Installation d’un système de surveillance de trafic IP(IPCop)

ipcop
IPCop est une distribution Linux complète. Son seul but est de protéger le réseau sur lequel elle est mise en œuvre. En implémentant les technologies existantes, les technologies émergentes et en se servant de pratiques de programmations sûres, IPCop est pour ceux qui veulent garantir la sécurité de leurs ordinateurs et réseaux.

IPCop est un logiciel Open Source distribué sous les termes de Public License .En plus des multiples avantages inhérents à la formule Open Source, le fait que les sources soient disponibles permet à des experts en sécurité du monde entier d’auditer le code et de corriger les éventuelles failles de sécurité.

Du fait de ses faibles besoins pour une mise en œuvre simple, cette distribution peut être installée sur des PC(recyclés).

Dans IPCop, on peut définir jusqu’à quatre interfaces réseau définies par des couleurs selon les besoins. Il faut donc autant de cartes réseau que d’interfaces souhaitées.

-Interface Rouge: Ce réseau correspond au réseau Internet (le réseau dit le plus dangereux.). Le but même d’IPCOP est de protéger les autres réseaux des attaques venues du réseau Internet, c’est-à-dire de l’interface Rouge.

-Interface Verte: Correspond au réseau local (LAN) protégé par IPCOP. Ce réseau à le droit d’accès aux 3 autres réseaux (sauf paramétrage spéciaux grâce à des Add-Ons: URL Filter qui limite l’accès au Web, BlockoutTrafic pour gérer finement le trafic réseau).

-Interface Orange: Ce réseau est une DMZ (Demilitarized Zone = Zone Démilitarisée) qui permet de relier des serveurs mails ou serveurs Web au réseau Internet. Les ordinateurs de ce réseau ne peuvent pas accéder aux ordinateurs des interfaces Bleu et Verte sauf si il est mis en place des règles explicites.

-Interface Bleu: C’est une interface spécifique aux réseaux sans fil. Elle permet aux ordinateurs connectés d’accéder au réseau rouge (Internet) et orange (DMZ) sans accéder au réseau Vert (LAN).

                             exemp_fw

Les différents types de configuration réseau:

Dans la mesure où l’interface ROUGE peut être de type modem ou Ethernet, huit configurations réseau sont possibles  :

VERT (ROUGE est un modem/ISDN)

VERT + ROUGE (ROUGE est en Ethernet)

VERT + ORANGE + ROUGE (ROUGE est en Ethernet)

VERT + ORANGE (ROUGE est un modem/ISDN)

VERT + BLEU + ROUGE (ROUGE est en Ethernet)

VERT + BLEU (ROUGE est un modem/ISDN)

VERT + BLEU + ORANGE + ROUGE (ROUGE est en Ethernet)

VERT + BLEU + ORANGE (ROUGE est un modem/ISDN)

 

Liste de services offerts par IPCOP:

-Interface web pour l’administration et la configuration d’IPCOP en français.

-Affichage de l’état du système et graphiques CPU/Mémoire/Disque/trafic sur période journalière/semaine/mois/année.

-Informations sur les connexions en cours.

-Serveur SSH pour accès distant sécurisé.

-Proxy HTTP/HTTPS.

-Serveur DHCP.

-Cache DNS.

-Renvoi de ports TCP/UDP/GRE.

-Support des DNS dynamiques.

-Système de détection d’intrusion (interne et externe).

-Support VPN pour relier des réseaux distants entre eux ou se connecter à distance avec un poste.

-Accès aux logs par interface web : du système, de la connexion vers Internet, du proxy, du firewall, de la détection des tentatives d’intrusion.

-Mise à jour d’IPCOP par l’interface web.

-Sauvegarde de la configuration du système sur disquette.

-Synchronisation sur serveur de temps, peut servir le temps aux machines internes.

-Arrêt/Redémarrage à distance.

-Support des modems RTC/RNIS.

-Support de la quasi-totalité des modems ADSL USB et PCI (Voir la liste du matériel compatible dans la section documentation de

http://www.ipcop.org/).

-Possibilité d’utiliser une DMZ avec gestion des accès.

-Possibilité de sécuriser un réseau sans fil

 

Configuration minimale requise:

-un ordinateur équipé de 64 Mo de mémoire vive et d’un processeur à 233 MHz suffit

-300 Mo d’espace disque

-Carte graphique compatible VGA pour l’installation

-De deux à 4interfaces réseau Ethernet

-Connexion Internet (Modem, Câble, ISDN, ADSL,…)

-Un lecteur cdrom pour l’installation.

 

Installation du système de base depuis un CD Bootable:

Télécharger  l’image ISO IPCOP sur le site officiel, http://www.ipcop.org/ Ensuite, gravez l’image sur un CD
Placez le CD IPCop dans le lecteur de CD du PC IPCop et au démarrage l’écran suivant apparaîtra.

instalipcop1

La touche ENTER démarrera la procédure d’installation qui vous affiche le menu de sélection de la langue. Choisissez la langue que vous souhaitez:

image4,

Démarrez le programme d’installation:

image 5 

Choix du type de clavier:
Choisissez « fr-latin1 » si vous disposez d’un clavier français, AZERTY standard.

image.6

Pour qu’IPCOP se mettre à l’heure dès l’installation, choisissez le fuseau horaire vous correspondant. Si vous habitez en France, sélectionnez « Europe/Paris »

image7

Vous pouvez modifier la date et l’heure mais logiquement si vous avez choisit le bon fuseau horaire, il n’y a pas besoin.

                                                           image8

Le programme d’installation scanne la configuration matérielle pour rechercher les supports d’installation disponibles. Sélectionnez le support que vous souhaitez et faites « Ok ». Faites à nouveau « Ok » lorsqu’on vous demande de confirmer.
Remarque : le support sélectionné sera formaté et partitionné.

image9

Vous devez indiquer quel est le type du support que vous avez choisit précédemment, si c’est un disque dur, sélectionnez « Disque dur ». Au contraire si c’est une clé USB, une carte mémoire,… de la mémoire flash pour faire court, sélectionnez « Flash ». (ici un disque virtuel pour les besoins de la présentation)

image 10

Avec IPCOP, il est possible de sauvegarder les paramètres de configuration via l’interface web d’administration. Lors d’une réinstallation il est possible de restaurer cette sauvegarde pour ne pas avoir à reconfigurer tout un tas de paramètres.

image11

Il y a une information importante à retenir dans le message indiqué en fin d’installation, le port à utiliser pour accéder à l’interface web d’IPCOP, qui est un port non standard pour le HTTPS : 8443.

image 12

Donnez un nom à la machine :

image13

Indiquez le domaine:

ipcop14

Passons maintenant à la configuration de l’interface ROUGE :
L’interface ROUGE, c’est à dire l’interface côté internet, peut être de plusieurs types comme vous pouvez le voir dans la liste ci-dessous. Pour attribuer une configuration statique à l’interface, sélectionnez « Statique » dans la liste en utilisant la barre d’espace pour sélectionner.

image15

L’assistant scanne à nouveau votre configuration matérielle pour détecter les cartes réseaux disponibles sur votre machine. Vous devez sélectionner une carte réseau et lui assigner une couleur, vous pouvez utiliser jusqu’à 4 cartes réseaux selon ce que vous souhaitez faire.

Ici nous allons assigner « VERTE » à une carte, et « ROUGE » à l’autre, pour  avoir un côté LAN et un côté « Internet ». Une ORANGE pour la dmz et une BLEU pour le réseau sans fil

image16bis

Il faut désormais indiquer la configuration réseau pour chacune des interfaces auxquelles vous avez attribuées une couleur.
Informations concernant l’interface VERTE :

cverte

Informations concernant l’interface ROUGE :

image18

DNS et passerelle :
Indiquez les serveurs DNS (Primaire et secondaire) que doit utiliser l’IPCOP, et également, la passerelle par défaut pour sortir du réseau.Dans notre exemple, nous utilisons une Livebox Orange donc comme DNS nous mettons en primaire l’adresse IP de la Livebox et en secondaire le serveur DNS Primaire de Orange.
Comme Passerelle par défaut nous mettons l’adresse IP de la Livebox : 192.168.1.1

image19

Informations concernant l’interface BLEU:

bleu

Informations concernant l’interface ORANGE:

corange

Serveur DHCP :
Parmi les services qui composent IPCOP, on trouve le service DHCP, que vous pouvez activer ou non à cette étape de la configuration. Faites « Ok » une fois que vous avez effectué votre choix. Il est possible d’accéder à nouveau à la configuration du serveur DHCP via l’interface web par la suite.

image22

Les mots de passes :
Les 3 prochaines étapes concernent la définition des mots de passes, le premier mot de passe est celui pour l’utilisateur « root », ensuite l’utilisateur « admin » qui permet l’accès à l’interface web, puis celui à utiliser pour les clés de cryptage de sauvegardes. Un bon mot de passe est très important et à ne pas prendre à la légère.

image23

Félicitation, l’installation est terminée . Cliquez sur OK pour rebooter votre Firewall.

image24

Au redémarrage vous obtenez le menu de boot GRUB suivant :

image25

Une fois le cheminement du boot fini vous obtenez une belle fenêtre noir avec un prompt qui marque login :

image26

Au login : vous tapez « root » et appuyez sur ENTER.
Au mot de passe vous tapez « votre mot de passe root » et appuyez sur ENTER.

Vous voici maintenant en mode console sous « root ».
pour tout ajustement, la commande est: setup, tapez la puis ENTER.

Nous voici dans le menu de configuration de base d’IPCop.

menu ipcop

Six choix de base sont au menu :

1 – Configuration du Clavier.

2 – Fuseau Horaire

3 – Nom d’hôte

4 – Nom de Domaine

5 – Réseau

6 – Mots de Passe

Tous ces menus ont déjà été explorés lors de l’installation d’IPCop (en cas de doute vous êtes libre d’y retourner).

Si vous avez fait des modifications, elles sont normalement prises en compte

Vous avez donc le choix de laisser IPCop fonctionner sans redémarrer et/ou de le faire redémarrer avec la commande «reboot ».

Pour éteindre votre système « poweroff » répondra à vos besoin

 

Administration d’IPCop :

L’administration se fait via une interface web

On y accède en saisissant l’IP de l’interface verte de votre IPCOP suivit du port « 8443 » qui est un port non standard pour le HTTPS. Exemple dans le cas du tutoriel : https://192.168.2.250:8443

Nous avons alors une demande de certificat de sécurité après avoir entré l’adresse IP de notre serveur IPCOP

ipcop1.cleaned

Nous répondons « je comprends les risques » , ‘ajouter une exception’ puis ‘Obtenir un certificat’  nous ‘confirmons l’exception de sécurité’ en laissant coché la case « conserver cette exception de façon permanente ».

Dès que nous voulons entrer dans un menu une authentification nous est demandée :

ipcop2.cleaned

Il faut entrer
User : admin
Pass : le mot de passe défini précédemment.

Nous cliquons sur ‘OK’ et nous voilà définitivement dans l’interface graphique d’IPCOP.

ipcop3.cleaned

 

 

Les onglets de l’interface graphique:

-Onglet Système

Tout ce qui concerne de près ou de loin le système en lui-même, c’est-à-dire la vérification et l’installation des mises à jour, la modification des mots de passes, les sauvegardes, l’activation de l’accès SSH…

-Onglet Etat

Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci : services actifs, utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de trafic et d’utilisation de la mémoire, connexions actuelles,…

-Onglet Réseau

Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface rouge est composée d’un modem (et non un routeur ou modem-routeur) vous pouvez le configurer et gérer la connexion de celui-ci dans les menus de cet onglet. Il s’agit là de spécifier les paramètres de connexion ou d’installer de nouveaux drivers si votre modem n’a pas été reconnu au cours de l’installation.

-Onglet Service

Divers services sont disponibles Serveur mandataire (proxy),Serveur DHCP,Ajouter un nom DNS dynamique,Serveur NTP…..

-Onglet Pare-feu

Différents réglages sont possible, sur le transferts de port ,Accès externe  et les option de pare-feu

-Onglet RPVs

L’onglet RPVs contient le parametre de Serveur IPsec, Serveur OpenVPN( Réseau Privé Virtuel VPN en anglais pour Virtual Private Network) ,et les Autorités de certification

-Onglet Journaux

Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques…

 

Mettre à jour IPCOP:

Pour voir si des mises à jour sont disponibles aller dans la section ‘Mises à jour’

ipcop4.cleaned

Pour vérifier que la mise à jour s’est bien installée, descendez dans la page et regardez la zone  « Mises à jour installées ». Vous devriez voir apparaître la mise à jour « 2.06 ».

ipcop13.cleaned

 

Une fois les mises à jour appliquer nous allons configurer l’accès à IPCop par SSH

Configurer l’ accès SSH:

Aller dans le menu Système =>Accès SSH

-Accès SSH : cocher cette case
-Autorise le transfert TCP: cocher aussi cette case
-Permettre l’authentification par clef publique

Bien entendu, toute modification doit être validée à l’aide du bouton « Enregistrer » pour être prise en compte…

ipcop5.cleaned

Pour rappel, IPCOP  utilises le port non-standard 8022 pour l’accès via SSH

Accès avec la commande suivante via un terminal  $ ssh -p 8022 root@192.168.2.250

 Configurer des accès externes:

Vous pouvez ouvrir des « brèches » dans le firewall pour ouvrir complètement un accès au réseau sur un port, c’est-à-dire que les ports choisis seront complètements ouverts, ceci peut être utile pour autoriser l’accès à l’interface de configuration ou l’accès en SSH à IPCop depuis la zone rouge (Internet par exemple).

Pour sécuriser un petit peu l’ouverture complète de ces ports, on pourra spécifier quelles adresses IP sont autorisées à les utiliser. Bien sûr, vous pourrez autoriser la connexion depuis n’importe quel adresse IP

Nous allons donc configurer un accès pour le poste client (14.01.1.58) sur notre IPCOP par l’interface ROUGE (192.168.1.2), sur le port 8022 uniquement pour un accès à SSH a IPCOP.

Par l’intermédiaire du menu, allez dans Pare-feu=>Règles du Pare-Feu=>Accès Externe

ipcop6.cleaned

Cliquer sur le bouton « Suivant » pour voir un résumé de la règle

ipcop7.cleanedIl ne reste plus qu’à cliquer sur le bouton « Enregistrer » pour voir la règle d’accès externe qui s’affiche dans la liste des règles.

ipcop8.cleaned

il est aussi possible d’activer ou non la journalisation pour une règle et d’indiquer une plage horaire sur laquelle la règle s’applique

Pour exemple nous allons  aussi  configurer un accès sur le port 80 pour un serveur web qui ce trouverais derrière l’interface orange ou verte

ipcop12.cleaned

Cliquer sur le bouton « Suivant » pour voir un résumé de la règle

ipcop13.cleaned

Ensuite sur le bouton « Enregistrer » pour voir la règle d’accès externe qui s’affiche dans la liste des règles.

ipcop14.cleaned

 Transferts de ports:

Il s’agit là du Port Address Translation aussi nommé Port Forwarding, qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port d’une machine faisant partie d’une des zones d’IPCop.

Exemple : notre serveur web se trouve derrière l’interface orange d’IPCop. Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés  et rediriger les paquets vers l’adresse IP de votre serveur web  (192.168.2.210 par exemple) sur le port HTTP 80ipcop9.cleaned

Cliquer sur le bouton « Suivant » pour voir un résumé de la règle

ipcop10.cleaned

Cliquer sur le bouton « Enregistrer » pour voir la règle du transferts de ports qui s’affiche dans la liste des règles.

ipcop11.cleaned

 

Serveur mandataire (proxy):

L’intérêt d’un proxy est de pouvoir avoir une traçabilité de l’information, de mettre en cache les pages internet pour améliorer la vitesse de navigation lorsqu’il y a de nombreux clients, la demande d’authentification pour que les utilisateurs accèdent à internet, et d’effectuer du filtrage (URL grâce aux blacklistes, accès autorisé ou non selon une plage horaire, filtrage IP, filtrage MAC,…).

Pour y acceder, cliquer sur le menu Services =>serveur mandataire (proxy)

ipcop15.cleaned

Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer  Pour le faire cocher la case: Activé sur VERT.

Le mode transparent permet de se passer  de toute configuration sur les postes clients au niveau des navigateurs web(paramétrage du proxy). Tout trafic passant par la passerelle IPCOP sera analysé par le proxy. Activons le aussi: en cochant tout simplement la case Mode transparent VERT.

Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP: allez sous la section Configuration des journaux, activer les trois cases: Journaux activités, enregistrement des URL complètes et Enregistrement du User-Agent.

Votre configuration resemblerait à celle-ci

ipcop16.cleaned

Cliquer sur le bouton Enregistrer pour sauvegarder votre configuration

Section: Options avancé

– Gestion du cache: L’IPcop utilise le serveur Squid pour le stocké le cache de navigation, cette section vous donne la possibilité de definir la taille d’espace disque à allouer pour le cache. La valeurs par défaut de 50 MB est largement suffissante
-Ports de destination: Avec les valeurs par défauts tout est ok.
-Contrôle des accès par le réseau: permet de définir les réseaux et sous réseau permits pour utiliser IPCOP.

Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites. Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple. Une adresse interdite, ne pourra pas accéder à internet

-Restrictions de temps: la section restrictions de temps, permet de définir les horaires d’accès au web. Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.
-Les limites de transfert: La section Limites de transfert permet  de donner une limite sur la taille des fichiers en réception et en emission.
-Réduction du téléchargement: La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou par poste client.

ipcop17.cleaned

Dans cet exemple, le débit total ENTRANT est de 1024kBit/s soit 128 Ko/s max, et le débit par hôte est de 256kBit/s soit 32Ko/s.

Cependant notez bien que ces débits n’affectent que le téléchargement sur http, une personne effectuant du téléchargement via FTP dispose de toute la bande passante disponible
Après toute modification n’oublier pas de cliquer sur bouton Enregistrer, l’application est immédiate.

7 Commentaires

Répondre à pascal Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *