http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 1/10 Installation dun systme de surveillance de trafic IP(IPCop) gebull.org/ Rustty IPCop est une distribution Linux complte. Son seul but est de protger le rseau sur lequel elle est mise en uvre. En implmentant les technologies existantes, les technologies mergentes et en se servant de pratiques de programmations sres, IPCop est pour ceux qui veulent garantir la scurit de leurs ordinateurs et rseaux. IPCop est un logiciel Open Source distribu sous les termes de Public License .En plus des multiples avantages inhrents la formule Open Source, le fait que les sources soient disponibles permet des experts en scurit du monde entier dauditer le code et de corriger les ventuelles failles de scurit. Du fait de ses faibles besoins pour une mise en uvre simple, cette distribution peut tre installe sur des PC(recycls). Dans IPCop, on peut dfinir jusqu quatre interfaces rseau dfinies par des couleurs selon les besoins. Il faut donc autant de cartes rseau que dinterfaces souhaites. -Interface Rouge: Ce rseau correspond au rseau Internet (le rseau dit le plus dangereux.). Le but mme dIPCOP est de protger les autres rseaux des attaques venues du rseau Internet, cest--dire de linterface Rouge. -Interface Verte: Correspond au rseau local (LAN) protg par IPCOP. Ce rseau le droit daccs aux 3 autres rseaux (sauf paramtrage spciaux grce des Add-Ons: URL Filter qui limite laccs au Web, BlockoutTrafic pour grer finement le trafic rseau). -Interface Orange: Ce rseau est une DMZ (Demilitarized Zone = Zone Dmilitarise) qui permet de relier des serveurs mails ou serveurs Web au rseau Internet. Les ordinateurs de ce rseau ne peuvent pas accder aux ordinateurs des interfaces Bleu et Verte sauf si il est mis en place des rgles explicites. -Interface Bleu: Cest une interface spcifique aux rseaux sans fil. Elle permet aux ordinateurs connects daccder au rseau rouge (Internet) et orange (DMZ) sans accder au rseau Vert (LAN).
Les diffrents types de configuration rseau: Dans la mesure o linterface ROUGE peut tre de type modem ou Ethernet, huit configurations rseau sont possibles : VERT (ROUGE est un modem/ISDN) VERT + ROUGE (ROUGE est en Ethernet) VERT + ORANGE + ROUGE (ROUGE est en Ethernet) VERT + ORANGE (ROUGE est un modem/ISDN) VERT + BLEU + ROUGE (ROUGE est en Ethernet) VERT + BLEU (ROUGE est un modem/ISDN) 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 2/10 VERT + BLEU + ORANGE + ROUGE (ROUGE est en Ethernet) VERT + BLEU + ORANGE (ROUGE est un modem/ISDN)
Liste de services offerts par IPCOP: -Interface web pour ladministration et la configuration dIPCOP en franais. -Affichage de ltat du systme et graphiques CPU/Mmoire/Disque/trafic sur priode journalire/semaine/mois/anne. -Informations sur les connexions en cours. -Serveur SSH pour accs distant scuris. -Proxy HTTP/HTTPS. -Serveur DHCP. -Cache DNS. -Renvoi de ports TCP/UDP/GRE. -Support des DNS dynamiques. -Systme de dtection dintrusion (interne et externe). -Support VPN pour relier des rseaux distants entre eux ou se connecter distance avec un poste. -Accs aux logs par interface web : du systme, de la connexion vers Internet, du proxy, du firewall, de la dtection des tentatives dintrusion. -Mise jour dIPCOP par linterface web. -Sauvegarde de la configuration du systme sur disquette. -Synchronisation sur serveur de temps, peut servir le temps aux machines internes. -Arrt/Redmarrage distance. -Support des modems RTC/RNIS. -Support de la quasi-totalit des modems ADSL USB et PCI (Voir la liste du matriel compatible dans la section documentation de http://www.ipcop.org/). -Possibilit dutiliser une DMZ avec gestion des accs. -Possibilit de scuriser un rseau sans fil
Configuration minimale requise: -un ordinateur quip de 64 Mo de mmoire vive et dun processeur 233 MHz suffit -300 Mo despace disque -Carte graphique compatible VGA pour linstallation 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 3/10 -De deux 4interfaces rseau Ethernet -Connexion Internet (Modem, Cble, ISDN, ADSL,) -Un lecteur cdrom pour linstallation.
