Академический Документы
Профессиональный Документы
Культура Документы
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
CONTENU
Prambule Informations lgales ...................................................................................................................................... 6 Avant de commencer .......................................................................................................................................................... 6 Pr-requis ............................................................................................................................................................................. 6 Les logiciels rcuprer ................................................................................................................................................... 6 Prsentation du projet .......................................................................................................................................................... 7 Quest-ce quIPCop ? ....................................................................................................................................................... 7 Architecture fonctionnelle dIPCOP :......................................................................................................................... 7 Topologie ............................................................................................................................................................................. 8 Configuration ...................................................................................................................................................................... 8 Objectifs ............................................................................................................................................................................... 8 Windows Server 2008 R2 (Entreprise Edition)..................................................................................................................... 9 Installation ............................................................................................................................................................................ 9 LActive Directory : Installation et configuration.......................................................................................................... 9 DNS : Cration dune zone de recherche inverse .............................................................................................. 11 IPCop : Installation et premire configuration ............................................................................................................... 14 Premire configuration dIPCOP ............................................................................................................................... 18 Administration dIPcop ....................................................................................................................................................... 24 Installation des plugins .................................................................................................................................................... 25 Activation du SSH ......................................................................................................................................................... 25 Configuration de PuTTY et WinSCP ........................................................................................................................... 26 Installation des plugins ........................................................................................................................................................ 28 Advanced Proxy .............................................................................................................................................................. 28 URLFILTER ............................................................................................................................................................................ 28 P2PBlock ............................................................................................................................................................................. 29 Configuration de P2PBlock ................................................................................................................................................ 29 Configuration dURLFILTER .................................................................................................................................................. 29 Configuration dAdvancded Proxy ................................................................................................................................. 30 Configuration du Proxy ................................................................................................................................................... 30 IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
Personnalisation du message derreur ou Redirection ............................................................................................. 31 Autoriser des utilisateurs avoir un accs total Internet .......................................................................................... 32 Filtrage daccs Internet avec URLFilter .................................................................................................................. 32 Filtrage daccs Internet avec Advanced Proxy .................................................................................................. 33 Les diffrents types de compte ................................................................................................................................. 33 Cration des comptes ................................................................................................................................................ 33 Changement du mot de passe pour laccs Web ............................................................................................... 34 Tests ................................................................................................................................................................................. 35 Pour aller plus loin ................................................................................................................................................................ 37 Bloquer linstallation de logiciels indsirables ............................................................................................................. 37 Lutlisateur nest pas administrateur de sa machine ............................................................................................ 37 Lutilisateur est administrateur de sa machine ....................................................................................................... 42 Vrification du navigateur Internet .............................................................................................................................. 43 Dtection des intrusions .................................................................................................................................................. 45 Journaux ............................................................................................................................................................................ 45 Configuration des journaux ........................................................................................................................................ 45 Exemple : Journaux du pare-feu ............................................................................................................................... 46 Etat du systme ................................................................................................................................................................ 46 Conclusion ............................................................................................................................................................................ 48 Annexes ................................................................................................................................................................................. 49
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
Ce projet a t ralis avec VMWare, je nai pas pu me servir dun switch, jai donc par consquent mis toutes les machines du rseau interne sur la mme VMNet.
Jai install PuTTY et WinSCP sur le serveur. PuTTY va nous permettre douvrir une session (shell) de notre IPCop depuis notre serveur.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
TOPOLOGIE
CONFIGURATION
Machine Server 2008 IPCop Client XP Adresse IP 172.16.1.2 172.16.1.1 192.168.1.2 Fournit DHCP Type de carte VMNET2 VMNET2 Bridged VMNET2
OBJECTIFS
Les objectifs de ce projet sont aussi simples quvidents : Scuriser notre rseau via IPCop. Bloquer laccs certains sites (Facebook, Youtube, le P2P) pour tous les utilisateurs de notre rseau lexception des membres de la direction.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
Linstallation de Microsoft Windows Server 2008 R2, ne prsente aucune difficult. Nanmoins, pensez changer le nom (dans notre cas VMSRV2k8), et faites les diffrentes mises jour. Une fois cela fait, nous allons changer le type de carte rseau afin de mettre notre serveur dans le Rseau VERT, puis nous allons faire lActive Directory.
