Академический Документы
Профессиональный Документы
Культура Документы
PROJET : FIREWALL
Ralis par : HACHCHADI Mohammed Encadr par : MOUMEN Yassine
2013/2014
Ddicace
Tout dabord et avant dannoncer le 1er mot de mon rapport, Jaimerais Que ce travail prsente mes respects
A MES PARENTS :
Grce vos tendres encouragements et vos grands sacrifices, vous avez pu crer le climat affectueux propice la poursuite de mes tudes. Aucune ddicace ne saurait exprimer mes respects, mes considrations et mes profonds sentiments pour vous.
A MES FORMATEURS :
Votre gnrosit et votre soutient moblige vous prendre en considration sur ce ddicace.
2
Ralis par : HACHCHADI Mohammed
Remerciement
Le succs et la russite de mon stage nauraient pas t possibles, sans la participation effective de certaines personnes, qui ont assur mon encadrement durant toute la priode de formation alternance prvue dans mon cursus scolaire. A cet effet, je remercie, en premier lieu, Mr BEGDOURI Mohammed le directeur Administratif et financier, qui ont eus lamabilit de nous autoriser effectuer notre stage au sein de cette Division. Pour mon encadrant :
Mr MOUMEN Yassine
Et mes collgues : Zakaria, Said, Abdelhak, Mohcine, Karim.. Que je remercie pour les conseils prcieux quils mont procurs tout au long de mon apprentissage. Je tiens associer ces remerciements tous les employs de Cabinet Begdouri que je ne serais nomm individuellement pour leurs cooprations et leurs gentillesses, quils trouvent ci lexpression de ma reconnaissance. Je tiens galement adresser nos vifs remerciements mon formateur Mr Jamal Ben Rahal qui je noublierai jamais lenseignement prcieux quil ma prodigu, et je le remercie aussi pour la sympathie quil tmoigne mon gard. 3
Ralis par : HACHCHADI Mohammed
Avant-Propos
- Les stages professionnels jouent un rle capital dans la formation des stagiaires des Instituts de Formation Professionnels, ils sont le trait entre la thorie et la pratique.
- A cet effet, lInstitut de Formation organise chaque anne des stages pratiques en faveur des stagiaires au sein des tablissements publiques ou privs pour amliorer le rendement de la formation linstitut.
- Afin datteindre cet objectif, jai eu loccasion davoir un stage au sien du Cabinet Begdouri dune priode de Cinquante jours allant du 02 Fvier au 27 Mars 2014.
- Jespre que ce rapport sera apprci par tous mes dirigeants, mes enseignants et vous tiendrez au courant de toutes les tapes de ce stage et activit de loffice.
4
Ralis par : HACHCHADI Mohammed
Introduction
De nos jours, la plus part des entreprises possdent de nombreux postes informatiques qui sont en gnral relis entre eux par un rseau local. Ce rseau permet d'changer des donnes entre les divers collaborateurs internes l'entreprise et ainsi de travailler en quipe sur des projets communs. La possibilit de travail collaboratif apporte par un rseau local constitue un premier pas. L'tape suivante concerne le besoin d'ouverture du rseau local vers le monde extrieur, c'est dire Internet. En effet, une entreprise n'est jamais compltement ferme sur elle-mme. Il est par exemple ncessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extrieur signifie aussi laisser une porte ouverte divers acteurs trangers. Cette porte peut tre utilise pour des actions qui, si elles ne sont pas contrles, peuvent nuire l'entreprise (piratage de donnes, destruction,...). Les mobiles pour effectuer de telles actions sont nombreux et varis : attaque visant le vol de donnes, passetemps, ...
5
Ralis par : HACHCHADI Mohammed
Pour parer ces attaques, une architecture de rseau scurise est ncessaire. L'architecture devant tre mise en place doit comporter un composant essentiel qui est le firewall. Cet outil a pour but de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le rseau ouvert sur Internet beaucoup plus sr.
De plus, il peut galement permettre de restreindre l'accs interne vers l'extrieur. En effet, des employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les activits se droulant dans son enceinte.
Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu. Tout ceci sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes.
6
Ralis par : HACHCHADI Mohammed
Partie I :
Prsentation de cabinet Begdouri
7
Ralis par : HACHCHADI Mohammed
1) Prsentation de Cabinet BEGDOURI MOYENS MATERIELS ET TECHNIQUES DU CABINET Le cabinet occupe un local de 164m au cinquime tage de l'immeuble N10, sise rue American au quartier de l'Ocan. Le Cabinet Begdouri est dot d'une configuration oprationnelle au niveau informatique qui lui permet de mener bien les missions qui lui confies. Ainsi la configuration matrielle est constitue de quinze units de travail : un serveur, trois stations de travail, sept PC de bureau et quatre PC portables. Le cabinet dispose aussi de deux imprimantes A4 laser noir et blanc, d'une imprimante A4 laser couleur, de deux traceurs A0 couleur, dune imprimante photocopieurs A4 et a3 laser noir et blanc, d'une imprimante photocopieuse A4 et A3 laser couleur et d'une imprimante scanner photocopieur A0. Par ailleurs, le cabinet a "galement la capacit de mobiliser de manire instantane, si ncessaire. Des moyens beaucoup plus importants compte tenu des relations denses et solides que le cabinet a pu tisser avec en nombre important de professionnels et de prestataires de services lis son champ d'activit. Le cabinet dispose aussi de trois voitures de services qui sont la disposition du personnel pour tous les dplacements sur chantier et visites sur le terrain.
MOYENS HUMAINS DU CABINET Grce l'exprience professionnelle du Chef de Cabinet aussi dans le secteur public que dans le secteur priv, le cabinet dispose d'un rseau relationnel avec des spcialistes-experts dans dvies domaines lis l'Architecture, l'Urbanisme, l'environnement et l'Amnagement du Territoire. De ce fait, le Cabinet aux capacits de mobiliser - selon les besoins les profile de haut niveau. 8
Ralis par : HACHCHADI Mohammed
L'quipe permanente du cabinet d'architecture Begdouri est constitue de : 1 - -> Architecte-Urbaniste-Diplme d-Architecte d.p.l.g : (juin 1980) Diplme des Etudes Approfondies (DEA) en Urbanisme (juin 1981) 1 --> Architecte-Diplme de l'ENA (Octobre 2006) 1--> Gographe Urbaniste doctorant en urbanisme 1--> Informaticien Diplm des Etudes Suprieures en Management(ESIG) 1--> Economiste -Licence en sciences conomiques (Juliet 2000) 1--> Secrtaire de Direction 1--> Technicien projeteur spcialis en Architecture(2005) 1--> Technicien spcialis en Urbanisme(2006) 1--> Technicien mtreur(2007) 3--> Technicien dessinateurs(2010) 1--> Technicien infographiste(2007) D'autres ressources humaines sont associes sans faire partie de l'agence tels des architectes, conomistes, ingnieurs, dmographes, juristes, sociologues et gographes au travaillent, selon la demande, comme consultants. Par ailleurs, le Cabinet est ouvert aux tudiants-chercheurs des Institutions de formation suprieure telles l'Ecole Nationales d'Architecture, l'Institut National d'Amnagement et d'Urbanisme, la Facult des Lettres (Dpartement gographie), ainsi que d'autres institutions d'enseignement suprieur au Maroc et l'tranger
9
Ralis par : HACHCHADI Mohammed
3) Prsentation de DSI Au sein d'une entreprise, le DSI, directeur du service informatique, est responsable des infrastructures informatiques et tlcom. Le rle du DSI est de coordonner une quipe (service informatique) dont l'objectif est de mettre en place et assurer la maintenance des outils technologiques de l'entreprise. Si sa fonction tait forte consonance technique il y a encore quelques annes, le DSI endosse aujourd'hui une responsabilit toujours plus fonctionnelle. Autrement dit, il est l pour assurer la mise en adquations des outils informatiques avec les objectifs stratgiques globaux de l'entreprise. Ainsi, la connaissance du mtier de l'entreprise tend prvaloir sur la connaissance informatique. 10
Ralis par : HACHCHADI Mohammed
