1. Mise en place du Firewall IPCop
Réalisé par:
Mohamed ZAOUI
2. Mise en place du Firewall IPCop
1 Mohamed ZAOUI
Sommaire
Introduction .......................................................................................... 3
I. Description du contexte et de l’architecture .............................................. 4
II. Les Interfaces réseaux........................................................................... 5
III. Installation : .................................................................................... 6
Accès à IPCOP........................................................................................ 24
1. Accès local en mode terminal ............................................................. 24
2. Accès à distance via un navigateur Internet........................................... 26
3. Accès à distance via un accès Telnet sur SSH ........................................ 28
V. Installation des Add-Ons :.................................................................... 30
4. Installation de Advanced Proxy Transfert du fichier d’installation ............... 30
5. Installation de l’addon ...................................................................... 32
6. Configuration de Advanced Proxy ........................................................ 34
7. Activation du Proxy Avancé :............................................................. 34
8. Gestion du contrôle d’accès ............................................................... 35
9. Les restrictions de temps ................................................................. 35
10. Les limites de transfert................................................................. 36
11. Réduction du téléchargement .......................................................... 36
VI. Installation de UrlFilter et Transfert du fichier d’installation................. 36
1. Activation du Filtreur d’URL ...........................................................37
2. Catégories de blocage......................................................................37
3. Mise en place du Firewall IPCop
2 Mohamed ZAOUI
3. Blacklists personnalisées.................................................................. 38
4. Liste d’expressions personnalisées...................................................... 38
5. Bloquer les extensions de fichiers...................................................... 38
6. Contrôle d’accès basé sur le réseau ................................................... 39
7. Contrôle d’accès basé sur le temps ................................................... 39
8. Paramètres des pages bloquées......................................................... 40
9. Paramètres avancés....................................................................... 40
10. Ajout massif de Black List ........................................................... 40
11. Installation des blacklists .............................................................. 41
VI. Configuration de l’authentification : .................................................... 42
VIII. Installation des Addons supplémentaires : ............................................... 44
1. Installation de Update Accelerator....................................................... 44
2. Transfert du fichier d’installation........................................................ 45
3. Installation de l’addon ...................................................................... 45
4. Configuration d’update Accelerator ...................................................... 45
IX. Configuration du navigateur client............................................................46
Conclusion........................................................................................48
Bibliographie.....................................................................................49
4. Mise en place du Firewall IPCop
3 Mohamed ZAOUI
De nos jours, la plus part des entreprises possèdent de nombreux
postes informatiques qui sont en général reliés entre eux par un réseau local.
Ce réseau permet d'échanger des données entre les divers collaborateurs
internes à l'entreprise et ainsi de travailler en équipe sur des
projets communs. La possibilité de travail collaboratif apportée par un
réseau local constitue un premier pas. L'étape suivante concerne le
besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire
Internet.
En effet, une entreprise n'est jamais complètement fermée sur elle même. Il
est par exemple nécessaire de pouvoir partager des informations avec les
clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi
laisser une porte ouverte à divers acteurs étrangers. Cette porte peut être
utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à
l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer
de telles actions sont nombreux et variés : attaque visant le vol de données,
passe-temps, ...
Pour parer à ces attaques, une architecture de réseau sécurisée est
nécessaire. L'architecture devant être mise en place doit comporter un
composant essentiel qui est le firewall.
5. Mise en place du Firewall IPCop
4 Mohamed ZAOUI
I. Description du contexte et de l’architecture
IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle
vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur
une architecture de type PC. Elle offre la classique Zone démilitarisée (dmz)
ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). IPCop
peut également servir de serveur mandataire (Proxy), serveur fournissant des
adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP),
et en installant des greffons ou modules, de bien d'autres choses (contrôle de
contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...).
Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée
(zone bleue).
6. Mise en place du Firewall IPCop
5 Mohamed ZAOUI
II. Les Interfaces réseaux
Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et
ORANGE. (Voir le graph précédent)
1) L'Interface réseau ROUGE
Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le
but premier d'IPCop est de protéger les autres réseaux (VERT, BLEU et
ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de
ce réseau ROUGE.
2) L’Interface réseau VERTE
Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en
règle générale d'un réseau local. Cette interface utilise une carte réseau
Ethernet dans la machine IPCop.