Installation du systme de base depuis un CD Bootable: Tlcharger limage ISO IPCOP sur le site officiel, http://www.ipcop.org/ Ensuite, gravez limage sur un CD Placez le CD IPCop dans le lecteur de CD du PC IPCop et au dmarrage lcran suivant apparatra. La touche ENTER dmarrera la procdure dinstallation qui vous affiche le menu de slection de la langue. Choisissez la langue que vous souhaitez: Dmarrez le programme dinstallation:
Choix du type de clavier: Choisissez fr-latin1 si vous disposez dun clavier franais, AZERTY standard. Pour quIPCOP se mettre lheure ds linstallation, choisissez le fuseau horaire vous correspondant. Si vous habitez en France, slectionnez Europe/Paris Vous pouvez modifier la date et lheure mais logiquement si vous avez choisit le bon fuseau horaire, il ny a pas besoin.
Le programme dinstallation scanne la configuration matrielle pour rechercher les supports dinstallation disponibles. Slectionnez le support que vous souhaitez et faites Ok . Faites nouveau Ok lorsquon vous demande de confirmer. Remarque : le support slectionn sera format et partitionn. Vous devez indiquer quel est le type du support que vous avez choisit prcdemment, si cest un disque dur, slectionnez Disque dur . Au contraire si cest une cl USB, une carte mmoire, de la mmoire flash pour faire court, slectionnez Flash . (ici un disque virtuel pour les besoins de la prsentation) Avec IPCOP, il est possible de sauvegarder les paramtres de configuration via linterface web dadministration. Lors dune rinstallation il est possible de restaurer cette sauvegarde pour ne pas avoir reconfigurer tout un tas de paramtres. Il y a une information importante retenir dans le message indiqu en fin dinstallation, le port utiliser pour accder linterface web dIPCOP, qui est un port non standard pour le HTTPS : 8443. Donnez un nom la machine : Indiquez le domaine: 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 4/10 Passons maintenant la configuration de linterface ROUGE : Linterface ROUGE, cest dire linterface ct internet, peut tre de plusieurs types comme vous pouvez le voir dans la liste ci-dessous. Pour attribuer une configuration statique linterface, slectionnez Statique dans la liste en utilisant la barre despace pour slectionner. Lassistant scanne nouveau votre configuration matrielle pour dtecter les cartes rseaux disponibles sur votre machine. Vous devez slectionner une carte rseau et lui assigner une couleur, vous pouvez utiliser jusqu 4 cartes rseaux selon ce que vous souhaitez faire. Ici nous allons assigner VERTE une carte, et ROUGE lautre, pour avoir un ct LAN et un ct Internet . Une ORANGE pour la dmz et une BLEU pour le rseau sans fil Il faut dsormais indiquer la configuration rseau pour chacune des interfaces auxquelles vous avez attribues une couleur. Informations concernant linterface VERTE : Informations concernant linterface ROUGE : DNS et passerelle : Indiquez les serveurs DNS (Primaire et secondaire) que doit utiliser lIPCOP, et galement, la passerelle par dfaut pour sortir du rseau.Dans notre exemple, nous utilisons une Livebox Orange donc comme DNS nous mettons en primaire ladresse IP de la Livebox et en secondaire le serveur DNS Primaire de Orange. Comme Passerelle par dfaut nous mettons ladresse IP de la Livebox : 192.168.1.1 Informations concernant linterface BLEU: Informations concernant linterface ORANGE: Serveur DHCP : Parmi les services qui composent IPCOP, on trouve le service DHCP, que vous pouvez activer ou non cette tape de la configuration. Faites Ok une fois que vous avez effectu votre choix. Il est possible daccder nouveau la configuration du serveur DHCP via linterface web par la suite. Les mots de passes : Les 3 prochaines tapes concernent la dfinition des mots de passes, le premier mot de passe est celui pour lutilisateur root , ensuite lutilisateur admin qui permet laccs linterface web, puis celui utiliser pour les cls de cryptage de sauvegardes. Un bon mot de passe est trs important et ne pas prendre la lgre. Flicitation, linstallation est termine . Cliquez sur OK pour rebooter votre Firewall. Au redmarrage vous obtenez le menu de boot GRUB suivant : Une fois le cheminement du boot fini vous obtenez une belle fentre noir avec un prompt qui marque login : Au login : vous tapez root et appuyez sur ENTER. Au mot de passe vous tapez votre mot de passe root et appuyez sur ENTER. 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 5/10 Vous voici maintenant en mode console sous root . pour tout ajustement, la commande est: setup, tapez la puis ENTER. Nous voici dans le menu de configuration de base dIPCop. Six choix de base sont au menu : 1 Configuration du Clavier. 2 Fuseau Horaire 3 Nom dhte 4 Nom de Domaine 5 Rseau 6 Mots de Passe Tous ces menus ont dj t explors lors de linstallation dIPCop (en cas de doute vous tes libre dy retourner). Si vous avez fait des modifications, elles sont normalement prises en compte Vous avez donc le choix de laisser IPCop fonctionner sans redmarrer et/ou de le faire redmarrer avec la commande reboot . Pour teindre votre systme poweroff rpondra vos besoin
