RAPPORT DE STAGE

PROJET : FIREWALL
Ralis par : HACHCHADI Mohammed Encadr par : MOUMEN Yassine

2013/2014

Ddicace
Tout dabord et avant dannoncer le 1er mot de mon rapport, Jaimerais Que ce travail prsente mes respects

A MES PARENTS :
Grce vos tendres encouragements et vos grands sacrifices, vous avez pu crer le climat affectueux propice la poursuite de mes tudes. Aucune ddicace ne saurait exprimer mes respects, mes considrations et mes profonds sentiments pour vous.

A MES FORMATEURS :
Votre gnrosit et votre soutient moblige vous prendre en considration sur ce ddicace.

A TOUTES MES AMIES :

Trouvez ici le tmoignage dune fidlit et amiti infinies.

2
Ralis par : HACHCHADI Mohammed

Remerciement
Le succs et la russite de mon stage nauraient pas t possibles, sans la participation effective de certaines personnes, qui ont assur mon encadrement durant toute la priode de formation alternance prvue dans mon cursus scolaire. A cet effet, je remercie, en premier lieu, Mr BEGDOURI Mohammed le directeur Administratif et financier, qui ont eus lamabilit de nous autoriser effectuer notre stage au sein de cette Division. Pour mon encadrant :

Mr MOUMEN Yassine

Et mes collgues : Zakaria, Said, Abdelhak, Mohcine, Karim.. Que je remercie pour les conseils prcieux quils mont procurs tout au long de mon apprentissage. Je tiens associer ces remerciements tous les employs de Cabinet Begdouri que je ne serais nomm individuellement pour leurs cooprations et leurs gentillesses, quils trouvent ci lexpression de ma reconnaissance. Je tiens galement adresser nos vifs remerciements mon formateur Mr Jamal Ben Rahal qui je noublierai jamais lenseignement prcieux quil ma prodigu, et je le remercie aussi pour la sympathie quil tmoigne mon gard. 3
Ralis par : HACHCHADI Mohammed

Avant-Propos
- Les stages professionnels jouent un rle capital dans la formation des stagiaires des Instituts de Formation Professionnels, ils sont le trait entre la thorie et la pratique.

- A cet effet, lInstitut de Formation organise chaque anne des stages pratiques en faveur des stagiaires au sein des tablissements publiques ou privs pour amliorer le rendement de la formation linstitut.

- Afin datteindre cet objectif, jai eu loccasion davoir un stage au sien du Cabinet Begdouri dune priode de Cinquante jours allant du 02 Fvier au 27 Mars 2014.

- Jespre que ce rapport sera apprci par tous mes dirigeants, mes enseignants et vous tiendrez au courant de toutes les tapes de ce stage et activit de loffice.

4
Ralis par : HACHCHADI Mohammed

Introduction
De nos jours, la plus part des entreprises possdent de nombreux postes informatiques qui sont en gnral relis entre eux par un rseau local. Ce rseau permet d'changer des donnes entre les divers collaborateurs internes l'entreprise et ainsi de travailler en quipe sur des projets communs. La possibilit de travail collaboratif apporte par un rseau local constitue un premier pas. L'tape suivante concerne le besoin d'ouverture du rseau local vers le monde extrieur, c'est dire Internet. En effet, une entreprise n'est jamais compltement ferme sur elle-mme. Il est par exemple ncessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extrieur signifie aussi laisser une porte ouverte divers acteurs trangers. Cette porte peut tre utilise pour des actions qui, si elles ne sont pas contrles, peuvent nuire l'entreprise (piratage de donnes, destruction,...). Les mobiles pour effectuer de telles actions sont nombreux et varis : attaque visant le vol de donnes, passetemps, ...

5
Ralis par : HACHCHADI Mohammed

Pour parer ces attaques, une architecture de rseau scurise est ncessaire. L'architecture devant tre mise en place doit comporter un composant essentiel qui est le firewall. Cet outil a pour but de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le rseau ouvert sur Internet beaucoup plus sr.

De plus, il peut galement permettre de restreindre l'accs interne vers l'extrieur. En effet, des employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les activits se droulant dans son enceinte.

Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu. Tout ceci sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes.

6
Ralis par : HACHCHADI Mohammed

Partie I :
Prsentation de cabinet Begdouri

7
Ralis par : HACHCHADI Mohammed

1) Prsentation de Cabinet BEGDOURI MOYENS MATERIELS ET TECHNIQUES DU CABINET Le cabinet occupe un local de 164m au cinquime tage de l'immeuble N10, sise rue American au quartier de l'Ocan. Le Cabinet Begdouri est dot d'une configuration oprationnelle au niveau informatique qui lui permet de mener bien les missions qui lui confies. Ainsi la configuration matrielle est constitue de quinze units de travail : un serveur, trois stations de travail, sept PC de bureau et quatre PC portables. Le cabinet dispose aussi de deux imprimantes A4 laser noir et blanc, d'une imprimante A4 laser couleur, de deux traceurs A0 couleur, dune imprimante photocopieurs A4 et a3 laser noir et blanc, d'une imprimante photocopieuse A4 et A3 laser couleur et d'une imprimante scanner photocopieur A0. Par ailleurs, le cabinet a "galement la capacit de mobiliser de manire instantane, si ncessaire. Des moyens beaucoup plus importants compte tenu des relations denses et solides que le cabinet a pu tisser avec en nombre important de professionnels et de prestataires de services lis son champ d'activit. Le cabinet dispose aussi de trois voitures de services qui sont la disposition du personnel pour tous les dplacements sur chantier et visites sur le terrain.

