Ipcop

22/7/2014 PrintFriendly.
com: Print web pages, create PDFs

http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 1/10
Installation dun systme de surveillance de trafic IP(IPCop)
gebull.org/
Rustty
IPCop est une distribution Linux complte. Son seul but est de protger le rseau sur
lequel elle est mise en uvre. En implmentant les technologies existantes, les
technologies mergentes et en se servant de pratiques de programmations sres,
IPCop est pour ceux qui veulent garantir la scurit de leurs ordinateurs et rseaux.
IPCop est un logiciel Open Source distribu sous les termes de Public License .En
plus des multiples avantages inhrents la formule Open Source, le fait que les
sources soient disponibles permet des experts en scurit du monde entier dauditer
le code et de corriger les ventuelles failles de scurit.
Du fait de ses faibles besoins pour une mise en uvre simple, cette distribution peut
tre installe sur des PC(recycls).
Dans IPCop, on peut dfinir jusqu quatre interfaces rseau dfinies par des couleurs selon les besoins. Il faut
donc autant de cartes rseau que dinterfaces souhaites.
-Interface Rouge: Ce rseau correspond au rseau Internet (le rseau dit le plus dangereux.). Le but mme
dIPCOP est de protger les autres rseaux des attaques venues du rseau Internet, cest--dire de linterface
Rouge.
-Interface Verte: Correspond au rseau local (LAN) protg par IPCOP. Ce rseau le droit daccs aux 3 autres
rseaux (sauf paramtrage spciaux grce des Add-Ons: URL Filter qui limite laccs au Web, BlockoutTrafic
pour grer finement le trafic rseau).
-Interface Orange: Ce rseau est une DMZ (Demilitarized Zone = Zone Dmilitarise) qui permet de relier des
serveurs mails ou serveurs Web au rseau Internet. Les ordinateurs de ce rseau ne peuvent pas accder aux
ordinateurs des interfaces Bleu et Verte sauf si il est mis en place des rgles explicites.
-Interface Bleu: Cest une interface spcifique aux rseaux sans fil. Elle permet aux ordinateurs connects
daccder au rseau rouge (Internet) et orange (DMZ) sans accder au rseau Vert (LAN).

Les diffrents types de configuration rseau:
Dans la mesure o linterface ROUGE peut tre de
type modem ou Ethernet, huit configurations rseau
sont possibles :
VERT (ROUGE est un modem/ISDN)
VERT + ROUGE (ROUGE est en Ethernet)
VERT + ORANGE + ROUGE (ROUGE est en
Ethernet)
VERT + ORANGE (ROUGE est un modem/ISDN)
VERT + BLEU + ROUGE (ROUGE est en Ethernet)
VERT + BLEU (ROUGE est un modem/ISDN)
22/7/2014 PrintFriendly.com: Print web pages, create PDFs
VERT + BLEU + ORANGE + ROUGE (ROUGE est en Ethernet)
VERT + BLEU + ORANGE (ROUGE est un modem/ISDN)

Liste de services offerts par IPCOP:
-Interface web pour ladministration et la configuration dIPCOP en franais.
-Affichage de ltat du systme et graphiques CPU/Mmoire/Disque/trafic sur priode
journalire/semaine/mois/anne.
-Informations sur les connexions en cours.
-Serveur SSH pour accs distant scuris.
-Proxy HTTP/HTTPS.
-Serveur DHCP.
-Cache DNS.
-Renvoi de ports TCP/UDP/GRE.
-Support des DNS dynamiques.
-Systme de dtection dintrusion (interne et externe).
-Support VPN pour relier des rseaux distants entre eux ou se connecter distance avec un poste.
-Accs aux logs par interface web : du systme, de la connexion vers Internet, du proxy, du firewall, de la dtection
des tentatives dintrusion.
-Mise jour dIPCOP par linterface web.
-Sauvegarde de la configuration du systme sur disquette.
-Synchronisation sur serveur de temps, peut servir le temps aux machines internes.
-Arrt/Redmarrage distance.
-Support des modems RTC/RNIS.
-Support de la quasi-totalit des modems ADSL USB et PCI (Voir la liste du matriel compatible dans la section
documentation de
http://www.ipcop.org/).
-Possibilit dutiliser une DMZ avec gestion des accs.
-Possibilit de scuriser un rseau sans fil

Configuration minimale requise:
-un ordinateur quip de 64 Mo de mmoire vive et dun processeur 233 MHz suffit
-300 Mo despace disque
-Carte graphique compatible VGA pour linstallation
-De deux 4interfaces rseau Ethernet
-Connexion Internet (Modem, Cble, ISDN, ADSL,)
-Un lecteur cdrom pour linstallation.

