IPCop 2

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011
IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
CONTENU
Prambule Informations lgales ...................................................................................................................................... 6 Avant de commencer .......................................................................................................................................................... 6 Pr-requis ............................................................................................................................................................................. 6 Les logiciels rcuprer ................................................................................................................................................... 6 Prsentation du projet .......................................................................................................................................................... 7 Quest-ce quIPCop ? ....................................................................................................................................................... 7 Architecture fonctionnelle dIPCOP :......................................................................................................................... 7 Topologie ............................................................................................................................................................................. 8 Configuration ...................................................................................................................................................................... 8 Objectifs ............................................................................................................................................................................... 8 Windows Server 2008 R2 (Entreprise Edition)..................................................................................................................... 9 Installation ............................................................................................................................................................................ 9 LActive Directory : Installation et configuration.......................................................................................................... 9 DNS : Cration dune zone de recherche inverse .............................................................................................. 11 IPCop : Installation et premire configuration ............................................................................................................... 14 Premire configuration dIPCOP ............................................................................................................................... 18 Administration dIPcop ....................................................................................................................................................... 24 Installation des plugins .................................................................................................................................................... 25 Activation du SSH ......................................................................................................................................................... 25 Configuration de PuTTY et WinSCP ........................................................................................................................... 26 Installation des plugins ........................................................................................................................................................ 28 Advanced Proxy .............................................................................................................................................................. 28 URLFILTER ............................................................................................................................................................................ 28 P2PBlock ............................................................................................................................................................................. 29 Configuration de P2PBlock ................................................................................................................................................ 29 Configuration dURLFILTER .................................................................................................................................................. 29 Configuration dAdvancded Proxy ................................................................................................................................. 30 Configuration du Proxy ................................................................................................................................................... 30 IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
Personnalisation du message derreur ou Redirection ............................................................................................. 31 Autoriser des utilisateurs avoir un accs total Internet .......................................................................................... 32 Filtrage daccs Internet avec URLFilter .................................................................................................................. 32 Filtrage daccs Internet avec Advanced Proxy .................................................................................................. 33 Les diffrents types de compte ................................................................................................................................. 33 Cration des comptes ................................................................................................................................................ 33 Changement du mot de passe pour laccs Web ............................................................................................... 34 Tests ................................................................................................................................................................................. 35 Pour aller plus loin ................................................................................................................................................................ 37 Bloquer linstallation de logiciels indsirables ............................................................................................................. 37 Lutlisateur nest pas administrateur de sa machine ............................................................................................ 37 Lutilisateur est administrateur de sa machine ....................................................................................................... 42 Vrification du navigateur Internet .............................................................................................................................. 43 Dtection des intrusions .................................................................................................................................................. 45 Journaux ............................................................................................................................................................................ 45 Configuration des journaux ........................................................................................................................................ 45 Exemple : Journaux du pare-feu ............................................................................................................................... 46 Etat du systme ................................................................................................................................................................ 46 Conclusion ............................................................................................................................................................................ 48 Annexes ................................................................................................................................................................................. 49
PREAMBULE INFORMATIONS LEGALES

Durant ce projet nous allons mettre en place un serveur pare-feu, IPCop, auquel nous allons ajouter des plugins, notamment Advanced Proxy. A ce sujet, sachez que beaucoup doptions dAdvanced Proxy peuvent violer la vie prive de vos clients ou dautres normes juridiques. ATTENTION : Avant dutiliser ce logiciel soyez sr que ce soit en accord avec les lois nationales ou dautres rglements lgaux. AVERTISSEMENT EXPLICITE : Dans la plupart des pays, les utilisateurs doivent tre informs que les donnes personnelles seront enregistres, comme la date, le temps, la source et la destination dans la conjonction avec le nom dutilisateur. Nutilisez pas ce logiciel dans un environnement daffaires sans laccord crit du personnel.
AVANT DE COMMENCER PRE-REQUIS

Pour raliser ce projet, il nous faudra : Un serveur Windows, sur lequel sera install et configur lActive Directory ainsi que le DNS. Un serveur IPCop, lequel intgrera un relai DNS et se chargera du DHCP. Une machine client, Windows XP fera parfait ement laffaire ! Personnellement, jai choisi un serveur Windows tournant sous Windows Server 2008 R2 Edition Entreprise.
Ce projet a t ralis avec VMWare, je nai pas pu me servir dun switch, jai donc par consquent mis toutes les machines du rseau interne sur la mme VMNet.
LES LOGICIELS A RECUPERER

IPCop Advanced Proxy URL Filter P2PBlock Blacklist PuTTY WinSCP http://www.ipcop.org/download.php http://www.advproxy.net/download.html http://www.urlfilter.net/download.html http://www.mhaddons.tk/ ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html http://sourceforge.net/projects/winscppe/
Jai install PuTTY et WinSCP sur le serveur. PuTTY va nous permettre douvrir une session (shell) de notre IPCop depuis notre serveur.
PRESENTATION DU PROJET QUEST - CE QUIPCOP ?

IPCop est une distribution Linux base sur Linux From Scratch, faisant office de pare-feu. Elle vise fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture type PC. Elle peut protger sur une telle architecture un rseau familial ou de petites ou moyennes entreprises, elle offre la classique Zone dmilitarise (DMZ) ainsi que les tunnels rseau priv virtuel (acronyme VPN en anglais). IPCop peut galement servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant d es greffons ou modules, de bien dautres choses (contrle de contenu, liste noire, liste daccs, DNS Dynamique, contrle de trafic, etc). Le support des clients sans fils est aussi prvu par le biais dune zone ddie. Une machine trs bas de gamme permet de le mettre en uvre, voici un exemple dune telle configuration : 2 interfaces rseau minimum (Ethernet 10/100 ou modem ADSL tout type) Microprocesseur 200 MHz Mmoire vive 64 Mo Disque Dur 800 Mo Optionnellement : 2 autres interfaces Ethernet pour la DMZ et le wifi. Cl USB (installation) et disquette, cl USB (pour la sauvegarde) Clavier, cran pour linstallation NB : cette configuration minimale convient pour une utilisation domestique ou de petites entreprises jusqu 5 postes. Elle permet dj dutiliser la fonctionnalit de proxy et le systme de dtection dintrusion (tous deux gourmand en ressource mmoire et en calcul processeur). Prvoir une configuration plus muscle pour le processeur et la mmoire vive pour une utilisation professionnelle.
ARCHITECTURE FONCTIO NNELLE DIPCOP :

IPCop, dans ses rcentes versions, dfini 4 ports Ethernets (donc 4 rseaux indpendants) : 1 Rseau ROUGE, reli internet (rseau obligatoire) 1 Rseau VERT, reli au rseau local utilisateur, trs scuris (obligatoire bien sr) 1 Rseau ORANGE, reli la D.M.Z. (zone demilitarized ou dmilitarise), facultative. Cette zone est relie, par exemple des serveurs WEB, des camras I.P. ou autres dispositifs Ethernets accessibles (potentiellement !) depuis Internet. 1 Rseau BLEU, reli des dispositifs Wifi ou pouvant servir de seconde D.M.Z. Cette zone est spcialise par le paramtrage possible de ladresse MAC ou I.P. des priphriques autoriss sy connecter (selon la configuration dIPCop, bien sr). Le paramtrage gnral dIPCop (ralis en mode serveur WEB par exemple) permet de grer les flux autoriss entre ces diffrents zones/rseaux, et les exceptions. A son installation IPCop fournit un paramtrage standard, bien souvent suffisant et totalement fonctionnel. Il faut noter que les versions initiales dIPCop ne graient que les rseaux ROUGE et VERT.
TOPOLOGIE
Figure 1 - Topologie du projet
CONFIGURATION
Machine Server 2008 IPCop Client XP Adresse IP 172.16.1.2 172.16.1.1 192.168.1.2 Fournit DHCP Type de carte VMNET2 VMNET2 Bridged VMNET2
Rseau VERT Rseau VERT Rseau ROUGE Rseau VERT
OBJECTIFS
Les objectifs de ce projet sont aussi simples quvidents : Scuriser notre rseau via IPCop. Bloquer laccs certains sites (Facebook, Youtube, le P2P) pour tous les utilisateurs de notre rseau lexception des membres de la direction.
WINDOWS SERVER 2008 R2 (ENTREPRISE EDITION) INSTALLATION
Figure 2 - L'installation du serveur peut commencer
Linstallation de Microsoft Windows Server 2008 R2, ne prsente aucune difficult. Nanmoins, pensez changer le nom (dans notre cas VMSRV2k8), et faites les diffrentes mises jour. Une fois cela fait, nous allons changer le type de carte rseau afin de mettre notre serveur dans le Rseau VERT, puis nous allons faire lActive Directory.
LACTIVE DIRECTORY : INSTALLATION ET CONFIGURATION

Faites Dmarrer, puis Excutez, et enfin taper DCPROMO.exe, voici quelques captures qui vous montrerons la configuration de lActive Directory. Voyez, la figure 3, nous nallons pas choisir une fort existante, puisque WSRV2k8 est cens tre le premier serveur de notre rseau par consquent il ny a pas de fort .
Figure 3 - Nous allons donc crer un domaine dans une nouvelle fort
A la prochaine tape, nous allons dfinir le Nom de domaine complet du nouveau domaine racine de fort (FQDN, en anglais) : ipcop.com.
10
Figure 4 - FQDN: ipcop.com
Figure 5 - Nom de domaine NetBIOS
Figure 6 - Niveau fonctionnel de la fort: Windows 2000
11
Figure 7 - Niveau fonctionnel du domaine : Windows 2000 natif
Figure 8 - On active le serveur DNS
DNS : CREATION DUNE ZON E DE RECHERCHE INVERSEE

Allez dans les outils dadministration, et rechercher DNS ouvrez le, et crer une zone de recherche inverse, comme ci-dessous :
Figure 9 - Cration d'une nouvelle zone
12
Figure 10 - On choisit la Zone principale
Figure 11 - On renseigne la zone de rplication
13
Figure 12 - On slectionne l'IPv4
Figure 13 - On renseigne le Rseau VERT
14
Figure 14 - Nous n'autorisons que les mises jours dynamiques scurises
Voil nous venons de terminer linstallation de lActive Directory et avons cr notre z one de recherche inverse, nous allons donc pouvoir commencer linstallation dIPCop.
IPCOP : INSTALLATION ET PREMIERE CONFIGURATION
Figure 15 - L'accueil d'IPCop
15
Linstallation dIPCop va enfin pouvoir commencer Si vous faites le projet avec des machines virtuelles assurez-vous de disposer deux cartes rseaux.
Figure 16 - On slectionne la langue Franaise
Slectionnez la source de votre installation : CDROM, cl USB, http ou ftp.
Figure 17 - Dans notre cas il s'agit d'un CDROM
16
Nous ne disposons pas de support de sauvegarde, donc nous allons passer ltape !
Figure 18 - Passons cette tape
Pour la prochaine tape, nous allons laisser IPCop chercher les interfaces rseaux de notre machine :
Figure 19 - IPCop travaille pour nous
17
IPCop a bien dtect nos interfaces rseaux :
Figure 20 - Si IPCop a dtect la bonne interface, validez par OK
Nous allons maintenant, attribuer ladresse IP notre Rseau VERT, conformment au plan dadressage, nous allons lui dire que ladresse IP doit tre : 172.16.1.1
Figure 21 - Configuration du Rseau VERT
18
PREMIERE CONFIGURATION DIPCO P