MOYENS HUMAINS DU CABINET Grce l'exprience professionnelle du Chef de Cabinet aussi dans le secteur public que dans le secteur priv, le cabinet dispose d'un rseau relationnel avec des spcialistes-experts dans dvies domaines lis l'Architecture, l'Urbanisme, l'environnement et l'Amnagement du Territoire. De ce fait, le Cabinet aux capacits de mobiliser - selon les besoins les profile de haut niveau. 8
Ralis par : HACHCHADI Mohammed

L'quipe permanente du cabinet d'architecture Begdouri est constitue de : 1 - -> Architecte-Urbaniste-Diplme d-Architecte d.p.l.g : (juin 1980) Diplme des Etudes Approfondies (DEA) en Urbanisme (juin 1981) 1 --> Architecte-Diplme de l'ENA (Octobre 2006) 1--> Gographe Urbaniste doctorant en urbanisme 1--> Informaticien Diplm des Etudes Suprieures en Management(ESIG) 1--> Economiste -Licence en sciences conomiques (Juliet 2000) 1--> Secrtaire de Direction 1--> Technicien projeteur spcialis en Architecture(2005) 1--> Technicien spcialis en Urbanisme(2006) 1--> Technicien mtreur(2007) 3--> Technicien dessinateurs(2010) 1--> Technicien infographiste(2007) D'autres ressources humaines sont associes sans faire partie de l'agence tels des architectes, conomistes, ingnieurs, dmographes, juristes, sociologues et gographes au travaillent, selon la demande, comme consultants. Par ailleurs, le Cabinet est ouvert aux tudiants-chercheurs des Institutions de formation suprieure telles l'Ecole Nationales d'Architecture, l'Institut National d'Amnagement et d'Urbanisme, la Facult des Lettres (Dpartement gographie), ainsi que d'autres institutions d'enseignement suprieur au Maroc et l'tranger

9
Ralis par : HACHCHADI Mohammed

2) Organigramme de Cabinet BEGDOURI

3) Prsentation de DSI Au sein d'une entreprise, le DSI, directeur du service informatique, est responsable des infrastructures informatiques et tlcom. Le rle du DSI est de coordonner une quipe (service informatique) dont l'objectif est de mettre en place et assurer la maintenance des outils technologiques de l'entreprise. Si sa fonction tait forte consonance technique il y a encore quelques annes, le DSI endosse aujourd'hui une responsabilit toujours plus fonctionnelle. Autrement dit, il est l pour assurer la mise en adquations des outils informatiques avec les objectifs stratgiques globaux de l'entreprise. Ainsi, la connaissance du mtier de l'entreprise tend prvaloir sur la connaissance informatique. 10
Ralis par : HACHCHADI Mohammed

MISSIONS Dvelopper, exploiter et maintenir linfrastructure rseaux et tlcoms de lentreprise ; Pilo ter les projets dinfrastructure rseaux et tlcoms ; me dinformation ; Grer la scurit du syst Administrer et assurer la maintenance de la plateforme serveurs (matriels et systmes dexploitation) ; Scuriser linfrastructure technique ; ATTRIBUTIONS 1- Maintenir niveau linfrastructure rseaux et tlcoms ; 2- Acqurir les moyens techniques et les prestations de services affrentes linfrastructure technique rseaux et tlcoms ; 3- Mettre en place les normes et les procdures dexploitation de linfrastructure technique rseaux et tlcoms ; 4- Elaborer, mettre en uvre et veiller lapplication de la politique de scurit du systme dinformation ; 5- Etudier les besoins de lentreprise en termes de solutions rseaux et tlcoms ; 6- Encadrer et supporter les entits de lentreprise ; 7- Suivre les accords avec les acteurs tlcoms ; 8- Assurer la veille technologie ; 9- Dimensionner et grer la capacit de linfrastructure rseaux et tlcoms ; 10- Etudier les besoins des entits de lentreprise en termes de moyens rseaux et tlcoms ; 11- Anticiper les besoins et proposer des plans dvolution ; 12- Acqurir les solutions rseaux et tlcoms ; 13- Piloter les dploiements de linfrastructure ; 14- Elaborer les tableaux de bords des indicateurs de performance de linfrastructure ; 15- Grer les contrats de services avec les prestataires ; 16- Suivre les accords s avec les partenaires tlcoms ; 17- Fournir un support aux projets de lentreprise intgrants le volet rseaux et tlcoms ; 11
Ralis par : HACHCHADI Mohammed

Partie II : Prsentation du projet

12
Ralis par : HACHCHADI Mohammed

13
Ralis par : HACHCHADI Mohammed

I.

Introduction sur les firewalls

Un pare-feu (Firewall) est un systme qui filtre les changes rseaux. Il y a essentiellement deux types de filtrages : -Les pare-feu qui isolent deux rseaux. Leur rle essentiel est de restreindre les accs provenant de lextrieur (par exemple dinternet vers votre LAN). Ils peuvent aussi interdire des changes issus de lintrieur (de LAN vers Internet). -Les pare-feu qui isolent les applications du rseau. Ces pare-feu sont locaux un poste de travail ou un serveur. Ils interdisent soit des connexions provenant du rseau soit des changes issus des applications locales.

