Administration D’IPCOP

Table des matières
I. Introduction..............................................................................................................................4 II. Préparation..............................................................................................................................4 III. Schéma de l’installation........................................................................................................4 IV. Première connexion..............................................................................................................4 ................................................................................................................................................4 IV.1 Avec IE version 7...........................................................................................................5 IV.1.1 Installation du certificat de sécurité.........................................................................5 IV.1.2 Identification au serveur IPCOP..............................................................................7 IV.2 Avec Firefox version 3.0.6.............................................................................................7 IV.2.1 Installation du certificat de sécurité.........................................................................7 IV.2.2 Identification au serveur IPCOP............................................................................10 IV.3 Avec Safari version 4 (bêta).........................................................................................10 IV.3.1 Installation du certificat de sécurité.......................................................................10 IV.3.2 Identification au serveur IPCOP............................................................................11 IV.4 Avec Opéra version 9.63..............................................................................................11 IV.4.1 Installation du certificat de sécurité.......................................................................11 IV.4.2 Identification au serveur IPCOP............................................................................12 IV.5 Avec Google chrome version 1.0.154.48.....................................................................13 IV.5.1 Installation du certificat de sécurité.......................................................................13 IV.5.2 Identification au serveur IPCOP............................................................................13 IV.6 Avec K-meleon version 1.5.2.......................................................................................14 IV.6.1 Installation du certificat de sécurité.......................................................................14 IV.7 Avec Seamonkey version 1.1.14...................................................................................15 IV.7.1 Installation du certificat de sécurité.......................................................................15 IV.7.2 Identification au serveur IPCOP............................................................................16 IV.8 Avec Flock version 2.0.3..............................................................................................16 IV.8.1 Installation du certificat de sécurité.......................................................................16 IV.8.2 Identification au serveur IPCOP............................................................................18 V.1 Onglet Système..............................................................................................................19 V.2 Onglet Etat.....................................................................................................................19 V.3 Onglet Réseau................................................................................................................19 V.4 Onglet Service................................................................................................................20 V.5 Onglet Pare-feu..............................................................................................................20 V.6 Onglet RPVs...................................................................................................................20 V.7 Onglet Journaux.............................................................................................................20 VII. Choix des Addon à installer..............................................................................................22 VIII. Installation des Addon......................................................................................................22 VIII.1 Client ssh en java (connexion)...................................................................................22 VIII.2 Adv-proxy (proxy).....................................................................................................24 VIII.3 Urlfilter (filtre)...........................................................................................................25 VIII.3.1 Installation...........................................................................................................25 VIII.3.2 Paramétrage.........................................................................................................25 VIII.3.3 Sauvegarde..........................................................................................................25 VIII.3.4 Restauration.........................................................................................................25 VIII.11 Zerina (VPN)............................................................................................................26 IX. Détail de l’onglet ...............................................................................................................27 IX.1 ......................................................................................................................................27 IX.2 ......................................................................................................................................28 IX.3 ......................................................................................................................................29 IX.4 ......................................................................................................................................30 IX.5 ......................................................................................................................................30 IX.6 ......................................................................................................................................31 2

IX.7 ......................................................................................................................................32 IX.8 ......................................................................................................................................32 X. Détail de l’onglet .................................................................................................................33 X.1 ........................................................................................................................................33 X.2 ........................................................................................................................................34 X.3 ........................................................................................................................................36 X.4 ........................................................................................................................................39 X.5 ........................................................................................................................................41 X.6 ........................................................................................................................................42 XI. Détail de l’onglet ...............................................................................................................43 XI.1 ......................................................................................................................................43 XI.2 ......................................................................................................................................44 XI.3 ......................................................................................................................................44 XII. Détail de l’onglet ..............................................................................................................45 XII.1 .....................................................................................................................................45 XII.2 .....................................................................................................................................46 XII.3 .....................................................................................................................................47 XII.4 .....................................................................................................................................48 XII.5 .....................................................................................................................................49 XII.6 .....................................................................................................................................49 XII.7 .....................................................................................................................................51 XIII. Détail de l’onglet .............................................................................................................52 XIII.1 ....................................................................................................................................52 XIII.2 ....................................................................................................................................52 XIII.3 ....................................................................................................................................53 XIV. Détail de l’onglet .............................................................................................................54 XIV.1 ....................................................................................................................................54 XV. Détail de l’onglet ..............................................................................................................56 XV.1 .....................................................................................................................................56 XV.2 .....................................................................................................................................56 XV.3 .....................................................................................................................................57 XV.4 .....................................................................................................................................58 XV.5 .....................................................................................................................................60 XV.6 .....................................................................................................................................63 XVI. Sauvegarde.......................................................................................................................64 XVI.1 Introduction................................................................................................................64 XVI.1.1 Sauvegarde « légère » sur disque dur.................................................................64 XVI.1.2 Sauvegarde « légère » sur clé USB.....................................................................65 XVI.1.3 Méthode complète...............................................................................................66 XVII. Restauration....................................................................................................................67 XVII.1 Restauration « légère ».............................................................................................67 XVII.1.1 Restauration depuis le disque dur d’IPCOP......................................................67 XVII.1.2 Restauration depuis le disque dur du PC d’administration................................67

