Administration IPCOP

Administration

D’IPCOP

Table des matièresI. Introduction..............................................................................................................................4II. Préparation..............................................................................................................................4III. Schéma de l’installation........................................................................................................4IV. Première connexion..............................................................................................................4

................................................................................................................................................4IV.1 Avec IE version 7...........................................................................................................5

IV.1.1 Installation du certificat de sécurité.........................................................................5IV.1.2 Identification au serveur IPCOP..............................................................................7

IV.2 Avec Firefox version 3.0.6.............................................................................................7IV.2.1 Installation du certificat de sécurité.........................................................................7IV.2.2 Identification au serveur IPCOP............................................................................10

IV.3 Avec Safari version 4 (bêta).........................................................................................10IV.3.1 Installation du certificat de sécurité.......................................................................10IV.3.2 Identification au serveur IPCOP............................................................................11

IV.4 Avec Opéra version 9.63..............................................................................................11IV.4.1 Installation du certificat de sécurité.......................................................................11IV.4.2 Identification au serveur IPCOP............................................................................12

IV.5 Avec Google chrome version 1.0.154.48.....................................................................13IV.5.1 Installation du certificat de sécurité.......................................................................13IV.5.2 Identification au serveur IPCOP............................................................................13

IV.6 Avec K-meleon version 1.5.2.......................................................................................14IV.6.1 Installation du certificat de sécurité.......................................................................14

IV.7 Avec Seamonkey version 1.1.14...................................................................................15IV.7.1 Installation du certificat de sécurité.......................................................................15IV.7.2 Identification au serveur IPCOP............................................................................16

IV.8 Avec Flock version 2.0.3..............................................................................................16IV.8.1 Installation du certificat de sécurité.......................................................................16IV.8.2 Identification au serveur IPCOP............................................................................18

V.1 Onglet Système..............................................................................................................19V.2 Onglet Etat.....................................................................................................................19V.3 Onglet Réseau................................................................................................................19V.4 Onglet Service................................................................................................................20V.5 Onglet Pare-feu..............................................................................................................20V.6 Onglet RPVs...................................................................................................................20V.7 Onglet Journaux.............................................................................................................20

VII. Choix des Addon à installer..............................................................................................22VIII. Installation des Addon......................................................................................................22

VIII.1 Client ssh en java (connexion)...................................................................................22VIII.2 Adv-proxy (proxy).....................................................................................................24VIII.3 Urlfilter (filtre)...........................................................................................................25

VIII.3.1 Installation...........................................................................................................25VIII.3.2 Paramétrage.........................................................................................................25VIII.3.3 Sauvegarde..........................................................................................................25VIII.3.4 Restauration.........................................................................................................25

VIII.11 Zerina (VPN)............................................................................................................26IX. Détail de l’onglet ...............................................................................................................27

IX.1 ......................................................................................................................................27IX.2 ......................................................................................................................................28IX.3 ......................................................................................................................................29IX.4 ......................................................................................................................................30IX.5 ......................................................................................................................................30IX.6 ......................................................................................................................................31

2

IX.7 ......................................................................................................................................32IX.8 ......................................................................................................................................32

X. Détail de l’onglet .................................................................................................................33X.1 ........................................................................................................................................33X.2 ........................................................................................................................................34X.3 ........................................................................................................................................36X.4 ........................................................................................................................................39X.5 ........................................................................................................................................41X.6 ........................................................................................................................................42

XI. Détail de l’onglet ...............................................................................................................43XI.1 ......................................................................................................................................43XI.2 ......................................................................................................................................44XI.3 ......................................................................................................................................44

XII. Détail de l’onglet ..............................................................................................................45XII.1 .....................................................................................................................................45XII.2 .....................................................................................................................................46XII.3 .....................................................................................................................................47XII.4 .....................................................................................................................................48XII.5 .....................................................................................................................................49XII.6 .....................................................................................................................................49XII.7 .....................................................................................................................................51

XIII. Détail de l’onglet .............................................................................................................52XIII.1 ....................................................................................................................................52XIII.2 ....................................................................................................................................52XIII.3 ....................................................................................................................................53

XIV. Détail de l’onglet .............................................................................................................54XIV.1 ....................................................................................................................................54

XV. Détail de l’onglet ..............................................................................................................56XV.1 .....................................................................................................................................56XV.2 .....................................................................................................................................56XV.3 .....................................................................................................................................57XV.4 .....................................................................................................................................58XV.5 .....................................................................................................................................60XV.6 .....................................................................................................................................63

XVI. Sauvegarde.......................................................................................................................64XVI.1 Introduction................................................................................................................64

XVI.1.1 Sauvegarde « légère » sur disque dur.................................................................64XVI.1.2 Sauvegarde « légère » sur clé USB.....................................................................65XVI.1.3 Méthode complète...............................................................................................66

XVII. Restauration....................................................................................................................67XVII.1 Restauration « légère ».............................................................................................67

XVII.1.1 Restauration depuis le disque dur d’IPCOP......................................................67XVII.1.2 Restauration depuis le disque dur du PC d’administration................................67

3

I. Introduction

Nous venons d’installer IPCOP 1.4.20 sur notre machine.Nous allons dans un premier temps passer à la version 1.4.21 au moyen d’une mise à jour.Nous nous intéresserons ensuite à la partie d’administration pur de notre pare feu au travers l’interface web à l’aide d’une machine située sur le réseau local de l’interface verte.Nous décrirons les différents onglets de l’interface graphique (GUI) d’administration d’IPCOP.