3) L'Interface réseau BLEUE
Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un
réseau séparé. Les ordinateurs de ce réseau ne peuvent accéder au réseau
VERT sauf par le biais d'œilletons ( << pinholes >> ) volontairement établis,
ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet
dans la machine IPCop.
4) L'Interface réseau ORANGE
Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs
accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au
réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un
oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau
Ethernet dans la machine IPCop.
7. Mise en place du Firewall IPCop
6 Mohamed ZAOUI
III. Installation :
1. Préalable :
Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou
4 cartes réseau en fonction de la configuration choisie. Il est préférable de
connecter directement les cartes à leur élément actif respectif. Il est rappelé
que les différentes interface d'un FireWall ne doivent pas être connectées au
même réseau physique ou
alors uniquement sur des ports appartenant à des VLAN 802.1q différents.
En règle générale, l'interface rouge est directement connecté au port LAN de
votre routeur d'accès Internet, le port vert au switch de votre réseau local, le
port orange à un switch (ou VLAN) dédié à votre DMZ et enfin l'interface
bleue directement à votre switch ou VLAN dédié aux bornes WIFI.
Nous considérons également que votre connexion internet est de type ADSL
ou SDSL et qu'elle se fait à l'aide d'un Routeur Ethernet, ce qui est la
majorité des cas dans les établissements.
Après avoir téléchargé la dernière version stable sur le site sourceforge.net,
gravez une image iso bootable.
8. Mise en place du Firewall IPCop
7 Mohamed ZAOUI
2. Lancement de l’installation :
Une fois le media crée, ce dernier doit être inséré dans le lecteur cdrom du pc hôte. Il est
alors nécessaire de booter avec ce cd (configuration requise dans le setup du poste).
A cet écran il est possible de démarrer l’installation en pressant « Entrée », les options
permettent soit de préciser certains paramètres liés au matériels soit de modifier des
paramètres tels que la langue d’installation, ou le partitionnement par défaut de l’installation.
Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons
Français.
9. Mise en place du Firewall IPCop
8 Mohamed ZAOUI
Valider en pressant la touche entrée.
Sélectionner ici Ok plus valider avec Entrée.
10. Mise en place du Firewall IPCop
9 Mohamed ZAOUI
Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers,
sélectionner Ok puis valider.
11. Mise en place du Firewall IPCop
10 Mohamed ZAOUI
Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner « Passer »
(en vous déplaçant avec les flèches puis en validant votre choix avec la barre d’espace) puis
valider.
Cet écran est primordial dans l’installation d’IPCOP car c’est ici que allez définir votre carte
réseau Green (VERTE) liée au LAN. IPCOP dispose d’un module de recherche et de
configuration automatique pour de nombreuses cartes réseau. Valider alors la fonction de
recherche.
12. Mise en place du Firewall IPCop
11 Mohamed ZAOUI
Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre
système. Vérifier que cette dernière correspond bien au matériel présent dans votre machine
et valider.
Sur cet écran vous allez définir l’adresse IP de votre carte réseau VERTE.
Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons
l’adresse : 192.168.1.1
13. Mise en place du Firewall IPCop
12 Mohamed ZAOUI
A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première
étape de la configuration.
Sur cet écran choisir le clavier correspondant à votre disposition de clavier. Dans notre cas
choisissons fr puis validons.
14. Mise en place du Firewall IPCop
13 Mohamed ZAOUI
Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.
Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous gardons
le nom par défaut, à savoir ipcop.
15. Mise en place du Firewall IPCop
14 Mohamed ZAOUI
A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut être
de type FQDN, nous choisirons dans notre exemple fpe.ac.ma, puis validez.
Cet écran permet de configurer une liaison (Rouge) de type RNIS ou Numéris (FT).
Aujourd’hui rare, nous choisissons de désactiver cette fonction.
16. Mise en place du Firewall IPCop
15 Mohamed ZAOUI
3. Configuration complémentaire :
Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors choisir le type
de configuration réseau nous retenons.
Valider en pressant « entrée »
Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+ORANGE+RED
(Les autres configurations seront détaillées plus loin), puis nous validons.
Il faut ensuite définir les affectations de cartes réseau (Pour la carte Rouge dans notre cas)
17. Mise en place du Firewall IPCop
16 Mohamed ZAOUI
Sélectionner Affectation des pilotes et des cartes puis valider.
Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider ici pour
effectuer une recherche de la carte réseau.