1. Limplmentation des pare-feu

Il est possible de distinguer les techniques pare-feu daprs la couche rseau o elles sont implmentes. - La couche rseau. Par exemple le code pare-feu des routeurs filtrants est implment au niveau du pilote IP. - La couche transport. Par exemple, la technologie SOCKS sappuie sur la couche transport. Elle permet de filtrer de manire transparente tout transfert TCP. -La couche applicative. Ici, le filtrage est effectu soit directement par lapplication rseau (le serveur) ou par une application intermdiaire (un wrapper). Par exemple les directives Allow ou Deny du serveur Web Apache limite les changes certains clients.

2. Les composants dun pare-feu

Routeur filtrant Le routeur filtrant transfre les paquets IP dun rseau un autre. Il utilise essentiellement deux techniques pare-feu : - Le filtrage des paquets IP. - Le NAT (la translation dadresse) 14
Ralis par : HACHCHADI Mohammed

Proxy

Un proxy est une application qui sert dintermdiaire entre un client et un serveur. Le client envoie sa requte au proxy, et celui-ci la rmet en direction du serveur. De mme, la rponse du serveur est reue par le proxy qui la retransmet au client. Un proxy peut tre configure pour filtrer les requtes. Des logiciels proxys peuvent possder de la mmoire cache, RAM et disque, qui amliore les performances daccs des postes du rseau intrieur. Il y a essentiellement deux types de proxy : - Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP) - Les proxys transparents qui sont des intermdiaires pour tout type de protocole TCP. La technologie SOCKS est de ce type.

Rempart

Un rempart (Bastion Host) est un ordinateur accessible de lextrieur, cote Internet, et qui est donc vulnrable aux attaques. Il doit tre plus particulirement protg. Les remparts abritent les logiciels Proxy et les services.

DMZ

Une DMZ (De-Militarized Zone) ou zone dmilitarise, est un rseau accessible partir du rseau extrieur et qui abrite les remparts. Laccs au rseau est contrle par des routeurs filtrant.

3. Les logiciels linux de type pare-feu

iptables : cette commande configure le code Netfilter inclus dans le pilote IP du noyau linux. Ce code permet de crer des pare-feu isolant deux rseaux ou isolant les applications locales du rseau.

15
Ralis par : HACHCHADI Mohammed

tcpd, wrap : cette commande ou cette bibliothque implmente un pare-feu applicatif qui peut filtrer les connexions rseaux pour la plupart des services rseaux. dante : ce logiciel implmente un serveur compatible SOCKS. Squid : ce logiciel peut isoler deux rseaux sil est installe sur un serveur ayant accs ces rseaux.

4. Les distributions linux de type pare-feu

La configuration de Netfilter est puissante mais complexe. Tous les administrateurs nont pas forcement les comptences rseaux pour laborer un ensemble cohrent de rgles Iptables. Il existe plusieurs produits proposant une vision plus simple. Ce sont eux qui vont gnrer de manire transparente les rgles Iptables. Lutilisateur, lui se contente dinterdire ou dautoriser tel out tel service et mettre en place ou non le NAT. Les paquets proviennent non pas de la carte eth0 ou ppp0 mais plutt du rseau gentil (vert) ou mchant (rouge).Concrtement, il effectue ses paramtrages soit via des fichiers de configuration soit par une interface graphique. Devil-Linux : Fonctionne compltement partir dun CD-Rom. La configuration peut tre stocke sur une cl USB. Floppyfw : Routeur filtrant base sur debian. Smooth Wall : Pare-feu base de noyau 2.6 ipCop : Pare-feu pour le particulier ou lentreprise, bas sur Smooth Wall.

16
Ralis par : HACHCHADI Mohammed

II.

Iptables : thorie et implmentation

Le systme Netfilter/iptables implmente un routeur filtrant. Il peut donc servir comme pare-feu pour isoler deux rseaux grce au filtrage des paquets et au NAT. Il peut tre utilis galement comme pare-feu local. Dans ce cas, il protge les applications serveurs du rseau ou bien limite les connexions internes certains sites. Labsence de pare-feu local est considre comme une des failles majeures dun systme. Netfilter est le code inclus dans le pilote rseau des noyaux Linux 2.4 et 2.6. La commande iptables configure Netfilter.

1- Les concepts de tables, chaines et rgles a) Les chaines et les rgles

Une chaine est compose dune pile de rgles. Chaque rgle dune chaine est compose de deux parties : un critre et une politique. Le critre prcise les cas dapplication. La politique elle, prcise laction accomplie. Exemple : la chaine INPUT est compose des rgles qui filtrent les paquets destins aux processus locaux. Une des rgles peut avoir comme critre la provenance du paquet, par exemple, le serveur DNS et comme politique lacceptation du paquet. Si un paquet provient du serveur DNS il est accept, il sera donc transmis lapplication locale qui lattend. Si le critre ne sapplique pas au paquet, on examine la rgle suivante de la chaine. Lordre des rgles est donc primordial. Si aucune rgle ne sapplique, on excute la politique associe la chaine. Dans le cas de la chaine INPUT, cette politique pourrait tre par exemple de rejeter le paquet.