II. Préparation

Nous allons affecter une adresse IP à la machine située sur notre réseau vert. (Nous l’appellerons M1).(10.0.0.11/8)L’interface rouge pour nous est en client DHCP(adresse obtenue :192.168.111.112/24)

III. Schéma de l’installation

IPCOP est en client DHCP sur l’interface rouge.

IV. Première connexion

Nous lançons notre navigateur et entrons l’adresse : http://le.nom.de.la.machine.IPCOP:81https://le.nom.de.la.machine.IPCOP:445 Ou bien http://adresse.IP.de.la.machine.IPCOP:81 ou https://adresse.IP.de.la.machine.IPCOP:445On obtient alors un message de sécurité mais différent suivant le navigateur utilisé.

4

IV.1 Avec IE version 7

IV.1.1 Installation du certificat de sécurité

Nous entrons dans la barre d’adresse : http://10.0.0.1:81 Nous avons alors la réponse :

Nous choisissons de poursuivre avec ce site web.

Nous obtenons une fenêtre d’avertissement :Nous voyons de plus que l’adresse à changé dans le navigateur

Nous cliquons sur « erreur de certificat » puis nous choisissons « afficher les certificats » :

5

Nous faisons alors l’installation du certificat :

Jusqu'à arriver sur :

Nous cliquons sur « Oui »On obtient :

6

IV.1.2 Identification au serveur IPCOP

Pour pouvoir entrer dans les menus d’IPCOP nous allons devoir nous identifier :Pour cela nous nous logons en Admin.

IV.2 Avec Firefox version 3.0.6


Nous avons une demande de certificat de sécurité après avoir entré l’adresse IP de notre serveur IPCOP.

Nous répondons ‘Ou vous pouvez ajouter une exeption’.

7

On obtient alors :

Nous choisissons ‘ajouter une exception’

Puis ‘Obtenir un certificat’

8

Là nous ‘confirmons l’exception de sécurité’ en laissant coché la case « conserver cette exception de façon permanente ».Nous arrivons alors sur la page d’accueil de l’interface d’administration d’IPCOP.

9


Dès que nous voulons entrer dans un menu une authentification nous est demandée :

Il faut entrer le nom et le mot de passe admin

Pour nous :

Nous cliquons sur ‘OK’ et nous voilà définitivement dans l’interface graphique d’IPCOP.

IV.3 Avec Safari version 4 (bêta)


Nous avons une alerte sécurité après avoir entré l’adresse IP de notre serveur.

Nous cliquons sur ‘Continue’ pour arriver directement dans l’interface graphique d’administration.

10


Nous nous authentifions à notre serveur IPCOP lorsque nous voulons aller dans un onglet pour la première fois.

IV.4 Avec Opéra version 9.63 IV.4.1 Installation du certificat de sécurité

Là très simple après avoir enté l’adresse de notre serveur IPCOP dans le navigateur :http://10.0.0.1:81On obtient un avertissement du type.

11

Nous faisons ‘accepter’ et voila nous arrivons à la page d’accueil d’administration d’IPCOP.


Comme pour les autres navigateurs nous devons nous authentifier pour pouvoir nous connecter à IPCOP.On aura :

12

IV.5 Avec Google chrome version 1.0.154.48IV.5.1 Installation du certificat de sécurité

Là très simple après avoir enté l’adresse de notre serveur IPCOP dans le navigateur :http://10.0.0.1:81

Nous choisissons de ‘Poursuivre quand même’


Puis nous entrons nos identifiant admin

13

IV.6 Avec K-meleon version 1.5.2IV.6.1 Installation du certificat de sécurité

Même démarche que précédemment nous obtenons :

Nous ‘acceptons ce certificat de manière permanente’On obtient :

Nous faisons « OK »

Encore « OK »

14


nous nous logons en admin

IV.7 Avec Seamonkey version 1.1.14IV.7.1 Installation du certificat de sécurité

Entrons l’adresse http://10.0.0.1:81 pour obtenir

Nous choisissons ‘accepter définitivement ce certificat’

Nous faisons ‘OK’

15

IV.7.2 Identification au serveur IPCOPnous nous authentifions en admin

IV.8 Avec Flock version 2.0.3IV.8.1 Installation du certificat de sécurité

Nous entrons notre adresse de serveur IPCOP et l’on obtient :

Cliquons sur ‘OK’

16

Nous ajoutons une exception « Add Exeption »

Obtenir un certificat « Get Certificate »

Nous confirmons l’exception de sécurité.

17


Nous nous logons en Admin

18

V. Les onglets de l’interface graphique (Première approche)

V.1 Onglet Système

Tout ce qui concerne de près ou de loin le système en lui-même, c'est-à-dire la vérification et l'installation des mises à jour, la modification des mots de passes, les sauvegardes, l'activation de l'accès SSH…

V.2 Onglet Etat

Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci : services actifs, utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de trafic et d’utilisation de la mémoire, connexions actuelles,…

V.3 Onglet Réseau

Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface rouge est composée d’un modem (et non un routeur ou modem-routeur) vous pouvez le configurer et gérer la connexion de celui-ci dans les menus de cet onglet. Il s'agit là de spécifier les paramètres de connexion ou d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de l'installation.Cet onglet est inutile dans notre cas (nous somme en configuration vert-rouge. en Ethernet de chaque coté)

19

V.4 Onglet Service

Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici, bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration.