Une fois la carte trouvée, il nous est proposé de l’affecter au réseau RED (rouge). Valider à
ce niveau.
18. Mise en place du Firewall IPCop
17 Mohamed ZAOUI
A ce stade, tout va bien, il faut valider.
Nous allons désormais procéder à la configuration de l’adresse de la carte RED :
19. Mise en place du Firewall IPCop
18 Mohamed ZAOUI
Choisir RED puis OK.
Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au réseau rouge
(Souvent dans le réseau du routeur), soit de laisse le routeur ou le FAI nous fournir une
adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over
Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons
Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque
réseau proposé.
La configuration de l’adresse de la carte ORANGE :
20. Mise en place du Firewall IPCop
19 Mohamed ZAOUI
Choisir ORANGE puis OK
Ici nous pouvons choisir de saisir une adresse IP statique correspondant au réseau ORANGE
qui représente la DMZ.
Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit
interroger IPCOP.
21. Mise en place du Firewall IPCop
20 Mohamed ZAOUI
Saisir ici les adresses DNS de organisation , ainsi que l’adresse IP (LAN) de votre routeur.
22. Mise en place du Firewall IPCop
21 Mohamed ZAOUI
Il ne reste plus qu’à définir si IPCOP doit être serveur DHCP ou non.
En fonction de votre architecture, vous pouvez soit activer ou désactiver DHCP. Si vous
l’activer, vous devrez alors connitre votre plan d’adressage IP LAN, afin de créer l’étendue
DHCP. Dans notre cas nous n’activerons pas le DHCP.
23. Mise en place du Firewall IPCop
22 Mohamed ZAOUI
Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à
la dernière étape consistant à configurer les différents mots de passe du système. Valider
l’option « Continuer ».
Il est fort probable que l’écran de configuration DHCP apparaisse de nouveau, valider alors par
le bouton OK.
Le premier mot de passe que nous devons saisir est celui du compte « root » à savoir le
super utilisateur qui vous permet d’entrer en mode console sur votre ipcop et surtout de
pouvoir installer les AddOns.
24. Mise en place du Firewall IPCop
23 Mohamed ZAOUI
Si lorsque ce vous saisissez le mot de passe, rien ne s’affiche, c’est normal
Le second compte appelé « admin » permet quant à lui d’administrer IPCOP depuis l’interface
Web, ce compte ne permet pas d’ouvrir une session en mode console.
Enfin le dernier mot de passe permet de protéger la clé de cryptage des sauvegardes de
configuration d’IPCOP.
25. Mise en place du Firewall IPCop
24 Mohamed ZAOUI
Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarrer
Accès à IPCOP
1. Accès local en mode terminal
Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte
« root »
26. Mise en place du Firewall IPCop
25 Mohamed ZAOUI
Vous pouvez alors relancer la configuration IPCOP en tapant la commande « setup »
Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin.
N’oubliez pas de fermer votre session sur IPCOP avec la commande « logout »
27. Mise en place du Firewall IPCop
26 Mohamed ZAOUI
2. Accès à distance via un navigateur Internet
Pour des raisons que on ignore on a pu constater que l’affichage des menus était de meilleure
qualité avec Internet Explorer qu’avec Firefox. On utilise donc dans ce tutorial Internet
Explorer.
Exécutez alors votre navigateur Internet favori puis saisissez l’adresse IP GREEN de votre
IPCOP dans la barre d’adresse de votre navigateur suivie de :81 comme ci-dessous :
Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité :
28. Mise en place du Firewall IPCop
27 Mohamed ZAOUI
On arrive alors à la fenêtre de configuration IPCOP :
Il faut désormais vous connecter en cliquant sur le bouton « Connexion
Saisir ici le login « Admin. » avec le mot de passe configuré auparavant.
Vous avez désormais accès à toutes les fonctions de votre IPCOP.
29. Mise en place du Firewall IPCop
28 Mohamed ZAOUI
3. Accès à distance via un accès Telnet sur SSH
Pour cela nous allons sur la page de configuration Web dans l’onglet « Système » puis « accès
SSH »
30. Mise en place du Firewall IPCop
29 Mohamed ZAOUI
Il faut alors cocher les case « Accès SSH », et « autorise le transfert TCP », puis
« Enregistrer »
Nous pouvons désormais utiliser Putty pour administrer notre IPCOP à distance :
Noter bien la ligne en surbrillance : IPCOP écoute sur le port 222 pour SSH et non 22
Tout comme notre navigateur, Putty nous informe qu’il faut accepter un certificat pour
accéder a IPCOP, nous répondons donc Oui.
