Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011

2

IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.perso.sfr.fr

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011

3

CONTENU
Préambule – Informations légales ...................................................................................................................................... 6 Avant de commencer .......................................................................................................................................................... 6 Pré-requis ............................................................................................................................................................................. 6 Les logiciels à récupérer ................................................................................................................................................... 6 Présentation du projet .......................................................................................................................................................... 7 Qu’est-ce qu’IPCop ? ....................................................................................................................................................... 7 Architecture fonctionnelle d’IPCOP :......................................................................................................................... 7 Topologie ............................................................................................................................................................................. 8 Configuration ...................................................................................................................................................................... 8 Objectifs ............................................................................................................................................................................... 8 Windows Server 2008 R2 (Entreprise Edition)..................................................................................................................... 9 Installation ............................................................................................................................................................................ 9 L’Active Directory : Installation et configuration.......................................................................................................... 9 DNS : Création d’une zone de recherche inversée .............................................................................................. 11 IPCop : Installation et première configuration ............................................................................................................... 14 Première configuration d’IPCOP ............................................................................................................................... 18 Administration d’IPcop ....................................................................................................................................................... 24 Installation des plugins .................................................................................................................................................... 25 Activation du SSH ......................................................................................................................................................... 25 Configuration de PuTTY et WinSCP ........................................................................................................................... 26 Installation des plugins ........................................................................................................................................................ 28 Advanced Proxy .............................................................................................................................................................. 28 URLFILTER ............................................................................................................................................................................ 28 P2PBlock ............................................................................................................................................................................. 29 Configuration de P2PBlock ................................................................................................................................................ 29 Configuration d’URLFILTER .................................................................................................................................................. 29 Configuration d’Advancded Proxy ................................................................................................................................. 30 Configuration du Proxy ................................................................................................................................................... 30 IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.perso.sfr.fr

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011

4

Personnalisation du message d’erreur ou Redirection ............................................................................................. 31 Autoriser des utilisateurs à avoir un accès total à Internet .......................................................................................... 32 Filtrage d’accès à Internet avec URLFilter .................................................................................................................. 32 Filtrage d’accès à Internet avec Advanced Proxy .................................................................................................. 33 Les différents types de compte ................................................................................................................................. 33 Création des comptes ................................................................................................................................................ 33 Changement du mot de passe pour l’accès Web ............................................................................................... 34 Tests ................................................................................................................................................................................. 35 Pour aller plus loin ................................................................................................................................................................ 37 Bloquer l’installation de logiciels indésirables ............................................................................................................. 37 L’utlisateur n’est pas administrateur de sa machine ............................................................................................ 37 L’utilisateur est administrateur de sa machine ....................................................................................................... 42 Vérification du navigateur Internet .............................................................................................................................. 43 Détection des intrusions .................................................................................................................................................. 45 Journaux ............................................................................................................................................................................ 45 Configuration des journaux ........................................................................................................................................ 45 Exemple : Journaux du pare-feu ............................................................................................................................... 46 Etat du système ................................................................................................................................................................ 46 Conclusion ............................................................................................................................................................................ 48 Annexes ................................................................................................................................................................................. 49

IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.perso.sfr.fr

perso.fr .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 5 IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.sfr.

j’ai donc par conséquent mis toutes les machines du réseau interne sur la même VMNet.fr/blacklist/blacklists.tar. il nous faudra :  Un serveur Windows.urlfilter.greenend.net/download.gz http://www. AVERTISSEMENT EXPLICITE : Dans la plupart des pays.net/projects/winscppe/ J’ai installé PuTTY et WinSCP sur le serveur. sur lequel sera installé et configuré l’Active Directory ainsi que le DNS.php http://www. N’utilisez pas ce logiciel dans un environnement d’affaires sans l’accord écrit du personnel.html http://www.mhaddons. LES LOGICIELS A RECUPERER IPCop Advanced Proxy URL Filter P2PBlock Blacklist PuTTY WinSCP http://www. sachez que beaucoup d’options d’Advanced Proxy peuvent violer la vie privée de vos clients ou d’autres normes juridiques. j’ai choisi un serveur Windows tournant sous Windows Server 2008 R2 Edition Entreprise.univ-tlse1. Windows XP fera parfait ement l’affaire ! Personnellement. la source et la destination dans la conjonction avec le nom d’utilisateur.ipcop.  Un serveur IPCop.html http://www.fr .perso. je n’ai pas pu me servir d’un switch. Ce projet a été réalisé avec VMWare.org/download.uk/~sgtatham/putty/download.sfr.net/download. lequel intégrera un relai DNS et se chargera du DHCP.tk/ ftp://ftp. A ce sujet.html http://sourceforge. les utilisateurs doivent être informés que les données personnelles seront enregistrées.chiark.org. auquel nous allons ajouter des plugins.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 6 PREAMBULE – INFORMATIONS LEGALES Durant ce projet nous allons mettre en place un serveur pare-feu. AVANT DE COMMENCER PRE-REQUIS Pour réaliser ce projet. le temps. PuTTY va nous permettre d’ouvrir une session (shell) de notre IPCop depuis notre serveur. comme la date. ATTENTION : Avant d’utiliser ce logiciel soyez sûr que ce soit en accord avec les lois nationales ou d’autres règlements légaux. IPCop.  Une machine client. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. notamment Advanced Proxy.advproxy.