V.5 Onglet Pare-feu

Différents réglages sont possible, sur le tranfert de port ,Accès externe et les option de pare-feu

V.6 Onglet RPVs

L’onglet RPVs ne contient qu’un seul menu du même nom. Vous aurez remarqué que les différents onglets sont relatifs à des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) étant un domaine complètement à part au regard des autres catégories proposées par IPCop.Si nous installons Zerina il se logera ici.

V.7 Onglet Journaux

Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques…Mais il y a aussi ici les journaux du service proxy.

20

VI. Mise à jour vers 1.4.21

Nous nous rendons dans l’onglet « système » et nous choisissons mise à jour, nous arrivons sur :

Nous cliquons sur ‘télécharger’Nous choisissons ensuite ‘appliquer maintenant’ dans la fenêtre qui suit :

Nous sommes passé à la version 1.4.21.comme nous le montre l’image qui suit :

21

VII. Choix des Addon à installer

Une contrainte de ce stage est de trouver un bon équilibre entre le filtrage des sites visité et l’élaboration de journaux.

Nous allons donc installer et tester Adv-Proxy (pour le service proxy avancé) Urlfilter (pour le filtre des sites visité) puis 4 addon spécialisé dans la gestion des log.

Un addon pour les mises à jour de produit comme adobe, Microsoft…Enfin un addon (client ssh en java) qui nous permettra de nous passer de WinSCP et PuTTY.

VIII. Installation des Addon

VIII.1 Client ssh en java (connexion)

Nous avons téléchargé la version 1.4.8 francisé de cet Addon.Il se présente sous la forme :sshclient_ipcop_1.4.8.fr.tar.gz

Nous allons le transférer sur IPCOP dans le répertoire tmp au moyen de WinSCP (voir tuto Logiciels d'administration WinSCP.doc).

Nous nous plaçons ensuite sur IPCOP. Nous nous rendons dans le répertoire tmp au moyen de la commande :cd /tmp

Nous retrouvons notre fichier : sshclient_ipcop_1.4.8.fr.tar.gzNous allons de décompresser à l’aide de la commande :tar –xzf sshclient_ipcop_1.4.8.fr.tar.gz Nous obtenons un répertoire sshclientNous entrons la commande cd sshclientA l’intérieur nous trouvons : check

Files.tar.gzInstallMindterm.header

Nous entrons la commande : ./installRendons nous maintenant dans l’interface graphique d’IPCOP.Un nouveau sous menu est apparu dans l’onglet ‘système’.il s’agit de ‘Secure Shell client’

22

Nous pouvons alors régler les paramètres d’affichage de notre client ssh.

Puis nous démarrons le client.NB : nous avons du installer jdk-6u12-windows-i586-p (téléchargé sur le site de sun).Un avertissement apparaît :

Nous cochons la case ‘toujours faire confiance…’Puis cliquons sur ‘oui’Et nous nous retrouvons dans une fenêtre ‘identique’ à IPCOP.

Nous pouvons tout faire en ligne de commande (pour les puristes).

23

VIII.2 Adv-proxy (proxy)Nous transférons Adv-proxy par WinSCP dans le répertoire tmp.Nous allons ensuite grâce à notre console ssh installer l’addon.

24

VIII.3 Urlfilter (filtre)

VIII.3.1 Installation

VIII.3.2 Paramétrage

VIII.3.3 Sauvegarde

VIII.3.4 Restauration

25

VIII.11 Zerina (VPN)

26

IX. Détail de l’onglet

IX.1

Ce sous menu nous renseigne sur la durée total de connexion de notre IPCOP.Nous avons aussi l’adresse IP et le nom d’hôte de notre Pare Feu

Nom de notre machine IPCOP ainsi que le domaine auquel il appartient.

Nous permet d’arrêter IPCOP à distance. On aura alors ce message qui va appraître

permet de redémarrer IPCOP à distance

Permet de rafraîchir les données de temps de connexion de la page en cours.

Nous renseigne sur la durée d’utilisation d’IPCOP l’adresse IP côté rouge et le nom d’hôte d’IPCOP.

Nous renvois vers une aide en ligne pour l’administration et la configuration (mais en anglais)27

IX.2

Ce sous menu nous permet de mettre à jour IPCOP.

Lorsqu’il y a une mise à jour de disponible ce message apparaît :

La procédure de mise en place de cette mise à jour est décrite Ici

Si nous avons téléchargé la mise à jour et que cette dernière se trouve sur un support ou sur le PC d’administration nous pouvons aller la chercher en faisant ‘parcourir’ puis ‘chargement’

Nous permet de choisir le type de noyau correspondant à notre processeur installé sur notre machine IPCOP.

Efface le cache du serveur

Permet de faire une recherche de mise à jour pour IPCOP.

Aide en ligne sur les mises à jour (En anglais)

28

Nous renseigne sur l’utilisation du (ou des) disque(s) de notre serveur IPCOP.