MISSIONS Dvelopper, exploiter et maintenir linfrastructure rseaux et tlcoms de lentreprise ; Pilo ter les projets dinfrastructure rseaux et tlcoms ; me dinformation ; Grer la scurit du syst Administrer et assurer la maintenance de la plateforme serveurs (matriels et systmes dexploitation) ; Scuriser linfrastructure technique ; ATTRIBUTIONS 1- Maintenir niveau linfrastructure rseaux et tlcoms ; 2- Acqurir les moyens techniques et les prestations de services affrentes linfrastructure technique rseaux et tlcoms ; 3- Mettre en place les normes et les procdures dexploitation de linfrastructure technique rseaux et tlcoms ; 4- Elaborer, mettre en uvre et veiller lapplication de la politique de scurit du systme dinformation ; 5- Etudier les besoins de lentreprise en termes de solutions rseaux et tlcoms ; 6- Encadrer et supporter les entits de lentreprise ; 7- Suivre les accords avec les acteurs tlcoms ; 8- Assurer la veille technologie ; 9- Dimensionner et grer la capacit de linfrastructure rseaux et tlcoms ; 10- Etudier les besoins des entits de lentreprise en termes de moyens rseaux et tlcoms ; 11- Anticiper les besoins et proposer des plans dvolution ; 12- Acqurir les solutions rseaux et tlcoms ; 13- Piloter les dploiements de linfrastructure ; 14- Elaborer les tableaux de bords des indicateurs de performance de linfrastructure ; 15- Grer les contrats de services avec les prestataires ; 16- Suivre les accords s avec les partenaires tlcoms ; 17- Fournir un support aux projets de lentreprise intgrants le volet rseaux et tlcoms ; 11
Ralis par : HACHCHADI Mohammed
12
Ralis par : HACHCHADI Mohammed
13
Ralis par : HACHCHADI Mohammed
I.
Un pare-feu (Firewall) est un systme qui filtre les changes rseaux. Il y a essentiellement deux types de filtrages : -Les pare-feu qui isolent deux rseaux. Leur rle essentiel est de restreindre les accs provenant de lextrieur (par exemple dinternet vers votre LAN). Ils peuvent aussi interdire des changes issus de lintrieur (de LAN vers Internet). -Les pare-feu qui isolent les applications du rseau. Ces pare-feu sont locaux un poste de travail ou un serveur. Ils interdisent soit des connexions provenant du rseau soit des changes issus des applications locales.
Proxy
Un proxy est une application qui sert dintermdiaire entre un client et un serveur. Le client envoie sa requte au proxy, et celui-ci la rmet en direction du serveur. De mme, la rponse du serveur est reue par le proxy qui la retransmet au client. Un proxy peut tre configure pour filtrer les requtes. Des logiciels proxys peuvent possder de la mmoire cache, RAM et disque, qui amliore les performances daccs des postes du rseau intrieur. Il y a essentiellement deux types de proxy : - Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP) - Les proxys transparents qui sont des intermdiaires pour tout type de protocole TCP. La technologie SOCKS est de ce type.
Rempart
Un rempart (Bastion Host) est un ordinateur accessible de lextrieur, cote Internet, et qui est donc vulnrable aux attaques. Il doit tre plus particulirement protg. Les remparts abritent les logiciels Proxy et les services.
DMZ
Une DMZ (De-Militarized Zone) ou zone dmilitarise, est un rseau accessible partir du rseau extrieur et qui abrite les remparts. Laccs au rseau est contrle par des routeurs filtrant.
15
Ralis par : HACHCHADI Mohammed
tcpd, wrap : cette commande ou cette bibliothque implmente un pare-feu applicatif qui peut filtrer les connexions rseaux pour la plupart des services rseaux. dante : ce logiciel implmente un serveur compatible SOCKS. Squid : ce logiciel peut isoler deux rseaux sil est installe sur un serveur ayant accs ces rseaux.
16
Ralis par : HACHCHADI Mohammed
II.
Le systme Netfilter/iptables implmente un routeur filtrant. Il peut donc servir comme pare-feu pour isoler deux rseaux grce au filtrage des paquets et au NAT. Il peut tre utilis galement comme pare-feu local. Dans ce cas, il protge les applications serveurs du rseau ou bien limite les connexions internes certains sites. Labsence de pare-feu local est considre comme une des failles majeures dun systme. Netfilter est le code inclus dans le pilote rseau des noyaux Linux 2.4 et 2.6. La commande iptables configure Netfilter.
17
Ralis par : HACHCHADI Mohammed
c) Les tables
Les chaines gres par Netfilter sont en fait incluses dans des entits plus vastes appeles tables . Chaque table correspond aux diffrentes possibilits diptables : - La table filter filtre les paquets IP. Elle est constitue des chaines INPUT, OUTPUT et FORWARD. - La table nat effectue le NAT et de manire plus globale elle permet de rediriger des paquets. Elle est constitue des chaines PREROUTING, OUTPUT et POSTROUTING. - La table mangle peut modifier certains champs des paquets IP, par exemple leur priorit. Elle est constitue des chaines PREROUTING et OUTPUT.
18
Ralis par : HACHCHADI Mohammed
Nous allons saisir toutes les commandes dans un script Shell ensuite lexcuter.
Remarque : la premire commande (iptables L) : elle liste les rgles pare-feu de la tables filter.
20
Ralis par : HACHCHADI Mohammed
On pourra dmarrer le script aprs lavoir rendu excutable par la commande : #/etc/init.d/parefeu_local start 21
Ralis par : HACHCHADI Mohammed
III.
- La zone BLEU reprsente les clients wifi (qui sont dans un rseau spar). - La zone GREEN reprsente le rseau interne. Le schma ci-dessous reprsente la configuration par dfaut du pare-feu de la passerelle, savoir : - Le rseau interne (le LAN) peut accder toutes les zones. - La zone wifi peut accder internet et la DMZ. - La zone DMZ pourra accder internet. - Aucun accs depuis Internet Pour autoriser un accs un serveur situ dans la DMZ (zone orange), il faudra le spcifier au travers de linterface web dIPCOP.
23
Ralis par : HACHCHADI Mohammed
25
Ralis par : HACHCHADI Mohammed
IV.
Installation dIPCOP :
1- O trouver IPCOP ?
IPCOP est disponible en tlchargement dans la section download du site www.ipcop.org. IPCOP est disponible sous forme de fichier source compiler et sous forme dune image graver sur un cd. Pour installer IPCOP, le plus simple est de tlcharger limage de sa version la plus rcente puis de la graver sur un CD avec un logiciel adapt (nero ou easy cd creator par exemple).Le cd, une fois grav, est un cd bootable.
2- Installation
1. Dabord, pensez vrifier quil ny a pas dinformation sauvegarder sur le disque car IPCOP va tout effacer. 2. Ensuite, rgler le bios de lordinateur pour quil boot sur le cd. 3. Insrer le cd et dmarrer, lcran suivant devrait apparatre :
26
Ralis par : HACHCHADI Mohammed
4. Appuyer sur entre pour dmarrer linstallation. 5. Ensuite, il faut simplement suivre les instructions, la chose consiste en choisir le langage pour linstallation : Il faut donc se placer sur Franais et appuyer sur la touche entre
6. Le programme dinstallation vous souhaite la bienvenue, appuyer sur entre. 7. Le programme vous demande la source pour linstallation, choisissez le lecteur cd-rom.
8. Confirmer ensuite que le CD-Rom se trouve dans le lecteur en appuyant sur entre. 27
Ralis par : HACHCHADI Mohammed
9. On en vient au formatage du disque, appuyer sur entre pour commencer (cela prend quelques minutes).
10. Le programme dinstallation permet de rtablir une configuration dIPCOP qui a t sauvegard sur disquette, pour reproduire les rglages effectus (dans le cas dune rinstallation par exemple). Dans le cas o vous navez pas de disquette, dplacer vous sur le bouton Passer grce la touche de tabulation et appuyer sur entre.
28
Ralis par : HACHCHADI Mohammed
11. Il sagit maintenant de trouver les drivers adapt la carte rseau qui sera sur la zone verte (cot rseau interne). Si la carte rseau est dans la liste du matriel compatible fourni sur www.ipcop.org , les pilotes devraient tre automatiquement trouvs en appuyant sur la touche recherche . Si le matriel nest pas dtect, il y a possibilit de lui attribuer des pilotes manuellement avec la touche slectionner .
12. Ensuite, il faut configurer cette carte rseau, on entre donc ladresse ip de la passerelle vu du rseau interne tant (on est dans la zone verte ).
29
Ralis par : HACHCHADI Mohammed
13. Le programme dinstallation vous demande maintenant de retirer le cd, obissez et appuyer sur entre pour continuer linstallation.
14. Choisissez le type de clavier : fr pour un clavier franais. 15. Slectionnez ensuite le fuseau horaire auquel vous appartenez, soit Afrique/Dakar pour notre cas. 16. Ensuite, entrez un nom pour la passerelle (ex : ipcopTdsi ). Ainsi quun nom de domaine la fentre qui suit.
30
Ralis par : HACHCHADI Mohammed
17. Le programme propose maintenant de configurer la connexion RNIS, dans le cas o vous en navez pas, choisissez directement loption Dsactiver RNIS (ISDN) . 18. On arrive maintenant une tape importante : la configuration du rseau. Le menu suivant apparat :
31
Ralis par : HACHCHADI Mohammed
19. Allez dans Type de configuration rseau pour choisir larchitecture du rseau. Voici les possibilits proposes :
Nous avons choisi larchitecture qui nous convient : GREEN + ORANGE + RED 20. Ensuite, il sagit dattribuer des pilotes aux cartes rseau qui nen ont pas (la carte sur la zone verte tant dj configure) en allant dans Affectation des pilotes et des cartes .
32
Ralis par : HACHCHADI Mohammed
Choisissez OK pour configurer les pilotes. Les captures dcrans suivants sont un exemple avec une architecture GREEN + ORANGE+ RED, On voit quil faut attribuer un pilote la deuxime carte rseau (de la zone orange) :
Ensuite il faudra faire de mme pour la carte RED et si tout se passe bien nous aurons lcran suivant :
33
Ralis par : HACHCHADI Mohammed
21. Toutes les cartes rseau ayant un pilote, il sagit maintenant de leur attribuer une adresse IP. Ladresse IP de la zone verte tant dj configure. Allez dans Configuration de ladresse pour attribuer une adresse IP toutes les autres cartes rseau.
34
Ralis par : HACHCHADI Mohammed
Zone Internet (Rouge) Attribuez un adresse IP chaque zone puis aller sur continuer quand vous avez fini.
35
Ralis par : HACHCHADI Mohammed
Remarque :
Si votre zone rouge est un carte rseau (donc pas un modem), il est possible de configurer pour cette zone seulement en client DHCP (de manire ce que ce soit le routeur par exemple qui transmette ladresse IP et les DNS). 22. Pour finir avec ce menu, allez dans Configuration du DNS et de la Passerelle pour choisir un DNS et une passerelle par dfaut. Il est peut probable que vous ayez besoin de configurer ces informations manuellement : Dans le cas dune zone rouge avec modem, ces infos sont envoy par le FAI (rien configurer).Dans le cas dune interface rouge connecte un routeur : ou la passerelle est client dhcp du routeur (et l, rien configurer), ou vous avez donn une adresse IP statique linterface rouge (et dans ce cas, il faut renseigner les DNS et la passerelle manuellement). 23. Enfin, la dernire tape est dentrer un mot de passe pour ladministrateur du poste ( root ) et un pour ladministration distante (au travers du site web soit lutilisateur (admin).
36
Ralis par : HACHCHADI Mohammed
Mot de passe de la cl de cryptage des sauvegardes : hachchadiBeg 24. Pour finir, le programme redmarre lordinateur, IPCOP est install.
37
Ralis par : HACHCHADI Mohammed
38
Ralis par : HACHCHADI Mohammed
39
Ralis par : HACHCHADI Mohammed
V.
Administration dIPCOP
40
Ralis par : HACHCHADI Mohammed
2- Prsentation de linterface :
Linterface web est compose de 7 menus droulant que nous allons dtailler en commenant par le menu systme .Nous allons prsenter les principales fonctions de chaque page de ce site web.
3- Menu Systme
Le menu systme contient des sections pour configurer IPCOP, et linterface web : Section Accueil : Cest la premire page affich lorsquon accde linterface dIPCOP. Cette page permet principalement de connecter/de connecter la passerelle dInternet. Section Mise jour : permet de savoir si une mise jour est disponible. Si une mise jour est disponible, il suffit de la tlcharger et de la transfrer IPCOP grce cette mme section.
41
Ralis par : HACHCHADI Mohammed
Section Mot de passe : permet de changer le mot de passe de lutilisateur admin (qui est ladministrateur dIPCOP) et le mot de passe de lutilisateur Dial (utilisateur qui simplement le droit de connecter/dconnecter Internet dans le cas dune connexion par modem. Section Accs SSH : permet dactiver ou de dsactiver le serveur SSH sur la passerelle. Le serveur SSH peut tre utile pour faire des choses quon ne peut pas faire directement sur le site web dIPCOP (ex : changer une ladresse IP dune interface). Section Interface graphique : permet de choisir la langue des pages web et dactiver/dsactiver les menu droulant pour les navigateurs non compatibles avec JavaScript. Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration dIPCOP. Il est aussi possible deffectuer une sauvegarde sur disquette pour restaurer cette configuration lors dune rinstallation complte dIPCOP. Section Arrter : permet darrter et de redmarrer la passerelle. Section Crdits : pour contacter les auteurs dIPCOP.
4- Menu Etat
On trouve dans ce menu des informations sur ltat du systme : Section Etat du systme : permet de connatre ltat de tous les services ainsi que lutilisation de la mmoire et disque. Section Etat du rseau : permet de visualiser ladresse ip des interfaces rseau, de voir les clients dhcp et les tables de routages. Section Graphiques systme : permet de visualiser sous forme de graphique lutilisation du processeur, de la mmoire et du disque dur sur les dernires 24 heures, le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interface (sur chaque zone) sur les dernires 24 heures, le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. 42
Ralis par : HACHCHADI Mohammed
Section Graphes du proxy : donne des graphiques sur lutilisation du serveur mandataires. Section Connexion : permet de visualiser le connections en cours sur la passerelle.
5- Menu Rseau
Ce menu est ddi la configuration du modem RTC ou ADSL (si vous avez un routeur, ce menu nest pas utile) : Section Connexion : permet de rentrer les paramtres de connexion fournie par le FAI, il est possible davoir plusieurs profils de connexion (dans le ou vous avez plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de repli ). Section Chargement : permet de tlcharger les drivers pour faire fonctionner certains modems. Section Modem : permet de modifier les commandes pour les modems RTC.
6- Menu Services
Cest ici quon configure tous les services de la passerelle : Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns). Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une). Section DNS Dynamique : permet de mettre en place un client pour mettre jour un DNS dynamique (type dyndns.org, no-ip.com, ). Section Htes statiques : permet dajouter des htes avec ip statiques. 43
Ralis par : HACHCHADI Mohammed
Section Serveur de temps : permet la passerelle dtre un client NTP dun part et dtre un serveur NTP pour le rseau interne dautre part (attention : le serveur NTP met quelques heures avant de fonctionner). Section Lissage de trafic : permet de limiter les dbits montant et descendant des clients qui vont sur internet. On peut aussi, donner des priorits diffrentes selon les services pour faire de la qualit de service. Section Dtection dintrusion : permet dactiver ou de dsactiver les sondes de dtection dintrusion sur toutes les zones.
7- Menu Pare-feu
Ce menu permet de configurer le pare-feu : Section Transferts de port : permet de dfinir des rgles de transfert de port pour donner accs des services dinternet tant sur le rseau interne ou sur la DMZ si il y en a une. Section Accs Externes : permet douvrir des ports pour accder la passerelle dInternet. Section Accs la DMZ : (menu qui existe si la zone orange existe) permet douvrir des accs direct entre la DMZ et le rseau interne.
8- Menu RPVs
On cre ici les Rseaux Privs Virtuel (ou Virtual Private Network en anglais) : Section RPVs : permet de crer des vpn (rseau rseau, ou postes rseau).