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 7 PRESENTATION DU PROJET QU’EST . Elle peut protéger sur une telle architecture un réseau familial ou de petites ou moyennes entreprises. et en installant d es greffons ou modules. Une machine très bas de gamme permet de le mettre en œuvre.  Clé USB (installation) et disquette. Cette zone est spécialisée par le paramétrage possible de l’adresse MAC ou I. Prévoir une configuration plus musclée pour le processeur et la mémoire vive pour une utilisation professionnelle. contrôle de trafic.CE QU’IPCOP ? IPCop est une distribution Linux basée sur Linux From Scratch.  1 Réseau BLEU. ARCHITECTURE FONCTIO NNELLE D’IPCOP : IPCop. liste d’accès. défini 4 ports Ethernets (donc 4 réseaux indépendants) :  1 Réseau ROUGE. DNS Dynamique. elle offre la classique Zone démilitarisée (DMZ) ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). Le paramétrage général d’IPCop (réalisé en mode serveur WEB par exemple) permet de gérer les flux autorisés entre ces différents zones/réseaux. (zone « demilitarized » ou démilitarisée). IPCop peut également servir de serveur mandataire (proxy). ou autres dispositifs Ethernets accessibles (potentiellement !) depuis Internet. clé USB (pour la sauvegarde)  Clavier. voici un exemple d’une telle configuration :  2 interfaces réseau minimum (Ethernet 10/100 ou modem ADSL tout type)  Microprocesseur à 200 MHz  Mémoire vive 64 Mo  Disque Dur 800 Mo Optionnellement :  2 autres interfaces Ethernet pour la DMZ et le wifi. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. très sécurisé (obligatoire bien sûr)  1 Réseau ORANGE.Z. Elle vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture type PC. Il faut noter que les versions initiales d’IPCop ne géraient que les réseaux ROUGE et VERT. de relais DNS. par exemple à des serveurs WEB.perso.Z. de serveur de temps (NTP). et les exceptions. bien sûr). Cette zone est reliée.M. relié à des dispositifs « Wifi » ou pouvant servir de seconde D. faisant office de pare-feu. liste noire. écran pour l’installation NB : cette configuration minimale convient pour une utilisation domestique ou de petites entreprises jusqu’à 5 postes. facultative. Elle permet déjà d’utiliser la fonctionnalité de proxy et le système de détection d’intrusion (tous deux gourmand en ressource mémoire et en calcul processeur). bien souvent suffisant et totalement fonctionnel.fr . etc…). relié à la D. A son installation IPCop fournit un paramétrage standard.P. de bien d’autres choses (contrôle de contenu. à des caméras I. dans ses récentes versions. des périphériques autorisés à s’y connecter (selon la configuration d’IPCop. serveur fournissant des adresses IP dynamique (DHCP). relié à internet (réseau obligatoire)  1 Réseau VERT.M. relié au réseau local utilisateur. Le support des clients sans fils est aussi prévu par le biais d’une zone dédiée.P.sfr.

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 8 TOPOLOGIE Figure 1 .2 172.1.sfr.  Bloquer l’accès à certains sites (Facebook.1. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.16.168.fr .1 192.1.perso.Topologie du projet CONFIGURATION Machine Server 2008 IPCop Client XP Adresse IP 172.2 Fournit DHCP Type de carte VMNET2 VMNET2 Bridged VMNET2 Réseau VERT Réseau VERT Réseau ROUGE Réseau VERT OBJECTIFS Les objectifs de ce projet sont aussi simples qu’évidents :  Sécuriser notre réseau via IPCop. Youtube. le P2P) pour tous les utilisateurs de notre réseau à l’exception des membres de la direction.16.