Nous indique le listing de mise à jour effectué sur la machine IPCOP.

IX.3

Nous pouvons modifier les mots de passe pour les comptes : Admin (permet de se connecter à l’interface web d’IPCOP) et Dial (utilisateur autorisé à connecter et déconnecter la connexion par modem)Ces mots de passe doivent au moins contenir six caractères.

Aide en ligne sur les mots de passe (En anglais)

29

IX.4 Cet accès n’est pas activé par default.

Les clés SSH d’IPCop sont du type RSA et DSA, elles sont cryptées sur 1024 bits.

Il est possible de refuser le transfert SCP, empêchant ainsi de copier des fichiers sur IPCop avec WinSCP (par exemple). D’autres options relatives à la version du client SSH utilisé et à l’authentification par mot de passe et clés publiques sont de la partie.Bien entendu, toute modification doit être validée à l’aide du bouton « Enregistrer » pour être prise en compte…

Aide en ligne sur l’accès ssh (En anglais)

IX.5

L’interface graphique d’IPCop peut être un petit peu personnalisé, rien de bien transcendant mis à part le choix de la langue de celle-ci. On peut aussi choisir d’afficher le nom de la machine dans la barre de titre du navigateur.Les autres options ne concernent pas directement, ou pas du tout, l’interface graphique mais ont tout de même leur utilité : autoriser le Java Script, activer le rafraîchissement automatique

30

de la page d’accueil et activer les bips de connexion / déconnexion (en effet cela permet de savoir si IPCop a fini de démarrer et est connecté lorsque l’on redémarre celui-ci et que bien entendu il est dépourvu d’écran et autres périphériques).

Toute modification est prise en compte à l’aide du bouton . Il est par ailleurs

possible de remettre à zéro celle-ci grâce au bouton

Aide en ligne sur l’interface graphique (En anglais)

IX.6

Comme tout système informatique, les pannes hardware ou software sont rares mais existent. Avec IPCop il est possible de réaliser deux types de sauvegardes : une première sur la machine, et une seconde sur disquette.

Les sauvegardes sur la machine sont à considérer comme des points de restauration qui permettent de revenir à une configuration précédente suite à une modification n’étant pas satisfaisante. Plusieurs sauvegardes de ce type peuvent être créées sur le système, il est d’ailleurs possible de sauvegarder la dernière en date sur l’ordinateur local et de la restaurer à l’aide des boutons « Parcourir »et « Importer dat ».Les sauvegardes réalisées sur disquettes sont précieuses en cas de panne sévère. En effet, si vous devez réinstaller complètement le système cette disquette de sauvegarde vous sera demandé à l’installation et vous fera ainsi gagner un temps précieux (en effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de la sauvegarde, sans intervention de votre part).La partie sauvegarde est détaillé Ici

Aide en ligne sur la sauvegarde (En anglais)

31

IX.7 Ce sous menu nous permet de redémarrer, arrêter ou programmer un arrêt ou redémarrage d’IPCOP en fonction d’une date

Aide en ligne sur arrêter (En anglais)

IX.8

Contient tous les noms des contributeurs du projet IPCOP. Les adresses mails de ces personnes figurent si vous aviez besoin de les contacter pour faire avancer le projet.

32

X. Détail de l’onglet

Les sous menus de l’onglet Etat sont tous à titre informatif. En effet, aucune modification n’est effectuée depuis ceux-ci, ils sont donc là pour fournir des informations et non permettre une quelconque configuration. Il se présente sous cette forme

X.1

Ce menu permet, comme son nom l’indique, de consulter l’activité du système. En effet vous obtenez de celui-ci une vue globale du système et des services.Les services du système sont listés avec leur état. On remarquera que certains ne peuvent être désactivés à l’aide de l’interface web, ceci sera sûrement possible dans les versions futures…

33

Nous verrons s’il y a des changements lors d’installation d’addon.

X.2

Comme pour le menu système, tout ce qui figure ici est à titre informel, mais non dénué d’intérêt !Vous retrouverez ici la configuration de vos interfaces réseau classées par couleur.Pour chaque interface vous aurez l’adresse MAC de la carte utilisée, l’adresse IP allouée (fixe ou DHCP), la taille de la MTU utilisée, ainsi que l’état du transfert des paquets (commande "ifconfig").Figurent aussi les entrées de la table de routage et la table ARP (pour Adresse Resolution Protocol), logiquement la liste devient plus importante lors de l’activation du serveur DHCP…L’interface se présente comme suit :

34

35

X.3

Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources matérielles (processeur, mémoire, swap et accès disque), mais permettent également d’identifier les pics de sollicitation des ressources par plage horaire.

Les légendes des graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer sur le graphique d’un élément affiche les graphiques de cet élément avec d’autres unités temporelles (jour, semaine, mois, année) vous permettant ainsi d’obtenir une vue d’ensemble de l’utilisation.

36

Nous pouvons avoir un détail par jour/ semaine /mois /Années des graphes simplement en cliquant sur le graphique.Exemple pour le graphe de la mémoire :

37

38

X.4

Les courbes de trafic représentent le niveau de sollicitation de la bande passante par rapport au temps, là aussi il s’agit d’identifier les pics d’utilisation et de saturation du trafic.