3

IP.111. Nous allons dans un premier temps passer à la version 1.nom.0.20 sur notre machine.IPCOP:445 Ou bien http://adresse.machine. 4 .machine.la.la.21 au moyen d’une mise à jour. IV.machine. Première connexion Nous lançons notre navigateur et entrons l’adresse : http://le.4.machine. (Nous l’appellerons M1).nom. II.de. Introduction Nous venons d’installer IPCOP 1.I.IPCOP:81 https://le.de. Nous nous intéresserons ensuite à la partie d’administration pur de notre pare feu au travers l’interface web à l’aide d’une machine située sur le réseau local de l’interface verte.la. Schéma de l’installation IPCOP est en client DHCP sur l’interface rouge.IP.4.0.de.168.11/8) L’interface rouge pour nous est en client DHCP(adresse obtenue :192. Nous décrirons les différents onglets de l’interface graphique (GUI) d’administration d’IPCOP. Préparation Nous allons affecter une adresse IP à la machine située sur notre réseau vert.la.112/24) III.IPCOP:445 On obtient alors un message de sécurité mais différent suivant le navigateur utilisé.IPCOP:81 ou https://adresse.de.(10.

Nous obtenons une fenêtre d’avertissement : Nous voyons de plus que l’adresse à changé dans le navigateur Nous cliquons sur « erreur de certificat » puis nous choisissons « afficher les certificats » : 5 .1:81 Nous avons alors la réponse : Nous choisissons de poursuivre avec ce site web.1.0.0.1 Installation du certificat de sécurité Nous entrons dans la barre d’adresse : http://10.IV.1 Avec IE version 7 IV.

Nous faisons alors l’installation du certificat : Jusqu'à arriver sur : Nous cliquons sur « Oui » On obtient : 6 .

6 IV. Nous répondons ‘Ou vous pouvez ajouter une exeption’.0.1 Installation du certificat de sécurité Nous avons une demande de certificat de sécurité après avoir entré l’adresse IP de notre serveur IPCOP.1. 7 .IV.2.2 Avec Firefox version 3.2 Identification au serveur IPCOP Pour pouvoir entrer dans les menus d’IPCOP nous allons devoir nous identifier : Pour cela nous nous logons en Admin. IV.

On obtient alors : Nous choisissons ‘ajouter une exception’ Puis ‘Obtenir un certificat’ 8 .

9 .Là nous ‘confirmons l’exception de sécurité’ en laissant coché la case « conserver cette exception de façon permanente ». Nous arrivons alors sur la page d’accueil de l’interface d’administration d’IPCOP.

IV. 10 .3.IV.2. Nous cliquons sur ‘Continue’ pour arriver directement dans l’interface graphique d’administration.1 Installation du certificat de sécurité Nous avons une alerte sécurité après avoir entré l’adresse IP de notre serveur.2 Identification au serveur IPCOP Dès que nous voulons entrer dans un menu une authentification nous est demandée : Il faut entrer le nom et le mot de passe admin Pour nous : Nous cliquons sur ‘OK’ et nous voilà définitivement dans l’interface graphique d’IPCOP.3 Avec Safari version 4 (bêta) IV.

0.1 Installation du certificat de sécurité Là très simple après avoir enté l’adresse de notre serveur IPCOP dans le navigateur : http://10. IV.IV.0.1:81 On obtient un avertissement du type.2 Identification au serveur IPCOP Nous nous authentifions à notre serveur IPCOP lorsque nous voulons aller dans un onglet pour la première fois.4.4 Avec Opéra version 9.63 IV.3. 11 .

Nous faisons ‘accepter’ et voila nous arrivons à la page d’accueil d’administration d’IPCOP. On aura : 12 .4. IV.2 Identification au serveur IPCOP Comme pour les autres navigateurs nous devons nous authentifier pour pouvoir nous connecter à IPCOP.

2 Identification au serveur IPCOP Puis nous entrons nos identifiant admin 13 .5.1 Installation du certificat de sécurité Là très simple après avoir enté l’adresse de notre serveur IPCOP dans le navigateur : http://10.154.5.IV.5 Avec Google chrome version 1.0.0.48 IV.1:81 Nous choisissons de ‘Poursuivre quand même’ IV.0.

6 Avec K-meleon version 1.6.2 IV.1 Installation du certificat de sécurité Même démarche que précédemment nous obtenons : Nous ‘acceptons ce certificat de manière permanente’ On obtient : Nous faisons « OK » Encore « OK » 14 .5.IV.

1.7 Avec Seamonkey version 1.0.IV.2 Identification au serveur IPCOP nous nous logons en admin IV.1 Installation du certificat de sécurité Entrons l’adresse http://10.7.0.6.14 IV.1:81 pour obtenir Nous choisissons ‘accepter définitivement ce certificat’ Nous faisons ‘OK’ 15 .

1 Installation du certificat de sécurité Nous entrons notre adresse de serveur IPCOP et l’on obtient : Cliquons sur ‘OK’ 16 .8.IV.2 Identification au serveur IPCOP nous nous authentifions en admin IV.7.0.3 IV.8 Avec Flock version 2.

Nous ajoutons une exception « Add Exeption » Obtenir un certificat « Get Certificate » Nous confirmons l’exception de sécurité. 17 .