44
Ralis par : HACHCHADI Mohammed
9- Menu Journaux
Ce menu permet daccder tous les journaux gnrs par IPCOP et ses services : Section Configuration des journaux : permet de choisir si les journaux doivent tre affichs dans lordre chronologique et chronologique inverse. On peut aussi choisir denvoyer les journaux sur un serveur syslog et changer le niveau de verbosit. Section Rsum des journaux : cour rsum des journaux du serveur mandataire, du systme, du serveur sshd et de lutilisation du disque. Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a t active). Section Journaux du pare-feu : permet de visualiser les journaux daccs au pare-feu. Section Journaux IDS : permet de visualiser les tentatives dintrusion dtecte par les sondes du dtecteur dintrusion. Section Journaux systme : permet de visualiser les journaux systmes (systems, dns, dhcp, ssh, ntp, )
10-
Utilitaire setup
Linterface graphique ne permet pas de tout faire, en particulier changer ladresse IP dune carte rseau ou changer de type de passerelle. Lutilitaire setup permet de : Configurer le type de clavier (fr, us, ). Changer de fuseau horaire. Modifier le nom de la passerelle. Modifier le nom de domaine. Modifier la configuration rseau de la passerelle. Lutilitaire setup permet par exemple de passer dun rseau GREEN + RED GREEN + RED + ORANGE par exemple sans rinstaller le parefeu. 45
Ralis par : HACHCHADI Mohammed
Pour accder lutilitaire setup, il faut se connecter la passerelle au travers de ssh attention : le port dcoute du serveur ssh intgr ipcop est le 222 et non 22 ailleurs), sidentifier en tant que root et taper setup . Cest un menu graphique trs simple utiliser :
46
Ralis par : HACHCHADI Mohammed
VI.
Paramtrage :
Ici cochez :Accs SSHAutorise le transfert TCP Permettre lauthentification par mot de passe Permettre lauthentification par cl publique
Ces paramtres vont nous permettre daccder notre firewall depuis notre PC et dy transfrer les fichiers ncessaires linstallation des plugins.
47
Ralis par : HACHCHADI Mohammed
48
Ralis par : HACHCHADI Mohammed
3) Dcompresser larchive en se connectant sur la passerelle au travers de ssh (utiliser le client Putty par exemple, il est gratuit, en tapant la commande suivante : root@ipcopTdsi:/tmp # tar -xzvf ipcop-advproxy-2.1.2.tar.gz
49
Ralis par : HACHCHADI Mohammed
50
Ralis par : HACHCHADI Mohammed
Pour dsinstaller Advanced Proxy, il faut excuter : ./tmp/ipcop-advproxy/uninstall Rappel : Le serveur SSH install sur IPCOP doit tre activ sur linterface web pour fonctionner. De plus, ce serveur SSH coute sur le port 222 (et pas 22).Une fois install, la page de configuration du proxy est tendue avec les options cites ci-dessus. 2.2- url filter Url filter permet de mettre en place du filtrage durl comme son nom lindique. Cet utilitaire permet dinterdire aux utilisateurs de visiter des sites web dont lurl (exemple durl www.msn.com) contient des termes rfrence pornographique, violent Url filter peut aussi filtrer les popups publicitaires. 51
Ralis par : HACHCHADI Mohammed
Pour installer Url filter, il faut : 1) Tlcharger larchive urlfilter sur le site www.urlfilter.net . 2) Placer larchive dans le rpertoire /tmp de la passerelle en utilisant lutilitaire WinSCP. 3) Dcompresser larchive en se connectant sur la passerelle au travers de ssh en tapant la commande suivante : tar -xzf ipcopurlfilter-1.9.1.tar.gz 4) Installer url filter en se plaant dans /tmp/ ipcop-urlfilter et en tapant : ./install
Pour dsinstaller url filter, il faut excuter : ./tmp/ipcop-urlfilter/uninstall Une fois install, le menu service contient une nouvelle section filtrage durl qui permet de configurer le filtrage durl. 52
Ralis par : HACHCHADI Mohammed
Transfert de ports
53
Ralis par : HACHCHADI Mohammed
Pour conclure, Je tiens signaler que llaboration de ce projet ma permis dacqurir beaucoup dexpriences au niveau du contacte avec le milieu professionnel. Car, jai certainement appris des comptences techniques et jai amlior les connaissances thoriques et pratiques notamment en rseaux informatiques. Pendant ce stage, Jai admis un certain nombre de qualits permettant de sintgrer dans le marcher demploi tout en faisant la distinction entre la formation thorique et la ralit professionnelle. En effectuant ce stage, Jai acquis certaines attitudes que je n'avais pas avant, que j'en cite: La confiance en soi Le respect de l'horaire du travail Le respect du mtier Le respect des suprieurs et collgues La rapidit dexcution de travail A la fin, javoue que je suis personnellement trs satisfait de ce stage au sein de cabinet begdouri.
54
Ralis par : HACHCHADI Mohammed
55
Ralis par : HACHCHADI Mohammed