Tout comme les graphiques système, lorsque vous cliquez sur un graphique vous obtenez une vue dans une autre unité de temps.

Nous pouvons avoir un détail par jour/ semaine /mois /Années des graphes simplement en cliquant sur le graphique.Exemple pour le graphe de l’interface verte:

39

40

X.5

Là encore il ne s’agit que de visualisation de l’état du proxy.

41

X.6

Il est possible de suivre en temps réel les communications établies entre IPCop et les éléments qui l’entourent. Le tableau des connexions vous permet de suivre celles-ci, les adresses ip et les ports utilisés y sont répertoriés ainsi que d‘autres informations (protocole, bail, zone, ack, etc…)

42

XI. Détail de l’onglet

Les menus de cet onglet vous seront utiles dans le cas de l’utilisation de l’interface rouge avec une connexion par modem. En effet, si vous utilisez une carte réseau pour l’interface rouge cet onglet ne vous sera d’aucune utilité.

XI.1

Dans ce menu vous allez pouvoir définir vos paramètres de connexion Internet avec vos identifiants. Ces informations sont en général fournies par votre fournisseur d’accès à internet.Toutes ces informations (identifiants, modem, serveur DNS,…) peuvent être sauvegardées dans 5 profils, vous permettant ainsi de vous connecter avec différents abonnements ou avec les paramètres de plusieurs abonnements de façon très simple sans avoir à ressaisir les données à chaque fois.D’autres options permettent d’affiner un peu plus les paramètres de base, comme par exemple la possibilité de se déconnecter au bout d’un certain délai d’inactivité et de se reconnecter automatiquement si besoin avec même un autre profil si le profil actuel n’arrive pas à établir la connexion.Remarque : on pourra, si on ne souhaite pas se rendre sur cette page fréquemment, utiliser l'utilitaire Copwatch pour paramétrer, établir et contrôler la connexion d'IPCop directement sous Windows.Nous n’utiliserons pas cet onglet car notre configuration réseau est en Ethernet des deux côté d’IPCOP.

43

XI.2

Par défaut IPCop reconnaît beaucoup de modems, mais en cas de problème de détection avec le votre, il est possible de récupérer le driver Fritz!DSL de celui-ci s’il ne fait pas partie de la liste de modems reconnus par IPCop.

XI.3

Il est possible de personnaliser les réglages propres à la connexion du modem au travers de ce menu.Attention ceci est réservé à un public averti ! En cas de mauvaise manipulation, vous pourrez remettre les paramètres par défaut à l’aide du bouton correspondant.

44

XII. Détail de l’onglet

XII.1

Un serveur proxy est souvent une machine dédiée intercalée entre les ordinateurs d’un réseau et Internet (ou un Intranet, peu importe). Son rôle est d’aller chercher les pages pour les utilisateurs dudit réseau, et en plus de leur fournir lesdites pages, de les stocker avec leurs contenus dans un cache afin que lors de la prochaine demande d’affichage de celles-ci, la bande passante Internet soit moins sollicitée.

Etant donné que tout le trafic " web " transite par un serveur proxy, on pourra spécifier une limite de débit et même mettre en place quelques règles de filtrage…

Il existe plusieurs façons de mettre en place un serveur proxy par rapport aux ordinateurs d'un réseau local, on peut mettre le serveur Proxy " physiquement " entre les machines du réseau local et la zone web, ou configurer les postes du réseau pour que ceux-ci passent par le Proxy...Dans notre cas, on préfèrera la première possibilité, nous activerons donc le mode " transparent " permettant d' activer le serveur sans avoir à passer sur chaque poste du réseau pour que celui-ci utilise le serveur, on pourra par ailleurs activer les journaux de celui-ci pour un suivi quotidien.

Suivant la capacité du disque dur de notre machine IPCop, on spécifiera une taille plus ou moins raisonnable pour le cache. A noter qu'il n'est pas utile d' allouer énormément de mémoire pour le cache, un cache de 50 Mo remplit presque aussi bien ses fonctions qu'un cache de 500 Mo ! La taille du cache dépendra en fait du nombre de sites susceptibles d'être visités (et donc à fortiori du nombre d’utilisateurs).

Il est également possible d’interroger un autre serveur proxy que le nôtre, cet autre serveur étant quelque part sur Internet, pour surfer de façon anonyme sur Internet (dans le même esprit que le logiciel Multi Proxy).

Dans le cas où d'autres services font appel à la bande passante pour Internet, on pourra limiter le trafic dédié à la navigation, en revanche pour une optimisation plus précise on utilisera le menu " Lissage de trafic (Shapping) " qui nous permettra des réglages plus fins...

45

Si le plugin Urlfilter est installé, on pourra l'activer dans ce menu, il est tout de même préférable d’installer Adv-Proxy pour optimiser le fonctionnement de celui-ci.

XII.2

Le partage de la connexion Internet est toujours un peu délicat lorsque l'on débute, aussi on aimerait ne pas avoir à configurer à chaque fois un ordinateur que l'on veut ajouter sur notre réseau. Un serveur DHCP (Dynamic Host Configuration Protocol) permet, comme son nom anglais l’indique, d'attribuer de façon dynamique une configuration.Ce serveur va nous permettre d'attribuer automatiquement des adresses :

• Adresse IP : pour chaque ordinateur à partir du moment où il sera connecté physiquement au réseau.