Administration dIPCop : Ladministration se fait via une interface web On y accde en saisissant lIP de linterface verte de votre IPCOP suivit du port 8443 qui est un port non standard pour le HTTPS. Exemple dans le cas du tutoriel : https://192.168.2.250:8443 Nous avons alors une demande de certificat de scurit aprs avoir entr ladresse IP de notre serveur IPCOP Nous rpondons je comprends les risques , ajouter une exception puis Obtenir un certificat nous confirmons lexception de scurit en laissant coch la case conserver cette exception de faon permanente . Ds que nous voulons entrer dans un menu une authentification nous est demande : Nous cliquons sur OK et nous voil dfinitivement dans linterface graphique dIPCOP.
Il faut entrer User : admin Pass : le mot de passe dfini prcdemment. 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 6/10
Les onglets de linterface graphique: -Onglet Systme Tout ce qui concerne de prs ou de loin le systme en lui- mme, cest--dire la vrification et linstallation des mises jour, la modification des mots de passes, les sauvegardes, lactivation de laccs SSH -Onglet Etat Cet onglet concerne ltat gnral du systme ainsi que le suivi de celui-ci : services actifs, utilisation de la mmoire et du processeur, rglage actuel des interfaces rseau, courbes de trafic et dutilisation de la mmoire, connexions actuelles, -Onglet Rseau Le menu rseau fait en ralit rfrence aux connexions par modem, en effet si linterface rouge est compose dun modem (et non un routeur ou modem-routeur) vous pouvez le configurer et grer la connexion de celui-ci dans les menus de cet onglet. Il sagit l de spcifier les paramtres de connexion ou dinstaller de nouveaux drivers si votre modem na pas t reconnu au cours de linstallation. -Onglet Service Divers services sont disponibles Serveur mandataire (proxy),Serveur DHCP,Ajouter un nom DNS dynamique,Serveur NTP.. -Onglet Pare-feu Diffrents rglages sont possible, sur le transferts de port ,Accs externe et les option de pare-feu -Onglet RPVs Longlet RPVs contient le parametre de Serveur IPsec, Serveur OpenVPN( Rseau Priv Virtuel VPN en anglais pour Virtual Private Network) ,et les Autorits de certification -Onglet Journaux Les journaux (ou logs) sont trs importants pour un firewall, en effet ils permettent dobtenir un suivi prcis du type dattaques les plus frquentes, ou tout simplement de dtecter puis de tracer do viennent ces attaques
Mettre jour IPCOP: Pour voir si des mises jour sont disponibles aller dans la section Mises jour Pour vrifier que la mise jour sest bien installe, descendez dans la page et regardez la zone Mises jour installes . Vous devriez voir apparatre la mise jour 2.06 . 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 7/10
Une fois les mises jour appliquer nous allons configurer laccs IPCop par SSH Configurer l accs SSH: Aller dans le menu Systme =>Accs SSH -Accs SSH : cocher cette case -Autorise le transfert TCP: cocher aussi cette case -Permettre lauthentification par clef publique Bien entendu, toute modification doit tre valide laide du bouton Enregistrer pour tre prise en compte Pour rappel, IPCOP utilises le port non-standard 8022 pour laccs via SSH Accs avec la commande suivante via un terminal $ ssh -p 8022 root@192.168.2.250 Configurer des accs externes: Vous pouvez ouvrir des brches dans le firewall pour ouvrir compltement un accs au rseau sur un port, cest--dire que les ports choisis seront compltements ouverts, ceci peut tre utile pour autoriser laccs linterface de configuration ou laccs en SSH IPCop depuis la zone rouge (Internet par exemple). Pour scuriser un petit peu louverture complte de ces ports, on pourra spcifier quelles adresses IP sont autorises les utiliser. Bien sr, vous pourrez autoriser la connexion depuis nimporte quel adresse IP Nous allons donc configurer un accs pour le poste