Mise en place du Firewall IPCop

Mise en place du Firewall IPCop

Réalisé par:

Mohamed ZAOUI


1 Mohamed ZAOUI

Sommaire

Introduction .......................................................................................... 3

I. Description du contexte et de l’architecture .............................................. 4

II. Les Interfaces réseaux ........................................................................... 5

III. Installation : .................................................................................... 6

Accès à IPCOP ........................................................................................ 24

1. Accès local en mode terminal ............................................................. 24

2. Accès à distance via un navigateur Internet ........................................... 26

3. Accès à distance via un accès Telnet sur SSH ........................................ 28

V. Installation des Add-Ons : .................................................................... 30

4. Installation de Advanced Proxy Transfert du fichier d’installation ............... 30

5. Installation de l’addon ...................................................................... 32

6. Configuration de Advanced Proxy ........................................................ 34

7. Activation du Proxy Avancé :............................................................. 34

8. Gestion du contrôle d’accès ............................................................... 35

9. Les restrictions de temps ................................................................. 35

10. Les limites de transfert ................................................................. 36

11. Réduction du téléchargement .......................................................... 36

VI. Installation de UrlFilter et Transfert du fichier d’installation ................. 36

1. Activation du Filtreur d’URL ...........................................................37

2. Catégories de blocage ......................................................................37


2 Mohamed ZAOUI

3. Blacklists personnalisées .................................................................. 38

4. Liste d’expressions personnalisées...................................................... 38

5. Bloquer les extensions de fichiers ...................................................... 38

6. Contrôle d’accès basé sur le réseau ................................................... 39

7. Contrôle d’accès basé sur le temps ................................................... 39

8. Paramètres des pages bloquées......................................................... 40

9. Paramètres avancés ....................................................................... 40

10. Ajout massif de Black List ........................................................... 40

11. Installation des blacklists .............................................................. 41

VI. Configuration de l’authentification : .................................................... 42

VIII. Installation des Addons supplémentaires : ............................................... 44

1. Installation de Update Accelerator ....................................................... 44

2. Transfert du fichier d’installation ........................................................ 45

3. Installation de l’addon ...................................................................... 45

4. Configuration d’update Accelerator ...................................................... 45

IX. Configuration du navigateur client............................................................46

Conclusion........................................................................................48

Bibliographie.....................................................................................49


3 Mohamed ZAOUI

De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire Internet.

En effet, une entreprise n'est jamais complètement fermée sur elle même. Il est par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte à divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de telles actions sont nombreux et variés : attaque visant le vol de données, passe-temps, ...

Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall.


4 Mohamed ZAOUI

I. Description du contexte et de l’architecture

IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture de type PC. Elle offre la classique Zone démilitarisée (dmz) ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). IPCop peut également servir de serveur mandataire (Proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...). Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée (zone bleue).


5 Mohamed ZAOUI

II. Les Interfaces réseaux Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE. (Voir le graph précédent)

1) L'Interface réseau ROUGE Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE.

2) L’Interface réseau VERTE Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

3) L'Interface réseau BLEUE Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accéder au réseau VERT sauf par le biais d'œilletons ( << pinholes >> ) volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

4) L'Interface réseau ORANGE

Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau Ethernet dans la machine IPCop.


6 Mohamed ZAOUI

III. Installation :

1. Préalable : Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou 4 cartes réseau en fonction de la configuration choisie. Il est préférable de connecter directement les cartes à leur élément actif respectif. Il est rappelé que les différentes interface d'un FireWall ne doivent pas être connectées au même réseau physique ou alors uniquement sur des ports appartenant à des VLAN 802.1q différents. En règle générale, l'interface rouge est directement connecté au port LAN de votre routeur d'accès Internet, le port vert au switch de votre réseau local, le port orange à un switch (ou VLAN) dédié à votre DMZ et enfin l'interface bleue directement à votre switch ou VLAN dédié aux bornes WIFI. Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements. Après avoir téléchargé la dernière version stable sur le site sourceforge.net, gravez une image iso bootable.


7 Mohamed ZAOUI

2. Lancement de l’installation :

Une fois le media crée, ce dernier doit être inséré dans le lecteur cdrom du pc hôte. Il est alors nécessaire de booter avec ce cd (configuration requise dans le setup du poste).

A cet écran il est possible de démarrer l’installation en pressant « Entrée », les options

permettent soit de préciser certains paramètres liés au matériels soit de modifier des

paramètres tels que la langue d’installation, ou le partitionnement par défaut de l’installation.

Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons

Français.


8 Mohamed ZAOUI

Valider en pressant la touche entrée.

Sélectionner ici Ok plus valider avec Entrée.


9 Mohamed ZAOUI

Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers,

sélectionner Ok puis valider.


10 Mohamed ZAOUI

Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner « Passer »

(en vous déplaçant avec les flèches puis en validant votre choix avec la barre d’espace) puis

valider.

Cet écran est primordial dans l’installation d’IPCOP car c’est ici que allez définir votre carte

réseau Green (VERTE) liée au LAN. IPCOP dispose d’un module de recherche et de

configuration automatique pour de nombreuses cartes réseau. Valider alors la fonction de

recherche.


11 Mohamed ZAOUI

Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre

système. Vérifier que cette dernière correspond bien au matériel présent dans votre machine

et valider.

Sur cet écran vous allez définir l’adresse IP de votre carte réseau VERTE.

Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons

l’adresse : 192.168.1.1


12 Mohamed ZAOUI

A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première

étape de la configuration.

Sur cet écran choisir le clavier correspondant à votre disposition de clavier. Dans notre cas

choisissons fr puis validons.


13 Mohamed ZAOUI

Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.

Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous gardons

le nom par défaut, à savoir ipcop.


14 Mohamed ZAOUI

A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut être

de type FQDN, nous choisirons dans notre exemple fpe.ac.ma, puis validez.

Cet écran permet de configurer une liaison (Rouge) de type RNIS ou Numéris (FT).

Aujourd’hui rare, nous choisissons de désactiver cette fonction.


15 Mohamed ZAOUI

3. Configuration complémentaire :

Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors choisir le type

de configuration réseau nous retenons.

Valider en pressant « entrée »

Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+ORANGE+RED

(Les autres configurations seront détaillées plus loin), puis nous validons.

Il faut ensuite définir les affectations de cartes réseau (Pour la carte Rouge dans notre cas)


16 Mohamed ZAOUI

Sélectionner Affectation des pilotes et des cartes puis valider.

Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider ici pour

effectuer une recherche de la carte réseau.

Une fois la carte trouvée, il nous est proposé de l’affecter au réseau RED (rouge). Valider à

ce niveau.


17 Mohamed ZAOUI

A ce stade, tout va bien, il faut valider.

Nous allons désormais procéder à la configuration de l’adresse de la carte RED :


18 Mohamed ZAOUI

Choisir RED puis OK.

Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au réseau rouge

(Souvent dans le réseau du routeur), soit de laisse le routeur ou le FAI nous fournir une

adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over

Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons

Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque

réseau proposé.

La configuration de l’adresse de la carte ORANGE :


19 Mohamed ZAOUI

Choisir ORANGE puis OK

Ici nous pouvons choisir de saisir une adresse IP statique correspondant au réseau ORANGE

qui représente la DMZ.

Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit

interroger IPCOP.


20 Mohamed ZAOUI

Saisir ici les adresses DNS de organisation , ainsi que l’adresse IP (LAN) de votre routeur.


21 Mohamed ZAOUI

Il ne reste plus qu’à définir si IPCOP doit être serveur DHCP ou non.

En fonction de votre architecture, vous pouvez soit activer ou désactiver DHCP. Si vous

l’activer, vous devrez alors connitre votre plan d’adressage IP LAN, afin de créer l’étendue

DHCP. Dans notre cas nous n’activerons pas le DHCP.


22 Mohamed ZAOUI

Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à

la dernière étape consistant à configurer les différents mots de passe du système. Valider

l’option « Continuer ».

Il est fort probable que l’écran de configuration DHCP apparaisse de nouveau, valider alors par

le bouton OK.

Le premier mot de passe que nous devons saisir est celui du compte « root » à savoir le

super utilisateur qui vous permet d’entrer en mode console sur votre ipcop et surtout de

pouvoir installer les AddOns.


23 Mohamed ZAOUI

Si lorsque ce vous saisissez le mot de passe, rien ne s’affiche, c’est normal

Le second compte appelé « admin » permet quant à lui d’administrer IPCOP depuis l’interface

Web, ce compte ne permet pas d’ouvrir une session en mode console.

Enfin le dernier mot de passe permet de protéger la clé de cryptage des sauvegardes de

configuration d’IPCOP.


24 Mohamed ZAOUI

Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarrer

Accès à IPCOP

1. Accès local en mode terminal

Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte

« root »


25 Mohamed ZAOUI

Vous pouvez alors relancer la configuration IPCOP en tapant la commande « setup »

Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin.