31. Mise en place du Firewall IPCop
30 Mohamed ZAOUI
V. Installation des Add-Ons :
Pour installer les add-on sur IPCOP nous allons avoir recours au logiciel permettant d’envoyer
des fichiers sur la machine IPCOP depuis un poste Windows à savoir WinSCP.
Pour utiliser WINSCP il est impératif d’avoir activé le protocole SSH sur l’IPCOP (voir plus
haut)
4. Installation de Advanced Proxy Transfert du fichier d’installation
Via WinSCP transférer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP
Saisir les informations de connexion puis cliquer sur « Connecter ».
32. Mise en place du Firewall IPCop
31 Mohamed ZAOUI
Comme pour Putty, il faut accepter le certificat.
Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre micro, et à
droite les fichiers de votre IPCOP.
Nous allons alors nous positionner dans le répertoire « tmp » de l’IPCOP.
La copie s’effectue par un simple Glisser-Coller, nous allons alors sélectionner le fichier
d’installation d’advancedProxy puis le glisser vers le répertoire /tmp de l’IPCOP
33. Mise en place du Firewall IPCop
32 Mohamed ZAOUI
La fenêtre suivante apparait pour confirmer la copie :
Cliquer sur Copier
Nous constatons que le fichier est bien copié.
5. Installation de l’addon
Nous allons alors passer en mode console ou directement sur notre machine pour installer cet
add-on.
Basculer dans le répertoire tmp, avec la commande « cd /tmp »
34. Mise en place du Firewall IPCop
33 Mohamed ZAOUI
Lister le contenu du répertoire avec la commande « ll»
En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :
Pour lancer l’installation il faut taper la commande suivante : « /install » comme ci-dessous :
Une fois l’installation terminée, nous avons ce type d’écran :
35. Mise en place du Firewall IPCop
34 Mohamed ZAOUI
6. Configuration de Advanced Proxy
Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons
dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :
7. Activation du Proxy Avancé :
Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer.
Le mode transparent permet de se passer de toute configuration sur les postes clients au
niveau des navigateurs internet (paramétrage du proxy). Tout trafic passant par la passerelle
IPCOP sera analysé par le proxy.
36. Mise en place du Firewall IPCop
35 Mohamed ZAOUI
Si cette solution peut être séduisante nous verrons plus loin qu’elle peut poser quelques
problèmes dans certains cas.
8. Gestion du contrôle d’accès
La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permits
pour utiliser IPCOP.
Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites.
Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple.
Une adresse interdite, ne pourra pas accéder à internet !
9. Les restrictions de temps
La section restrictions de temps, permet de définir les horaires d’accès au web.
Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.
37. Mise en place du Firewall IPCop
36 Mohamed ZAOUI
10. Les limites de transfert
La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des
fichiers en réception et en émission.
11. Réduction du téléchargement
La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou
par poste client.
Pour toute modification des paramètres de l’AdvancedProxy ne pas oublier de redémarrer le
service en cliquant sur Sauver et redémarrer
VI. Installation de UrlFilter et Transfert du fichier d’installation
Via WinSCP transférer le package UrlFilter .x.x.x.tar.gz dans le dossier /tmp de l’IPCOP.
Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons
dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :
38. Mise en place du Firewall IPCop
37 Mohamed ZAOUI
1. Activation du Filtreur d’URL
Nous voyons ici que le filtreur d’URL est bien disponible, cependant pour l’activer nous devons
passer par AdvancedProxy.
Section UrlFilter :
Et bien sur ne pas oublier d’enregistrer les changements !
2. Catégories de blocage
Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer
simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter
d’autres catégories de blocage.
39. Mise en place du Firewall IPCop
38 Mohamed ZAOUI
3. Blacklists personnalisées
Dans cette section il est possible d’ajouter rapidement un domaine ou une URL à bloquer.
Un domaine est de la forme www.rasd.com
Une URL sera de la forme http://www.rasd.com/index.php
4. Liste d’expressions personnalisées.
Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans
une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer
toutes les URL contenant l’expression : Gateway
5. Bloquer les extensions de fichiers
Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…)
compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…)
Uniquement par le biais de la navigation HTTP.