Installation du systme de base depuis un CD Bootable:
Tlcharger limage ISO IPCOP sur le site officiel, http://www.ipcop.org/ Ensuite, gravez limage sur un CD Placez le
CD IPCop dans le lecteur de CD du PC IPCop et au dmarrage lcran suivant apparatra.
La touche ENTER dmarrera la procdure dinstallation qui
vous affiche le menu de slection de la langue. Choisissez la
langue que vous souhaitez:
Dmarrez le programme dinstallation:

Choix du type de clavier: Choisissez fr-latin1 si vous disposez
dun clavier franais, AZERTY standard.
Pour quIPCOP se mettre lheure ds linstallation, choisissez
le fuseau horaire vous correspondant. Si vous habitez en
France, slectionnez Europe/Paris
Vous pouvez modifier la date et lheure mais logiquement si
vous avez choisit le bon fuseau horaire, il ny a pas besoin.

Le programme dinstallation scanne la configuration matrielle
pour rechercher les supports dinstallation disponibles.
Slectionnez le support que vous souhaitez et faites Ok .
Faites nouveau Ok lorsquon vous demande de confirmer.
Remarque : le support slectionn sera format et partitionn.
Vous devez indiquer quel est le type du support que vous avez
choisit prcdemment, si cest un disque dur, slectionnez
Disque dur . Au contraire si cest une cl USB, une carte
mmoire, de la mmoire flash pour faire court, slectionnez
Flash . (ici un disque virtuel pour les besoins de la
prsentation)
Avec IPCOP, il est possible de sauvegarder les paramtres de
configuration via linterface web dadministration. Lors dune
rinstallation il est possible de restaurer cette sauvegarde pour
ne pas avoir reconfigurer tout un tas de paramtres.
Il y a une information importante retenir dans le message
indiqu en fin dinstallation, le port utiliser pour accder
linterface web dIPCOP, qui est un port non standard pour le
HTTPS : 8443.
Donnez un nom la machine :
Indiquez le domaine:
Passons maintenant la configuration de linterface ROUGE :
Linterface ROUGE, cest dire linterface ct internet, peut
tre de plusieurs types comme vous pouvez le voir dans la liste
ci-dessous. Pour attribuer une configuration statique
linterface, slectionnez Statique dans la liste en utilisant la
barre despace pour slectionner.
Lassistant scanne nouveau votre configuration matrielle
pour dtecter les cartes rseaux disponibles sur votre machine.
Vous devez slectionner une carte rseau et lui assigner une
couleur, vous pouvez utiliser jusqu 4 cartes rseaux selon ce
que vous souhaitez faire.
Ici nous allons assigner VERTE une carte, et ROUGE
lautre, pour avoir un ct LAN et un ct Internet . Une
ORANGE pour la dmz et une BLEU pour le rseau sans fil
Il faut dsormais indiquer la configuration rseau pour chacune
des interfaces auxquelles vous avez attribues une couleur.
Informations concernant linterface VERTE :
Informations concernant linterface ROUGE :
DNS et passerelle : Indiquez les serveurs DNS (Primaire et
secondaire) que doit utiliser lIPCOP, et galement, la passerelle
par dfaut pour sortir du rseau.Dans notre exemple, nous
utilisons une Livebox Orange donc comme DNS nous mettons
en primaire ladresse IP de la Livebox et en secondaire le
serveur DNS Primaire de Orange. Comme Passerelle par dfaut
nous mettons ladresse IP de la Livebox : 192.168.1.1
Informations concernant linterface BLEU:
Informations concernant linterface ORANGE:
Serveur DHCP : Parmi les services qui composent IPCOP, on
trouve le service DHCP, que vous pouvez activer ou non cette
tape de la configuration. Faites Ok une fois que vous avez
effectu votre choix. Il est possible daccder nouveau la
configuration du serveur DHCP via linterface web par la suite.
Les mots de passes : Les 3 prochaines tapes concernent la
dfinition des mots de passes, le premier mot de passe est celui
pour lutilisateur root , ensuite lutilisateur admin qui
permet laccs linterface web, puis celui utiliser pour les
cls de cryptage de sauvegardes. Un bon mot de passe est trs
important et ne pas prendre la lgre.
Flicitation, linstallation est termine . Cliquez sur OK pour
rebooter votre Firewall.
Au redmarrage vous obtenez le menu de boot GRUB suivant :
Une fois le cheminement du boot fini vous obtenez une belle fentre noir avec un prompt qui marque login :
Au login : vous tapez root et appuyez sur ENTER. Au mot de passe vous tapez votre mot de passe root et
appuyez sur ENTER.
Vous voici maintenant en mode console sous root . pour tout
ajustement, la commande est: setup, tapez la puis ENTER.
Nous voici dans le menu de configuration de base dIPCop.
Six choix de base sont au menu :
1 Configuration du Clavier.
2 Fuseau Horaire
3 Nom dhte
4 Nom de Domaine
5 Rseau
6 Mots de Passe
Tous ces menus ont dj t explors lors de linstallation
dIPCop (en cas de doute vous tes libre dy retourner).
Si vous avez fait des modifications, elles sont normalement
prises en compte
Vous avez donc le choix de laisser IPCop fonctionner sans
redmarrer et/ou de le faire redmarrer avec la commande
reboot .
Pour teindre votre systme poweroff rpondra vos
besoin