8.2 Identification au serveur IPCOP Nous nous logons en Admin 18 .IV.

Il s'agit là de spécifier les paramètres de connexion ou d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de l'installation.… V. connexions actuelles.2 Onglet Etat Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci : services actifs. la modification des mots de passes. les sauvegardes. utilisation de la mémoire et du processeur. en effet si l’interface rouge est composée d’un modem (et non un routeur ou modem-routeur) vous pouvez le configurer et gérer la connexion de celui-ci dans les menus de cet onglet. réglage actuel des interfaces réseau. Cet onglet est inutile dans notre cas (nous somme en configuration vert-rouge.V. courbes de trafic et d’utilisation de la mémoire. l'activation de l'accès SSH… V. en Ethernet de chaque coté) 19 . Les onglets de l’interface graphique (Première approche) V.3 Onglet Réseau Le menu réseau fait en réalité référence aux connexions par modem.1 Onglet Système Tout ce qui concerne de près ou de loin le système en lui-même. c'est-à-dire la vérification et l'installation des mises à jour.

Accès externe et les option de parefeu V. 20 . bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration. le Réseau Privé Virtuel (RPV.7 Onglet Journaux Les journaux (ou logs) sont très importants pour un firewall.V.6 Onglet RPVs L’onglet RPVs ne contient qu’un seul menu du même nom. ou VPN en anglais pour Virtual Private Network) étant un domaine complètement à part au regard des autres catégories proposées par IPCop.4 Onglet Service Divers services sont disponibles avec IPCop. V. en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes. sur le tranfert de port . ou tout simplement de détecter puis de tracer d’où viennent ces attaques… Mais il y a aussi ici les journaux du service proxy. certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. V. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici.Si nous installons Zerina il se logera ici. Vous aurez remarqué que les différents onglets sont relatifs à des domaines précis.5 Onglet Pare-feu Différents réglages sont possible.

comme nous le montre l’image qui suit : 21 .21 Nous nous rendons dans l’onglet « système » et nous choisissons mise à jour. nous arrivons sur : Nous cliquons sur ‘télécharger’ Nous choisissons ensuite ‘appliquer maintenant’ dans la fenêtre qui suit : Nous sommes passé à la version 1.4.4.VI.21. Mise à jour vers 1.

fr. Un addon pour les mises à jour de produit comme adobe.header Nous entrons la commande : .4.gz Nous allons le transférer sur IPCOP dans le répertoire tmp au moyen de WinSCP (voir tuto Logiciels d'administration WinSCP.1 Client ssh en java (connexion) Nous avons téléchargé la version 1. VIII. Installation des Addon VIII.4.tar.gz Install Mindterm.4. Un nouveau sous menu est apparu dans l’onglet ‘système’.VII./install Rendons nous maintenant dans l’interface graphique d’IPCOP. Il se présente sous la forme : sshclient_ipcop_1.8. Nous nous rendons dans le répertoire tmp au moyen de la commande : cd /tmp Nous retrouvons notre fichier : sshclient_ipcop_1.8.tar.gz Nous obtenons un répertoire sshclient Nous entrons la commande cd sshclient A l’intérieur nous trouvons : check Files.gz Nous allons de décompresser à l’aide de la commande : tar –xzf sshclient_ipcop_1.fr.fr. Nous nous plaçons ensuite sur IPCOP. Nous allons donc installer et tester Adv-Proxy (pour le service proxy avancé) Urlfilter (pour le filtre des sites visité) puis 4 addon spécialisé dans la gestion des log.doc).tar.tar.4.8.8 francisé de cet Addon.il s’agit de ‘Secure Shell client’ 22 . Choix des Addon à installer Une contrainte de ce stage est de trouver un bon équilibre entre le filtrage des sites visité et l’élaboration de journaux. Microsoft… Enfin un addon (client ssh en java) qui nous permettra de nous passer de WinSCP et PuTTY.

23 .Nous pouvons alors régler les paramètres d’affichage de notre client ssh. Un avertissement apparaît : Nous cochons la case ‘toujours faire confiance…’ Puis cliquons sur ‘oui’ Et nous nous retrouvons dans une fenêtre ‘identique’ à IPCOP. Puis nous démarrons le client. NB : nous avons du installer jdk-6u12-windows-i586-p (téléchargé sur le site de sun). Nous pouvons tout faire en ligne de commande (pour les puristes).

2 Adv-proxy (proxy) Nous transférons Adv-proxy par WinSCP dans le répertoire tmp. Nous allons ensuite grâce à notre console ssh installer l’addon.VIII. 24 .

3 Sauvegarde VIII.3.3.3.VIII.3.2 Paramétrage VIII.4 Restauration 25 .3 Urlfilter (filtre) VIII.1 Installation VIII.

VIII.11 Zerina (VPN) 26 .

IX. Nous avons aussi l’adresse IP et le nom d’hôte de notre Pare Feu Nom de notre machine IPCOP ainsi que le domaine auquel il appartient. On aura alors ce message qui va appraître permet de redémarrer IPCOP à distance Permet de rafraîchir les données de temps de connexion de la page en cours.1 Ce sous menu nous renseigne sur la durée total de connexion de notre IPCOP. Nous renvois vers une aide en ligne pour l’administration et la configuration (mais en anglais) 27 . Nous permet d’arrêter IPCOP à distance. Détail de l’onglet IX. Nous renseigne sur la durée d’utilisation d’IPCOP l’adresse IP côté rouge et le nom d’hôte d’IPCOP.

Lorsqu’il y a une mise à jour de disponible ce message apparaît : La procédure de mise en place de cette mise à jour est décrite Ici Si nous avons téléchargé la mise à jour et que cette dernière se trouve sur un support ou sur le PC d’administration nous pouvons aller la chercher en faisant ‘parcourir’ puis ‘chargement’ Nous permet de choisir le type de noyau correspondant à notre processeur installé sur notre machine IPCOP.2 Ce sous menu nous permet de mettre à jour IPCOP. Aide en ligne sur les mises à jour (En anglais) 28 . Efface le cache du serveur Permet de faire une recherche de mise à jour pour IPCOP.IX.

Aide en ligne sur les mots de passe (En anglais) 29 .3 Nous pouvons modifier les mots de passe pour les comptes : Admin (permet de se connecter à l’interface web d’IPCOP) et Dial (utilisateur autorisé à connecter et déconnecter la connexion par modem) Ces mots de passe doivent au moins contenir six caractères. Nous indique le listing de mise à jour effectué sur la machine IPCOP.Nous renseigne sur l’utilisation du (ou des) disque(s) de notre serveur IPCOP. IX.

On peut aussi choisir d’afficher le nom de la machine dans la barre de titre du navigateur.5 L’interface graphique d’IPCop peut être un petit peu personnalisé. toute modification doit être validée à l’aide du bouton « Enregistrer » pour être prise en compte… Aide en ligne sur l’accès ssh (En anglais) IX. elles sont cryptées sur 1024 bits.IX. rien de bien transcendant mis à part le choix de la langue de celle-ci. empêchant ainsi de copier des fichiers sur IPCop avec WinSCP (par exemple). D’autres options relatives à la version du client SSH utilisé et à l’authentification par mot de passe et clés publiques sont de la partie. Bien entendu. Les autres options ne concernent pas directement. ou pas du tout. l’interface graphique mais ont tout de même leur utilité : autoriser le Java Script. activer le rafraîchissement automatique 30 . Les clés SSH d’IPCop sont du type RSA et DSA.4 Cet accès n’est pas activé par default. Il est possible de refuser le transfert SCP.

il est d’ailleurs possible de sauvegarder la dernière en date sur l’ordinateur local et de la restaurer à l’aide des boutons « Parcourir »et « Importer dat ». Avec IPCop il est possible de réaliser deux types de sauvegardes : une première sur la machine. Toute modification est prise en compte à l’aide du bouton possible de remettre à zéro celle-ci grâce au bouton . les pannes hardware ou software sont rares mais existent. Les sauvegardes sur la machine sont à considérer comme des points de restauration qui permettent de revenir à une configuration précédente suite à une modification n’étant pas satisfaisante. Les sauvegardes réalisées sur disquettes sont précieuses en cas de panne sévère. si vous devez réinstaller complètement le système cette disquette de sauvegarde vous sera demandé à l’installation et vous fera ainsi gagner un temps précieux (en effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de la sauvegarde. Plusieurs sauvegardes de ce type peuvent être créées sur le système. Il est par ailleurs Aide en ligne sur l’interface graphique (En anglais) IX. et une seconde sur disquette. sans intervention de votre part). En effet.6 Comme tout système informatique.La partie sauvegarde est détaillé Ici Aide en ligne sur la sauvegarde (En anglais) 31 .de la page d’accueil et activer les bips de connexion / déconnexion (en effet cela permet de savoir si IPCop a fini de démarrer et est connecté lorsque l’on redémarre celui-ci et que bien entendu il est dépourvu d’écran et autres périphériques).

7 Ce sous menu nous permet de redémarrer. Les adresses mails de ces personnes figurent si vous aviez besoin de les contacter pour faire avancer le projet.8 Contient tous les noms des contributeurs du projet IPCOP. 32 .IX. arrêter ou programmer un arrêt ou redémarrage d’IPCOP en fonction d’une date Aide en ligne sur arrêter (En anglais) IX.

On remarquera que certains ne peuvent être désactivés à l’aide de l’interface web. ceci sera sûrement possible dans les versions futures… 33 . Détail de l’onglet Les sous menus de l’onglet Etat sont tous à titre informatif. Les services du système sont listés avec leur état. Il se présente sous cette forme X.X. ils sont donc là pour fournir des informations et non permettre une quelconque configuration. En effet vous obtenez de celui-ci une vue globale du système et des services. de consulter l’activité du système. comme son nom l’indique. En effet. aucune modification n’est effectuée depuis ceux-ci.1 Ce menu permet.

logiquement la liste devient plus importante lors de l’activation du serveur DHCP… L’interface se présente comme suit : 34 .2 Comme pour le menu système. l’adresse IP allouée (fixe ou DHCP). ainsi que l’état du transfert des paquets (commande "ifconfig"). X. mais non dénué d’intérêt ! Vous retrouverez ici la configuration de vos interfaces réseau classées par couleur. Pour chaque interface vous aurez l’adresse MAC de la carte utilisée. la taille de la MTU utilisée. tout ce qui figure ici est à titre informel.Nous verrons s’il y a des changements lors d’installation d’addon. Figurent aussi les entrées de la table de routage et la table ARP (pour Adresse Resolution Protocol).

35 .

swap et accès disque). Le fait de cliquer sur le graphique d’un élément affiche les graphiques de cet élément avec d’autres unités temporelles (jour. mois. semaine. année) vous permettant ainsi d’obtenir une vue d’ensemble de l’utilisation. Les légendes des graphiques sont claires. 36 . mais permettent également d’identifier les pics de sollicitation des ressources par plage horaire.X.3 Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources matérielles (processeur. mémoire. on ne reviendra donc pas dessus ici.

Nous pouvons avoir un détail par jour/ semaine /mois /Années des graphes simplement en cliquant sur le graphique. Exemple pour le graphe de la mémoire : 37 .

38 .

lorsque vous cliquez sur un graphique vous obtenez une vue dans une autre unité de temps.X. Nous pouvons avoir un détail par jour/ semaine /mois /Années des graphes simplement en cliquant sur le graphique. Tout comme les graphiques système. là aussi il s’agit d’identifier les pics d’utilisation et de saturation du trafic. Exemple pour le graphe de l’interface verte: 39 .4 Les courbes de trafic représentent le niveau de sollicitation de la bande passante par rapport au temps.

40 .

41 .X.5 Là encore il ne s’agit que de visualisation de l’état du proxy.

bail.X.6 Il est possible de suivre en temps réel les communications établies entre IPCop et les éléments qui l’entourent. ack. zone. Le tableau des connexions vous permet de suivre celles-ci. les adresses ip et les ports utilisés y sont répertoriés ainsi que d‘autres informations (protocole. etc…) 42 .

…) peuvent être sauvegardées dans 5 profils. Ces informations sont en général fournies par votre fournisseur d’accès à internet. En effet. si on ne souhaite pas se rendre sur cette page fréquemment. vous permettant ainsi de vous connecter avec différents abonnements ou avec les paramètres de plusieurs abonnements de façon très simple sans avoir à ressaisir les données à chaque fois. utiliser l'utilitaire Copwatch pour paramétrer. Toutes ces informations (identifiants. établir et contrôler la connexion d'IPCop directement sous Windows. modem. D’autres options permettent d’affiner un peu plus les paramètres de base. Détail de l’onglet Les menus de cet onglet vous seront utiles dans le cas de l’utilisation de l’interface rouge avec une connexion par modem.XI. 43 . Nous n’utiliserons pas cet onglet car notre configuration réseau est en Ethernet des deux côté d’IPCOP. si vous utilisez une carte réseau pour l’interface rouge cet onglet ne vous sera d’aucune utilité. serveur DNS. XI. Remarque : on pourra.1 Dans ce menu vous allez pouvoir définir vos paramètres de connexion Internet avec vos identifiants. comme par exemple la possibilité de se déconnecter au bout d’un certain délai d’inactivité et de se reconnecter automatiquement si besoin avec même un autre profil si le profil actuel n’arrive pas à établir la connexion.

XI. mais en cas de problème de détection avec le votre. vous pourrez remettre les paramètres par défaut à l’aide du bouton correspondant.3 Il est possible de personnaliser les réglages propres à la connexion du modem au travers de ce menu.2 Par défaut IPCop reconnaît beaucoup de modems. il est possible de récupérer le driver Fritz!DSL de celui-ci s’il ne fait pas partie de la liste de modems reconnus par IPCop. 44 . Attention ceci est réservé à un public averti ! En cas de mauvaise manipulation. XI.

de les stocker avec leurs contenus dans un cache afin que lors de la prochaine demande d’affichage de celles-ci.. Détail de l’onglet XII. Dans le cas où d'autres services font appel à la bande passante pour Internet. pour surfer de façon anonyme sur Internet (dans le même esprit que le logiciel Multi Proxy). Il est également possible d’interroger un autre serveur proxy que le nôtre. on peut mettre le serveur Proxy " physiquement " entre les machines du réseau local et la zone web. ou configurer les postes du réseau pour que ceux-ci passent par le Proxy. on préfèrera la première possibilité.. la bande passante Internet soit moins sollicitée. Etant donné que tout le trafic " web " transite par un serveur proxy. Dans notre cas.1 Un serveur proxy est souvent une machine dédiée intercalée entre les ordinateurs d’un réseau et Internet (ou un Intranet.XII. cet autre serveur étant quelque part sur Internet. Son rôle est d’aller chercher les pages pour les utilisateurs dudit réseau. et en plus de leur fournir lesdites pages. nous activerons donc le mode " transparent " permettant d' activer le serveur sans avoir à passer sur chaque poste du réseau pour que celui-ci utilise le serveur. Suivant la capacité du disque dur de notre machine IPCop. A noter qu'il n'est pas utile d' allouer énormément de mémoire pour le cache.. on spécifiera une taille plus ou moins raisonnable pour le cache. on pourra spécifier une limite de débit et même mettre en place quelques règles de filtrage… Il existe plusieurs façons de mettre en place un serveur proxy par rapport aux ordinateurs d'un réseau local. en revanche pour une optimisation plus précise on utilisera le menu " Lissage de trafic (Shapping) " qui nous permettra des réglages plus fins. 45 . on pourra limiter le trafic dédié à la navigation. peu importe).. un cache de 50 Mo remplit presque aussi bien ses fonctions qu'un cache de 500 Mo ! La taille du cache dépendra en fait du nombre de sites susceptibles d'être visités (et donc à fortiori du nombre d’utilisateurs). on pourra par ailleurs activer les journaux de celui-ci pour un suivi quotidien.