• La passerelle : un réseau local dispose d'une adresse IP privé (non accessible directement d’Internet), pour pouvoir sortir de notre réseau local et accéder à un autre réseau (Internet par exemple) on utilise une passerelle, appeler aussi routeur.

• Serveur DNS : un nom est plus facile à retenir qu'un numéro, en effet generation-nt.com est plus facile à retenir que 83.243.23.80. Le rôle d'un serveur DNS est ainsi de faire correspondre un nom de domaine (ou de machine) à une adresse IP.

• Serveur WINS : il s'agit d'un serveur de nom comme le DNS, mais spécifique à Windows. WINS signifie Windows Internet Naming Service. Il s'agit de l’implémentation Microsoft de Net Bios Name Server, le " grand-père " du DNS et d' Active Directory et qui n'est plus tellement utilisé de nos jours...

• Serveur NTP : les serveurs NTP ( Network Time Protocol ) permettent d' attribuer une même date et une même heure à l'ensemble d'un réseau, un service spécifique d'IPCop est consacré à cela.

46

XII.3

Un serveur DNS (Domain Name System) est un serveur qui permet d’associer un nom de machine dans un domaine à une adresse IP : par exemple la machine www sur le domaine google.fr correspond à l'adresse IP 74.125.79.103. Un serveur DNS contient en fait une base de données avec les noms de machines et leurs adresses IP correspondantes. Lors d'une communication avec un site, votre ordinateur interroge le serveur DNS de votre FAI en lui envoyant une requête DNS sur le nom de domaine et la machine souhaitée...

Pour les interfaces ne possédant pas d'adresse IP fixe (avec un bail de 24h par exemple), l'adresse IP change et il est alors impossible de faire correspondre le nom de la machine à la nouvelle adresse : la base de donnée d'un serveur DNS " de base " étant figée...

En revanche les serveurs DNS Dynamiques permettent aux ordinateurs ne disposant pas d'adresse IP fixe d'avoir une résolution DNS : à chaque fois que l'adresse IP sera renouvelée, l'ordinateur le signalera au serveur DNS Dynamique qui ira mettre à jour sa base en conséquence.Dans le cas où vous ne possédez pas d'adresse IP fixe, ou même que vous souhaitez associer votre adresse IP à un nom de domaine, vous pouvez créer un compte gratuitement sur divers sites qui se chargeront de vous associer à leur DNS Dynamique...Le menu " DNS Dynamiques " d' IPCop permet de se connecter à votre fournisseur DNS Dynamique, faisant ainsi correspondre l’adresse IP de la zone rouge de votre IPCop au nom de machine chez ce fournisseur.

47

XII.4 Il s'agit ici d'une espèce de serveur DNS simplifié. En effet, le menu " Hôtes Statiques " permet d'entrer manuellement des noms d’hôtes que l'on associera ensuite à des adresses IP.

Bien entendu, il faut pour cela que les ordinateurs soient configurés avec une adresse IP fixe ou possèdent une réservation d'adresse dans un serveur DHCP...

Cette option permet de taper l'adresse d'un serveur web rapidement dans n'importe quel navigateur (un peu comme les mots-clés associés aux marque-pages dans Firefox...).

48

XII.5

Un serveur de temps fournit une date et une heure à l'ensemble d'un réseau, permettant ainsi d'avoir les mêmes horaires sur toutes les machines. Pour information, le protocole utilisé pour réaliser cela est NTP pour Network Time Protocol (port UDP 123)...

Le fait de synchroniser l'heure de tous les ordinateurs d'un réseau permet d'avoir une heure identique sur les " logs " (journaux) et ainsi de mieux comprendre les répercutions d'une erreur lorsque celle-ci s'est propagée.Concernant IPCop, vous pouvez à la fois synchroniser celui-ci avec un serveur de temps existant ( pool.ntp.org par défaut ), ou faire jouer le rôle de serveur NTP à celui-ci : vous permettant ainsi de synchroniser facilement et rapidement la date et l'heure des ordinateurs de votre réseau.

XII.6

Le lissage de trafic permet de définir quelle quantité de bande passante (en kbit/seconde) pourra être utilisée pour un protocole spécifié sur un port précis. Il ne s'agit pas de QoS (Quality of Service, pour qualité de service) mais on s'en rapproche dans le principe : optimiser le trafic (et notamment les temps de réponse au ping).

Certes, il ne s'agit pas là d'une optimisation extrêmement fine. En effet, on devra spécifier explicitement un débit pour tout le trafic ou donner une priorité par protocole, mais cela suffira à combler les besoins " primaires " que l'on pourrait avoir.

Par exemple : si l'on souhaite un jour effectuer un transfert FTP ( File Transfert Protocol, pour échanger des données avec un serveur FTP distant ) et pouvoir continuer à surfer confortablement sur Internet.

On attribuera une priorité faible au protocole FTP (port 20 en TCP et UDP) et une priorité haute au protocole HTTP (ports 80 et 8080 en UDP et en TCP). Pour rappel, la liste des protocoles avec leurs numéros de ports est disponible sur cette liste mise à disposition par le IANA (Internet Assigned Numbers Authority) qui a en charge, sous contrôle de l' ICANN, l’allocation des adresses IP publiques, DNS de premier niveau (backebone Internet) et l'attribution des numéros de ports des protocoles...

49

La limitation du trafic se met en place très facilement sur IPCop; il vous suffit en effet de spécifier le débit souhaité en voie montante et en voie descendante ( upload et dowload pour

les intimes ), de cocher la case , puis de cliquer sur le bouton

En ce qui concerne les priorités par protocole, on sélectionnera une priorité ( haute, moyenne, faible ), le numéro de port désiré et le protocole de transport ( TCP ou UDP ), on cochera

ensuite la case pour que la modification s'active tout de suite après avoir cliqué sur

le bouton pour la faire prendre en compte par le système...

50

XII.7

Un système de détection d’intrusion se charge d’analyser les données (paquets) qui transitent sur un réseau pour repérer une éventuelle tentative d’accès pirate à celui-ci. Une fois l’intrusion détectée, il est possible de bloqué l'intrus à l'aide du plugin Guardian : le pirate perdra ainsi l’accès qu'il avait réussi à obtenir via son attaque ou cheval de Troie...Le système de détection d'intrusion Snort est utilisé dans IPCop, ce système OpenSource est très connu et reconnu !Néanmoins, pour pouvoir bénéficier de ce système, vous devez vous inscrire (gratuitement) Une fois inscrit, il vous restera à copier votre Oink Code dans la page de détection d’intrusion et d’activer celle-ci...

51

XIII. Détail de l’onglet

XIII.1

Il s’agit là du Port Address Translation (PAT, parfois aussi nommé Port Forwarding), qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port d’une machine faisant partie d’une des zones d’IPCop.

Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés par http (ici TCP, il faudra donc créer une règle pour ce protocole) et rediriger les paquets vers l’adresse IP de votre serveur web (192.168.1.250 par exemple) sur le port HTTP (80 par défaut, 8080 parfois).

Une fois les redirections créées vous pourrez tout à fait les désactiver, modifier, ajouter d’autres adresses ayant l'accès (si vous souhaitez effectuer un filtrage précis en fonction des adresses IP pouvant accéder à votre serveur web), ou tout simplement supprimer cette règle si elle ne vous est plus utile.

XIII.2

Vous pouvez ouvrir des "brèches" dans le firewall pour ouvrir complètement un accès au réseau sur un port, c'est-à-dire que les ports choisis seront complètements ouverts, ceci peut être utile pour autoriser l’accès à l’interface de configuration ou l’accès en SSH à IPCop depuis la zone rouge (Internet par exemple).

Pour sécuriser un petit peu l'ouverture complète de ces ports, on pourra spécifier quelles adresses IP sont autorisées à les utiliser (dans le cas d’un serveur FTP dont on connaît les clients par exemple, ou l’adresse IP de l’administrateur distant).

52

XIII.3

Dans ce menu vous avez la possibilité de choisir quelle interface répondra ou non au ping. On désactivera le ping pour des raisons de sécurité si on le souhaite (ce qui permet tout de même d’éviter certaines attaques).

53

XIV. Détail de l’onglet

XIV.1

L’onglet RPVs ne contient qu’un seul menu du même nom. Vous aurez remarqué que les différents onglets sont relatifs à des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) étant un domaine complètement à part au regard des autres catégories proposées par IPCop.

Un VPN consiste à utiliser ce que l’on appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,…) pour relier deux réseaux physiques en utilisant un réseau non sécurisé, mais fiable, la finalité étant que ces deux réseaux distincts ne forment plus qu’un seul et même réseau.

Le VPN est très à la mode ces derniers temps. En effet, avec la généralisation du haut débit il est moins coûteux pour une entreprise de relier les réseaux de ses agences à l’aide d’un VPN qu’en utilisant une Ligne Spécialisée (LS, ce qui revient à louer une liaison « directe » partant d’un point A à un point B à un prestataire Télécom) qui est très coûteuse, mais certes plus sure qu’un VPN puisque transitant par un réseau entièrement sécurisé.

Même s’il transite par Internet, le VPN est tout de même une technique très sécurisée, avec des systèmes de chiffrement et des moyens de contrôle plus ou moins puissants selon le protocole que l’on choisira.Dans le cas d’IPCop c’est le protocole IPSec qui est utilisé. Ce dernier est supporté par la plupart des systèmes d’exploitations et périphériques actuels (Windows, Linux, Mac OS, …). Il travaille sur une couche de niveau 3 du modèle OSI, ce qui permet d’avoir un suivi de l’activité au niveau du paquet.

Pour créer un nouveau VPN il faut cliquer sur le bouton [Ajouter], sélectionner le mode souhaité puis [Ajouter], remplir les informations souhaitées et sélectionner la méthode d’authentification :

• Clé partagée (PSK) : il s’agit là d’une "pass-phrase" qui sera connue des deux côtés.

• Générer un certificat : en fonction des informations remplies, un certificat est généré par la machine sur le principe des clés publiques. Ceci caractérise la partie droite du réseau, la partie gauche s’identifiera ensuite en faisant Transférer un certificat à partir du certificat de la partie droite (Télécharger le certificat dans la partie Autorités de certification de la page RPVs).

Note : Dans le cas de l'utilisation de la zone bleue d'IPCop (Wi-Fi), on pourra la faire communiquer avec la zone verte à l'aide d'un VPN

54

55

XV. Détail de l’onglet

Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques…Lorsque l’on cliquera sur une adresse IP dans les journaux, une page de whois s’ouvrira alors, permettant d’obtenir des informations sur l’origine de cette adresse.

XV.1

Il est possible via ce menu de paramétrer le type de classement (ordre chronologique ou non), le nombre de lignes par page, la durée pendant laquelle les résumés des journaux seront conservés ainsi que leur niveau de détail. Il est par ailleurs possible d’enregistrer ces journaux sur un serveur distant (serveur syslog) : pratique car dans les cas de plusieurs serveurs on consultera l’ensemble de leurs journaux au même endroit.

XV.2

Comme son nom l’indique, on retrouvera ici un résumé des journaux. Il s’agit là de faire un rapide bilan sur les activités du serveur web (pour l’interface d’administration), le pare-feu et l’espace disponible sur les partitions montées.

56

XV.3

Ce log affiche les journaux du service proxy d’IPCOP.Nous pouvons les filtrer par adresse ip ou date.

57

XV.4

Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont organisés par date, différentes informations relatives à la communication sont ensuite disponibles sous forme d’un tableau :

58

59

XV.5

Les journaux du Système de Détection d’Intrusion (Intrusion Detection System en anglais, d’où IDS) sont relatifs au service de Détection d’Intrusion d’IPCop qui agit en fonction des règles Snort (enregistrement gratuit nécessaire pour pouvoir bénéficier de ce service).

Dans ces journaux, les « attaques » sont recensées là aussi sous forme de tableaux. Elles sont triées par date, une priorité est affectée en fonction du type de menace identifié, le nom de celle-ci, son type et l’adresse source de l’attaque.

60

61

Voici donc un exemple de journal IDS.

62

XV.6

A chaque fois qu’une modification sera effectuée (via l’interface web ou non) ou qu’un évènement arrivera (arrêt du système ou d’un service, redémarrage d’une interface réseau,…) cela figurera dans ce journal.

63

XVI. Sauvegarde

XVI.1 Introduction

Il existe deux types sauvegarde pour IPCOP. Les « sauvegardes légère » considéré comme des points de restaurations peuvent permettre de revenir à une configuration précédente suite l’installation d’un AddOn ou à la modification d’un paramètre non satisfaisant. Ces sauvegardes sont très peu encombrantes (quelques dizaines de Ko) sous forme de fichier en .datLe second type de sauvegarde se fait sur disquette, très utile en cas de plantage. En effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de la sauvegarde, sans intervention de votre part : mot de passe, réglage IP…)MAIS ATTENTION LES MISES A JOURS ET LES ADDONS NE SONT PAS CONCERNE.

XVI.1.1 Sauvegarde « légère » sur disque dur

Nous nous rendons dans l’onglet ‘système’ puis le sous menu ‘Sauvegarde’ :

Nous pouvons choisir d’entrer un mot de passe pour la sauvegarde.

Nous entrons ensuite le nom de la sauvegarde puis cliquons sur ‘Créer la sauvegarde’

64

Nous voyons apparaître cette sauvegarde en bas de la page :

Arriver ici nous pouvons décider de conserver cette sauvegarde sur le disque dur d’IPCOP ou bien l’exporter sur le pc d’administration.

Pour cela nous cliquons sur la petite disquette

Et une fenêtre de téléchargement apparaît.

XVI.1.2 Sauvegarde « légère » sur clé USB

Nous branchons nôtre clé USB et nous voyons apparaître dans la fenêtre de sauvegarde :

sda1 qui correspond à notre clé USB ?nous la sélectionnons puis cliquons sur ‘monter’

65

Comme précédemment nous indiquons le nom de la sauvegarde puis cliquons sur ‘créer la sauvegarde’.

Là nous ne somme pas obligé de l’exporté car notre sauvegarde se trouve sur notre clé USB.Mais nous avons un listing des sauvegardes

XVI.1.3 Méthode complète

A l’aide du logiciel partimage

66

XVII. Restauration

XVII.1 Restauration « légère »

XVII.1.1 Restauration depuis le disque dur d’IPCOP

Nous allons dans l’onglet ‘Système’ puis le sous menu ‘Sauvegarde’.Nous sélectionnons la dernière sauvegarde stable dans la liste qui nous est fournis :

Nous cliquons sur : de la colonne ActionNous devons sélectionner si nous restaurons uniquement IPCOP ou IPCOP et les paramètres matériels :

Puis apparaît alors :

Nous redémarrons IPCOP.

XVII.1.2 Restauration depuis le disque dur du PC d’administration

Pour cela nous faisons dans l’onglet ‘Système’ puis ‘Sauvegarde’.

67

Nous cliquons sur ‘Parcourir’.Nous sélectionnons l’endroit où se trouve la sauvegarde.

Puis ‘Importer’ :

Cette sauvegarde apparaît dans la liste des jeux de sauvegardes :

Nous venons de transférer la sauvegarde sur IPCOP. Nous procédons alors comme la restauration précédente (voir ici)

68

Documents

Administration IPCOP