perso.L'installation du serveur peut commencer L’installation de Microsoft Windows Server 2008 R2. puis nous allons faire l’Active Directory. et faites les différentes mises à jour. puisque WSRV2k8 est censé être le premier serveur de notre réseau par conséquent il n’y a pas de forêt . L’ACTIVE DIRECTORY : INSTALLATION ET CONFIGURATION Faites Démarrer.exe. la figure 3.Nous allons donc créer un domaine dans une nouvelle forêt A la prochaine étape. Une fois cela fait. et enfin taper DCPROMO.com.fr . pensez à changer le nom (dans notre cas VMSRV2k8). puis Exécutez.sfr. nous allons changer le type de carte réseau afin de mettre notre serveur dans le Réseau VERT. en anglais) : ipcop. Figure 3 .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 9 WINDOWS SERVER 2008 R2 (ENTREPRISE EDITION) INSTALLATION Figure 2 . Néanmoins. ne présente aucune difficulté. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. voici quelques captures qui vous montrerons la configuration de l’Active Directory. Voyez. nous allons définir le Nom de domaine complet du nouveau domaine racine de forêt (FQDN. nous n’allons pas choisir une forêt existante.

Niveau fonctionnel de la forêt: Windows 2000 IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 10 Figure 4 .perso.sfr.FQDN: ipcop.Nom de domaine NetBIOS Figure 6 .com Figure 5 .fr .

sfr. et rechercher « DNS » ouvrez le.Création d'une nouvelle zone IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.On active le serveur DNS DNS : CREATION D’UNE ZON E DE RECHERCHE INVERSEE Allez dans les outils d’administration. comme ci-dessous : Figure 9 .fr . et créer une zone de recherche inversée.Niveau fonctionnel du domaine : Windows 2000 natif Figure 8 .perso.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 11 Figure 7 .

sfr.perso.On choisit la Zone principale Figure 11 .fr .On renseigne la zone de réplication IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 12 Figure 10 .

perso.On sélectionne l'IPv4 Figure 13 .sfr.fr .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 13 Figure 12 .On renseigne le Réseau VERT IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 14 Figure 14 .sfr. nous allons donc pouvoir commencer l’installation d’IPCop. IPCOP : INSTALLATION ET PREMIERE CONFIGURATION Figure 15 .L'accueil d'IPCop IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.fr .perso.Nous n'autorisons que les mises à jours dynamiques sécurisées Voilà nous venons de terminer l’installation de l’Active Directory et avons créé notre z one de recherche inversée.

clé USB.Dans notre cas il s'agit d'un CDROM IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. http ou ftp.perso.fr . Figure 17 . Figure 16 .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 15 L’installation d’IPCop va enfin pouvoir commencer… Si vous faites le projet avec des machines virtuelles assurez-vous de disposer deux cartes réseaux.On sélectionne la langue Française Sélectionnez la source de votre installation : CDROM.sfr.

nous allons laisser IPCop chercher les interfaces réseaux de notre machine : Figure 19 .Passons cette étape Pour la prochaine étape.fr .IPCop travaille pour nous IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 16 Nous ne disposons pas de support de sauvegarde. donc nous allons passer l’étape ! Figure 18 .perso.sfr.

1 Figure 21 .16.fr .Si IPCop a détecté la bonne interface.1. conformément au plan d’adressage.perso.sfr. nous allons lui dire que l’adresse IP doit être : 172.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 17 IPCop a bien détecté nos interfaces réseaux : Figure 20 . validez par OK Nous allons maintenant.Configuration du Réseau VERT IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. attribuer l’adresse IP à notre Réseau VERT.

perso. la configuration du serveur DNS et de la passerelle ainsi que le DHCP. l’architecture (le nombre de réseaux). la configuration du réseau ROUGE.Choix du fuseau horaire IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Interface du clavier Figure 23 .fr .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 18 PREMIERE CONFIGURATION D’IPCO P L’assistant d’installation nous propose de configurer différents éléments : disposition du clavier.sfr. Figure 22 . fuseau horaire. nous allons devoir aussi mettre des mots de passe.

fr .com.sfr.Désactivation du RNIS IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 19 Nous allons à présent renseigner le nom de la machine et à la prochaine étape le domaine : ipcop. Figure 25 .Nom de l'hôte Notre infrastructure ne comporte pas de RNIS.perso. nous pouvons nous permettre de le désactiver. Figure 24 .

Le panneau de configuration d'IPCop Nous allons changer le type de configuration réseau. Figure 27 .sfr. que la configuration actuelle est GREEN (RED is modem/ISDN).perso. en effet vous pouvez voir en haut de la figure 26.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 20 Nous allons maintenant paramétrer IPCop pour notre réseau : Figure 26 .fr .On sélectionne l'option GREEN + RED IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. puisque nous voulons un réseau VERT et un réseau ROUGE.

dans notre cas 192.fr . Figure 29 .perso.Attribution de la carte réseau pour le Réseau ROUGE Nous allons maintenant.Configuration de l'adresse IP pour le réseau ROUGE IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 21 Nous allons attribuer une interface réseau à notre Réseau ROUGE.sfr.1.2 (pensez à vérifier si l’adresse est disponible en faisant un ping). configurer l’adresse IP du réseau ROUGE en lui attribuant une adresse IP statique juste derrière la box. Figure 28 .168.

soit 192.Configuration du DNS IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.  DNS Secondaire correspond au serveur DNS de notre FAI.perso.fr Figure 30 .Résultat de la commande nslookup  La passerelle sera celle de notre box.fr .1.sfr. ouvrez sur une machine Windows. SFR.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 22 Nous allons maintenant configurer le DNS de l’IPCop :  DNS Primaire correspond à l’adresse de notre box.1 Figure 31 . pour le trouver.168. dans notre cas.sfr. CMD puis faites un nslookup www.

Dans notre cas.Ouverture de la session d'IPCop IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.1.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 23 A présent.sfr. nous avons mis le même à chaque fois : Eclipse33. nous allons configurer notre serveur DHCP.16. Figure 33 .255 sera l’adresse de diffusion.fr .33. Figure 32 . l’adresse 172.16. Le bail DHCP a été fixé.Configuration du DHCP à activer ou non Nous allons devoir définir une série de mot de passe.16. dans notre cas. à 480 min (soit une journée de travail).1. La dernière adresse sera 172. la première adresse sera 172.perso.254.1. afin que des périphériques comme les imprimantes puissent avoir une adresse IP fixe.

sauvegarde … etc.1 avec le port 445 (IPCop nous le précise lors de l’installation).1 :445 ou https://ipcop. RPVs : Cette section vous permet de créer un VPN (réseau privé virtuel) entre deux firewalls IPCOP. Réseau : Cette section n’est utile que si vous avez connecté directement un modem à l’interface rouge (en non un routeur/modem) dans ce cas elle vous permet de paramétrer directement le modem. Journaux : Configuration des journaux.16.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 24 ADMINISTRATION D’IPC OP Désormais. Journaux du pare-feu. fonction de lissage de trafic …etc. Journaux du serveur mandataire. accès SSH. Bien sûr au plus vous ajoutez de plugins. nous avons terminé avec la machine IPCop.com:445 Figure 34 .L'écran de l'interface Web        Système : Cette section regroupe tous les utilitaires systèmes : mise à jour. serveur de temps. utilisation de mémoire.perso.ipcop.sfr. Etat : regroupant les résumés de l’état système ainsi que des outils de surveillance graphique : services actifs.fr . serveur DHCP. Pare feu : voici la section dédiée au paramétrage fin du firewall : transfert de ports. option du pare feu …etc. ouvrez Internet Explorer (il gère mieux les problèmes de certificats) et tapez l’adresse : 172. modification du mot de passe. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.16. en effet nous l’administrer via l’interface Web. Soit : https://172. Par défaut vous y trouverez : serveur mandataire (serveur proxy). du processeur. accès externe.1. Rendez-vous sur votre serveur. Résumé des journaux. au plus cette interface sera fournie.1. Journaux IDS si ce dernier est actif et Journaux Système. serveur DNS Dynamique. Services : Vous retrouvez ici les options de paramétrages des différent services installé sur le pare feu. du disque dur … etc.

ACTIVATION DU SSH Allez dans « Système » puis « Accès SSH ».Activation du SSH Une fois enregistré. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. nous pourrons ouvrir une session depuis notre serveur vers l’IPCop via le SSH. et cocher les cases suivantes : Figure 36 . grâce à PuTTY et WinSCP. vous pouvez faire un glisser/déposer pour copier les plugins ainsi que PuTTY et WinSCP sur le serveur (ceci est faisable uniquement si vous avez installé VMWare Tools).Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 25 Cliquez sur connexion :   Identifiant : admin Mot de passe : Eclipse33 Figure 35 .fr .perso.sfr.Connectez-vous INSTALLATION DES PLUGINS Si vous faites ce projet en machine virtuelle.