17
Ralis par : HACHCHADI Mohammed

b) Les politiques des rgles de filtrage

Les politiques natives : Les politiques spcifient ce que lon fait dun paquet : - ACCEPT on laisse passer le paquet. - DROP le paquet est abandonn. - QUEUE le paquet est transfr dans lespace utilisateur (si le noyau le permet). - RETURN la politique finale de la rgle sapplique sans exploiter les rgles suivantes. Les politiques rajoutes : Iptables peut utiliser des modules qui offrent un certain nombre dextensions spcifiant notamment de nouvelles cibles. Voici les cibles rajoutes par les extensions standards : - LOG le paquet est crit dans le journal de bord (les logfiles) - REJECT le paquet est abandonn comme DROP, mais un message derreur ICMP est envoy la source du paquet.

c) Les tables
Les chaines gres par Netfilter sont en fait incluses dans des entits plus vastes appeles tables . Chaque table correspond aux diffrentes possibilits diptables : - La table filter filtre les paquets IP. Elle est constitue des chaines INPUT, OUTPUT et FORWARD. - La table nat effectue le NAT et de manire plus globale elle permet de rediriger des paquets. Elle est constitue des chaines PREROUTING, OUTPUT et POSTROUTING. - La table mangle peut modifier certains champs des paquets IP, par exemple leur priorit. Elle est constitue des chaines PREROUTING et OUTPUT.

18
Ralis par : HACHCHADI Mohammed

d) Les diffrentes chaines prdfinies

INPUT : les paquets destins aux processus locaux passent par la chaine INPUT. OUTPUT : les paquets rseaux issus des processus locaux passent par la chaine OUTPUT. FORWARD : les paquets en transit provenant dun rseau et destins un autre rseau passent par la chaine FORWARD. PREROUTING : la chaine PREROUTING peut modifier un paquet ds quil entre dans le systme avant quil soit rout. POSTROUTING : la chaine POSTROUTING peut modifier un paquet juste avant sa sortie du systme aprs tre pass par le module de routage.

e) Les chaines utilisateur

Souvent, un ensemble de rgles sont identiques dune chaine lautre. Pour simplifier la maintenance, il est possible de crer des chaines utilisateurs. Ces chaines, dont le nom est la discrtion de ladministrateur, se compose comme de vritables sous programmes de rgles .Elles peuvent tre appeles partir de plusieurs chaines prdfinies, typiquement INPUT et FORWARD.

2- Exemples dutilisation des commandes iptables

Nous disposons de deux machines linux pour faire les tests : une machine sera le pare-feu et lautre sera la machine autorise pour certains services et lattaquant en mme temps. Nous allons configurer notre firewall en ligne de commande de la manire suivante : - On bloque tous le trafic entrant par dfaut. - On autorise au cas par cas : le trafic appartenant ou li des connexions dj tablies et le trafic destinations des serveurs (web, ssh, etc.) que nous souhaitons mettre disposition. 19
Ralis par : HACHCHADI Mohammed

Nous allons saisir toutes les commandes dans un script Shell ensuite lexcuter.

Lister les rgles courantes : iptables L

Remarque : la premire commande (iptables L) : elle liste les rgles pare-feu de la tables filter.

Supprimer les rgles prdfinies par les commandes suivantes :

[root@localhost root]# iptables F [root@localhost root]# iptables X

20
Ralis par : HACHCHADI Mohammed

Exemple de script automatis pour la mise en place dun firewall local

#!/bin/bash #Nom du script /etc/init.d/parefeu_local #date de creation le 2 mars 2014 #auteur hachchadi #configuration parefeu local pour un serveur linux # #chkconfig: 2345 08 92 #description : parefeu local pour un serveur linux case "$1" in start) echo "demarre le parefeu" iptables X iptables F iptables -A INPUT -i lo -j ACCEPT;iptables -A OUPUT -o lo -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP ;; stop) echo "arrete le parefeu" iptables X iptables F iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT ;; status) iptables L esac #FIN DU SCRIPT

On pourra dmarrer le script aprs lavoir rendu excutable par la commande : #/etc/init.d/parefeu_local start 21
Ralis par : HACHCHADI Mohammed

III.

Mise en place dun firewall logiciel avec la distribution IPCop

1- Quest -ce que IPCOP ?

IPCOP est un projet Open Source dont le but est dobtenir une distribution GNU/Linux compltement ddie la scurit et aux services essentiels d'un rseau. Cest une distribution linux faite pour protger un rseau des menaces dInternet et surveiller son fonctionnement. IPCOP est gratuit, il est tlchargeable sous forme dun fichier image graver sur cd. IPCOP est distribu sous la licence GNU General Public License , ce qui signifie, en dautres termes, que le logiciel en lui-mme est distribuable gratuitement (cf.http://www.gnu.org/copyleft/gpl.html pour la licence complte).

2- Possibilit de mise en place dIPCOP

IPCOP permet de fonctionner sous plusieurs configurations possibles : Partage dune connexion Internet : IPCOP sert alors de passerelle entre Internet et le rseau interne. Partage dune connexion Internet avec une DMZ (zone dmilitarise) : IPCOP sert de passerelle et gre une DMZ (il faut donc 3 interfaces rseau). Les serveurs dans la DMZ doivent tre en ip fixes, il suffit ensuite de configurer IPCOP pour quil route les demandes venant dInternet vers les serveurs adapts selon les ports. Partage dune connexion Internet + DMZ + point daccs wifi : IPCOP peut grer des clients wifi, ils sont spars du rseau interne. Dans la philosophie IPCOP, les zones sont schmatises par des couleurs : - La zone RED reprsente internet. - La zone ORANGE reprsente la DMZ. 22
Ralis par : HACHCHADI Mohammed

- La zone BLEU reprsente les clients wifi (qui sont dans un rseau spar). - La zone GREEN reprsente le rseau interne. Le schma ci-dessous reprsente la configuration par dfaut du pare-feu de la passerelle, savoir : - Le rseau interne (le LAN) peut accder toutes les zones. - La zone wifi peut accder internet et la DMZ. - La zone DMZ pourra accder internet. - Aucun accs depuis Internet Pour autoriser un accs un serveur situ dans la DMZ (zone orange), il faudra le spcifier au travers de linterface web dIPCOP.

Accs autoriss par dfaut.

23
Ralis par : HACHCHADI Mohammed

3- Liste de services offerts par IPCOP

Voici la liste des services offerts par IPCOP : - Interface web pour l'administration et la configuration dIPCOP en franais. - Affichage de l'tat du systme et graphiques CPU/Mmoire/Disque/trafic sur priode journalire/semaine/mois/anne. - Informations sur les connexions en cours. - Serveur SSH pour accs distant scuris. - Proxy HTTP/HTTPS. - Serveur DHCP.- Cache DNS. - Renvoi de ports TCP/UDP/GRE. - Support des DNS dynamiques. - Systme de dtection d'intrusion (interne et externe). - Support VPN pour relier des rseaux distants entre eux ou se connecter distance avec un poste. - Accs aux logs par interface web : du systme, de la connexion vers Internet, du proxy, du firewall, de la dtection des tentatives d'intrusion. - Mise jour d'IPCOP par l'interface web. - Sauvegarde de la configuration du systme sur disquette. - Synchronisation sur serveur de temps, peut servir le temps aux machines internes. - Arrt/Redmarrage distance. - Support des modems RTC/RNIS. - Support de la quasi-totalit des modems ADSL USB et PCI (Voir la liste du matriel compatible dans la section documentation de www.IPCOP.org). - Possibilit d'utiliser une DMZ avec gestion des accs. - Possibilit de scuriser un rseau sans fil. 24
Ralis par : HACHCHADI Mohammed

4- Configuration minimale requise :

Ce systme d'exploitation part entire fonctionne sur une machine ddie, et utilise trs peu de ressources systmes : - un ordinateur PC quip de 64 Mo de mmoire vive et d'un processeur 233 MHz suffit - 300 Mo d'espace disque - Carte graphique compatible VGA pour l'installation - De deux 4 interfaces rseau Ethernet - Connexion Internet (Modem, Cble, ISDN, ADSL,...) - Un lecteur CD-Rom pour linstallation. Pour lutilisation de tous les services, en particulier pour le serveur mandataire (proxy web / cache DNS), il faut mieux prvoir un processeur type pentium 200, 64 Mo de ram, et 500Mo de disque dur. Lors de linstallation dIPCOP, le disque dur de lordinateur est compltement utilis, quil soit petit ou gros. Il faut donc une machine avec un seul disque (un deuxime disque dur serait inutile et inutilisable car IPCOP ne sert qu faire passerelle et rien dautre, et il nutilise quun seul disque dur).

25
Ralis par : HACHCHADI Mohammed

IV.

Installation dIPCOP :

1- O trouver IPCOP ?
IPCOP est disponible en tlchargement dans la section download du site www.ipcop.org. IPCOP est disponible sous forme de fichier source compiler et sous forme dune image graver sur un cd. Pour installer IPCOP, le plus simple est de tlcharger limage de sa version la plus rcente puis de la graver sur un CD avec un logiciel adapt (nero ou easy cd creator par exemple).Le cd, une fois grav, est un cd bootable.

2- Installation
1. Dabord, pensez vrifier quil ny a pas dinformation sauvegarder sur le disque car IPCOP va tout effacer. 2. Ensuite, rgler le bios de lordinateur pour quil boot sur le cd. 3. Insrer le cd et dmarrer, lcran suivant devrait apparatre :

26
Ralis par : HACHCHADI Mohammed

4. Appuyer sur entre pour dmarrer linstallation. 5. Ensuite, il faut simplement suivre les instructions, la chose consiste en choisir le langage pour linstallation : Il faut donc se placer sur Franais et appuyer sur la touche entre

6. Le programme dinstallation vous souhaite la bienvenue, appuyer sur entre. 7. Le programme vous demande la source pour linstallation, choisissez le lecteur cd-rom.

8. Confirmer ensuite que le CD-Rom se trouve dans le lecteur en appuyant sur entre. 27
Ralis par : HACHCHADI Mohammed

9. On en vient au formatage du disque, appuyer sur entre pour commencer (cela prend quelques minutes).

10. Le programme dinstallation permet de rtablir une configuration dIPCOP qui a t sauvegard sur disquette, pour reproduire les rglages effectus (dans le cas dune rinstallation par exemple). Dans le cas o vous navez pas de disquette, dplacer vous sur le bouton Passer grce la touche de tabulation et appuyer sur entre.

28
Ralis par : HACHCHADI Mohammed

11. Il sagit maintenant de trouver les drivers adapt la carte rseau qui sera sur la zone verte (cot rseau interne). Si la carte rseau est dans la liste du matriel compatible fourni sur www.ipcop.org , les pilotes devraient tre automatiquement trouvs en appuyant sur la touche recherche . Si le matriel nest pas dtect, il y a possibilit de lui attribuer des pilotes manuellement avec la touche slectionner .

12. Ensuite, il faut configurer cette carte rseau, on entre donc ladresse ip de la passerelle vu du rseau interne tant (on est dans la zone verte ).

29
Ralis par : HACHCHADI Mohammed

13. Le programme dinstallation vous demande maintenant de retirer le cd, obissez et appuyer sur entre pour continuer linstallation.

14. Choisissez le type de clavier : fr pour un clavier franais. 15. Slectionnez ensuite le fuseau horaire auquel vous appartenez, soit Afrique/Dakar pour notre cas. 16. Ensuite, entrez un nom pour la passerelle (ex : ipcopTdsi ). Ainsi quun nom de domaine la fentre qui suit.

30
Ralis par : HACHCHADI Mohammed

Ainsi quun nom de domaine la fentre qui suit.

17. Le programme propose maintenant de configurer la connexion RNIS, dans le cas o vous en navez pas, choisissez directement loption Dsactiver RNIS (ISDN) . 18. On arrive maintenant une tape importante : la configuration du rseau. Le menu suivant apparat :

31
Ralis par : HACHCHADI Mohammed

19. Allez dans Type de configuration rseau pour choisir larchitecture du rseau. Voici les possibilits proposes :

Nous avons choisi larchitecture qui nous convient : GREEN + ORANGE + RED 20. Ensuite, il sagit dattribuer des pilotes aux cartes rseau qui nen ont pas (la carte sur la zone verte tant dj configure) en allant dans Affectation des pilotes et des cartes .

32
Ralis par : HACHCHADI Mohammed

Choisissez OK pour configurer les pilotes. Les captures dcrans suivants sont un exemple avec une architecture GREEN + ORANGE+ RED, On voit quil faut attribuer un pilote la deuxime carte rseau (de la zone orange) :

Ensuite il faudra faire de mme pour la carte RED et si tout se passe bien nous aurons lcran suivant :

33
Ralis par : HACHCHADI Mohammed

21. Toutes les cartes rseau ayant un pilote, il sagit maintenant de leur attribuer une adresse IP. Ladresse IP de la zone verte tant dj configure. Allez dans Configuration de ladresse pour attribuer une adresse IP toutes les autres cartes rseau.

34
Ralis par : HACHCHADI Mohammed

Configuration de la zone Orange (dmz)

Zone Internet (Rouge) Attribuez un adresse IP chaque zone puis aller sur continuer quand vous avez fini.

35
Ralis par : HACHCHADI Mohammed

Remarque :

Si votre zone rouge est un carte rseau (donc pas un modem), il est possible de configurer pour cette zone seulement en client DHCP (de manire ce que ce soit le routeur par exemple qui transmette ladresse IP et les DNS). 22. Pour finir avec ce menu, allez dans Configuration du DNS et de la Passerelle pour choisir un DNS et une passerelle par dfaut. Il est peut probable que vous ayez besoin de configurer ces informations manuellement : Dans le cas dune zone rouge avec modem, ces infos sont envoy par le FAI (rien configurer).Dans le cas dune interface rouge connecte un routeur : ou la passerelle est client dhcp du routeur (et l, rien configurer), ou vous avez donn une adresse IP statique linterface rouge (et dans ce cas, il faut renseigner les DNS et la passerelle manuellement). 23. Enfin, la dernire tape est dentrer un mot de passe pour ladministrateur du poste ( root ) et un pour ladministration distante (au travers du site web soit lutilisateur (admin).

Mot de passe de root : Begdouri

36
Ralis par : HACHCHADI Mohammed

Mot de passe de lutilisateur admin : cabegdouri

Mot de passe de la cl de cryptage des sauvegardes : hachchadiBeg 24. Pour finir, le programme redmarre lordinateur, IPCOP est install.

37
Ralis par : HACHCHADI Mohammed

25. Ecran de dmarrage et connexion en ligne de commande

38
Ralis par : HACHCHADI Mohammed

Connexion en ligne de commande avec root

Commande ifconfig pour vrifier la configuration rseau des interfaces.

39
Ralis par : HACHCHADI Mohammed

V.

Administration dIPCOP

1- Accs linterface dadministration dIPCOP

Laccs linterface dadministration se fait du rseau interne tant grce nimporte quel navigateur web rcent ladresse suivant: https://<@ip_passerelle>:445.

40
Ralis par : HACHCHADI Mohammed

2- Prsentation de linterface :
Linterface web est compose de 7 menus droulant que nous allons dtailler en commenant par le menu systme .Nous allons prsenter les principales fonctions de chaque page de ce site web.

3- Menu Systme
Le menu systme contient des sections pour configurer IPCOP, et linterface web : Section Accueil : Cest la premire page affich lorsquon accde linterface dIPCOP. Cette page permet principalement de connecter/de connecter la passerelle dInternet. Section Mise jour : permet de savoir si une mise jour est disponible. Si une mise jour est disponible, il suffit de la tlcharger et de la transfrer IPCOP grce cette mme section.

41
Ralis par : HACHCHADI Mohammed

Section Mot de passe : permet de changer le mot de passe de lutilisateur admin (qui est ladministrateur dIPCOP) et le mot de passe de lutilisateur Dial (utilisateur qui simplement le droit de connecter/dconnecter Internet dans le cas dune connexion par modem. Section Accs SSH : permet dactiver ou de dsactiver le serveur SSH sur la passerelle. Le serveur SSH peut tre utile pour faire des choses quon ne peut pas faire directement sur le site web dIPCOP (ex : changer une ladresse IP dune interface). Section Interface graphique : permet de choisir la langue des pages web et dactiver/dsactiver les menu droulant pour les navigateurs non compatibles avec JavaScript. Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration dIPCOP. Il est aussi possible deffectuer une sauvegarde sur disquette pour restaurer cette configuration lors dune rinstallation complte dIPCOP. Section Arrter : permet darrter et de redmarrer la passerelle. Section Crdits : pour contacter les auteurs dIPCOP.

4- Menu Etat
On trouve dans ce menu des informations sur ltat du systme : Section Etat du systme : permet de connatre ltat de tous les services ainsi que lutilisation de la mmoire et disque. Section Etat du rseau : permet de visualiser ladresse ip des interfaces rseau, de voir les clients dhcp et les tables de routages. Section Graphiques systme : permet de visualiser sous forme de graphique lutilisation du processeur, de la mmoire et du disque dur sur les dernires 24 heures, le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interface (sur chaque zone) sur les dernires 24 heures, le dernier mois, la dernire semaine, le dernier mois ou la dernire anne. 42
Ralis par : HACHCHADI Mohammed

Section Graphes du proxy : donne des graphiques sur lutilisation du serveur mandataires. Section Connexion : permet de visualiser le connections en cours sur la passerelle.

5- Menu Rseau
Ce menu est ddi la configuration du modem RTC ou ADSL (si vous avez un routeur, ce menu nest pas utile) : Section Connexion : permet de rentrer les paramtres de connexion fournie par le FAI, il est possible davoir plusieurs profils de connexion (dans le ou vous avez plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de repli ). Section Chargement : permet de tlcharger les drivers pour faire fonctionner certains modems. Section Modem : permet de modifier les commandes pour les modems RTC.

6- Menu Services
Cest ici quon configure tous les services de la passerelle : Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns). Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une). Section DNS Dynamique : permet de mettre en place un client pour mettre jour un DNS dynamique (type dyndns.org, no-ip.com, ). Section Htes statiques : permet dajouter des htes avec ip statiques. 43
Ralis par : HACHCHADI Mohammed

Section Serveur de temps : permet la passerelle dtre un client NTP dun part et dtre un serveur NTP pour le rseau interne dautre part (attention : le serveur NTP met quelques heures avant de fonctionner). Section Lissage de trafic : permet de limiter les dbits montant et descendant des clients qui vont sur internet. On peut aussi, donner des priorits diffrentes selon les services pour faire de la qualit de service. Section Dtection dintrusion : permet dactiver ou de dsactiver les sondes de dtection dintrusion sur toutes les zones.

7- Menu Pare-feu
Ce menu permet de configurer le pare-feu : Section Transferts de port : permet de dfinir des rgles de transfert de port pour donner accs des services dinternet tant sur le rseau interne ou sur la DMZ si il y en a une. Section Accs Externes : permet douvrir des ports pour accder la passerelle dInternet. Section Accs la DMZ : (menu qui existe si la zone orange existe) permet douvrir des accs direct entre la DMZ et le rseau interne.

8- Menu RPVs
On cre ici les Rseaux Privs Virtuel (ou Virtual Private Network en anglais) : Section RPVs : permet de crer des vpn (rseau rseau, ou postes rseau).

44
Ralis par : HACHCHADI Mohammed

9- Menu Journaux
Ce menu permet daccder tous les journaux gnrs par IPCOP et ses services : Section Configuration des journaux : permet de choisir si les journaux doivent tre affichs dans lordre chronologique et chronologique inverse. On peut aussi choisir denvoyer les journaux sur un serveur syslog et changer le niveau de verbosit. Section Rsum des journaux : cour rsum des journaux du serveur mandataire, du systme, du serveur sshd et de lutilisation du disque. Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a t active). Section Journaux du pare-feu : permet de visualiser les journaux daccs au pare-feu. Section Journaux IDS : permet de visualiser les tentatives dintrusion dtecte par les sondes du dtecteur dintrusion. Section Journaux systme : permet de visualiser les journaux systmes (systems, dns, dhcp, ssh, ntp, )

10-

Utilitaire setup

Linterface graphique ne permet pas de tout faire, en particulier changer ladresse IP dune carte rseau ou changer de type de passerelle. Lutilitaire setup permet de : Configurer le type de clavier (fr, us, ). Changer de fuseau horaire. Modifier le nom de la passerelle. Modifier le nom de domaine. Modifier la configuration rseau de la passerelle. Lutilitaire setup permet par exemple de passer dun rseau GREEN + RED GREEN + RED + ORANGE par exemple sans rinstaller le parefeu. 45
Ralis par : HACHCHADI Mohammed

Pour accder lutilitaire setup, il faut se connecter la passerelle au travers de ssh attention : le port dcoute du serveur ssh intgr ipcop est le 222 et non 22 ailleurs), sidentifier en tant que root et taper setup . Cest un menu graphique trs simple utiliser :

Utilitaire setup dIpCop

46
Ralis par : HACHCHADI Mohammed

VI.

Paramtrage :

1- Autoriser laccs SSH

SSH permet de se connecter de manire scurise sur une machine Linux distance. On va autoriser SSH sur le pare-feu IpCop pour transfrer des fichiers par exemple. Allez dans le menu Systme puis la section accs SSH

Ici cochez :Accs SSHAutorise le transfert TCP Permettre lauthentification par mot de passe Permettre lauthentification par cl publique

Ces paramtres vont nous permettre daccder notre firewall depuis notre PC et dy transfrer les fichiers ncessaires linstallation des plugins.

47
Ralis par : HACHCHADI Mohammed

2- Mise en place daddons

Lajout daddons ou de plugins permet dtendre les fonctions dIPCOP. Il existe des dizaines de plugins pour IPCOP, mais pour ne pas remettre la scurit de cette passerelle en cause, il ne faut utiliser que les plugins officiels dIPCOP. Seul les plugins officiels ont t contrls par lquipe dIPCOP, ils sont rfrencs dans la section Addons du site www.ipcop.org.Voici deux addons officiels qui permettent les fonctions du proxy web 2.1- Advanced proxy Cet addon permet dajouter les fonctionnalits suivantes au proxy dIPCOP : Authentification des utilisateurs par rapport un annuaire LDAP, Active Directory, par rapport aux utilisateurs locaux ou un serveur Radius. Contrle daccs selon ladresse IP ou Mac des clients. Autoriser laccs internet sur certaines plages horaires seulement. Pour installer Advanced Proxy, il faut : 1) Tlcharger larchive Advanced Proxy sur le site www.advproxy.net 2) Placer larchive dans le rpertoire /tmp de la passerelle en utilisant lutilitaire WinSCP (cf.www.winscp.net, WinSCP permet de transfrer des fichiers au travers de ssh).

48
Ralis par : HACHCHADI Mohammed

3) Dcompresser larchive en se connectant sur la passerelle au travers de ssh (utiliser le client Putty par exemple, il est gratuit, en tapant la commande suivante : root@ipcopTdsi:/tmp # tar -xzvf ipcop-advproxy-2.1.2.tar.gz

49
Ralis par : HACHCHADI Mohammed

Login : root Mot de passe : Begdouri

50
Ralis par : HACHCHADI Mohammed

4) Installer Advanced Proxy en tapant dans le rpertoire /tmp/ipcop-advproxy : ./install

Pour dsinstaller Advanced Proxy, il faut excuter : ./tmp/ipcop-advproxy/uninstall Rappel : Le serveur SSH install sur IPCOP doit tre activ sur linterface web pour fonctionner. De plus, ce serveur SSH coute sur le port 222 (et pas 22).Une fois install, la page de configuration du proxy est tendue avec les options cites ci-dessus. 2.2- url filter Url filter permet de mettre en place du filtrage durl comme son nom lindique. Cet utilitaire permet dinterdire aux utilisateurs de visiter des sites web dont lurl (exemple durl www.msn.com) contient des termes rfrence pornographique, violent Url filter peut aussi filtrer les popups publicitaires. 51
Ralis par : HACHCHADI Mohammed

Pour installer Url filter, il faut : 1) Tlcharger larchive urlfilter sur le site www.urlfilter.net . 2) Placer larchive dans le rpertoire /tmp de la passerelle en utilisant lutilitaire WinSCP. 3) Dcompresser larchive en se connectant sur la passerelle au travers de ssh en tapant la commande suivante : tar -xzf ipcopurlfilter-1.9.1.tar.gz 4) Installer url filter en se plaant dans /tmp/ ipcop-urlfilter et en tapant : ./install

Pour dsinstaller url filter, il faut excuter : ./tmp/ipcop-urlfilter/uninstall Une fois install, le menu service contient une nouvelle section filtrage durl qui permet de configurer le filtrage durl. 52
Ralis par : HACHCHADI Mohammed

2.3- Exemple de configuration du pare-feu Accs la zone DMZ

Transfert de ports

53
Ralis par : HACHCHADI Mohammed

Pour conclure, Je tiens signaler que llaboration de ce projet ma permis dacqurir beaucoup dexpriences au niveau du contacte avec le milieu professionnel. Car, jai certainement appris des comptences techniques et jai amlior les connaissances thoriques et pratiques notamment en rseaux informatiques. Pendant ce stage, Jai admis un certain nombre de qualits permettant de sintgrer dans le marcher demploi tout en faisant la distinction entre la formation thorique et la ralit professionnelle. En effectuant ce stage, Jai acquis certaines attitudes que je n'avais pas avant, que j'en cite: La confiance en soi Le respect de l'horaire du travail Le respect du mtier Le respect des suprieurs et collgues La rapidit dexcution de travail A la fin, javoue que je suis personnellement trs satisfait de ce stage au sein de cabinet begdouri.

54
Ralis par : HACHCHADI Mohammed

http://www.ipcop.org http://fr.wikipedia.org/wiki/Netfilter http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html http://fr.wikipedia.org/wiki/Firewall

55
Ralis par : HACHCHADI Mohammed