Figure 3 - Nous allons donc crer un domaine dans une nouvelle fort
A la prochaine tape, nous allons dfinir le Nom de domaine complet du nouveau domaine racine de fort (FQDN, en anglais) : ipcop.com.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
10
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
11
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
12
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
13
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
14
Voil nous venons de terminer linstallation de lActive Directory et avons cr notre z one de recherche inverse, nous allons donc pouvoir commencer linstallation dIPCop.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
15
Linstallation dIPCop va enfin pouvoir commencer Si vous faites le projet avec des machines virtuelles assurez-vous de disposer deux cartes rseaux.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
16
Nous ne disposons pas de support de sauvegarde, donc nous allons passer ltape !
Pour la prochaine tape, nous allons laisser IPCop chercher les interfaces rseaux de notre machine :
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
17
Nous allons maintenant, attribuer ladresse IP notre Rseau VERT, conformment au plan dadressage, nous allons lui dire que ladresse IP doit tre : 172.16.1.1
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
18
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
19
Nous allons prsent renseigner le nom de la machine et la prochaine tape le domaine : ipcop.com.
Notre infrastructure ne comporte pas de RNIS, nous pouvons nous permettre de le dsactiver.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
20
Nous allons changer le type de configuration rseau, en effet vous pouvez voir en haut de la figure 26, que la configuration actuelle est GREEN (RED is modem/ISDN), puisque nous voulons un rseau VERT et un rseau ROUGE.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
21
Nous allons maintenant, configurer ladresse IP du rseau ROUGE en lui attribuant une adresse IP statique juste derrire la box, dans notre cas 192.168.1.2 (pensez vrifier si ladresse est disponible en faisant un ping).
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
22
Nous allons maintenant configurer le DNS de lIPCop : DNS Primaire correspond ladresse de notre box. DNS Secondaire correspond au serveur DNS de notre FAI, dans notre cas, SFR, pour le trouver, ouvrez sur une machine Windows, CMD puis faites un nslookup www.sfr.fr
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
23
A prsent, nous allons configurer notre serveur DHCP. Dans notre cas, la premire adresse sera 172.16.1.33, afin que des priphriques comme les imprimantes puissent avoir une adresse IP fixe. La dernire adresse sera 172.16.1.254, ladresse 172.16.1.255 sera ladresse de diffusion. Le bail DHCP a t fix, 480 min (soit une journe de travail).
Nous allons devoir dfinir une srie de mot de passe, dans notre cas, nous avons mis le mme chaque fois : Eclipse33.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
24
ADMINISTRATION DIPC OP
Dsormais, nous avons termin avec la machine IPCop, en effet nous ladministrer via linterface Web. Rendez-vous sur votre serveur, ouvrez Internet Explorer (il gre mieux les problmes de certificats) et tapez ladresse : 172.16.1.1 avec le port 445 (IPCop nous le prcise lors de linstallation). Soit : https://172.16.1.1 :445 ou https://ipcop.ipcop.com:445
Systme : Cette section regroupe tous les utilitaires systmes : mise jour, accs SSH, modification du mot de passe, sauvegarde etc. Etat : regroupant les rsums de ltat systme ainsi que des outils de surveillance graphique : services actifs, utilisation de mmoire, du processeur, du disque dur etc. Rseau : Cette section nest utile que si vous avez connect directement un modem linterface rouge (en non un routeur/modem) dans ce cas elle vous permet de paramtrer directement le modem. Services : Vous retrouvez ici les options de paramtrages des diffrent services install sur le pare feu. Bien sr au plus vous ajoutez de plugins, au plus cette interface sera fournie. Par dfaut vous y trouverez : serveur mandataire (serveur proxy), serveur DHCP, serveur DNS Dynamique, serveur de temps, fonction de lissage de trafic etc. Pare feu : voici la section ddie au paramtrage fin du firewall : transfert de ports, accs externe, option du pare feu etc. RPVs : Cette section vous permet de crer un VPN (rseau priv virtuel) entre deux firewalls IPCOP. Journaux : Configuration des journaux, Rsum des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux IDS si ce dernier est actif et Journaux Systme.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
25
Figure 35 - Connectez-vous
ACTIVATION DU SSH
Allez dans Systme puis Accs SSH , et cocher les cases suivantes :
Une fois enregistr, nous pourrons ouvrir une session depuis notre serveur vers lIPCop via le SSH, grce PuTTY et WinSCP.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
26
Cliquez sur Login, un avertissement saffichera alors lcran, si vous faites confiance lhte, cliquez sur yes:
Figure 38 - Cl SSH
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
27
Nous allons maintenant crer notre dossier plugins, par dfaut vous arrivez dans le dossier root
Double cliquez sur les deux .. afin de remonter au dossier parent, puis rendez-vous dans le dossier var puis ipcop. Pressez la touche F7 afin de crer un nouveau dossier, renommez-le en plugins et attribuez lui tous les droits soit en cochant toutes les cases ou en tapant 7777 dans le champ octal.
