Plan Introduction Installation d Ipcop Présentation de l interface web Mise en place d un réseau de type poste à poste Gestion du trafic

sortant La mise en place d une connexion VPN

1

Introduction

‡ IPCOP est une passerelle qui intègre un pare-feu. C est une distribution linux faite pour protéger un réseau des menaces d Internet et surveiller son fonctionnement. ‡ IPCOP est gratuit, il est téléchargeable sous forme d un fichier image à graver sur cd. ‡ IPCOP est distribué sous la licence GPL , ce qui signifie en d autres termes que le logiciel est distribuable gratuitement.

Configuration minimale
‡ Microprocesseur à 200Mhz ‡ 800 Mo d'espace disque ‡ 64 Mo de RAM ‡ une à 4 interfaces réseau Ethernet ‡ Carte graphique compatible VGA pour l'installation ‡ Un lecteur cdrom pour l installation.

mise en place d Ipcop
Dans la philosophie IPCOP, les zones sont schématisées par des couleurs :
‡ - la zone rouge(RED) représente internet. ‡ - La zone orange(ORANGE) représente la DMZ. ‡ - La zone bleue(BLEU) représente les clients wifi (qui sont dans un réseau séparé). ‡ - La zone verte(GREEN) représente le réseau interne.

Schéma représentant la configuration

Les services offerts par Ipcop

2

Installation d¶Ipcop

‡ IPCOP est disponible en téléchargement dans la section download du site www.IPCOP.org. ‡ IPCOP est disponible sous forme de fichier source à compiler et sous forme d une image à graver sur un cd. ‡ Pour installer IPCOP, le plus simple est de télécharger l image de sa version la plus récente puis de la graver sur un cd ‡ Le cd, une fois gravé, est un cd bootable.

Installation d Ipcop (suite)
D abor il faut s assurer que le disque dur ne contient aucune information importante car IPCop va tout supprimer. une fois le cd inséré l écran suivant apparait après le démarrage ‡ Il faut cliquer sur entrer pour commencer l installation. ‡ Ensuite, il faut simplement suivre les instructions.

Installation d Ipcop (suite)

Les principales fenêtres d installation

Ensuite, il faut configurer cette carte réseau, on entre donc l adresse ip de la passerelle (on est dans la zone verte )

La configuration du réseau
‡ ‡ ‡ ‡

Allez dans « Type de configuration réseau » pour choisir l architecture du réseau. Voici les possibilités proposées : - GREEN (RED is modem/ISDN) - GREEN + ORANGE (RED is modem/ISDN) - GREEN + RED - GREEN + ORANGE + RED - GREEN + BLUE (RED is modem / ISDN) - GREEN + ORANGE + BLUE (RED is modem/ISDN) - GREEN + BLUE + RED - GREEN + ORANGE +BLUE + RED

La configuration du réseau

‡ On choisi l option GREEN + RED Ensuite on passe à la configuration de l adressage IP pour les zone verte + rouge Interface RED : IP : 10.10.1.1/255.255.255.0 Passerelle : 192.168.1.254 Serveur DNS :212.217.0.1 L interface Green est configurée auparavant : 192.168.1.1/255.255.255.0 Les mots de passe des comptes « root » et « admin » nous seront ensuite demandés, le compte « root » a la possibilité de se connecter en local ou en SSH à l IPCop tandis que le compte « admin » permet d accéder à l interface web d administration de celui-ci.

Administration d IPCop
On peut désormais accéder à l interface web d IPCop en entrant l une des adresses suivantes à partir de n importe quel poste présent sur l interface GREEN : 192.168.1.1:445 192.168.1.1:81

‡ On clique sur « Connexion » dans l interface web pour activer le trafic internet

‡ Un nom d utilisateur et un mot de passe seront alors demandés, le nom d utilisateur est ici « admin » et le mot de passe correspond à celui qu on a défini pendant l installation.

‡ Nous allons maintenant activer l'accès ssh. sur l'onglet « SYSTEME », puis « Accès SSH » on coche le reste des cases de cette fenêtre, puis on enregistre

3

Présentation de l interface web

Menu Etat
Section Etat du système :

Menu Etat
Section Etat du réseau :

Menu Etat
Section Graphiques système :

Menu Etat
Section Courbes de trafics :

Menu Services
‡ C est ici qu on configure tous les services de la passerelle :

Section Serveur DHCP :

Menu Services
Section Détection d intrusion :

Section Hôtes statiques : permet d ajouter des hôtes avec IP statiques. Section Serveur de temps : permet à la passerelle d être un client NTP d un part et d être un serveur NTP pour le réseau interne d autre . Section Lissage de trafic : permet de limiter les débits montant et descendant des client qui vont sur internet. On peut aussi, donner des priorités différentes selon les services pour faire de la qualité de service.

Menu VPNs
‡ On crée ici les Réseaux Privés Virtuel ‡ Section VPNs : permet de créer des vpn (réseau à réseau, ou postes à réseau).

Menu Journaux
‡ Ce menu permet d accéder à tous les journaux générés par IPCOP et ses services .

Section Journaux du pare-feu : permet de visualiser les journaux d accès au pare-feu. Section Journaux IDS : permet de visualiser les tentatives d intrusion détecter par les sondes du détecteur d intrusion. Section Journaux système : permet de visualiser les journaux systèmes (Systems, DNS,DHCP, SSH, NTP, )

4

Mise en place d un réseau de type poste à poste

‡ Schéma d'installation:

Mettre 1 dans le fichier système "ip_forward" :echo 1 >/proc/sys/net/ipv4/ip_forward. Chaque machine doit avoir comme passerelle l'adresse IP de la carte de l'interface derrière laquelle elle se situe.

‡ Modules supplémentaires(Addons)
‡ BOT (Block Out Traffic) : Un Addon gérant les connexions sortantes offrant une sécurité plus importante. ‡ ‡

Le filtreur d URL: Un petit Addon très pratique qui filtrera et bloquera les URLs et domaines voulus. Advanced Proxy: Un serveur proxy avancé. Il enrichit les options existantes au niveau du proxy d IPCop, son installation est nécessaire pour pouvoir utiliser et activer le filtreur URL. Zerina (VPN): Cet Addon ajoute un Vpn Road Warrior c'est à dire permettre à un pc mobile (linux, mac, windows) distant de pouvoir se connecté au réseau pour avoir les mêmes ressources qu'en réseau local.

‡

‡ Installation des Addons:
1. Via WinSCP on transfère les dossiers des addons dans le dossier /tmp de
l IPCOP.

2. Dans la machine ipcop, on bascule dans le répertoire tmp, avec la
commande cd /tmp. 3. On lance l installation en tapant la commande : ./install

5

Gestion du trafic sortant

‡ BlockOutTraffic permet de contrôler ce qui sort de notre IPCOP. Dans notre exemple nous allons voir les points suivants :    

Créer les règles de base pour accéder au web Autoriser certains services Affiner les droits utilisateurs Créer des groupes d ordinateurs et leur affecter des règles différentes

1. Création de la règle d accès à IPCOP :

Configuration de la source :

Configuration de la destination

Configuration du ou des services

La règle que nous venons de créer est alors visible dans les règles actuelles :

2. Création de la règle de navigation Web :
Configuration de la destination :

Configuration du ou des services utilisés

NAVIG_NORM : Ce groupe intègre les services http(80), dns(53), pop3(110), smtp(25), ftp(21), ftp-data(20)

6

La mise en place d une connexion VPN
‡ Schémas d'un accès VPN:

Les principaux avantages d'un VPN:  Sécurité: assure des communications sécurisées et chiffrés.  Simplicité: utilise les circuits de télécommunication classiques.  Economie: utilise Internet en tant que médiat principal de transport, ce qui évite les coûts liés à une ligne dédiée.

La mise en place d une connexion VPN avec IPCop
‡ Utilitaires:Pour utiliser le vpn en mode Roadwarrior il va falloir installer ZERINA sur la machine IPCop, pour cela il faut récupérer une version compatible avec la version de l'IPCop. Pour les clients windows ,il faut récupéré OpenVPN pour Windows. ‡ Installation de ZERINA: Une fois le fichier tar.gz téléchargé, il faut l'envoyer sur IPCop, on peut le faire sous Windows via le logiciel WinSCP.

‡ ‡ ‡ ‡ ‡

On exécute WinSCP en indiquant les paramètres de notre IpCop: host name : 192.168.1.1 port : 222 Nom d'utilisateur: root (Connexion en root obligatoire) mot de passe: ***

Configuration du serveur VPN
‡ Génération de certificat racine

‡ Création de certificat client

Configuration d'un client OpenVPN

‡ L'installation crée une arborescence dans le dossier Program Files (ou Programmes) où l'on va retrouver les répertoires contenant les drivers, les logs, des exemples de configurations et surtout le dossier de configuration.

Le dossier config devra contenir impérativement le fichier de configuration ".ovpn" et les certificats permettant l'authentification et le chiffrement du tunnel.

7

Conclusion :

‡

L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est plus nécessaire d'avoir un firewall d'installé sur chaque poste du réseau, le serveur se chargeant d'effectuer le filtrage en amont. La possibilité d'ajout de plug-ins fait d' IPCop un outil à la fois fiable et évolutif.

‡