40. Mise en place du Firewall IPCop
39 Mohamed ZAOUI
6. Contrôle d’accès basé sur le réseau
Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et
celle qui doivent être bannies.
7. Contrôle d’accès basé sur le temps
Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant :
Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la
journée (ici les postes du réseau 192.168.1.0/24 peuvent accéder sans restrictions au contenu
Internet de 10h00 à 12h00 du lundi au vendredi.)
41. Mise en place du Firewall IPCop
40 Mohamed ZAOUI
8. Paramètres des pages bloquées
Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être
bloqué.
9. Paramètres avancés
Vous pouvez également depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à
saisir l’ip de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur
bloquer l’accès aux sites pour cette (ou ces) adresse(s) IP
10. Ajout massif de Black List
Pour d’avantage de filtrage il est conseillé d’installer d’autres Blacklist complémentaire à celle
en place par défaut.
La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la
nouvelle liste de catégories alors disponible :
42. Mise en place du Firewall IPCop
41 Mohamed ZAOUI
11. Installation des blacklists
Dans le bas de cette page il nous est possible d’uploader un fichier de blacklist :
En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist :
On sélectionne le fichier blacklists.tar.gz
Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la
machine cette opération peut prendre de 1 à 10 minutes !
Ne surtout pas redémarrer votre IPCOP pendant cette période !!!
43. Mise en place du Firewall IPCop
42 Mohamed ZAOUI
VI. Configuration de l’authentification :
Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet.Cependant
pour activer cette fonction, plusieurs points sont à prendre en considération :
Le mode Proxy Transparent doit être désactivé
Les postes clients doivent donc être configurés pour passer à travers le proxy
Plusieurs méthodes d’authentification sont disponibles sous IPCOP :
Dans le bas de la fenêtre de configuration du Proxy Avancé nous avons :
1. None
L’authentification est désactivée, aucun login/mot de passe n’est demandé.
2. Local Authentification
Cette méthode d’authentification est la préférée des petites structures, la gestion des
utilisateurs et mot de passe est effectuée par IPCOP lui-même.
3. Authentification avec identd
Cette méthode est particulièrement prisée pour les entreprise ou
• L’authentification doit se faire de manière masquée
• Le Proxy doit fonctionner en mode transparent
• Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle
authentification.
Cette méthode requiert cependant l’installation d’un client idend sur les postes clients
(surtout Microsoft)
4. Authentification utilisant LDAP
Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille. Les
utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de
passe.
44. Mise en place du Firewall IPCop
43 Mohamed ZAOUI
Les informations sont alors vérifiées, par un serveur LDAP externe, Advanced Proxy
fonctionne avec ces type de serveurs LDAP :
• Active Directory (Windows 2000 and 2003 Server)
• Novell eDirectory (NetWare 5.x und NetWare 6)
• LDAP Version 2 and 3 (OpenLDAP)
Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy.
5. Windows authentification
Les utilisateurs doivent s’authentifier lorsqu’il accèdent au web, les informations
d’identification sont vérifiée par une contrôleur de domaine externe tel que :
• Windows NT 4.0 Server or Windows 2000/2003 Server
• Samba 2.x / 3.x Server (running as Domain Controller)
6. RADIUS authentification
Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations
d’identification sont vérifiées par serveur RADIUS externe :
Dans notre cas nous allons utiliser l’authentification Locale.
Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des
utilisateurs :
45. Mise en place du Firewall IPCop
44 Mohamed ZAOUI
Dans la partie droite de cette fenêtre nous avons la possibilité d’affecter 1 groupe parmi 3 à
chaque utilisateur :
Standard : Toutes les restrictions sont actives tout le temps
Etendu : Les membres de ce groupe outrepassent les restrictions
Désactivé : Permet de désactiver un compte sans le supprimer
Une fois les utilisateurs crées, ils apparaissent comme ci-dessous :
VIII. Installation des Addons supplémentaires :
1. Installation de Update Accelerator
Update Accelerator est un outil fort utile sur un réseau d’entreprise effectuant régulièrement
des mises à jour logicielles d’antivirus, de correctifs Windows et Linux. En effet ce dernier
stocke localement les produits téléchargés et les met donc à disposition localement pour les
utilisateurs de manière totalement transparente pour ce dernier.