Copiez-y les plugins. IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
28
PUTTY
A linstar de WinSCP, configurez PuTTY, en renseignant ladresse IP de lIPCop et le por t (222). Acceptez de nouveau le message davertissement. Puis connectez-vous de la mme manire que si vous tiez sur la machine IPCop.
ADVANCED PROXY
La premire tape consiste extraire Advanced Proxy, pour se faire tapez le commande suivante: tar -xzf ipcop-advproxy-3.0.5.tar.gz Une fois termin, nous allons pouvoir installer Advanced Proxy, via la commande : ipcop-advproxy/install
URLFILTER
La premire tape consiste extraire URLFilter, pour se faire tapez le commande suivante: tar -xzf ipcop-urlfilter-1.9.3.tar.gz Une fois termin, nous allons pouvoir installer URLFilter, via la commande : ipcop-urflilter/install
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
29
P2PBLOCK
Tapez la commande suivante : Tar xvfz p2pblock_ipcop_1.4.21.tar.gz Une fois larchive extraite, allez dans le dossier p2pblock (cd p2pblock), puis installez le plugin gr ce la commande : ./install
CONFIGURATION DE P2PBLOCK
Allez dans Services puis dans longlet P2PBlock et bloquer tout.
Figure 43 - P2PBlock
Cest dans cet onglet que va intervenir la Blacklist de lUniversit de Toulouse que nous avons tlcharg. Descendez dans la page et trouver Maintenance du Filtre dURL, puis dans Mise jour de la Blacklist cliquez sur Parcourir, pensez cocher la case activer la mise jour automatique.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
30
Voici ce que lajout de la Blacklist a apport notre URLFilter et les catgories que nous avons bloqu pour ce projet :
N.B : Pensez activer le Proxy dans Proxy Avanc, nous allons voir a dans quelques instants.
Pensez cocher et modifier les options suivantes : Cochez activ sur Green . Cochez Mode transparent Green . Port du serveur proxy : 8080. Langues des messages derreurs : French.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
31
Par ailleurs plus loin dans la page, pensez activer le Filtre DURL que nous avons cr auparavant.
Notre rseau est dsormais scuris ! En effet les utilisateurs devront passer par le proxy et naurons pas accs aux catgories de site que nous avons bloqu.
Ce qui donne :
Figure 50 - Adieu Facebook !!! Notez que la catgorie du site bloqu est renseign, pour ce faire regarder la figure 49.
Tentons la redirection
Figure 51 - Ajouter l'URL que vous voulez dans "Rediriger vers cette URL"
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
32
Ce qui donne :
Nous avons presque fini le projet, il faut dsormais trouver un moyen pour que la direction ne soit pas bloque par les mesures de scurit.
Figure 53 - On ajoute les adresses non filtres, dans notre cas, un des membres de la direction ladresse 172.16.1.3
Voici le rsultat :
Figure 54 - a fonctionne
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
33
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
34
Nous allons crer deux comptes : Compta o Nom dutilisateur : compta o Mot de passe : eclipse33 o Groupe : Standard Direction o Nom dutilisateur : direction o Mot de passe : Eclipse33 o Groupe : Etendu LORSQUE VOUS AVEZ FINI DE CREER VOS COMPTES, VOUS DEVEZ REDEMARRER IPCOP POUR QUE LES MODIFICATIONS SOIENT PRISES EN COMPTES. IL EN VA DE MEME POUR SI VOUS SUPPRIMEZ OU MODIFIEZ UN COMPTE.