sfr. Dans ce projet. cliquez sur yes: Figure 38 .Configuration de WinSCP Cliquez sur Login.fr .perso.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 26 CONFIGURATION DE PUTTY ET WINSCP WINSCP WinSCP nous servira à créer le dossier plugins dans /var/ipcop. configurez-le ainsi : Figure 37 . si vous faites confiance à l’hôte. un avertissement s’affichera alors à l’écran. nous avons téléchargé la version portable du logiciel.Clé SSH IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.

fr . puis rendez-vous dans le dossier var puis ipcop.Première connexion à WinSCP Double cliquez sur les deux « .perso. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. » afin de remonter au dossier parent. Figure 40 . Pressez la touche F7 afin de créer un nouveau dossier.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 27 Nous allons maintenant créer notre dossier plugins.. renommez-le en plugins et attribuez lui tous les droits soit en cochant toutes les cases ou en tapant 7777 dans le champ octal.sfr. par défaut vous arrivez dans le dossier root Figure 39 .Création du dossier et définition des droits Copiez-y les plugins.

pour se faire tapez le commande suivante: tar -xzf ipcop-urlfilter-1.0.gz Une fois terminé. en renseignant l’adresse IP de l’IPCop et le por t (222).tar.3.perso. Acceptez de nouveau le message d’avertissement. nous allons pouvoir installer Advanced Proxy.Copie des plugins PUTTY A l’instar de WinSCP.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 28 Figure 41 . via la commande : ipcop-urflilter/install IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. configurez PuTTY.5. pour se faire tapez le commande suivante: tar -xzf ipcop-advproxy-3.9. via la commande : ipcop-advproxy/install URLFILTER La première étape consiste à extraire URLFilter. Puis connectez-vous de la même manière que si vous étiez sur la machine IPCop.fr . Figure 42 .sfr.tar. nous allons pouvoir installer URLFilter.gz Une fois terminé.Ouverture d'une session avec PuTTY INSTALLATION DES PLUGINS Rendez-vous au dans le dossier plugins en tapant ceci : cd /var/ipcop/plugins ADVANCED PROXY La première étape consiste à extraire Advanced Proxy.

perso.sfr./install CONFIGURATION DE P2PBLOCK Allez dans « Services » puis dans l’onglet « P2PBlock » et bloquer tout. puis dans Mise à jour de la Blacklist cliquez sur Parcourir.Les catégories d'URLFilter C’est dans cet onglet que va intervenir la Blacklist de l’Université de Toulouse que nous avons téléchargé.fr . allez dans le dossier p2pblock (cd p2pblock). Descendez dans la page et trouver Maintenance du Filtre d’URL.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 29 P2PBLOCK Tapez la commande suivante : Tar xvfz p2pblock_ipcop_1.P2PBlock Voilà nous avons fini de configurer P2PBlock. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. puis installez le plugin gr âce à la commande : . CONFIGURATION D’URLF ILTER Allez dans « Services » puis dans « Filtre D’URL ».21.4.gz Une fois l’archive extraite. celui-ci nous propose de bloquer certaines catégories de sites : Figure 44 .tar. Figure 43 . pensez à cocher la case activer la mise à jour automatique.

Chargement de la Blacklist Voici ce que l’ajout de la Blacklist a apporté à notre URLFilter et les catégories que nous avons bloqué pour ce projet : Figure 46 . Nous allons donc activer le proxy : Figure 47 .fr . CONFIGURATION D’ADVA NCDED PROXY CONFIGURATION DU PROXY Pour pouvoir accéder à Internet.Activation du Proxy Pensez à cocher et modifier les options suivantes :  Cochez « activé sur Green ».B : Pensez à activer le Proxy dans Proxy Avancé.  Port du serveur proxy : 8080.  Cochez « Mode transparent Green ». les utilisateurs de notre réseau devront passer par le proxy afin de profiter d’Internet.  Langues des messages d’erreurs : French.La Blacklist a rendu notre URLFilter encore plus intransigeant N. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.sfr.perso.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 30 Figure 45 . nous allons voir ça dans quelques instants.

Tentons la redirection Figure 51 . PERSONNALISATION DU MESSAGE D’ERREUR OU REDIRECTION Lorsqu’un utilisateur tente d’accéder à un site Internet bloqué.Adieu Facebook !!! Notez que la catégorie du site bloqué est renseigné. Figure 48 . Personnalisation du message :  Message ligne 1 : Accès refusé  Message ligne 2 : L’accès à la page demandé a été refusé  Message ligne 3 : Si vous pensez qu’il s’agit d’une erreur veuillez contacter l’administrateur Figure 49 .fr . IPCop génère un mess age.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 31 Par ailleurs plus loin dans la page. nous pouvons soit le personnaliser ou rediriger l’internaute vers une page Internet spécifique.Ajouter l'URL que vous voulez dans "Rediriger vers cette URL" IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Activation du Filtre D'URL Notre réseau est désormais sécurisé ! En effet les utilisateurs devront passer par le proxy et n’aurons pas accès aux catégories de site que nous avons bloqué.Personnalisation du message Ce qui donne : Figure 50 .perso. pour ce faire regarder la figure 49. pensez à activer le Filtre D’URL que nous avons créé auparavant.sfr.

perso.Ça fonctionne IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. FILTRAGE D’ACCES A I NTERNET AVEC URLFILTER Effectivement. et Advanced Proxy.3 Voici le résultat : Figure 54 . il faut désormais trouver un moyen pour que la direction ne soit pas bloquée par les mesures de sécurité. Laquelle ? Il faut que les utilisateurs à qui nous voulons donner un accès à Internet sans restrictions disposent d’une adresse IP fixe.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 32 Ce qui donne : Figure 52 . sous une seule et unique condition.sfr. de tels utilisateurs ne sont pas nombreux. Figure 53 . Dans cette partie.facebook. un des membres de la direction à l’adresse 172. C’est simple et efficace ! Ceci peut être suffisant si dans votre infrastructure.fr Nous avons presque fini le projet. dans notre cas.Observez bien que l'adresse est restée www. URLFilter peut permettre à certains utilisateurs d’avoir un accès total à Internet. AUTORISER DES UTILISATEURS A AVOIR UN ACCES TOTAL A INTERNET Nos plugins nous permettent d’effectuer un filtrage. nous verrons le cas avec URLFilter.fr . donc nous allons pouvoir donner un accès total à certains utilisateurs.16.1. C’est parti.On ajoute les adresses non filtrées.

Figure 55 . soit l’utilisateur a un accès à Internet ou alors il n’aura pas accès à Internet du tout. Tous auront les restrictions appliquées à ce groupe.fr .  Désactivé : les membres de ce groupe sont bloqués. LES DIFFERENTS TYPES DE COMPTE L’identification locale comporte trois types de compte :  Standard : le paramètre par défaut de tous les utilisateurs. Les membres de ce groupe outrepasseront les restrictions de temps et de filtre. Ceci peut être utile si vous souhaitez désactiver un compte temporairement sans perte du mot de passe. vous arriverez sur cette page : Figure 56 . Citons trois d’entre elles :  Locale  Windows  LDAP (MS Active Directory) Malheureusement. Heureusement il nous reste.Création des comptes IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.perso.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 33 FILTRAGE D’ACCES A I NTERNET AVEC ADVANCED PROXY Advanced Proxy nous propose plusieurs types d’identifications pour l’accès à Internet. l’identification locale… Si vous avez beaucoup de comptes à bloquer peut -être serait-il judicieux de mettre en place le filtrage vu précédemment. dans notre projet nous ne pourrons utiliser que l’identification locale.  Etendu : utiliser ce groupe pour les utilisateurs non restreints. en effet les identifications basées sur Windows et Active Directory sont trop restrictives. CREATION DES COMPTES Cliquez sur Gestion des utilisateurs.L'authentification locale Cliquez sur Gestion des utilisateurs afin de créer les comptes.sfr.

IL EN VA DE MEME POUR SI VOUS SUPPRIMEZ OU MODIFIEZ UN COMPTE. VOUS DEVEZ REDEMARRER IPCOP POUR QUE LES MODIFICATIONS SOIENT PRISES EN COMPTES.fr .sfr. L’interface est accessible en entrant cette URL : http://ipcop-green-ip:81/cgi-bin/chpasswd.cgi Figure 57 .perso.1. l’ancien mot de passe.Changement du mot de passe Cette page de dialogue Web. CHANGEMENT DU MOT DE PASSE POUR L’ACCES WEB Les utilisateurs peuvent changer leur mot de passe s’ils le souhaitent. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 34 Nous allons créer deux comptes :  Compta o Nom d’utilisateur : compta o Mot de passe : eclipse33 o Groupe : Standard  Direction o Nom d’utilisateur : direction o Mot de passe : Eclipse33 o Groupe : Etendu LORSQUE VOUS AVEZ FINI DE CREER VOS COMPTES.16.1:81/cgi-bin/chpasswd.cgi Dans notre cas ► http://172. le nouveau de passe ainsi que la confirmation du nouveau mot de passe. nécessite le nom d’utilisateur.