Administration dIPCop :
Ladministration se fait via une interface web
On y accde en saisissant lIP de linterface verte de votre
IPCOP suivit du port 8443 qui est un port non standard pour
le HTTPS. Exemple dans le cas du tutoriel :
https://192.168.2.250:8443
Nous avons alors une demande de certificat de scurit aprs
avoir entr ladresse IP de notre serveur IPCOP
Nous rpondons je comprends les risques , ajouter une
exception puis Obtenir un certificat nous confirmons
lexception de scurit en laissant coch la case conserver
cette exception de faon permanente .
Ds que nous voulons entrer dans un menu une
authentification nous est demande :
Nous cliquons sur OK et nous voil dfinitivement dans linterface graphique dIPCOP.

Il faut entrer User : admin Pass : le mot de passe dfini
prcdemment.

Les onglets de linterface graphique:
-Onglet Systme
Tout ce qui concerne de prs ou de loin le systme en lui-
mme, cest--dire la vrification et linstallation des mises
jour, la modification des mots de passes, les sauvegardes,
lactivation de laccs SSH
-Onglet Etat
Cet onglet concerne ltat gnral du systme ainsi que le suivi
de celui-ci : services actifs, utilisation de la mmoire et du
processeur, rglage actuel des interfaces rseau, courbes de
trafic et dutilisation de la mmoire, connexions actuelles,
-Onglet Rseau
Le menu rseau fait en ralit rfrence aux connexions par
modem, en effet si linterface rouge est compose dun modem
(et non un routeur ou modem-routeur) vous pouvez le
configurer et grer la connexion de celui-ci dans les menus de
cet onglet. Il sagit l de spcifier les paramtres de connexion
ou dinstaller de nouveaux drivers si votre modem na pas t
reconnu au cours de linstallation.
-Onglet Service
Divers services sont disponibles Serveur mandataire
(proxy),Serveur DHCP,Ajouter un nom DNS dynamique,Serveur
NTP..
-Onglet Pare-feu
Diffrents rglages sont possible, sur le transferts de port
,Accs externe et les option de pare-feu
-Onglet RPVs
Longlet RPVs contient le parametre de Serveur IPsec, Serveur
OpenVPN( Rseau Priv Virtuel VPN en anglais pour Virtual
Private Network) ,et les Autorits de certification
-Onglet Journaux
Les journaux (ou logs) sont trs importants pour un firewall, en
effet ils permettent dobtenir un suivi prcis du type dattaques
les plus frquentes, ou tout simplement de dtecter puis de
tracer do viennent ces attaques

Mettre jour IPCOP:
Pour voir si des mises jour sont disponibles aller dans la section Mises jour
Pour vrifier que la mise jour sest bien installe, descendez dans la page et regardez la zone Mises jour
installes . Vous devriez voir apparatre la mise jour 2.06 .