La passerelle : un réseau local dispose d'une adresse IP privé (non accessible directement d’Internet). Il s'agit de l’implémentation Microsoft de Net Bios Name Server. il est tout de même préférable d’installer Adv-Proxy pour optimiser le fonctionnement de celui-ci.243. pour pouvoir sortir de notre réseau local et accéder à un autre réseau (Internet par exemple) on utilise une passerelle. Serveur WINS : il s'agit d'un serveur de nom comme le DNS. le " grand-père " du DNS et d' Active Directory et qui n'est plus tellement utilisé de nos jours. aussi on aimerait ne pas avoir à configurer à chaque fois un ordinateur que l'on veut ajouter sur notre réseau. appeler aussi routeur.2 Le partage de la connexion Internet est toujours un peu délicat lorsque l'on débute. en effet generationnt..23. Un serveur DHCP (Dynamic Host Configuration Protocol) permet. XII. d'attribuer de façon dynamique une configuration. • • • 46 . WINS signifie Windows Internet Naming Service. Serveur NTP : les serveurs NTP ( Network Time Protocol ) permettent d' attribuer une même date et une même heure à l'ensemble d'un réseau. Serveur DNS : un nom est plus facile à retenir qu'un numéro. Ce serveur va nous permettre d'attribuer automatiquement des adresses : • • Adresse IP : pour chaque ordinateur à partir du moment où il sera connecté physiquement au réseau.80. Le rôle d'un serveur DNS est ainsi de faire correspondre un nom de domaine (ou de machine) à une adresse IP. mais spécifique à Windows.com est plus facile à retenir que 83. on pourra l'activer dans ce menu.Si le plugin Urlfilter est installé.. comme son nom anglais l’indique. un service spécifique d'IPCop est consacré à cela.

En revanche les serveurs DNS Dynamiques permettent aux ordinateurs ne disposant pas d'adresse IP fixe d'avoir une résolution DNS : à chaque fois que l'adresse IP sera renouvelée.fr correspond à l'adresse IP 74. Pour les interfaces ne possédant pas d'adresse IP fixe (avec un bail de 24h par exemple)..125.. Dans le cas où vous ne possédez pas d'adresse IP fixe. faisant ainsi correspondre l’adresse IP de la zone rouge de votre IPCop au nom de machine chez ce fournisseur. Lors d'une communication avec un site.103. votre ordinateur interroge le serveur DNS de votre FAI en lui envoyant une requête DNS sur le nom de domaine et la machine souhaitée. 47 . l'ordinateur le signalera au serveur DNS Dynamique qui ira mettre à jour sa base en conséquence. Un serveur DNS contient en fait une base de données avec les noms de machines et leurs adresses IP correspondantes.. ou même que vous souhaitez associer votre adresse IP à un nom de domaine. vous pouvez créer un compte gratuitement sur divers sites qui se chargeront de vous associer à leur DNS Dynamique..3 Un serveur DNS (Domain Name System) est un serveur qui permet d’associer un nom de machine dans un domaine à une adresse IP : par exemple la machine www sur le domaine google.XII. l'adresse IP change et il est alors impossible de faire correspondre le nom de la machine à la nouvelle adresse : la base de donnée d'un serveur DNS " de base " étant figée... Le menu " DNS Dynamiques " d' IPCop permet de se connecter à votre fournisseur DNS Dynamique.79.

En effet.). 48 .. Bien entendu..XII. il faut pour cela que les ordinateurs soient configurés avec une adresse IP fixe ou possèdent une réservation d'adresse dans un serveur DHCP.4 Il s'agit ici d'une espèce de serveur DNS simplifié... Cette option permet de taper l'adresse d'un serveur web rapidement dans n'importe quel navigateur (un peu comme les mots-clés associés aux marque-pages dans Firefox. le menu " Hôtes Statiques " permet d'entrer manuellement des noms d’hôtes que l'on associera ensuite à des adresses IP.

la liste des protocoles avec leurs numéros de ports est disponible sur cette liste mise à disposition par le IANA (Internet Assigned Numbers Authority) qui a en charge. mais cela suffira à combler les besoins " primaires " que l'on pourrait avoir. vous pouvez à la fois synchroniser celui-ci avec un serveur de temps existant ( pool.. sous contrôle de l' ICANN. Pour rappel.. ou faire jouer le rôle de serveur NTP à celui-ci : vous permettant ainsi de synchroniser facilement et rapidement la date et l'heure des ordinateurs de votre réseau. le protocole utilisé pour réaliser cela est NTP pour Network Time Protocol (port UDP 123).6 Le lissage de trafic permet de définir quelle quantité de bande passante (en kbit/seconde) pourra être utilisée pour un protocole spécifié sur un port précis.5 Un serveur de temps fournit une date et une heure à l'ensemble d'un réseau. il ne s'agit pas là d'une optimisation extrêmement fine. DNS de premier niveau (backebone Internet) et l'attribution des numéros de ports des protocoles.. XII. Certes. En effet.org par défaut ). Par exemple : si l'on souhaite un jour effectuer un transfert FTP ( File Transfert Protocol. Le fait de synchroniser l'heure de tous les ordinateurs d'un réseau permet d'avoir une heure identique sur les " logs " (journaux) et ainsi de mieux comprendre les répercutions d'une erreur lorsque celle-ci s'est propagée. Concernant IPCop.ntp. 49 . Pour information.XII. On attribuera une priorité faible au protocole FTP (port 20 en TCP et UDP) et une priorité haute au protocole HTTP (ports 80 et 8080 en UDP et en TCP). on devra spécifier explicitement un débit pour tout le trafic ou donner une priorité par protocole. pour échanger des données avec un serveur FTP distant ) et pouvoir continuer à surfer confortablement sur Internet. permettant ainsi d'avoir les mêmes horaires sur toutes les machines. l’allocation des adresses IP publiques. Il ne s'agit pas de QoS (Quality of Service. pour qualité de service) mais on s'en rapproche dans le principe : optimiser le trafic (et notamment les temps de réponse au ping)..

