Découverte d' IPCOP

Présentation

Mounir.jpg

Ipcop rassemble les propriétés d’une passerelle, d’un routeur et d’un pare-feu. En fait, tout ce dont le petit réseau local a

Gökhan.jpg

besoin pour se connecter sans risque à l’Internet. En résumé, ipcop est ce qu’on appelle un « firewall matériel ». Un firewall matériel n’est pas un logicielle qu’on installe directement sur les pc, mais plutôt un système d’exploitation très léger pouvant s’installer sur une machine au capacité minimal.

El Moussaoui Mounir et Orel Gökhan

1. Caractéristiques principale d'ipcop

Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement configurable.

Une administration facile depuis un navigateur par l'intégration d'un serveur web.

Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP de votre FAI.

Un serveur DHCP vous permettant de configurer facilement les machines de votre réseau interne.

Un serveur mandataire web (proxy) pour accélérer l'accès au web.

Un système de détection d'intrusion pour identifier les attaques externes sur votre réseau.

La possibilité de segmenter le réseau en un réseau VERT, sûr, protégé de l'Internet ; un réseau BLEU pour le réseau local WiFi ; et un réseau ORANGE, zone démilitarisée ou DMZ en partie protégée de l'Internet rassemblant nos serveurs publiquement accessibles.

La possibilité de répartir la bande passante (traffic shaping) par exemple pour fixer une priorité plus élevée aux services interactifs tels que ssh ou telnet, une priorité élevée à la navigation web mais une priorité faible aux services gourmands comme FTP.

Un système entièrement compilé avec ProPolice pour prévenir des attaques de type corruption de pile sur toutes les applications.

1.1 Les différentes interfaces réseaux.

Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE.

Interface réseau ROUGE

Ce réseau correspond à l'Internet. Le but essentiel d'ipcop est la protection des autres réseaux (VERT,BLEU et ORANGE).Dans notre cas l'interface ROUGE et VERT sera utilisé afin de mener a bien le bon déroulement de notre projet.

Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. Le projet se faisant à l'école tout se fera en local avec une machine dédier a ipcop possédant 2 cartes réseaux( une ROUGE et VERTE).

Interface réseau BLEUE

Ce réseau est optionnel (et ne sera pas utilisé dans notre cas) nous permet de regrouper les périphériques sans fil sur un réseau bien distinct.

Interface réseau ORANGE

Ce réseau est également optionnel et ne sera pas utilisé, nous permet d'isoler sur un réseau séparé les serveurs accessibles au public.

Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possède comme passerelle l'adresse IP de la carte d'interface derrière laquelle elle se situe (par exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte).

1.1.1 Interfaces réseau

Nous aurons besoin d'au moins un câble Ethernet et une carte d'interface réseau. Dans la configuration la plus complète et dans le cas d'une connexion à Internet par Ethernet, pas moins de quatre cartes seront nécessaires.
Chaque carte réseau correspond à une carte physique à insérer dans la machine IPCop.
Nous devons donc prévoir une carte et un câble réseau pour chacun des réseaux VERT, BLEU et/ou ORANGE de notre future configuration. Les réseaux VERT et ROUGE sont obligatoires. Les réseaux ORANGE et BLEU sont optionnels. Les besoins pour l'interface du réseau ROUGE dépendent du type de connexion à l'Internet. Le réseau ROUGE peut nécessiter une carte réseau Ethernet et un câble supplémentaires.

1.2 Exemple d'un firewall pour entreprise ou pme.

01a-network.png

1.3 Les différents types de configuration réseau.

Dans la mesure où l'interface ROUGE peut être de type modem ou Ethernet, huit configurations réseau sont possibles :

VERT (ROUGE est un modem/ISDN)

VERT + ROUGE (ROUGE est en Ethernet) : cette configuration sera employée pour notre projet.

VERT + ORANGE + ROUGE (ROUGE est en Ethernet)

VERT + ORANGE (ROUGE est un modem/ISDN)

VERT + BLEU + ROUGE (ROUGE est en Ethernet)

VERT + BLEU (ROUGE est un modem/ISDN)

VERT + BLEU + ORANGE + ROUGE (ROUGE est en Ethernet)

VERT + BLEU + ORANGE (ROUGE est un modem/ISDN)

1.3.1. Niveau relatif de sécurité sur les interfaces réseau d'IPCop

Le modèle de sécurité mis en oeuvre avec IPCop comporte un réseau totalement sûr (VERT). Les requêtes issues de ce réseau sont considérées comme légitimes et autorisées par IPCop (et ce qu'elles soient initiées par un utilisateur ou par une machine infectée par un virus, un cheval de Troie ou toute autre sorte de « malware »
IPCop 1.4.2 supporte désormais l'activation du système de détection des intrusions (IDS) sur chaque interface réseau de la configuration. Il est fortement recommandé de surveiller le journal des évènements de l'IDS pour vos réseaux internes dans le but de vérifier qu'aucune des machines dont vous êtes responsable n'a de comportement étrange, comportement parfois signe d'une infection par un virus.
Un classement des réseaux proposés par IPCop par ordre décroissant de niveau de confiance donne la suite ci-dessous : ROUGE→ORANGE→BLEU→VERT

1.4 Préparer la machine IPCop

Avant de procéder à une installation, il est préférable de vérifier que le matériel soit compatible. Ipcop est très léger et tournera sans problème sous quasi n'importe quel pc, voici les pré-requis matériel pour ipcop.

• Configuration Minimal :
un 386 avec 32 Mo de ram ainsi qu’un disque dur de 300mo. Bien que cette configuration suffise à faire tourner Ipcop correctement pour une utilisation de firewall. Pour une utilisation plus poussée, je vous conseille un p266 avec 128Mo de ram et des cartes Pci 100 Mbps.

Notre configuration: Pentium4 1,6ghz avec 512 de ram , sur se type de machine IPCop fonctionne de manière optimal même avec l'ajout de plusieurs plug-ins.

2. Installation d'IPcop

Une fois l’ordinateur allumé et le CD d’installation inséré, au boot de la machine cet écran apparait :

Il suffit d’appuyer sur [Enter] pour confirmer que nous souhautons bien procéder à l’installation, ensuite celle-ci démarre.
La langue que nous souhaitons utiliser pendant l’installation nous est alors demandé, suivi d’un message d’accueil.

ipcop01.JPG

Il nous sera ensuite proposé de choisir le type de support d’installation, notre machine n’étant pas au moment du projet reliée à internet et tous les fichiers nécessaires à l’installation se trouvant déjà sur le CD-ROM, nous opterons pour le premier choix.

ipcop04.JPG

Une nouvelle fenêtre concernant la configuration du réseau s’affiche alors :

Il suffira d'appuyer sur rechercher afin que Ipcop trouve la ou les cartes réseaux présent au sein de la machine.

ipcop08.JPG

Détection de la première interface réseau de la machine, c'est à dire le réseau local ou GREEN ( Dans notre projet ipcop devra détecter 2 cartes réseaux, RED and GREEN)

ipcop09.JPG

Sélection de l’adresse IP de l’interface verte, par exemple 192.168.0.1.

Un message s’affiche ensuite nous indiquant qu’ IPCop s’est installé avec succès et nous demande de retirer le CD d’installation du lecteur, une fois le CD éjecté appuyer sur [Enter]. Le système redémarre.

ipcop10.JPG

Nom de la machine ( ipcop) ainsi que le nom du domaine (Uccle)

ipcop14.JPG

Configuration du réseau. Autre étape très importante.
Sélectionnez 'Type de configuration réseau'(Dépend de la structure ou nous travaillons)

ipcop17.JPG

Dans notre projet nous mettons en œuvre une configuration réseau du type GREEN+RED reliées à de l'Ethernet.

ipcop18.JPG

Configuration de l'interface RED.
Dans notre cas, le FAI (Belgacom) attribue automatiquement l'IP internet via DHCP.
Sélectionnons donc DHCP et validons.

ipcop26.JPG

Configuration du server DHCP pour l'interface GREEN.
Nous allons mettre des adresses de départ, de fin et vérifiez les informations proposées.

ipcop27.JPG

Choix du mot de pass 'root'(compte local)
Choix du pass 'admin'( l'interface Web)

ipcop28.JPG

L'installation est terminer , il suffira de redémarrer la machine 1 seule fois.

3. Les différents services d'IPCop

  • SERVICES

Pour accéder a la partie administration, il suffit de rentrer l'adresse suivante dans le navigateur web : http://ipcop81

ipcop_40.jpg

Les services permettent de créer différents serveurs, ou tout simplement d'ajouter un rôle afin qu'IPCop soit plus qu'un simple firewall .
Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés.

  • RPV

Ce service nous permet de créer un Réseau Privé Virtuel entre notre IPCop et un autre IPCop. Il peut être désactivé si l'on ne fait pas de VPN.

  • Serveur CRON

Cron est un démon qui permet de planifier l’exécution de tâches à des dates et heures définies à l’avance, ce service pourrait être comparé aux " Tâches planifiées " de Windows. Ce service ne peut être désactivé.

  • Serveur NTP

Il s'agit là d'un service de serveur de temps, ceci permet de synchroniser l'heure de notre IPCop en fonction de celle d'un serveur NTP d'internet. Il est possible de désactiver ce service.

  • Serveur d'enregistrement de journaux

Nous permet d’avoir des rapports de suivi des événements survenus sur le réseau et les services (tentatives d’intrusion, trafic sortant et entrant, etc.). Ce service peut être désactivé.

  • Système de détection d’intrusion

Il permet d’activer la détection d’intrusion sur les interfaces avec les règles Snort, il est possible de choisir l’interface sur laquelle on souhaite l’activer ou la désactiver.

Exemple de règle avec Snort:

og udp any any -> 192.168.1.0/24 1:1024
journalise le trafic udp provenant de tout port et à destination de ports dans l'intervalle de 1 à 1024

log tcp any any -> 192.168.1.0/24 :6000
journalise le trafic tcp depuis tout port et allant vers les ports inférieurs ou égaux à 6000

llog tcp any :1024 -> 192.168.1.0/24 500
journalise le trafic tcp depuis les ports privilégiés inférieurs ou égaux à 1024 allant vers les ports supérieurs ou égaux à 500

3.1 Les Plug-ins

Des plug-ins peuvent être installés afin d’améliorer des services existants ou afin d’ajouter des rôles supplémentaires à notre serveur IPCop.

  • URL Filter

Ce plug-in nous permettra d’effectuer un filtrage d’url afin d’interdire l’accès à certaines catégories de sites web (contenu pornographique, violence, drogue, hack, warez, etc.).

  • AdvProxy

Advanced Proxy est, comme son nom l’indique, un serveur proxy avancé. Il enrichit ainsi les options existantes au niveau du proxy d’IPCop, son installation est nécessaire pour pouvoir utiliser et activer le plug-in URL Filter.

  • CopFilter

On ne peut pas vraiment définir CopFilter de plug-in tellement l’étendu de ce qu’il apporte à IPCop est importante. CopFilter regroupe en fait un ensemble de plug-ins permettant d’effectuer un contrôle antivirus sur les e-mails entrants, de stopper le spam, d’effectuer des tâches de monitoring, etc.

4. Conclusion

IPCop permet d’utiliser une machine très vieille pour couvrir les besoins en sécurité internet de la plupart des PME, il permettra ainsi de réaliser des économies par rapport à d’autres solutions disponibles sur le marché réalisant la même tâche.Par ailleurs ce système ne demande aucune maintenance particulière et est conçu pour fonctionner non-stop pendant des mois sans avoir besoin de redémarrer.

La possibilité d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil à la fois fiable et évolutif. Par ailleurs, la facilité d'installation des mises à jour et la non-nécessité de redémarrer est un plus non négligeable. Seul défaut : celles-ci ne s'effectuent pas de façon automatique et il faut donc les vérifier de temps en temps à l'aide de l'onglet.

L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est plus nécessaire d'avoir un firewall d'installé sur chaque poste du réseau, le serveur se chargeant d'effectuer le filtrage en amont. . Contrainte que possède IPCop par rapport à des solutions physiques payantes qui prennent elles moins de place et qui possèdent parfois des règles de filtrage que l'ont peut un peu plus affiner, mais le prix de ce genre de solution ( surtout si elles gèrent le VPN ) n'a rien à voir avec celui d'un IPCop.

Sauf mention contraire, le contenu de cette page est protégé par la licence Creative Commons Attribution-ShareAlike 3.0 License