IPCOP

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 27

REPUBLIQUEALGERIENNEDEMOCRATIQUE ET POPULAIRE

MINISTERE DES FINANCES

AGENCE NATIONALE DU CADASTRE

DIRECTION REGIONALE D’ORAN

SERVICE: APPLICATIONS INFORMATIQUES

MISE EN PLACE

d’UN PARE-FEU

POUR LA SECURITE DU RESEAU INTRANET

Elaboré par Mr BENEDDINE Abdelhadi

En collaboration avec la DRC d’ORAN

0
SOMMAIRE

I-Introduction ....................................................................................................... P1
II-Mode de fonctionnement de l’IPCOP .............................................................. P1
III-Installation du Pare feu de l’IPCOP ................................................................ P2
III-1 Prérequis .................................................................................................. P2
III-2 Procédure d’installation .......................................................................... P2
III-3 Configuration d’IPCOP ........................................................................... P6
IV-Configuration du Pare feu IPCOP ................................................................... P14
IV-1Accéder au Pare feu ................................................................................. P14
IV-2 Activation du serveur Proxy ................................................................... P15
IV-3 Configuration des postes clients pour l’utilisation d’IPCOP.................. P15
IV-3-1 Configuration de la carte réseau sur poste client ................................. P15
IV-3-2 Configuration du navigateur web sur poste client ............................... P16
IV-4 Paramétrage du pare feu.......................................................................... P16
IV-4-1 Création d’un service appelé « tout port » .......................................... P16
IV-4-2 Création d’un groupement de service appelé « service interdit »....... P17
IV-4-3 Création des groupes utilisateurs ........................................................ P18
A- Création des utilisateurs à ajouter aux groupes ............................. P18
B- Création des groupes...................................................................... P18
V-Création des règles ...................................................................................... P19
V-1 Création de la première règle ................................................................... P19
V-2 Création de la deuxième règle .................................................................. P21
V-1 Création de la troisième règle................................................................... P22
VI- Activation de « Url-Filter » et utilisation d’une blacklist ......................... P23
VI-1 Choix de la blacklist ................................................................................ P23
VI-2 Activation du serveur mandataire ........................................................... P23
VI-3 Utilisation des expressions personnalisées ............................................. P24
I- INTRODUCTION
Qu’est-ce qu’un pare-feu?
Un pare-feu est un logiciel ou un matériel qui vérifie les informations provenant d’un réseau distant
comme Internet ou d’un réseau local, puis procède au filtrage des données selon des paramètres définis, pour
leur autoriser ou leur interdire l’accès à l’ordinateur.
Définition du pare-feu (IPCOP):
Le pare feu IPCOP est un projet Open Source dont le but est d’obtenir une distribution Linux
complètement dédiée à la sécurité et aux services essentiels d’un réseau.
Son seul but est de protéger le réseau sur lequel il est mis en œuvre, en implémentant les technologies
existantes et en se servant de pratiques de programmations sûres, IPCOP est La Distribution Linux pour ceux
qui veulent garantir la sécurité de leurs ordinateurs et réseaux.
Ce pare feu répond entièrement aux besoins de sécurité du réseau intranet mis en place au sein des directions
du cadastre.
Il est à noter que ce pare-feu a été en un premier temps mis en place à titre de test au niveau de la DCW
de Ain-Temouchent, en Février 2016.
Cette Opération qui s’est avérée fructueuse, c’est pourquoi il a été décidé de la généraliser au niveau
des 48 Wilayas du Cadastre.
II- MODE DE FONCTIONNEMENT D’IPCOP:
IPCOP nous permet de définir jusqu’à quatre interfaces réseau représentées par des couleurs différentes
selon les besoins.
Il faut donc autant de cartes réseau que d’interfaces souhaitées et chaque interface sera représentée par
une couleur:
-Interface Rouge: Dédiée au réseau Internet (le réseau dit le plus dangereux.). Le but d’IPCOP est de
protéger les autres réseaux des attaques venues du réseau Internet, c’est-à-dire de l’interface Rouge.
-Interface Verte: Dédiée au réseau local (LAN) qui sera protégé par IPCOP.
-Interface Bleu: Dédiée au réseau sans fil (WLAN)
-Interface Orange: Dédiée au réseau relié à la zone DMZ (Demilitarized Zone=Zone Démilitarisée)
qui permet de relier des serveurs mails ou serveurs Web au réseau Internet. Les ordinateurs de ce réseau ne
peuvent pas accéder aux ordinateurs des interfaces Bleu et Verte sauf si des règles explicites ont été mise en
place.

Exemple d’architecture réseau

192.168.2.0

192.168.3.0 192.168.1.0

1
III- INSTALLATION DU PARE FEU IPCOP
III-1 Pré-requis:
IPCOP est très léger et tournera sous une machine présentant les capacités minimales suivantes:
- Deux (02) cartes réseau au minimum (4 cartes au Max)
- Un processeur Pentium 4 et plus;
- Une mémoire de 512 Mo à1 Go ;
- Un disque dur de 40Go.
NB : Le nom de domaine ne doit pas contenir des caractères numériques.
III-2 Procédure d’installation:
 Booter la machine avec le cd Rom d’installation, à l’affichage de la fenêtre noire Appuyez sur la
touche [Entrée].

=>Sélectionnez "French" puis la touche [Entrée].


Une fenêtre de bien venue apparaît. Sélectionnez le bouton "OK".

2
=>Sélectionnez "fr-latin9" (pour clavier azerty). Appuyez sur la touche [Entrée].

=>Sélectionnez le fuseau horaire. Appuyez sur la touche [Entrée].

3
=>Corrigez la date et l'heure du système. Appuyez sur la touche [Entrée].

=>Sélectionnez le disque dur puis touche [Entrée].


Une fenêtre d'avertissement apparaît. Acceptez l'utilisation du disque.

4
=>Sélectionnez "Disque Dur "puis touche [Entrée].
Le partitionnement du disque dur se lance automatiquement.

=>Sélectionnez "Passer".

5
L'installation de base est terminée. Il faut à présent procéder à la configuration d'IPCop.
=>Appuyez sur la touche[ Entrée].
III-3 Configuration d'IPCOP

=>Tapez un nom pour la machine. Appuyez sur la touche [Entrée].

6
Entrer le nom de domaine de votre réseau (ne doit pas comporter de caractères numériques)
=>Appuyez sur la touche [Entrée].

L'interface "RED" est reliée à Internet. Si vous disposez d'un serveur DHCP vous pouvez sélectionner
"DHCP". Ici, nous choisissons une configuration manuelle de l'IP (Statique).
L'interface "GREEN" est connectée aux ordinateurs locaux.
=>Appuyez sur la touche [Entrée].
7
=>Sélectionnez la première carte réseau puis bouton "Sélectionner".

=>Sélectionnez "GREEN" puis bouton "Assigner".

8
=>Sélectionnez la deuxième carte réseau puis bouton "Sélectionner".

=>Sélectionnez "RED" puis bouton "Assigner".

9
Faites la même chose pour la carte bleu et la carte orange.

L'affectation des cartes est terminée.


=>Sélectionnez le bouton "Continuer".

10
172.16.15.1
255.255.255.0

=>Tapez l'adresse IP pour la carte réseau représentant l'interface GREEN, puis la touche [Entrée].

192.168.1.2
255.255.255.0

=>Tapez l'adresse IP pour la carte réseau représentant l'interface RED, puis touche [Entrée].
=>Même chose pour l’interface bleu et orange si nécessaire.

192.168.1.1
8.8.8.8
192.168.1.1

=>Tapez les adresses IP de la passerelle et des serveurs DNS, puis touche [Entrée].

NB : Les adresses passerelle et DNS primaire ne sont rien d’autre que l’adresse IP du routeur
ADSL

11
=>Activez (ou désactivez) le serveur DHCP d'IPCOP, puis la touche [Entrée].

=>Tapez un mot de passe pour le compte "root", puis la touche [Entrée].

12
=>Tapez un mot de passe pour le compte "admin" d'IPCOP, puis la touche [Entrée].

=>Tapez un mot de passe pour la protection de la clé, puis la touche [Entrée].

13
L'installation est terminée!
IV- CONFIGURATION DU PARE-FEU IPCOP
IV-1 Accéder au pare feu : Cette opération se fait à partir d’un poste client.
Choisir un navigateur sur poste client et accéder à IPCOP en utilisant l'URL suivante:
https://<IP D'IPCOP>:8443 ici l’adresse IP est celle du réseau vert et 8443 numéro de port utilisé par
IPCop, dans notre cas on utilisera l’URL: https://172.16.15.1:8443

Pour accéder à la page d’accueil du pare-feu on doit obligatoirement s’identifier en saisissant le nom
d’utilisateur «admin» par défaut et le mot de passe crée à l’installation.

14
IV-2 Activation du serveur proxy
 Dans le menu service > serveur mandataire (proxy) > zone paramètres communs
- Cocher les zones: «activé sur vert», «activé sur bleu», «journaux activés», «enregistrement des
URL complètes » et «log nom d’utilisateur»
- Décocher l’option « mode transparent »
- Enregistrer

IV-3 Configuration des postes clients pour l’utilisation d’ IPCOP


IV-3-1 Configuration de la carte réseau sur poste client
- Saisir l’adresse IP attribué au poste
- Saisir le masque
- Saisir la passerelle qui doit être obligatoirement l’adresse IP de l’interface green (vert)
- Saisir l’adresse IP du DNS préféré qui doit être l’IP du serveur (contrôleur du domaine)
- Saisir l’adresse IP du DNS secondaire qui doit être l’adresse IP de l’interface green

-
15
IV-3-2 Configuration du navigateur web sur poste client
La configuration se fait en suivant les étapes suivantes :
Panneau de configuration  réseau internet  Options Internet  Onglet « Connexions » Paramètres
réseau

Dans la fenêtre qui s’affiche cocher les zones «utiliser un serveur proxy» et «ne pas utiliser des
serveur pour les adresses locales» et entrer l’adresse IP du proxy et le port 8080.
NB : Cette opération doit se répéter sur tous les postes clients qui utilisent IPCOP.
Une fois cette opération terminée il y a lieu de revenir sur le navigateur pour terminer la configuration
IPCOP.
IV-4 Paramétrage du Pare Feu
IV-4-1 Création d’un service appelé «tout-ports»
 Dans le menu pare feu, choisir > services

16
- Donner un nom au service soit «tout-ports»
- Choisissez le protocole« TCP&UDP »
- Entrer «1-65535» dans le champ port
- Et cliquer sur ajouter

IV-4-2Création d’un groupement de service appelé «services-interdit »:

 Dans le menu pare feu choisir > regroupements des services

- Donner le nom de service «services-interdit»


- Dans le champ «service par défaut» choisissez le port à ajouter et cliquer sur ajouter.
Les ports à ajouter sont:(ftp);(ftp-data);(ftps);(pop3);(pop3s);(smtp); (smtps);(imap);(imap3);(imaps)

17
IV-4-3 Création des groupes utilisateurs
La création des groupes d’utilisateurs définis se fait soit par leur adresse mac ou par leur adresse IP
A-Création des utilisateurs à ajouter aux groupes
 Dans le menu pare feu choisir > Adresse
- Donner un nom à l’ordinateur que vous voulez ajouter
- Choisissez le format d’adresse IP ou MAC
- Entrer l’adresse et clique ajouter

B- Création des groupes


 Dans le menu Pare feu choisir > regroupement d’adresse
- Donner un nom au groupe ici «administration»
- Choisissez adresse personnalisé et sélectionner une machine à ajouter au groupe
- Cliquer sur ajouter
- De la même façon créer un autre groupe «Workstation» et y ajouter les machines qui ont accès aux
bases de données

18
V- CREATION DES REGLES
V-1 Création de la première règle
La Création de la première règle bloque tout trafic entre l’interface bleu (réseau wifi) et
l’interface green (LAN) en bloquant le service crée précédemment (tout-port) dont la source est le
réseau wifi et la destination est le réseau local
 Dans le menu pare-feu choisir > règles du pare feu

19
- Cliquer sur trafic interne

Dans la page qui s’affiche:


 Source:
- Interface par défaut:bleu
- Réseau par défaut:any
 Destination:
- Interface par défaut:Vert
- Réseau par défaut:any
- Service utilisé:cocher «service» et sélectionner «tout-port»
- Action de la règle:refuser
- Cliquer sur «suivant» puis «enregistrer»

20
V-2 Création de la deuxième règle
La deuxième règle à créer est celle qui bloque le groupement de service créé précédemment
(services-interdit) pour le groupe Workstation pour les empêcher d’envoyer les bases de
données par le FTP ou par le mail comme le montre les images:

 Dans le menu Pare feu >Régle du Pare feu > Accès IPcop

Dans la page qui s’affiche:


 Zone “Source”:
- Interface par défaut: Vert
- Réseau par défaut:Green Network
- Regroupement d’adresses : Workstations
 Zone “Destination”:
- Cocher “ Service utilise”
- Cocher “Regroupement des services”
- Choisir “Services-interdit”
 Zone “Additionnel”:
- Cocher «Règle activée »
- Action de la règle, choisir « Refuser »
- Renseigner la zone remarque : « Cette règle bloque les services interdit pour workstation»
- Enregistrer

21
V-3 Création de la troisième règle
Créer une règle qui bloque tout trafic pour tous les utilisateurs en dehors du proxy pour obliger les
utilisateurs de passer par le proxy de la même façon en utilisant une règle de trafic en sortie.
 Dans le menu Pare feu >Règle du Pare feu > Trafic en sortie

Dans la page qui s’affiche:


 Zone “Source”:
- Interface par défaut: Vert
- Réseau par défaut : Green Network
 Zone “Destination”:
- Interface par défaut : Rouge
- Réseau par défaut : Any
- Service utilisé
- Service “tout port”
 Zone “Additionnel”:
- Cocher «Règle activée »
- Action de la règle, choisir « Refuser »
- Renseigner la zone remarque : Bloque tout en dehors du proxy
- Enregistrer

La Fenêtre suivante résume les règles actuelles


22
VI- Activation de «Url-Filter» et utilisation d’une black-list
VI -1 Choix de la black-list
 Dans le menu service > Filtre d’url dans le bas de la page vous trouverez «maintenance des blacklists»
 Choisissez «Univ.Toulouse» dans la source de la blacklist
 Cliquer sur enregistrer puis Mise à jour immédiate et attendez le téléchargement de la liste (ça
prend quelque minutes)

NB: Une fois la mise à jour effectuée, il y a lieu d’activer le serveur mandataire de la manière
suivante :
VI-2 Activation du «serveur mandataire»
 Dans menu service choisir > serveur mandataire (proxy)
- Dans le bas de la page sous redirecteur cocher «activé»
- Dans le menu service > Filtre d’url
- Cocher les options de filtrage

23
Dans la page qui s’affiche:
 Zone «Paramètres communs»
- Cocher - Activé
- Journaux activés
- Log nom utilisateur
- Couper les enregistrements par catégories
 Zone « Blocage »
- Cocher - Chat
- Filehosting
- Mail
- Social networks
- Webmail
N.B :Ajouter les adresses IP non concernés par ce filtre sous «Adresses IP non restreintes».

VI-3 Utilisation des expressions personnalisées


 Toujours dans le menu service > Filtre d’url
Dans l’espace «Liste d'expressions personnalisées» cocher « activé »
Tapez les expressions suivantes dans «bloquer les expressions (que les expressions
régulières)»
Shar
Drive
Upload
File
Chat
Mail

24
Notre pare feu est à présent configuré il ya lieu à présent de procéder aux tests de connectivite au
niveau des postes du réseau.

25

Vous aimerez peut-être aussi