puis de cliquer sur le bouton En ce qui concerne les priorités par protocole. de cocher la case . on cochera ensuite la case pour que la modification s'active tout de suite après avoir cliqué sur le bouton pour la faire prendre en compte par le système. on sélectionnera une priorité ( haute.. faible ).. le numéro de port désiré et le protocole de transport ( TCP ou UDP ). 50 . il vous suffit en effet de spécifier le débit souhaité en voie montante et en voie descendante ( upload et dowload pour les intimes ).La limitation du trafic se met en place très facilement sur IPCop. moyenne.

il est possible de bloqué l'intrus à l'aide du plugin Guardian : le pirate perdra ainsi l’accès qu'il avait réussi à obtenir via son attaque ou cheval de Troie. Le système de détection d'intrusion Snort est utilisé dans IPCop. ce système OpenSource est très connu et reconnu ! Néanmoins. vous devez vous inscrire (gratuitement) Une fois inscrit..XII. pour pouvoir bénéficier de ce système. il vous restera à copier votre Oink Code dans la page de détection d’intrusion et d’activer celle-ci. Une fois l’intrusion détectée..7 Un système de détection d’intrusion se charge d’analyser les données (paquets) qui transitent sur un réseau pour repérer une éventuelle tentative d’accès pirate à celui-ci. 51 ...

qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port d’une machine faisant partie d’une des zones d’IPCop. Détail de l’onglet XIII. Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Pour sécuriser un petit peu l'ouverture complète de ces ports. ceci peut être utile pour autoriser l’accès à l’interface de configuration ou l’accès en SSH à IPCop depuis la zone rouge (Internet par exemple).XIII. c'est-à-dire que les ports choisis seront complètements ouverts. Vous allez donc choisir les protocoles utilisés par http (ici TCP.1. parfois aussi nommé Port Forwarding). il faudra donc créer une règle pour ce protocole) et rediriger les paquets vers l’adresse IP de votre serveur web (192. 8080 parfois). on pourra spécifier quelles adresses IP sont autorisées à les utiliser (dans le cas d’un serveur FTP dont on connaît les clients par exemple.250 par exemple) sur le port HTTP (80 par défaut. 52 . ou l’adresse IP de l’administrateur distant). Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. modifier.168. ajouter d’autres adresses ayant l'accès (si vous souhaitez effectuer un filtrage précis en fonction des adresses IP pouvant accéder à votre serveur web).2 Vous pouvez ouvrir des "brèches" dans le firewall pour ouvrir complètement un accès au réseau sur un port.1 Il s’agit là du Port Address Translation (PAT. XIII. ou tout simplement supprimer cette règle si elle ne vous est plus utile. Une fois les redirections créées vous pourrez tout à fait les désactiver.

XIII. 53 .3 Dans ce menu vous avez la possibilité de choisir quelle interface répondra ou non au ping. On désactivera le ping pour des raisons de sécurité si on le souhaite (ce qui permet tout de même d’éviter certaines attaques).

XIV. Détail de l’onglet
XIV.1
L’onglet RPVs ne contient qu’un seul menu du même nom. Vous aurez remarqué que les différents onglets sont relatifs à des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) étant un domaine complètement à part au regard des autres catégories proposées par IPCop. Un VPN consiste à utiliser ce que l’on appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,…) pour relier deux réseaux physiques en utilisant un réseau non sécurisé, mais fiable, la finalité étant que ces deux réseaux distincts ne forment plus qu’un seul et même réseau. Le VPN est très à la mode ces derniers temps. En effet, avec la généralisation du haut débit il est moins coûteux pour une entreprise de relier les réseaux de ses agences à l’aide d’un VPN qu’en utilisant une Ligne Spécialisée (LS, ce qui revient à louer une liaison « directe » partant d’un point A à un point B à un prestataire Télécom) qui est très coûteuse, mais certes plus sure qu’un VPN puisque transitant par un réseau entièrement sécurisé. Même s’il transite par Internet, le VPN est tout de même une technique très sécurisée, avec des systèmes de chiffrement et des moyens de contrôle plus ou moins puissants selon le protocole que l’on choisira. Dans le cas d’IPCop c’est le protocole IPSec qui est utilisé. Ce dernier est supporté par la plupart des systèmes d’exploitations et périphériques actuels (Windows, Linux, Mac OS, …). Il travaille sur une couche de niveau 3 du modèle OSI, ce qui permet d’avoir un suivi de l’activité au niveau du paquet. Pour créer un nouveau VPN il faut cliquer sur le bouton [Ajouter], sélectionner le mode souhaité puis [Ajouter], remplir les informations souhaitées et sélectionner la méthode d’authentification :
• •

Clé partagée (PSK) : il s’agit là d’une "pass-phrase" qui sera connue des deux côtés. Générer un certificat : en fonction des informations remplies, un certificat est généré par la machine sur le principe des clés publiques. Ceci caractérise la partie droite du réseau, la partie gauche s’identifiera ensuite en faisant Transférer un certificat à partir du certificat de la partie droite (Télécharger le certificat dans la partie Autorités de certification de la page RPVs).

Note : Dans le cas de l'utilisation de la zone bleue d'IPCop (Wi-Fi), on pourra la faire communiquer avec la zone verte à l'aide d'un VPN

54

55

XV. Détail de l’onglet
Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques… Lorsque l’on cliquera sur une adresse IP dans les journaux, une page de whois s’ouvrira alors, permettant d’obtenir des informations sur l’origine de cette adresse.

XV.1
Il est possible via ce menu de paramétrer le type de classement (ordre chronologique ou non), le nombre de lignes par page, la durée pendant laquelle les résumés des journaux seront conservés ainsi que leur niveau de détail. Il est par ailleurs possible d’enregistrer ces journaux sur un serveur distant (serveur syslog) : pratique car dans les cas de plusieurs serveurs on consultera l’ensemble de leurs journaux au même endroit.

XV.2
Comme son nom l’indique, on retrouvera ici un résumé des journaux. Il s’agit là de faire un rapide bilan sur les activités du serveur web (pour l’interface d’administration), le pare-feu et l’espace disponible sur les partitions montées.

56

XV. Nous pouvons les filtrer par adresse ip ou date.3 Ce log affiche les journaux du service proxy d’IPCOP. 57 .

XV. différentes informations relatives à la communication sont ensuite disponibles sous forme d’un tableau : 58 .4 Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont organisés par date.

59 .

5 Les journaux du Système de Détection d’Intrusion (Intrusion Detection System en anglais. son type et l’adresse source de l’attaque.XV. les « attaques » sont recensées là aussi sous forme de tableaux. d’où IDS) sont relatifs au service de Détection d’Intrusion d’IPCop qui agit en fonction des règles Snort (enregistrement gratuit nécessaire pour pouvoir bénéficier de ce service). le nom de celle-ci. 60 . une priorité est affectée en fonction du type de menace identifié. Dans ces journaux. Elles sont triées par date.

61 .

62 .Voici donc un exemple de journal IDS.

XV. redémarrage d’une interface réseau.6 A chaque fois qu’une modification sera effectuée (via l’interface web ou non) ou qu’un évènement arrivera (arrêt du système ou d’un service. 63 .…) cela figurera dans ce journal.

1 Sauvegarde « légère » sur disque dur Nous nous rendons dans l’onglet ‘système’ puis le sous menu ‘Sauvegarde’ : Nous pouvons choisir d’entrer un mot de passe pour la sauvegarde. Ces sauvegardes sont très peu encombrantes (quelques dizaines de Ko) sous forme de fichier en . très utile en cas de plantage. Nous entrons ensuite le nom de la sauvegarde puis cliquons sur ‘Créer la sauvegarde’ 64 . XVI. Sauvegarde XVI. sans intervention de votre part : mot de passe.1. Les « sauvegardes légère » considéré comme des points de restaurations peuvent permettre de revenir à une configuration précédente suite l’installation d’un AddOn ou à la modification d’un paramètre non satisfaisant. réglage IP…) MAIS ATTENTION LES MISES A JOURS ET LES ADDONS NE SONT PAS CONCERNE. En effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de la sauvegarde.XVI.dat Le second type de sauvegarde se fait sur disquette.1 Introduction Il existe deux types sauvegarde pour IPCOP.

XVI.1.Nous voyons apparaître cette sauvegarde en bas de la page : Arriver ici nous pouvons décider de conserver cette sauvegarde sur le disque dur d’IPCOP ou bien l’exporter sur le pc d’administration.2 Sauvegarde « légère » sur clé USB Nous branchons nôtre clé USB et nous voyons apparaître dans la fenêtre de sauvegarde : sda1 qui correspond à notre clé USB ? nous la sélectionnons puis cliquons sur ‘monter’ 65 . Pour cela nous cliquons sur la petite disquette Et une fenêtre de téléchargement apparaît.

Là nous ne somme pas obligé de l’exporté car notre sauvegarde se trouve sur notre clé USB.3 Méthode complète A l’aide du logiciel partimage 66 .Comme précédemment nous indiquons le nom de la sauvegarde puis cliquons sur ‘créer la sauvegarde’. Mais nous avons un listing des sauvegardes XVI.1.

XVII.1 Restauration depuis le disque dur d’IPCOP Nous allons dans l’onglet ‘Système’ puis le sous menu ‘Sauvegarde’.1 Restauration « légère » XVII.XVII. 67 .2 Restauration depuis le disque dur du PC d’administration Pour cela nous faisons dans l’onglet ‘Système’ puis ‘Sauvegarde’.1. Nous sélectionnons la dernière sauvegarde stable dans la liste qui nous est fournis : Nous cliquons sur : de la colonne Action Nous devons sélectionner si nous restaurons uniquement IPCOP ou IPCOP et les paramètres matériels : Puis apparaît alors : Nous redémarrons IPCOP.1. Restauration XVII.

Nous cliquons sur ‘Parcourir’. Puis ‘Importer’ : Cette sauvegarde apparaît dans la liste des jeux de sauvegardes : Nous venons de transférer la sauvegarde sur IPCOP. Nous procédons alors comme la restauration précédente (voir ici) 68 . Nous sélectionnons l’endroit où se trouve la sauvegarde.

Sign up to vote on this title
UsefulNot useful