client (14.01.1.58) sur notre IPCOP par linterface ROUGE (192.168.1.2), sur le port 8022 uniquement pour un accs SSH a IPCOP. Par lintermdiaire du menu, allez dans Pare-feu=>Rgles du Pare-Feu=>Accs Externe Cliquer sur le bouton Suivant pour voir un rsum de la rgle Il ne reste plus qu cliquer sur le bouton Enregistrer pour voir la rgle daccs externe qui saffiche dans la liste des rgles. il est aussi possible dactiver ou non la journalisation pour une rgle et dindiquer une plage horaire sur laquelle la rgle sapplique Pour exemple nous allons aussi configurer un accs sur le port 80 pour un serveur web qui ce trouverais derrire linterface orange ou verte Cliquer sur le bouton Suivant pour voir un rsum de la rgle 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 8/10 Ensuite sur le bouton Enregistrer pour voir la rgle daccs externe qui saffiche dans la liste des rgles. Transferts de ports: Il sagit l du Port Address Translation aussi nomm Port Forwarding, qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port dune machine faisant partie dune des zones dIPCop. Exemple : notre serveur web se trouve derrire linterface orange dIPCop. Il vous faut donc rediriger les requtes HTTP que reoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utiliss et rediriger les paquets vers ladresse IP de votre serveur web (192.168.2.210 par exemple) sur le port HTTP 80 Cliquer sur le bouton Suivant pour voir un rsum de la rgle Cliquer sur le bouton Enregistrer pour voir la rgle du transferts de ports qui saffiche dans la liste des rgles.
Serveur mandataire (proxy): Lintrt dun proxy est de pouvoir avoir une traabilit de linformation, de mettre en cache les pages internet pour amliorer la vitesse de navigation lorsquil y a de nombreux clients, la demande dauthentification pour que les utilisateurs accdent internet, et deffectuer du filtrage (URL grce aux blacklistes, accs autoris ou non selon une plage horaire, filtrage IP, filtrage MAC,). Pour y acceder, cliquer sur le menu Services =>serveur mandataire (proxy) Afin dutiliser le proxy dans sa configuration initiale, il est impratif de lactiver Pour le faire cocher la case: Activ sur VERT. Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des navigateurs web(paramtrage du proxy). Tout trafic passant par la passerelle IPCOP sera analys par le proxy. Activons le aussi: en cochant tout simplement la case Mode transparent VERT. Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP: allez sous la section Configuration des journaux, activer les trois cases: Journaux activits, enregistrement des URL compltes et Enregistrement du User-Agent. Votre configuration resemblerait celle-ci Cliquer sur le bouton Enregistrer pour sauvegarder votre configuration 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 9/10 Section: Options avanc - Gestion du cache: LIPcop utilise le serveur Squid pour le stock le cache de navigation, cette section vous donne la possibilit de definir la taille despace disque allouer pour le cache. La valeurs par dfaut de 50 MB est largement suffissante -Ports de destination: Avec les valeurs par dfauts tout est ok. -Contrle des accs par le rseau: permet de dfinir les rseaux et sous rseau permits pour utiliser IPCOP. Il est galement possible ici de dfinir les IP ou adresses Mac non restreintes ou interdites. Une adresse non restreinte nest pas affecte par la rduction de bande passante par exemple. Une adresse interdite, ne pourra pas accder internet -Restrictions de temps: la section restrictions de temps, permet de dfinir les horaires daccs au web. Nous verrons lors de la configuration dUrlFilter une mthode de restriction plus pousse. -Les limites de transfert: La section Limites de transfert permet de donner une limite sur la taille des fichiers en rception et en emission. -Rduction du tlchargement: La section rduction du tlchargement, permet dallouer de la bande passante globale et/ou par poste client. Dans cet exemple, le dbit total ENTRANT est de 1024kBit/s soit 128 Ko/s max, et le dbit par hte est de 256kBit/s soit 32Ko/s. Cependant notez bien que ces dbits naffectent que le tlchargement sur http, une personne effectuant du tlchargement via FTP dispose de toute la bande passante disponible Aprs toute modification noublier pas de cliquer sur bouton Enregistrer, lapplication est immdiate. 22/7/2014 PrintFriendly.com: Print web pages, create PDFs http://www.printfriendly.com/print/?source=site&url=http%3A%2F%2Fgebull.org%2F%3Fp%3D96853 10/10