Cette page de dialogue Web, ncessite le nom dutilisateur, lancien mot de passe, le nouveau de passe ainsi que la confirmation du nouveau mot de passe.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
35
TEST DU FILTRAGE
Une fois connect, allez sur un des sites interdits, par exemple, www.facebook.fr
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
36
ENVOI/RECEPTION DE COURRIEL
Nous allons dans un premier temps, essayer lenvoie dun email.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
37
Figure 63 - a fonctionne
URLFilter, ne bloque pas lenvoi/rception de courriel. Nous sommes heureux tout fonctionne comme nous le voulons !
Javais cr au pralable, lutilisateur compta et le groupe Grp_Compta, nous allons donc voir la dmarche avec lutilisateur direction et le groupe Grp_Direction, qui lui sera administrateur de la machine.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
38
CREATION DU COMPTE
Dans cet exemple, nous avons dcid que le mot de passe nexpirait jamais et que lut ilisateur ne pouvait pas le changer. Libre vous de le modifier votre convenance.
CREATION DU GROUPE
De la mme faon nous allons crer le groupe : Grp_Direction.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
39
Commencez taper le dbut du nom du groupe, comme lillustre la figure 68, puis cliquez sur Vrifier les noms:
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
40
Pour lutilisateur Direction, et uniquement pour lui, nous allons dire quil appartient aux groupes Administrateurs suivants :
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
41
TESTS
Ouvrez une session, sur la machine client, avec le compte Compta. Allez sur Clubic et tlcharger un fichier quelconque, dans notre cas, il sagit dAvast. Lancez linstallation, et observer :
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
42
Figure 75 - a fonctionne!
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
43
Nous navons autoris quInternet Explorer et Windows Update, afin que nos machines puissent faire les mises jour. Ouvrez une session sur la machine XP avec le compte Direction, puis installez-y Mozilla Firefox. Une fois install, excut le logiciel, et identifiez-vous.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
44
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
45
JOURNAUX
Nous allons aborder une partie importante pour un pare-feu : les journaux ou logs. En effet, ces retours dinformations permettent danalyser quels sont les attaques, quand ont -elles lieu, voire mme darriver identifier leur origine, le simple fait de cliquer sur ladresse IP souponn lance un whois. IPCop nous propose plusieurs journaux : Journaux du serveur mandataire Journaux du pare-feu Journaux IDS Journaux du Filtre DURL Journaux du Systme
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
46
ETAT DU SYSTEME
En allant dans Etat puis Etat du systme, nous pourrons vrifier quels services sont actifs, lespace disque disponible, la mmoire utilise, les modules chargs. Nous ne pourrons rien modifier ici .
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
47
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
48
CONCLUSION
Tout au long de ce projet, nous avons pu voir comment installer et configurer IPCop dans un environnement Windows. Pour ma part, jai dcouvert une solution pare-feu trs intressante et adaptable diffrents types de rseaux, ceci est d la petite configuration requise. Les plugins dIPCop que nous avons ajouts, le rende encore plus performant. De plus la com munaut dIPCop est bien prsente, alors en cas de problme, faites des recherches sur Internet, votre problme ne restera pas sans rponse. Il existe encore bien dautres plugins pour IPCop, libre vous de les essayer. Le seul problme, que jai pu rencontrer ctait deffectuer le filtrage avec lActive Directory A voir donc. IPCop possde bon atout par rapport la solution de Microsoft (Forefront TMG). Du point de vue configuration, le prix aussi, en effet pour installer Forefront, il vous faudra une machine en 64 bits, un Windows Server 2008 R2, Forefront et sa licence (1200) IPCop, quant lui est gratuit.
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
49
ANNEXES
Quelques sources : http://nilz.fr/configuration-d%E2%80%99un-firewall-ipcop http://membres.multimania.fr/pulsergene/doc/ipcop-advproxy-v1.0.1%20.pdf http://www.mhaddons.tk/
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr