Guide IpCop
Guide IpCop
Guide IpCop
Guide « IpCop »
1 Schéma de principe
IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle vise à fournir un moyen simple mais
puissant pour configurer un pare-feu sur une architecture de type PC. Elle offre la classique Zone démilitarisée
(dmz)ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais).
IPCop peut également servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique
(DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres
choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...). Le support des
clients sans fil est aussi prévu par le biais d'une zone dédiée(zone bleue).
Les réseaux des EPLEFPA – Guide IpCop 4
IPCop 1.4.X supporte l'activation du système de détection des intrusions (IDS) sur chaque interface réseau de
la configuration. Il est fortement recommandé de surveiller le journal des évènements de l'IDS pour vos réseaux
internes dans le but de vérifier qu'aucune des machines dont vous êtes responsable n'a de comportement
étrange, comportement parfois signe d'une infection par un virus.
Un classement des réseaux proposés par IPCop par ordre décroissant de niveau de confiance donne la suite ci-
dessous :
ROUGE→ORANGE→BLEU→VERT
Les réseaux des EPLEFPA – Guide IpCop 5
4 Installation
4.1 Préalable :
Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou 4 cartes réseau en fonction de la
configuration choisie. Il est préférable de connecter directement les cartes à leur élément actif respectif. Il est
rappelé que les différentes interface d'un FireWall ne doivent pas être connectées au même réseau physique ou
alors uniquement sur des ports appartenant à des VLAN 802.1q différents.
En règle générale, l'interface rouge est directement connecté au port LAN de votre routeur d'accès Internet, le
port vert au switch de votre réseau local, le port orange à un switch (ou VLAN) dédié à votre DMZ et enfin
l'interface bleue directement à votre switch ou VLAN dédié aux bornes WIFI.
Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide
d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements.
Relevez quelques paramètres clefs sur votre interface actuelle avant de vous lancez dans l'installation :
• vérifiez comment vous obtenez actuellement une adresse IP : adresse IP statique, par DHCP , par
PPPOE ou par PPTP .
• si vous obtenez l'adresse par DHCP, vérifiez si votre système possède un nom d'hôte qu'il indique au
serveur de votre FAI.
• récupérez les adresses des serveurs de noms que vous utilisez. Le serveur DHCP de votre FAI peut vous
fournir automatiquement ces adresses ou vous pouvez avoir à les indiquer manuellement.
• relevez les éventuelles adresses par défaut de sous-domaine. Cela vous permet d'accéder à certains
services tels que mail ou news sans taper le nom d'hôte complet. Voyez l'explication dans le paragraphe
de configuration de DHCP .
Après avoir téléchargé la dernière version stable sur le site sourceforge.net, gravez une image iso bootable.
Les réseaux des EPLEFPA – Guide IpCop 6
Booter sur le cd
Entrer
Français ok
Les réseaux des EPLEFPA – Guide IpCop 7
Message de bienvenue
OK
support en cd puis OK
Les réseaux des EPLEFPA – Guide IpCop 8
Si le matériel lui plait alors la préparation du disque dur peut commencer : (création de fichier log) = long ne
pas s’inquiéter, laisser faire !
Une fois l’installation des paquets terminée, passons au premier paramétrage du pare feu.
Les réseaux des EPLEFPA – Guide IpCop 10
Si vous possédez une sauvegarde d’IPCOP choisissez l’emplacement sinon « passer » (sélection avec espace
puis tabulation pour descendre jusqu’à OK et entrer).
il en propose une ! !
Saisir de l’IP et le masque de l’Interface verte (la carte qui sera reliée à votre LAN), par exemple :
10.31.1.2 avec le masque en 255.255.255.0
Les réseaux des EPLEFPA – Guide IpCop 12
retirer le cd
Si vous possédez un nom de domaine, indiquez-le ici. Si vous n'en possédez pas ou si vous ne souhaitez pas
l'utiliser, vous pouvez très bien accepter la valeur par défaut, << localdomain >> . Si vous envisagez de mettre
en place un VPN, vous pourrez préfixer << localdomain >> pour produire par exemple << x.localdomain >> et
<< y.localdomain >>
Ce nom de domaine sera automatiquement utilisé comme << suffixe de nom de domaine >> du serveur DHCP.
Comme nous connectons notre interface rouge directement au routeur Internet , il faut désactiver RNIS
Choisissez le bouton rouge ad hoc (tabulation)
Maintenant il va être possible de choisir le type de configuration du FireWall (gestion de dmz, gestion de zone
wifi… en fonction de vos besoins que vous aurez préalablement déterminé : et donc du nombre de cartes réseau
que vous avez inséré dans votre machine !
Les réseaux des EPLEFPA – Guide IpCop 15
Dans notre exemple, nous choisissions une configuration à 3 cartes Ethernet, la Rouge vers le routeur Internet,
la verte vers le LAN et l'orange vers un switch DMZ.
Si possible pensez à étiqueter les cartes physiquement : c'est parfois utile par la suite ...
Puis de même pour les autres affectations en utilisant la fonction de recherche automatique :
Ensuite il va falloir affecter une adresse IP a chaque carte par le menu « Configuration des adresses » :
Interface par interface, en fonction du nombre de vos cartes, paramétrez les configurations IP :
Normalement la Green à déjà été faite précédemment (celle coté LAN). Vous pouvez tout de même revoir sa
configuration en la sélectionnant depuis la liste des interfaces.
Si elles sont présentes, vous configurez ensuite la carte Orange avec une IP privée de la zone DMZ, puis la
bleue avec une IP privée du réseau WIFI.
Enfin, si votre réseau ROUGE est de type Ethernet (majorité des cas en établissement), vous devez indiquer la
manière par laquelle l'interface obtient son adresse IP. Ceci dépend de votre FAI et du type de connexion.
Les réseaux des EPLEFPA – Guide IpCop 18
L'adressage statique est utilisé lorsque votre FAI vous fournit une adresse IP fixe (Cette adresse IP public fixe
est généralement délivrée sur votre demande auprès du FAI). Saisissez la dans le champ d'adresse IP de la boîte
de dialogue. IpCop déterminera automatiquement le masque de réseau. Vous pourrez toujours modifier ce
masque si nécessaire. C'est le cas généralement lorsque l'établissement est adhérent au réseau RENATER ou
que vous avez formuler une demande spécifique à votre FAI.
Attention: Votre réseau ROUGE doit posséder une adresse IP statique si vous envisagez d'utiliser la
fonctionnalité d'aliasing proposée par IPCop.
DHCP correspond au cas où votre FAI vous indique que vous devez utiliser un adressage automatique. La
connexion nécessite alors d'indiquer un nom d'hôte à leur serveur DHCP. Ce n'est très probablement pas le nom
d'hôte de votre IpCop. Vous pouvez éventuellement utiliser la première partie du nom de domaine pleinement
qualifié que vous avez relevé lors de la récupération des paramètres réseaux .
Si votre connexion se fait par PPPOE, votre FAI fournira toutes les informations nécessaires à la connexion de
sorte que vous n'avez rien à spécifier de plus après avoir sélectionné cette méthode de connexion.
Attention dans ce cas de figure la connexion se relance aux alentours de minuit pour changer d'IP.
Si votre connexion se fait par PPTP, vous devez indiquer l'adresse IP du réseau ROUGE ainsi que le masque de
réseau, tout comme dans le cas d'un adressage statique. Cette adresse est très fréquemment 10.0.0.150 avec le
masque réseau 255.255.255.0.
Si vous ne connaissez pas votre adresse IP: http://www.adresseip.com(depuis le reseau à tester!!!) si elle change
toute les 24h c'est que vous n'êtes pas en statique!!!!!
Quand vous en avez terminé, choisissez le bouton Ok pour revenir au Menu de configuration réseau .
Si vous êtes connecté au réseau RENATER, vous êtes très probablement en adresse ip fixe.
Sinon il y a de forte chance que vous soyez en PPPOE.
Les réseaux des EPLEFPA – Guide IpCop 19
La suite du paramétrage s'effectue depuis le navigateur Web d'un PC positionné sur le réseau.
Vous pouvez vérifier et éventuellement effectuer la mise à jour de votre serveur grâce au
Menu de « Système / Mises à jour »
Téléchargez la dernière mise à jour stable sur le site sourceforge.net sur votre PC
Installez la grâce aux champs « transférer le fichier de mise à jour » prévu dans ce menu
Activez le service
Activez le mode transparent sur Green (éventuellement sur Blue)
Passez le cache à 500 puis enregistrez
Téléchargez depuis un PC les dernières versions stables depuis les liens du site sourceforge.net
Les réseaux des EPLEFPA – Guide IpCop 22
Décompressez ces archives dans des dossiers de votre pc à l’aide de l'utilitaire WinRar qui gère les formats de
fichier .tar et .tar.gz
Téléchargez et installez le logiciel WinSCP sur votre PC (http://winscp.net/). Il vous permettra de transférer les
add-on sur votre serveur IpCop grâce à une connexion sécurisée SSH
Choisir « oui »
Les réseaux des EPLEFPA – Guide IpCop 23
Interface avec coté gauche les dossiers de la station Windows et coté droit les dossiers de l’IPCOP.
Transférez les dossiers entiers des add-on dans le répertoire /tmp de votre IpCop
Les réseaux des EPLEFPA – Guide IpCop 24
Attention lors de la décompression ou lors du transfert, il est possible que les droits sur les fichiers soient
modifiés, ce qui pertuberait l'installation. Il faut donc modifier les droits à l’aide du clic droit / propriétés
Un système de cases à cocher permet de rétablir les droits en exécution (cochez les X) :
Les réseaux des EPLEFPA – Guide IpCop 25
Ensuite c’est en ligne de commande sur le serveur qu’il va falloir décompresser ces archives dans les sous
dossiers précédemment créés et lancer les installations de ces modules !
Vous pouvez également vous connecter en mode console depuis votre PC en utilisant le logiciel « Putty » dont
le paramétrage est le même que celui de WinSCP vu précédemment.
1. Advanced Proxy
En interface web, maintenant dans le menu « Services » vous devez avoir le menu « proxy avancé »
32 500
Vous pouvez choisir ensuite d'authentifier vos utilisateurs via un serveur LDAP, AD ou RADIUS. Attention,
cette possibilité ne fonctionne pas avec le proxy en mode transparent.
Sauver et redémarrer
Les réseaux des EPLEFPA – Guide IpCop 28
2. URL Filter
Idem pour de urlfilter : décompression préalable puis installation au travers de Putty ou en direct sur le serveur
firewall.
En interface web, dans le menu « Services » vous avez maintenant le sous menu « filtre d’url »
Les réseaux des EPLEFPA – Guide IpCop 29
Il faut d'abord activer le filtre d'URL dans le menu « Services / Proxy avancé »
Puis aller dans le menu « Services / Filtre d'URL » pour le paramétrer. IpCop intègre le chargement et la mise à
jour des « Black lists » tenues à jour par l’Université de Toulouse. Effectuez le téléchargement, paramétrez la
fréquence de mise à jour et sauvegardez vos paramètres :
Les réseaux des EPLEFPA – Guide IpCop 30
Sélectionnez les listes de site dont vous souhaitez interdire l'accès. Attention, certaines sont très restrictives et
bloque même l'accès à Google …
Et enfin procéder à des réglages avancés comme, définir des adresses privilégiées non filtrées (votre propre PC
par exemple …), personnaliser le message d'erreur, activer certains champs des logs, ….
Pour Block out traffic : décompression préalable, transfert en faisant attention aux soucis de droits, puis
installation ! (attention ./setup au lieu de ./install précédemment avec les autres addons)
En interface web, vous avez à présent dans le menu « Parefeu » les sous menu gérer le traffic sortant et
configuration avancée du BOT »
Les réseaux des EPLEFPA – Guide IpCop 33
Vous devez ensuite saisir l’adresse mac du poste autorisé à administrer votre IpCop.
Vous trouvez l’adresse physique mac de windows avec la commande : ipconfig /all
Ensuite indiquez le port 445, cochez les suivantes (idem ci-dessous), sélectionnez reject et enfin cliquez sur le
bouton enregistrer
Par défaut, comme son nom l’indique, BOT (Block Out Traffic) va tout bloquer !!
Il s’agit donc maintenant d’ouvrir les ports nécessaires à nos utilisations dans les EPLEFPA. Les configurations
peuvent êtres différentes en fonction de l'utilisation de ce firewall suivant qu'il protége un réseau pédagogique,
un réseau administratif ou un mixte.
Il faut désormais créer des règles « d’acceptation de flux » de la carte verte (réseau LAN) vers la carte rouge
(routeur Internet).
Certains ports courants sont déjà présents dans BOT, et il suffira de les choisir dans une liste, d’autres sont à
créer en tant que service :
Exemple d’ouverture de port, le 510 pour notre messagerie first class (@educagri.fr) :
Les réseaux des EPLEFPA – Guide IpCop 35
Pour se simplifier la vie, il sera possible ensuite de créer des groupements de services, et ensuite il suffira de
faire une règle autorisant ce groupement de services à sortir de l’interface verte vers l’interface rouge. Par
exemple tous les protocoles de messagerie, puis un autre regroupement pour toutes les applis administratives …
Il suffit ensuite d'autoriser en une seule règle tout ce regroupement de services à sortir du « vert » vers le
« rouge » ou vers « any ».
Les réseaux des EPLEFPA – Guide IpCop 37
Elle apparaît ensuite dans liste des règles actuelles du serveur IpCop
Les réseaux des EPLEFPA – Guide IpCop 38
Voici la liste des principaux services dont vous avez besoin dans le cadre d'un EPL.
Vous pourrez les regrouper comme vu ci dessus avant de créer la règle les autorisant.
4. OpenVPN (Zerina)
Pour Zerina (OpenVPN) : décompression préalable, transfert en faisant attention aux soucis de droits, puis
installation par la commande ./install. Le fichier d'installation de Zerina (install) doit être modifié
avant d'être exécuté. En effet, l'add-on ZERINA contrôle la version d'IpCop mais sans être à jour ...
Vous pouvez le faire en tant que root directement par la console unix du serveur ou par l'utilitaire WinSCP en
faisant un click droit/Editer sur le fichier install :
On retourne sur WinSCP, on clique de droite sur le fichier « install » puis « Editer » ce qui ouvre une fenêtre
d'édition. On descend à peine un peu, jusqu'à :
Sur la ligne de test if de la version (la première ligne en sélection ici), vous remplacez la version exigée par
l'installeur par celle que vous avez réellement installé (dans notre exemple 1.4..20). Attention si vous avez mis à
jour la version 1.4.20 vers la 1.4.21, il faudra bien évidemment saisir la valeur 1.4.21
Dans l'interface web, vous avez à présent dans le menu « RPVs » le sous menu « OpenVPN » qui va vous
permettre de configurer votre serveur.
La suite de la configuration du serveur et des ses clients est détaillée dans le guide « Les réseaux des EPLEFPA
- Clients OpenVPN » au chapitre traitant d'IpCop.