Lassistant dinstallation nous propose de configurer diffrents lments : disposition du clavier, fuseau horaire, larchitecture (le nombre de rseaux), la configuration du rseau ROUGE, la configuration du serveur DNS et de la passerelle ainsi que le DHCP, nous allons devoir aussi mettre des mots de passe.
Figure 22 - Interface du clavier
Figure 23 - Choix du fuseau horaire
19
Nous allons prsent renseigner le nom de la machine et la prochaine tape le domaine : ipcop.com.
Figure 24 - Nom de l'hte
Notre infrastructure ne comporte pas de RNIS, nous pouvons nous permettre de le dsactiver.
Figure 25 - Dsactivation du RNIS
20
Nous allons maintenant paramtrer IPCop pour notre rseau :
Figure 26 - Le panneau de configuration d'IPCop
Nous allons changer le type de configuration rseau, en effet vous pouvez voir en haut de la figure 26, que la configuration actuelle est GREEN (RED is modem/ISDN), puisque nous voulons un rseau VERT et un rseau ROUGE.
Figure 27 - On slectionne l'option GREEN + RED
21
Nous allons attribuer une interface rseau notre Rseau ROUGE.
Figure 28 - Attribution de la carte rseau pour le Rseau ROUGE
Nous allons maintenant, configurer ladresse IP du rseau ROUGE en lui attribuant une adresse IP statique juste derrire la box, dans notre cas 192.168.1.2 (pensez vrifier si ladresse est disponible en faisant un ping).
Figure 29 - Configuration de l'adresse IP pour le rseau ROUGE
22
Nous allons maintenant configurer le DNS de lIPCop : DNS Primaire correspond ladresse de notre box. DNS Secondaire correspond au serveur DNS de notre FAI, dans notre cas, SFR, pour le trouver, ouvrez sur une machine Windows, CMD puis faites un nslookup www.sfr.fr
Figure 30 - Rsultat de la commande nslookup
La passerelle sera celle de notre box, soit 192.168.1.1
Figure 31 - Configuration du DNS
23
A prsent, nous allons configurer notre serveur DHCP. Dans notre cas, la premire adresse sera 172.16.1.33, afin que des priphriques comme les imprimantes puissent avoir une adresse IP fixe. La dernire adresse sera 172.16.1.254, ladresse 172.16.1.255 sera ladresse de diffusion. Le bail DHCP a t fix, 480 min (soit une journe de travail).
Figure 32 - Configuration du DHCP activer ou non
Nous allons devoir dfinir une srie de mot de passe, dans notre cas, nous avons mis le mme chaque fois : Eclipse33.
Figure 33 - Ouverture de la session d'IPCop
24
ADMINISTRATION DIPC OP
Dsormais, nous avons termin avec la machine IPCop, en effet nous ladministrer via linterface Web. Rendez-vous sur votre serveur, ouvrez Internet Explorer (il gre mieux les problmes de certificats) et tapez ladresse : 172.16.1.1 avec le port 445 (IPCop nous le prcise lors de linstallation). Soit : https://172.16.1.1 :445 ou https://ipcop.ipcop.com:445
Figure 34 - L'cran de l'interface Web
Systme : Cette section regroupe tous les utilitaires systmes : mise jour, accs SSH, modification du mot de passe, sauvegarde etc. Etat : regroupant les rsums de ltat systme ainsi que des outils de surveillance graphique : services actifs, utilisation de mmoire, du processeur, du disque dur etc. Rseau : Cette section nest utile que si vous avez connect directement un modem linterface rouge (en non un routeur/modem) dans ce cas elle vous permet de paramtrer directement le modem. Services : Vous retrouvez ici les options de paramtrages des diffrent services install sur le pare feu. Bien sr au plus vous ajoutez de plugins, au plus cette interface sera fournie. Par dfaut vous y trouverez : serveur mandataire (serveur proxy), serveur DHCP, serveur DNS Dynamique, serveur de temps, fonction de lissage de trafic etc. Pare feu : voici la section ddie au paramtrage fin du firewall : transfert de ports, accs externe, option du pare feu etc. RPVs : Cette section vous permet de crer un VPN (rseau priv virtuel) entre deux firewalls IPCOP. Journaux : Configuration des journaux, Rsum des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux IDS si ce dernier est actif et Journaux Systme.
25
Cliquez sur connexion : Identifiant : admin Mot de passe : Eclipse33
Figure 35 - Connectez-vous
INSTALLATION DES PLUGINS

Si vous faites ce projet en machine virtuelle, vous pouvez faire un glisser/dposer pour copier les plugins ainsi que PuTTY et WinSCP sur le serveur (ceci est faisable uniquement si vous avez install VMWare Tools).
ACTIVATION DU SSH
Allez dans Systme puis Accs SSH , et cocher les cases suivantes :
Figure 36 - Activation du SSH
Une fois enregistr, nous pourrons ouvrir une session depuis notre serveur vers lIPCop via le SSH, grce PuTTY et WinSCP.
26
CONFIGURATION DE PUTTY ET WINSCP WINSCP

WinSCP nous servira crer le dossier plugins dans /var/ipcop. Dans ce projet, nous avons tlcharg la version portable du logiciel, configurez-le ainsi :
Figure 37 - Configuration de WinSCP
Cliquez sur Login, un avertissement saffichera alors lcran, si vous faites confiance lhte, cliquez sur yes:
Figure 38 - Cl SSH
27
Nous allons maintenant crer notre dossier plugins, par dfaut vous arrivez dans le dossier root
Figure 39 - Premire connexion WinSCP
Double cliquez sur les deux .. afin de remonter au dossier parent, puis rendez-vous dans le dossier var puis ipcop. Pressez la touche F7 afin de crer un nouveau dossier, renommez-le en plugins et attribuez lui tous les droits soit en cochant toutes les cases ou en tapant 7777 dans le champ octal.
Figure 40 - Cration du dossier et dfinition des droits
Copiez-y les plugins. IPCop: The Bad Packets Stop Here Projet ralis par ADAM Julien http://tsrit.perso.sfr.fr
28
Figure 41 - Copie des plugins
PUTTY
A linstar de WinSCP, configurez PuTTY, en renseignant ladresse IP de lIPCop et le por t (222). Acceptez de nouveau le message davertissement. Puis connectez-vous de la mme manire que si vous tiez sur la machine IPCop.
Figure 42 - Ouverture d'une session avec PuTTY
INSTALLATION DES PLUGINS

Rendez-vous au dans le dossier plugins en tapant ceci : cd /var/ipcop/plugins
ADVANCED PROXY
La premire tape consiste extraire Advanced Proxy, pour se faire tapez le commande suivante: tar -xzf ipcop-advproxy-3.0.5.tar.gz Une fois termin, nous allons pouvoir installer Advanced Proxy, via la commande : ipcop-advproxy/install
URLFILTER
La premire tape consiste extraire URLFilter, pour se faire tapez le commande suivante: tar -xzf ipcop-urlfilter-1.9.3.tar.gz Une fois termin, nous allons pouvoir installer URLFilter, via la commande : ipcop-urflilter/install
29
P2PBLOCK
Tapez la commande suivante : Tar xvfz p2pblock_ipcop_1.4.21.tar.gz Une fois larchive extraite, allez dans le dossier p2pblock (cd p2pblock), puis installez le plugin gr ce la commande : ./install
CONFIGURATION DE P2PBLOCK
Allez dans Services puis dans longlet P2PBlock et bloquer tout.
Figure 43 - P2PBlock
Voil nous avons fini de configurer P2PBlock.
CONFIGURATION DURLF ILTER

Allez dans Services puis dans Filtre DURL , celui-ci nous propose de bloquer certaines catgories de sites :
Figure 44 - Les catgories d'URLFilter
Cest dans cet onglet que va intervenir la Blacklist de lUniversit de Toulouse que nous avons tlcharg. Descendez dans la page et trouver Maintenance du Filtre dURL, puis dans Mise jour de la Blacklist cliquez sur Parcourir, pensez cocher la case activer la mise jour automatique.
30
Figure 45 - Chargement de la Blacklist
Voici ce que lajout de la Blacklist a apport notre URLFilter et les catgories que nous avons bloqu pour ce projet :
Figure 46 - La Blacklist a rendu notre URLFilter encore plus intransigeant
N.B : Pensez activer le Proxy dans Proxy Avanc, nous allons voir a dans quelques instants.
CONFIGURATION DADVA NCDED PROXY CONFIGURATION DU PROXY

Pour pouvoir accder Internet, les utilisateurs de notre rseau devront passer par le proxy afin de profiter dInternet. Nous allons donc activer le proxy :
Figure 47 - Activation du Proxy
Pensez cocher et modifier les options suivantes : Cochez activ sur Green . Cochez Mode transparent Green . Port du serveur proxy : 8080. Langues des messages derreurs : French.
31
Par ailleurs plus loin dans la page, pensez activer le Filtre DURL que nous avons cr auparavant.
Figure 48 - Activation du Filtre D'URL
Notre rseau est dsormais scuris ! En effet les utilisateurs devront passer par le proxy et naurons pas accs aux catgories de site que nous avons bloqu.
PERSONNALISATION DU MESSAGE DERREUR OU REDIRECTION

Lorsquun utilisateur tente daccder un site Internet bloqu, IPCop gnre un mess age, nous pouvons soit le personnaliser ou rediriger linternaute vers une page Internet spcifique. Personnalisation du message : Message ligne 1 : Accs refus Message ligne 2 : Laccs la page demand a t refus Message ligne 3 : Si vous pensez quil sagit dune erreur veuillez contacter ladministrateur
Figure 49 - Personnalisation du message
Ce qui donne :
Figure 50 - Adieu Facebook !!! Notez que la catgorie du site bloqu est renseign, pour ce faire regarder la figure 49.
Tentons la redirection
Figure 51 - Ajouter l'URL que vous voulez dans "Rediriger vers cette URL"
32
Ce qui donne :
Figure 52 - Observez bien que l'adresse est reste www.facebook.fr
Nous avons presque fini le projet, il faut dsormais trouver un moyen pour que la direction ne soit pas bloque par les mesures de scurit.
AUTORISER DES UTILISATEURS A AVOIR UN ACCES TOTAL A INTERNET

Nos plugins nous permettent deffectuer un filtrage, donc nous allons pouvoir donner un accs total certains utilisateurs. Dans cette partie, nous verrons le cas avec URLFilter, et Advanced Proxy. Cest parti.
FILTRAGE DACCES A I NTERNET AVEC URLFILTER

Effectivement, URLFilter peut permettre certains utilisateurs davoir un accs total Internet, sous une seule et unique condition. Laquelle ? Il faut que les utilisateurs qui nous voulons donner un accs Internet sans restrictions disposent dune adresse IP fixe. Cest simple et efficace ! Ceci peut tre suffisant si dans votre infrastructure, de tels utilisateurs ne sont pas nombreux.
Figure 53 - On ajoute les adresses non filtres, dans notre cas, un des membres de la direction ladresse 172.16.1.3
Voici le rsultat :
Figure 54 - a fonctionne
33
FILTRAGE DACCES A I NTERNET AVEC ADVANCED PROXY

Advanced Proxy nous propose plusieurs types didentifications pour laccs Internet. Citons trois dentre elles : Locale Windows LDAP (MS Active Directory) Malheureusement, dans notre projet nous ne pourrons utiliser que lidentification locale, en effet les identifications bases sur Windows et Active Directory sont trop restrictives, soit lutilisateur a un accs Internet ou alors il naura pas accs Internet du tout. Heureusement il nous reste, lidentification locale Si vous avez beaucoup de comptes bloquer peut -tre serait-il judicieux de mettre en place le filtrage vu prcdemment.
Figure 55 - L'authentification locale
Cliquez sur Gestion des utilisateurs afin de crer les comptes.
LES DIFFERENTS TYPES DE COMPTE

Lidentification locale comporte trois types de compte : Standard : le paramtre par dfaut de tous les utilisateurs. Tous auront les restrictions appliques ce groupe. Etendu : utiliser ce groupe pour les utilisateurs non restreints. Les membres de ce groupe outrepasseront les restrictions de temps et de filtre. Dsactiv : les membres de ce groupe sont bloqus. Ceci peut tre utile si vous souhaitez dsactiver un compte temporairement sans perte du mot de passe.
CREATION DES COMPTES

Cliquez sur Gestion des utilisateurs, vous arriverez sur cette page :
Figure 56 - Cration des comptes
34
Nous allons crer deux comptes : Compta o Nom dutilisateur : compta o Mot de passe : eclipse33 o Groupe : Standard Direction o Nom dutilisateur : direction o Mot de passe : Eclipse33 o Groupe : Etendu LORSQUE VOUS AVEZ FINI DE CREER VOS COMPTES, VOUS DEVEZ REDEMARRER IPCOP POUR QUE LES MODIFICATIONS SOIENT PRISES EN COMPTES. IL EN VA DE MEME POUR SI VOUS SUPPRIMEZ OU MODIFIEZ UN COMPTE.
CHANGEMENT DU MOT DE PASSE POUR LACCES WEB

Les utilisateurs peuvent changer leur mot de passe sils le souhaitent. Linterface est accessible en entrant cette URL : http://ipcop-green-ip:81/cgi-bin/chpasswd.cgi Dans notre cas http://172.16.1.1:81/cgi-bin/chpasswd.cgi
Figure 57 - Changement du mot de passe
Cette page de dialogue Web, ncessite le nom dutilisateur, lancien mot de passe, le nouveau de passe ainsi que la confirmation du nouveau mot de passe.
35
TESTS CONNEXION AVEC LE COMPTE COMPTA

Ouvrez votre navigateur Internet, et identifiez-vous avec le compte Compta :
Figure 58 - Fentre de connexion pour l'accs Internet
TEST DU FILTRAGE
Une fois connect, allez sur un des sites interdits, par exemple, www.facebook.fr
Figure 59 - URLFilter fonctionne
36
CONNEXTION AVEC LE COMPTE DIRECTION

De la mme faon quavec le compte Compta, connectez-vous avec le compte Direction :
Figure 60 - La Direction a bien accs Facebook
ENVOI/RECEPTION DE COURRIEL
Nous allons dans un premier temps, essayer lenvoie dun email.
Figure 61 - Envoi d'un courriel
On sassure que le destinataire, le reoit bien :
Figure 62 - Notre destinataire a bien reu le courriel
37
Nous allons lui rpondre, regardons si la rception fonctionne aussi :
Figure 63 - a fonctionne
URLFilter, ne bloque pas lenvoi/rception de courriel. Nous sommes heureux tout fonctionne comme nous le voulons !
POUR ALLER PLUS LOIN BLOQUER LINSTALLATION DE LO GICIELS INDESIRABLES

En effet, il nest pas rare darriver sur la machine dun utilisateur, et de constater une prolifration de logiciels indsirables et que celui-ci se demande pourquoi celle-ci rame Deux solutions : Sans IPCop nous pouvons corriger ce problme, il suffit que lutilisateur ne soit pas administrateur de sa machine. Avec IPCop et URLFilter, nous pouvons bloquer les fichiers excutables, compresss, et bloquer les fichiers audio/vido.
LUTLISATEUR NEST P AS ADMINISTRATEUR DE SA MACHINE

Voici la procdure : Faites : Dmarrer Outils dadministration Utilisateurs et ordinateurs Active Directory . Dployez votre domaine, dans notre cas, ipcop.com, puis cherchez le conteneur Users. Puis faites un clic droit :
Figure 64 - Cration d'un nouvel utilisateur / Groupe
Javais cr au pralable, lutilisateur compta et le groupe Grp_Compta, nous allons donc voir la dmarche avec lutilisateur direction et le groupe Grp_Direction, qui lui sera administrateur de la machine.
38
CREATION DU COMPTE
Figure 65 - Cration de l'utilisateur
Figure 66 - Dfinition du mot de passe
Dans cet exemple, nous avons dcid que le mot de passe nexpirait jamais et que lut ilisateur ne pouvait pas le changer. Libre vous de le modifier votre convenance.
CREATION DU GROUPE
De la mme faon nous allons crer le groupe : Grp_Direction.
Figure 67 - Cration du groupe
39
DEFINITION DES RELATIONS

Nous allons dfinir les relations suivantes pour nos utilisateurs : - Compta : membre de Grp_Compta, Utilisateurs du domaine. - Direction : membre de Grp_Direction, Administrateurs, Administrateurs de lentreprise, Utilisateurs du domaine.
Figure 68 - Cliquez sur "Ajouter un groupe"
Commencez taper le dbut du nom du groupe, comme lillustre la figure 68, puis cliquez sur Vrifier les noms:
Figure 69 - Ajoutons des groupes
40
En cliquant sur Vrifier les noms, la fentre suivante apparatra :
Figure 70 - Slectionnez le(s) groupe(s)
Pour lutilisateur Direction, et uniquement pour lui, nous allons dire quil appartient aux groupes Administrateurs suivants :
Figure 71 - Les groupes Administrateurs slectionner
Nous allons attribuer des affiliations au groupe Grp_Direction :
Figure 72 - Les affinits du Grp_Direction
41
Pour lutilisateur Compta, nous devons obtenir ceci :
Figure 73 - Affiliation de l'utilisateur Compta
TESTS
Ouvrez une session, sur la machine client, avec le compte Compta. Allez sur Clubic et tlcharger un fichier quelconque, dans notre cas, il sagit dAvast. Lancez linstallation, et observer :
Figure 74 - L'utilisateur n'a pas les droits requis, on a gagn!
42
Mme opration avec le compte Direction :
Figure 75 - a fonctionne!
LUTILISATEUR EST ADMINISTRATEUR DE SA MACHINE

Allez dans Filtre DURL et cochez les options suivantes :
Figure 76 - Voici ce que nous allons bloquer
TEST POUR LE COMPTE DIRECTION

Allez sur Clubic, puis tlcharger un fichier quelconque, dans notr e cas, il sagira de Mozilla Firefox.
Figure 77 - Le compte Direction n'est pas restreint par notre politique
43
TEST POUR LE COMPTE COMPTA

Allez sur Clubic, puis tlcharger un fichier quelconque, dans notre cas, il sagira de Goog le Chrome.
Figure 78 - Le compte Compta ne peut pas tlcharger des logiciels
VERIFICATION DU NAVI GATEUR INTERNET

Via Advanced Proxy, nous pouvons obliger les utilisateurs de notre rseau utiliser certains navigateurs Internet plutt quun autre.
Figure 79 - Vrification du navigateur
Nous navons autoris quInternet Explorer et Windows Update, afin que nos machines puissent faire les mises jour. Ouvrez une session sur la machine XP avec le compte Direction, puis installez-y Mozilla Firefox. Une fois install, excut le logiciel, et identifiez-vous.
Figure 80 - Authentification Firefox
44
AVEC LE COMPTE DIRECTION
Figure 81 - Le compte Direction peut utiliser un navigateur diffrent d'Internet Explorer...
AVEC LE COMPTE COMPTA
Figure 82 - ... Pas le compte Compta
45
DETECTION DES INTRUSIONS

Nous pouvons dtecter les intrusions soit sur le Rseau ROUGE et/ou sur le Rseau VERT, pour cela allez dans Systmes puis Dtection des intrusions. Cochez les options que vous souhaitez, puis faites Enregistrer et ensuite Appliquer maintenant.
Figure 83 - La dtection des intrusions est active
JOURNAUX
Nous allons aborder une partie importante pour un pare-feu : les journaux ou logs. En effet, ces retours dinformations permettent danalyser quels sont les attaques, quand ont -elles lieu, voire mme darriver identifier leur origine, le simple fait de cliquer sur ladresse IP souponn lance un whois. IPCop nous propose plusieurs journaux : Journaux du serveur mandataire Journaux du pare-feu Journaux IDS Journaux du Filtre DURL Journaux du Systme
CONFIGURATION DES JOURNAUX

Nous pouvons choisir de les classer par ordre chronologique invers, le nombre de lignes par page, la dure de conservation, le niveau de dtail, etc.
Figure 84 - Configuration des journaux
46
EXEMPLE : JOURNAUX DU PARE-FEU
Figure 85 - Journaux du pare-feu
Figure 86 - Ralisation d'un whois
ETAT DU SYSTEME
En allant dans Etat puis Etat du systme, nous pourrons vrifier quels services sont actifs, lespace disque disponible, la mmoire utilise, les modules chargs. Nous ne pourrons rien modifier ici .
47
Figure 87 - Etat du systme
48
CONCLUSION
Tout au long de ce projet, nous avons pu voir comment installer et configurer IPCop dans un environnement Windows. Pour ma part, jai dcouvert une solution pare-feu trs intressante et adaptable diffrents types de rseaux, ceci est d la petite configuration requise. Les plugins dIPCop que nous avons ajouts, le rende encore plus performant. De plus la com munaut dIPCop est bien prsente, alors en cas de problme, faites des recherches sur Internet, votre problme ne restera pas sans rponse. Il existe encore bien dautres plugins pour IPCop, libre vous de les essayer. Le seul problme, que jai pu rencontrer ctait deffectuer le filtrage avec lActive Directory A voir donc. IPCop possde bon atout par rapport la solution de Microsoft (Forefront TMG). Du point de vue configuration, le prix aussi, en effet pour installer Forefront, il vous faudra une machine en 64 bits, un Windows Server 2008 R2, Forefront et sa licence (1200) IPCop, quant lui est gratuit.
49
ANNEXES
Quelques sources : http://nilz.fr/configuration-d%E2%80%99un-firewall-ipcop http://membres.multimania.fr/pulsergene/doc/ipcop-advproxy-v1.0.1%20.pdf http://www.mhaddons.tk/

IPCop 2

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

IPCop 2

Загружено:

Авторское право:

Доступные форматы

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

PREAMBULE INFORMATIONS LEGALES

AVANT DE COMMENCER PRE-REQUIS

LES LOGICIELS A RECUPERER

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

PRESENTATION DU PROJET QUEST - CE QUIPCOP ?

ARCHITECTURE FONCTIO NNELLE DIPCOP :

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 1 - Topologie du projet

Rseau VERT Rseau VERT Rseau ROUGE Rseau VERT

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

WINDOWS SERVER 2008 R2 (ENTREPRISE EDITION) INSTALLATION

Figure 2 - L'installation du serveur peut commencer

LACTIVE DIRECTORY : INSTALLATION ET CONFIGURATION

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 4 - FQDN: ipcop.com

Figure 5 - Nom de domaine NetBIOS

Figure 6 - Niveau fonctionnel de la fort: Windows 2000

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 7 - Niveau fonctionnel du domaine : Windows 2000 natif

Figure 8 - On active le serveur DNS

DNS : CREATION DUNE ZON E DE RECHERCHE INVERSEE

Figure 9 - Cration d'une nouvelle zone

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 10 - On choisit la Zone principale

Figure 11 - On renseigne la zone de rplication

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 12 - On slectionne l'IPv4

Figure 13 - On renseigne le Rseau VERT

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 14 - Nous n'autorisons que les mises jours dynamiques scurises

IPCOP : INSTALLATION ET PREMIERE CONFIGURATION

Figure 15 - L'accueil d'IPCop

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 16 - On slectionne la langue Franaise

Slectionnez la source de votre installation : CDROM, cl USB, http ou ftp.

Figure 17 - Dans notre cas il s'agit d'un CDROM

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 18 - Passons cette tape

Figure 19 - IPCop travaille pour nous

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

IPCop a bien dtect nos interfaces rseaux :

Figure 20 - Si IPCop a dtect la bonne interface, validez par OK

Figure 21 - Configuration du Rseau VERT

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

PREMIERE CONFIGURATION DIPCO P

Figure 22 - Interface du clavier

Figure 23 - Choix du fuseau horaire

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Figure 24 - Nom de l'hte

Figure 25 - Dsactivation du RNIS

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Nous allons maintenant paramtrer IPCop pour notre rseau :

Figure 26 - Le panneau de configuration d'IPCop

Figure 27 - On slectionne l'option GREEN + RED

Installation et configuration dIPCop dans un environnement Windows| 3/6/2011

Nous allons attribuer une interface rseau notre Rseau ROUGE.

Figure 28 - Attribution de la carte rseau pour le Rseau ROUGE

Figure 29 - Configuration de l'adresse IP pour le rseau ROUGE