N’oubliez pas de fermer votre session sur IPCOP avec la commande « logout »


26 Mohamed ZAOUI

2. Accès à distance via un navigateur Internet

Pour des raisons que on ignore on a pu constater que l’affichage des menus était de meilleure

qualité avec Internet Explorer qu’avec Firefox. On utilise donc dans ce tutorial Internet

Explorer.

Exécutez alors votre navigateur Internet favori puis saisissez l’adresse IP GREEN de votre

IPCOP dans la barre d’adresse de votre navigateur suivie de :81 comme ci-dessous :

Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité :


27 Mohamed ZAOUI

On arrive alors à la fenêtre de configuration IPCOP :

Il faut désormais vous connecter en cliquant sur le bouton « Connexion

Saisir ici le login « Admin. » avec le mot de passe configuré auparavant.

Vous avez désormais accès à toutes les fonctions de votre IPCOP.


28 Mohamed ZAOUI

3. Accès à distance via un accès Telnet sur SSH

Pour cela nous allons sur la page de configuration Web dans l’onglet « Système » puis « accès

SSH »


29 Mohamed ZAOUI

Il faut alors cocher les case « Accès SSH », et « autorise le transfert TCP », puis

« Enregistrer »

Nous pouvons désormais utiliser Putty pour administrer notre IPCOP à distance :

Noter bien la ligne en surbrillance : IPCOP écoute sur le port 222 pour SSH et non 22

Tout comme notre navigateur, Putty nous informe qu’il faut accepter un certificat pour

accéder a IPCOP, nous répondons donc Oui.


30 Mohamed ZAOUI

V. Installation des Add-Ons :

Pour installer les add-on sur IPCOP nous allons avoir recours au logiciel permettant d’envoyer

des fichiers sur la machine IPCOP depuis un poste Windows à savoir WinSCP.

Pour utiliser WINSCP il est impératif d’avoir activé le protocole SSH sur l’IPCOP (voir plus

haut)

4. Installation de Advanced Proxy Transfert du fichier d’installation

Via WinSCP transférer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP

Saisir les informations de connexion puis cliquer sur « Connecter ».


31 Mohamed ZAOUI

Comme pour Putty, il faut accepter le certificat.

Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre micro, et à

droite les fichiers de votre IPCOP.

Nous allons alors nous positionner dans le répertoire « tmp » de l’IPCOP.

La copie s’effectue par un simple Glisser-Coller, nous allons alors sélectionner le fichier

d’installation d’advancedProxy puis le glisser vers le répertoire /tmp de l’IPCOP


32 Mohamed ZAOUI

La fenêtre suivante apparait pour confirmer la copie :

Cliquer sur Copier

Nous constatons que le fichier est bien copié.

5. Installation de l’addon

Nous allons alors passer en mode console ou directement sur notre machine pour installer cet

add-on.

Basculer dans le répertoire tmp, avec la commande « cd /tmp »


33 Mohamed ZAOUI

Lister le contenu du répertoire avec la commande « ll»

En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

Pour lancer l’installation il faut taper la commande suivante : « /install » comme ci-dessous :

Une fois l’installation terminée, nous avons ce type d’écran :


34 Mohamed ZAOUI

6. Configuration de Advanced Proxy

Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons

dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :

7. Activation du Proxy Avancé :

Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer.

Le mode transparent permet de se passer de toute configuration sur les postes clients au

niveau des navigateurs internet (paramétrage du proxy). Tout trafic passant par la passerelle

IPCOP sera analysé par le proxy.


35 Mohamed ZAOUI

Si cette solution peut être séduisante nous verrons plus loin qu’elle peut poser quelques

problèmes dans certains cas.

8. Gestion du contrôle d’accès

La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permits

pour utiliser IPCOP.

Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites.

Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple.

Une adresse interdite, ne pourra pas accéder à internet !

9. Les restrictions de temps

La section restrictions de temps, permet de définir les horaires d’accès au web.

Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.


36 Mohamed ZAOUI

10. Les limites de transfert

La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des

fichiers en réception et en émission.

11. Réduction du téléchargement

La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou

par poste client.

Pour toute modification des paramètres de l’AdvancedProxy ne pas oublier de redémarrer le

service en cliquant sur Sauver et redémarrer

VI. Installation de UrlFilter et Transfert du fichier d’installation

Via WinSCP transférer le package UrlFilter .x.x.x.tar.gz dans le dossier /tmp de l’IPCOP.

Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons

dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :


37 Mohamed ZAOUI

1. Activation du Filtreur d’URL

Nous voyons ici que le filtreur d’URL est bien disponible, cependant pour l’activer nous devons

passer par AdvancedProxy.

Section UrlFilter :

Et bien sur ne pas oublier d’enregistrer les changements !

2. Catégories de blocage

Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer

simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter

d’autres catégories de blocage.


38 Mohamed ZAOUI

3. Blacklists personnalisées

Dans cette section il est possible d’ajouter rapidement un domaine ou une URL à bloquer.

Un domaine est de la forme www.rasd.com

Une URL sera de la forme http://www.rasd.com/index.php

4. Liste d’expressions personnalisées.

Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans

une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer

toutes les URL contenant l’expression : Gateway

5. Bloquer les extensions de fichiers

Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…)

compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…)

Uniquement par le biais de la navigation HTTP.


39 Mohamed ZAOUI

6. Contrôle d’accès basé sur le réseau

Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et

celle qui doivent être bannies.

7. Contrôle d’accès basé sur le temps

Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant :

Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la

journée (ici les postes du réseau 192.168.1.0/24 peuvent accéder sans restrictions au contenu

Internet de 10h00 à 12h00 du lundi au vendredi.)


40 Mohamed ZAOUI

8. Paramètres des pages bloquées

Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être

bloqué.

9. Paramètres avancés

Vous pouvez également depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à

saisir l’ip de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur

bloquer l’accès aux sites pour cette (ou ces) adresse(s) IP

10. Ajout massif de Black List

Pour d’avantage de filtrage il est conseillé d’installer d’autres Blacklist complémentaire à celle

en place par défaut.

La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la

nouvelle liste de catégories alors disponible :


41 Mohamed ZAOUI

11. Installation des blacklists

Dans le bas de cette page il nous est possible d’uploader un fichier de blacklist :

En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist :

On sélectionne le fichier blacklists.tar.gz

Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la

machine cette opération peut prendre de 1 à 10 minutes !

Ne surtout pas redémarrer votre IPCOP pendant cette période !!!


42 Mohamed ZAOUI

VI. Configuration de l’authentification :

Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet.Cependant pour activer cette fonction, plusieurs points sont à prendre en considération :

Le mode Proxy Transparent doit être désactivé

Les postes clients doivent donc être configurés pour passer à travers le proxy

Plusieurs méthodes d’authentification sont disponibles sous IPCOP :

Dans le bas de la fenêtre de configuration du Proxy Avancé nous avons :

1. None

L’authentification est désactivée, aucun login/mot de passe n’est demandé.

2. Local Authentification

Cette méthode d’authentification est la préférée des petites structures, la gestion des utilisateurs et mot de passe est effectuée par IPCOP lui-même.

3. Authentification avec identd

Cette méthode est particulièrement prisée pour les entreprise ou

• L’authentification doit se faire de manière masquée

• Le Proxy doit fonctionner en mode transparent

• Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle authentification.

Cette méthode requiert cependant l’installation d’un client idend sur les postes clients (surtout Microsoft)

4. Authentification utilisant LDAP

Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille. Les

utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de

passe.


43 Mohamed ZAOUI

Les informations sont alors vérifiées, par un serveur LDAP externe, Advanced Proxy

fonctionne avec ces type de serveurs LDAP :

• Active Directory (Windows 2000 and 2003 Server)

• Novell eDirectory (NetWare 5.x und NetWare 6)

• LDAP Version 2 and 3 (OpenLDAP)

Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy.

5. Windows authentification

Les utilisateurs doivent s’authentifier lorsqu’il accèdent au web, les informations

d’identification sont vérifiée par une contrôleur de domaine externe tel que :

• Windows NT 4.0 Server or Windows 2000/2003 Server

• Samba 2.x / 3.x Server (running as Domain Controller)

6. RADIUS authentification

Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations

d’identification sont vérifiées par serveur RADIUS externe :

Dans notre cas nous allons utiliser l’authentification Locale.

Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des

utilisateurs :


44 Mohamed ZAOUI

Dans la partie droite de cette fenêtre nous avons la possibilité d’affecter 1 groupe parmi 3 à

chaque utilisateur :

Standard : Toutes les restrictions sont actives tout le temps

Etendu : Les membres de ce groupe outrepassent les restrictions

Désactivé : Permet de désactiver un compte sans le supprimer

Une fois les utilisateurs crées, ils apparaissent comme ci-dessous :

VIII. Installation des Addons supplémentaires :

1. Installation de Update Accelerator

Update Accelerator est un outil fort utile sur un réseau d’entreprise effectuant régulièrement

des mises à jour logicielles d’antivirus, de correctifs Windows et Linux. En effet ce dernier

stocke localement les produits téléchargés et les met donc à disposition localement pour les

utilisateurs de manière totalement transparente pour ce dernier.

Attention : Cet addon s’avère extrêmement gourmand en espace disque ou bout de quelques

temps (en fonction de votre parc) il malheureusement il ne s’installe pas sur la plus grande

partition Linux de votre IPCOP. Un disque dur d’un minimum de 40 Go et un

dimensionnement sont donc impératifs.


45 Mohamed ZAOUI

2. Transfert du fichier d’installation

Via WinSCP transférer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de

l’IPCOP.

3. Installation de l’addon

Via l’utilitaire Petty, extraire et installer l’addon comme suit :

Extraire…

I

nstaller…

4. Configuration d’update Accelerator

Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP :


46 Mohamed ZAOUI

Cependant pour activer la fonction de cet addon il est impératif de passer par le Proxy

Avancé :

Une fois activé une des seules actions à mener est de vérifier l’espace disque disponible de

façon régulière en cliquant sur Maintenance.

IX. configuration du navigateur client :

Il s’agit de configurer la navigateur pour passer à travers le Proxy :

Pour Internet Explorer : On click sur bouton droit dans l'icône IE puis

propriété/connexion/paramètres avancé:

Après on taper l'adresse de notre serveur Proxy et le port d'écoute


47 Mohamed ZAOUI

Lors de l’ouverture du navigateur nous avons alors une fenêtre du type :

L’utilisateur peut alors changer son mot de passe à l’adresse suivante :

http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi


48 Mohamed ZAOUI

La mise en place d'un FIRWAll IPCOP permet donc de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr, également permettre de restreindre l'accès interne vers l'extérieur.

En plaçant un le firewall IPCOP limitant ou interdisant l'accès à des services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte.

Comme nous l'avons vu précédemment, la mise en place d'un FIRWALL IPCOP propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données.

Ceci nécessite l'étude de différents points afin de bien dimensionner son utilisation et être sûr de son choix. En effet, la mise en place d'IPCOP est plus qu'un défi technique mais également humain. Il faut prendre en compte la maintenance du IPCOP.


49 Mohamed ZAOUI

Bibliographie :

http://www.ipcop.org : site officiel de l’IPCOP http://www.sourceforge.net http://franck78.ath.cx - une interface aisée pour administrer le très populaire outil de

filtrage d'url squidGuard∞. Traduit en Italien, Français, Allemand, Néerlandais, Russe, Portuguais et Anglais.

http://firewalladdons.sourceforge.net - Addon Server pour IPCop possède une grande variété d'outils tout prèts comme DansGuardian.

http://www.ipadd.de - collection d'addons binaires et des liens relatifs à IPCop. http://www.urlfilter.net - URL filter un autre GUI pour squidGuard. Propose aussi la

gestion horaire! http://www.advproxy.net - Advanced Proxy remplace avantageusement la gestion de

base du proxy squid par une interface très complète (authentification, restriction, ldap...).

http://www.mhaddons.tk - une collection d'addons pour IPCop, dont copfilter updates, Advanced QoS, Asterisk, Sarg, Nessus et Clamav 0.83

http://www.zerina.de - OpenVPN et howto, l'équivalent IPSec en SSL. http://www.copfilter.org - Copfilter supprime silencieusement virus et spams présents

dans les courriels ou le trafic web. http://banish.sidsolutions.net - Banish bloque l'accès en spécifiant au choix adresse IP,

CDIR, Domain ou MAC Address. http://www.blockouttraffic.de - BlockOutTraffic (BOT) bloque le trafic sortant qui est

normalement autorisé lors d'une installation standard d'IPCop. Vous pouvez créer vos propres règles au travers d'une interface graphique simple et intuitive pour réguler le trafic vers at au travers de votre firewall.

http://www.elminster.com - IPCop L2TP VPN Mod Modification to allow IPCop to be used as an L2TP over IPSEC server for the standard Windows VPN client. Useful for windows Roadwarriors.

Mise en place du Firewall IPCop

Technology

Transcript of Mise en place du Firewall IPCop