fr Figure 59 .URLFilter fonctionne IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. et identifiez-vous avec le compte Compta : Figure 58 . allez sur un des sites interdits.perso. www. par exemple.sfr.fr .Fenêtre de connexion pour l'accès à Internet TEST DU FILTRAGE Une fois connecté.facebook.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 35 TESTS CONNEXION AVEC LE COMPTE COMPTA Ouvrez votre navigateur Internet.

essayer l’envoie d’un email. connectez-vous avec le compte Direction : Figure 60 .La Direction a bien accès à Facebook ENVOI/RECEPTION DE COURRIEL Nous allons dans un premier temps. le reçoit bien : Figure 62 .fr .Envoi d'un courriel On s’assure que le destinataire.Notre destinataire a bien reçu le courriel IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. Figure 61 .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 36 CONNEXTION AVEC LE COMPTE DIRECTION De la même façon qu’avec le compte Compta.perso.sfr.

Création d'un nouvel utilisateur / Groupe J’avais créé au préalable.sfr. ne bloque pas l’envoi/réception de courriel. il n’est pas rare d’arriver sur la machine d’un utilisateur. et bloquer les fichiers audio/vidéo.  Avec IPCop et URLFilter. puis cherchez le conteneur Users. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. qui lui sera administrateur de la machine. nous allons donc voir la démarche avec l’utilisateur direction et le groupe Grp_Direction. Nous sommes heureux tout fonctionne comme nous le voulons ! POUR ALLER PLUS LOIN BLOQUER L’INSTALLATION DE LO GICIELS INDESIRABLES En effet. l’utilisateur compta et le groupe Grp_Compta.com. dans notre cas.perso. compressés. et de constater une prolifération de logiciels indésirables et que celui-ci se demande pourquoi celle-ci rame… Deux solutions :  Sans IPCop nous pouvons corriger ce problème. nous pouvons bloquer les fichiers exécutables.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 37 Nous allons lui répondre. Puis faites un clic droit : Figure 64 .fr . regardons si la réception fonctionne aussi : Figure 63 . ipcop. L’UTLISATEUR N’EST P AS ADMINISTRATEUR DE SA MACHINE Voici la procédure : Faites : Démarrer → Outils d’administration → Utilisateurs et ordinateurs Active Directory . il suffit que l’utilisateur ne soit pas administrateur de sa machine.Ça fonctionne URLFilter. Déployez votre domaine.

fr . nous avons décidé que le mot de passe n’expirait jamais et que l’ut ilisateur ne pouvait pas le changer. CREATION DU GROUPE De la même façon nous allons créer le groupe : Grp_Direction. Libre à vous de le modifier à votre convenance.sfr. Figure 67 .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 38 CREATION DU COMPTE Figure 65 .Création de l'utilisateur Figure 66 .Création du groupe IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.perso.Définition du mot de passe Dans cet exemple.

Compta : membre de Grp_Compta.fr .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 39 DEFINITION DES RELATIONS Nous allons définir les relations suivantes pour nos utilisateurs : . . Administrateurs. Figure 68 . Utilisateurs du domaine. Utilisateurs du domaine.Ajoutons des groupes IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. Administrateurs de l’entreprise.sfr.perso. puis cliquez sur Vérifier les noms: Figure 69 . comme l’illustre la figure 68.Direction : membre de Grp_Direction.Cliquez sur "Ajouter à un groupe" Commencez à taper le début du nom du groupe.

fr .Les groupes Administrateurs à sélectionner Nous allons attribuer des affiliations au groupe Grp_Direction : Figure 72 .perso.Sélectionnez le(s) groupe(s) Pour l’utilisateur Direction. la fenêtre suivante apparaîtra : Figure 70 .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 40 En cliquant sur Vérifier les noms.sfr. et uniquement pour lui.Les affinités du Grp_Direction IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. nous allons dire qu’il appartient aux groupes Administrateurs suivants : Figure 71 .

sfr. Allez sur Clubic et télécharger un fichier quelconque.Affiliation de l'utilisateur Compta TESTS Ouvrez une session. Lancez l’installation. dans notre cas. on a gagné! IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. avec le compte Compta.perso. nous devons obtenir ceci : Figure 73 .fr .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 41 Pour l’utilisateur Compta. sur la machine client. il s’agit d’Avast. et observer : Figure 74 .L'utilisateur n'a pas les droits requis.

Le compte Direction n'est pas restreint par notre politique IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. il s’agira de Mozilla Firefox.Ça fonctionne! L’UTILISATEUR EST ADMINISTRATEUR DE SA MACHINE Allez dans Filtre D’URL et cochez les options suivantes : Figure 76 . Figure 77 .sfr.Voici ce que nous allons bloquer TEST POUR LE COMPTE DIRECTION Allez sur Clubic.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 42 Même opération avec le compte Direction : Figure 75 . dans notr e cas.perso. puis télécharger un fichier quelconque.fr .

afin que nos machines puissent faire les mises à jour.Authentification Firefox IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.perso. exécuté le logiciel.fr . Une fois installé.Vérification du navigateur Nous n’avons autorisé qu’Internet Explorer et Windows Update.Le compte Compta ne peut pas télécharger des logiciels VERIFICATION DU NAVI GATEUR INTERNET Via Advanced Proxy. puis télécharger un fichier quelconque. Figure 80 . puis installez-y Mozilla Firefox.sfr. nous pouvons obliger les utilisateurs de notre réseau à utiliser certains navigateurs Internet plutôt qu’un autre. dans notre cas. Ouvrez une session sur la machine XP avec le compte Direction. et identifiez-vous. Figure 79 . il s’agira de Goog le Chrome.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 43 TEST POUR LE COMPTE COMPTA Allez sur Clubic. Figure 78 .

perso.sfr.fr .Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 44 AVEC LE COMPTE DIRECTION Figure 81 .. Pas le compte Compta IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit... AVEC LE COMPTE COMPTA Figure 82 .Le compte Direction peut utiliser un navigateur différent d'Internet Explorer...

ces retours d’informations permettent d’analyser quels sont les attaques. Figure 83 . le simple fait de cliquer sur l’adresse IP soupçonné lance un whois.La détection des intrusions est activée JOURNAUX Nous allons aborder une partie importante pour un pare-feu : les journaux ou logs. IPCop nous propose plusieurs journaux :  Journaux du serveur mandataire  Journaux du pare-feu  Journaux IDS  Journaux du Filtre D’URL  Journaux du Système CONFIGURATION DES JOURNAUX Nous pouvons choisir de les classer par ordre chronologique inversé. pour cela allez dans Systèmes puis Détection des intrusions.perso.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 45 DETECTION DES INTRUSIONS Nous pouvons détecter les intrusions soit sur le Réseau ROUGE et/ou sur le Réseau VERT. Figure 84 . la durée de conservation. etc.sfr. puis faites Enregistrer et ensuite Appliquer maintenant. quand ont -elles lieu. le niveau de détail.fr .Configuration des journaux IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. voire même d’arriver à identifier leur origine. En effet. Cochez les options que vous souhaitez. le nombre de lignes par page.

la mémoire utilisée.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 46 EXEMPLE : JOURNAUX DU PARE-FEU Figure 85 . Nous ne pourrons rien modifier ici . les modules chargés…. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.Réalisation d'un whois ETAT DU SYSTEME En allant dans Etat puis Etat du système.fr .Journaux du pare-feu Figure 86 . l’espace disque disponible.perso. nous pourrons vérifier quels services sont actifs.sfr.

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 47 Figure 87 .fr .perso.sfr.Etat du système IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.

perso. Du point de vue configuration. en effet pour installer Forefront. Pour ma part. Il existe encore bien d’autres plugins pour IPCop.sfr. De plus la com munauté d’IPCop est bien présente. nous avons pu voir comment installer et configurer IPCop dans un environnement Windows. il vous faudra une machine en 64 bits. Le seul problème.Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 48 CONCLUSION Tout au long de ce projet. que j’ai pu rencontrer c’était d’effectuer le filtrage avec l’Active Directory… A voir donc. IPCop possède bon atout par rapport à la solution de Microsoft (Forefront TMG). quant à lui est gratuit. alors en cas de problème. Les plugins d’IPCop que nous avons ajoutés. le rende encore plus performant. Forefront et sa licence (1200€)… IPCop. votre problème ne restera pas sans réponse. j’ai découvert une solution pare-feu très intéressante et adaptable à différents types de réseaux. faites des recherches sur Internet. IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit. ceci est dû à la petite configuration requise.fr . le prix aussi. un Windows Server 2008 R2. libre à vous de les essayer.

Installation et configuration d’IPCop dans un environnement Windows| 3/6/2011 49 ANNEXES Quelques sources :    http://nilz.1%20.fr .fr/pulsergene/doc/ipcop-advproxy-v1.mhaddons.perso.multimania.0.tk/ IPCop: The Bad Packets Stop Here – Projet réalisé par ADAM Julien – http://tsrit.pdf http://www.fr/configuration-d%E2%80%99un-firewall-ipcop http://membres.sfr.