Une fois les mises jour appliquer nous allons configurer
laccs IPCop par SSH
Configurer l accs SSH:
Aller dans le menu Systme =>Accs SSH
-Accs SSH : cocher cette case -Autorise le transfert TCP:
cocher aussi cette case -Permettre lauthentification par clef
publique
Bien entendu, toute modification doit tre valide laide du
bouton Enregistrer pour tre prise en compte
Pour rappel, IPCOP utilises le port non-standard 8022 pour
laccs via SSH
Accs avec la commande suivante via un terminal $ ssh -p
8022 root@192.168.2.250
Configurer des accs externes:
Vous pouvez ouvrir des brches dans le firewall pour ouvrir
compltement un accs au rseau sur un port, cest--dire que
les ports choisis seront compltements ouverts, ceci peut tre
utile pour autoriser laccs linterface de configuration ou
laccs en SSH IPCop depuis la zone rouge (Internet par
exemple).
Pour scuriser un petit peu louverture complte de ces ports,
on pourra spcifier quelles adresses IP sont autorises les
utiliser. Bien sr, vous pourrez autoriser la connexion depuis
nimporte quel adresse IP
Nous allons donc configurer un accs pour le poste client
(14.01.1.58) sur notre IPCOP par linterface ROUGE
(192.168.1.2), sur le port 8022 uniquement pour un accs
SSH a IPCOP.
Par lintermdiaire du menu, allez dans Pare-feu=>Rgles du
Pare-Feu=>Accs Externe
Cliquer sur le bouton Suivant pour voir un rsum de la
rgle
Il ne reste plus qu cliquer sur le bouton Enregistrer pour
voir la rgle daccs externe qui saffiche dans la liste des
rgles.
il est aussi possible dactiver ou non la journalisation pour une
rgle et dindiquer une plage horaire sur laquelle la rgle
sapplique
Pour exemple nous allons aussi configurer un accs sur le port
80 pour un serveur web qui ce trouverais derrire linterface
orange ou verte
Cliquer sur le bouton Suivant pour voir un rsum de la rgle
Ensuite sur le bouton Enregistrer pour voir la rgle daccs
externe qui saffiche dans la liste des rgles.
Transferts de ports:
Il sagit l du Port Address Translation aussi nomm Port
Forwarding, qui vous permet de rediriger le flux arrivant sur un
port de votre IPCop vers un port dune machine faisant partie
dune des zones dIPCop.
Exemple : notre serveur web se trouve derrire linterface
orange dIPCop. Il vous faut donc rediriger les requtes HTTP
que reoit votre IPCop vers ce serveur. Vous allez donc choisir
les protocoles utiliss et rediriger les paquets vers ladresse IP
de votre serveur web (192.168.2.210 par exemple) sur le port
HTTP 80
Cliquer sur le bouton Suivant pour voir un rsum de la
rgle
Cliquer sur le bouton Enregistrer pour voir la rgle du
transferts de ports qui saffiche dans la liste des rgles.

Serveur mandataire (proxy):
Lintrt dun proxy est de pouvoir avoir une traabilit de
linformation, de mettre en cache les pages internet pour
amliorer la vitesse de navigation lorsquil y a de nombreux
clients, la demande dauthentification pour que les utilisateurs
accdent internet, et deffectuer du filtrage (URL grce
aux blacklistes, accs autoris ou non selon une plage
horaire, filtrage IP, filtrage MAC,).
Pour y acceder, cliquer sur le menu Services =>serveur
mandataire (proxy)
Afin dutiliser le proxy dans sa configuration initiale, il est
impratif de lactiver Pour le faire cocher la case: Activ
sur VERT.
Le mode transparent permet de se passer de toute
configuration sur les postes clients au niveau des
navigateurs web(paramtrage du proxy). Tout trafic
passant par la passerelle IPCOP sera analys par le proxy.
Activons le aussi: en cochant tout simplement la case Mode
transparent VERT.
Ensuite nous allons activer les Logs de tout ce qui passe par
IPCOP: allez sous la section Configuration des journaux, activer
les trois cases: Journaux activits, enregistrement des URL
compltes et Enregistrement du User-Agent.
Votre configuration resemblerait celle-ci
Cliquer sur le bouton Enregistrer pour sauvegarder votre
configuration
Section: Options avanc
- Gestion du cache: LIPcop utilise le serveur Squid pour le
stock le cache de navigation, cette section vous donne la
possibilit de definir la taille despace disque allouer pour le
cache. La valeurs par dfaut de 50 MB est largement
suffissante -Ports de destination: Avec les valeurs par dfauts
tout est ok. -Contrle des accs par le rseau: permet de dfinir
les rseaux et sous rseau permits pour utiliser IPCOP.
Il est galement possible ici de dfinir les IP ou adresses Mac
non restreintes ou interdites. Une adresse non restreinte nest
pas affecte par la rduction de bande passante par exemple.
Une adresse interdite, ne pourra pas accder internet
-Restrictions de temps: la section restrictions de temps, permet
de dfinir les horaires daccs au web. Nous verrons lors de la
configuration dUrlFilter une mthode de restriction plus
pousse. -Les limites de transfert: La section Limites de
transfert permet de donner une limite sur la taille des fichiers
en rception et en emission. -Rduction du tlchargement: La
section rduction du tlchargement, permet dallouer de la
bande passante globale et/ou par poste client.
Dans cet exemple, le dbit total ENTRANT est de 1024kBit/s soit
128 Ko/s max, et le dbit par hte est de 256kBit/s soit 32Ko/s.
Cependant notez bien que ces dbits naffectent que le
tlchargement sur http, une personne effectuant du
tlchargement via FTP dispose de toute la bande passante
disponible Aprs toute modification noublier pas de cliquer sur
bouton Enregistrer, lapplication est immdiate.

Ipcop

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ipcop

Încărcat de

Drepturi de autor:

Formate disponibile

22/7/2014 PrintFriendly.

com: Print web pages, create PDFs

S-ar putea să vă placă și