Attention : Cet addon s’avère extrêmement gourmand en espace disque ou bout de quelques
temps (en fonction de votre parc) il malheureusement il ne s’installe pas sur la plus grande
partition Linux de votre IPCOP. Un disque dur d’un minimum de 40 Go et un
dimensionnement sont donc impératifs.
46. Mise en place du Firewall IPCop
45 Mohamed ZAOUI
2. Transfert du fichier d’installation
Via WinSCP transférer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de
l’IPCOP.
3. Installation de l’addon
Via l’utilitaire Petty, extraire et installer l’addon comme suit :
Extraire…
I
nstaller…
4. Configuration d’update Accelerator
Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP :
47. Mise en place du Firewall IPCop
46 Mohamed ZAOUI
Cependant pour activer la fonction de cet addon il est impératif de passer par le Proxy
Avancé :
Une fois activé une des seules actions à mener est de vérifier l’espace disque disponible de
façon régulière en cliquant sur Maintenance.
IX. configuration du navigateur client :
Il s’agit de configurer la navigateur pour passer à travers le Proxy :
Pour Internet Explorer : On click sur bouton droit dans l'icône IE puis
propriété/connexion/paramètres avancé:
Après on taper l'adresse de notre serveur Proxy et le port d'écoute
48. Mise en place du Firewall IPCop
47 Mohamed ZAOUI
Lors de l’ouverture du navigateur nous avons alors une fenêtre du type :
L’utilisateur peut alors changer son mot de passe à l’adresse suivante :
http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi
49. Mise en place du Firewall IPCop
48 Mohamed ZAOUI
La mise en place d'un FIRWAll IPCOP permet donc de sécuriser au
maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion
et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur
Internet beaucoup plus sûr, également permettre de restreindre l'accès
interne vers l'extérieur.
En plaçant un le firewall IPCOP limitant ou interdisant l'accès à des
services, l'entreprise peut donc avoir un contrôle sur les activités se
déroulant dans son enceinte.
Comme nous l'avons vu précédemment, la mise en place d'un FIRWALL IPCOP
propose donc un véritable contrôle sur le trafic réseau de
l'entreprise. Il permet d'utiliser le réseau de la façon pour laquelle il a été
prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une
personne sans autorisation d'accéder à ce réseau de données.
Ceci nécessite l'étude de différents points afin de bien dimensionner son
utilisation et être sûr de son choix. En effet, la mise en place d'IPCOP est
plus qu'un défi technique mais également humain. Il faut prendre en compte la
maintenance du IPCOP.
50. Mise en place du Firewall IPCop
49 Mohamed ZAOUI
Bibliographie :
http://www.ipcop.org : site officiel de l’IPCOP
http://www.sourceforge.net
http://franck78.ath.cx - une interface aisée pour administrer le très populaire outil de
filtrage d'url squidGuard∞. Traduit en Italien, Français, Allemand, Néerlandais, Russe,
Portuguais et Anglais.
http://firewalladdons.sourceforge.net - Addon Server pour IPCop possède une grande
variété d'outils tout prèts comme DansGuardian.
http://www.ipadd.de - collection d'addons binaires et des liens relatifs à IPCop.
http://www.urlfilter.net - URL filter un autre GUI pour squidGuard. Propose aussi la
gestion horaire!
http://www.advproxy.net - Advanced Proxy remplace avantageusement la gestion de
base du proxy squid par une interface très complète (authentification, restriction,
ldap...).
http://www.mhaddons.tk - une collection d'addons pour IPCop, dont copfilter updates,
Advanced QoS, Asterisk, Sarg, Nessus et Clamav 0.83
http://www.zerina.de - OpenVPN et howto, l'équivalent IPSec en SSL.
http://www.copfilter.org - Copfilter supprime silencieusement virus et spams présents
dans les courriels ou le trafic web.
http://banish.sidsolutions.net - Banish bloque l'accès en spécifiant au choix adresse IP,
CDIR, Domain ou MAC Address.
http://www.blockouttraffic.de - BlockOutTraffic (BOT) bloque le trafic sortant qui est
normalement autorisé lors d'une installation standard d'IPCop. Vous pouvez créer vos
propres règles au travers d'une interface graphique simple et intuitive pour réguler le
trafic vers at au travers de votre firewall.
http://www.elminster.com - IPCop L2TP VPN Mod Modification to allow IPCop to be
used as an L2TP over IPSEC server for the standard Windows VPN client. Useful for
windows Roadwarriors.