour est disponible, il suffit de la télécharger et de la transférer à IPCOP grâce à cette même Section. Section Mot de passe : permet de changer le mot de passe de l’utilisateur ‘admin’ (qui est l’administrateur d’IPCOP) et le mot de passe de l’utilisateur ‘Dial’ (utilisateur qui a Simplement le droit de connecter/deconnecter Internet dans le cas d’une connexion par modem. Section Accès SSH : permet d’activer ou de désactiver le serveur ssh sur la passerelle. Le serveur ssh peut être utile pour faire des choses qu’on ne peut pas faire directement sur le site web d’IPCOP (ex : changer une l’adresse ip d’une interface). Section Interface graphique : permet de choisir la langue des pages web et d’activer/désactiver les menu déroulant pour les navigateur non compatible avec javascript. Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration d’IPCOP. Il est aussi possible d’effectuer une sauvegarde sur disquette pour restaurer cette configuration lors d’une réinstallation complète d’IPCOP. Section Arrêter : permet d’arrêter et de redémarrer la passerelle. Section Crédits : pour contacter les auteurs d’IPCOP

Menu Etat On trouve dans ce menu des informations sur l’état du système : Section Etat du système : permet de connaître l’état de tous les services ainsi que l’utilisation de la mémoire et disque. Section Etat du réseau : permet de visualiser l’adresse ip des interfaces réseau, de voir les clients dhcp et les tables de routages. Section Graphiques système : permet de visualiser sous forme de graphique l’utilisation du processeur, de la mémoire et du disque dur sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interfaces (sur chaque zones) sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année. Section Graphes du proxy : donne des graphiques sur l’utilisation du serveur mandataires. Section Connexion : permet de visualiser le connections en cours sur la passerelle.

Menu Réseau Ce menu est dédié à la configuration du modem rtc ou adsl (si vous avez un routeur, ce menu n’est pas utile) : Section Connexion : permet de rentrer les paramètres de connexion fournie par le FAI, il est possible d’avoir plusieurs profils de connexion (dans le ou vous avez plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de « repli »). Section Chargement : permet de télécharger les drivers pour faire fonctionner certains modems. Section Modem : permet de modifier les commandes pour les modems rtc.

Menu Services C’est ici qu’on configure tous les services de la passerelle : Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns). Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une). Section DNS Dynamique : permet de mettre en place un client pour mettre à jour un dns dynamique (type dyndns.org, no-ip.com, …). Section Hôtes statiques : permet d’ajouter des hôtes avec ip statiques. Section Serveur de temps : permet à la passerelle d’être un client NTP d’un part et d’être un serveur NTP pour le réseau interne d’autre part (attention : le serveur NTP met quelques heurs avant de fonctionner). Section Lissage de trafic : permet de limiter les débits montant et descendant des client qui vont sur internet. On peut aussi, donner des priorités différentes selon les services pour faire de la qualité de service. Section Détection d’intrusion : permet d’activer ou de désactiver les sondes de détection d’intrusion sur toutes les zones.

Menu Pare-feu Menu VPNs Ce menu permet de configurer le pare-feu : Section Transferts de port : permet de définir des règles de transfert de port pour donner accès à des services d’internet étant sur le réseau interne ou sur la DMZ si il y en a une. Section Accès Externes : permet d’ouvrir des ports pour accéder à la passerelle d’Internet étant. Section Accès à la DMZ : (menu qui existe si la zone orange existe) permet d’ouvrir des accès direct entre la DMZ et le réseau interne (dans le sens DMZ -> Lan). Menu VPNs On crée ici les Réseaux Privés Virtuel Section VPNs : permet de créer des vpn (réseau à réseau, ou postes à réseau).

Menu Journaux Ce menu permet d’accéder à tous les journaux générés par IPCOP et ses services : Section Configuration des journaux : permet de choisir si les journaux doivent être afficher dans l’ordre chronologique et chronologique inverse. On peut aussi choisir d’envoyer les journaux sur un serveur syslog et changer le niveau de verbosité. Section Résumé des journaux : cour résumé des journaux du serveur mandataire, du système, du serveur sshd et de l’utilisation du disque. Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a été activé). Section Journaux du pare-feu : permet de visualiser les journaux d’accès au pare-feu. Section Journaux IDS : permet de visualiser les tentatives d’intrusion détecter par les sondes du détecteur d’intrusion. Section Journaux système : permet de visualiser les journaux systèmes (systems, dns, dhcp, ssh, ntp, …)

Utilitaire setup L’interface graphique ne permet pas de tout faire, en particulier changer l’adresse ip d’une carte réseau ou changer de type de passerelle. L’utilitaire setup permet de : · Configurer le type de clavier (fr, us, …). · Changer de fuseau horaire. · Modifier le nom de la passerelle. · Modifier le nom de domaine. · Modifier la configuration réseau de la passerelle. L’utilitaire setup permet par exemple de passer d’un réseau GREEN + RED à GREEN + RED + ORANGE par exemple sans réinstaller le pare-feu. Pour accéder à l’utilitaire setup, il faut se connecter à la passerelle au travers de ssh (attention : le port d’écoute du serveur ssh intégré à ipcop est le 222), s’identifier en tant que root et taper « setup ». C’est un menu graphique très simple à utiliser.