IPCOP

I. Présentation A partir du menu de configuration du pare-feu d’IPCOP, il est possible de configurer des accès externes afin d’effectuer des tâches de maintenance et d’administration sur votre serveur depuis l’extérieur, c’est-à-dire depuis le WAN et donc le réseau dit « ROUGE/RED » pour IPCOP. Ainsi on pourra autoriser uniquement l’adresse IP d’une machine à accéder sur le port 445 uniquement à notre serveur IPCOP depuis le WAN. Le fait d’autoriser qu’une seule adresse IP ou à la limite que quelques unes permet de garder une couche de sécurité au niveau des accès depuis le réseau « dangereux » représenté par l’extérieur. Bien sûr, vous pourrez autoriser la connexion depuis n’importe quel adresse IP mais je ne vous le conseil pas. Il vaut mieux se limiter à quelques adresses IP de confiances. La version d’IPCOP utilisée dans le cadre de ce tutoriel est la version 1.4.20 mais c’est applicable pour la version 2.0.x, le principe restant le même. II. Configuration Nous

I. Présentation Pour accéder avec une machine depuis le réseau ROUGE vers une machine sur le réseau GREEN d’IPCOP, il est nécessaire d’utiliser la fonctionnalité du transfert de port afin d’ajouter une règle dans le pare-feu qui autorise l’accès. Par défaut, tous les accès vers les machines du réseau sécurisé (GREEN) sont interdits par les machines du réseau non-sécurisé (RED), IPCOP remplit son rôle de pare-feu afin de protéger les hôtes du LAN. On appelle aussi cette fonctionnalité « port forwarding » et dans le cas d’IPCOP cela se met en place grâce à des règles IPTABLES puisqu’IPCOP utilise cette application pour jouer le rôle de pare-feu. Ainsi, nous pourrons dire que lorsqu’on accède à l’interface ROUGE d’IPCOP sur le port 8080 on doit être redirigé vers le port 80 du poste de travail qui a la fonctionnalité de serveur web, ayant pour adresse IP « 172.16.0.1 », et, qui se situe dans le LAN (réseau GREEN). C’est d’ailleurs ce

I. Présentation La distribution IPCOP permet l’administration à distance via le protocole SSH en se connectant par mot de passe. Il est également possible de mettre en place une connexion SSH sécurisée par l’utilisation d’une paire de clés asymétriques. La clé publique restera toujours sur le serveur IPCOP, tandis que le poste utilisé pour la connexion à distance devra disposer de la clé privée. Une clé privée qui devra être au préalable converti avec l’utilitaire « PuttyGEN » afin d’être compatible et utilisable avec Putty. Dans le principe, dans un premier temps, la paire de clés doit être générées sur le serveur IPCOP grâce à la commande adéquate. Ensuite, on autorisera la clé publique auprès du serveur IPCOP pour qu’il ait confiance en cette clé. Dans un deuxième temps, la clé privée doit être transférée sur le poste client pour être utilisée lors d’une connexion. Il est important de préciser que cette clé privée doit être conservée précieusement puisque c’est

I. Présentation Des mises à jour système pour IPCOP sortent de temps en temps, et, fort heureusement il ne faut pas tout réinstaller à chaque fois. Par exemple, si vous installez IPCOP 1.4.20, vous pouvez y ajouter la mise à jour 1.4.21 ou si vous installez IPCOP 2.0.3, vous pouvez installer la mise à jour 2.0.4. Tout cela via l’interface web ! II. Téléchargement de la mise à jour Avant d’installer la mise à jour d’IPCOP, il faut bien évidemment la télécharger. Deux possibilités s’offrent à nous : – Sur le site ipcop.org, téléchargez « Latest update » qui à ce jour est la version « 2.0.4 ». – Dans l’interface web d’IPCOP, allez dans « Système » puis « Mises à jour ». Ensuite, cliquez sur « Actualiser la liste des mises à jour » et téléchargez la plu récente en cliquant sur l’icône de téléchargement (icône vert avec la flèche). Note : Le téléchargement des mises à jours

I. Présentation Lorsqu’on utilise un proxy en mode « non-transparent » il est possible de demander à l’utilisateur de s’authentifier pour pouvoir utiliser le proxy. Cette authentification peut être de différentes natures selon ce que l’on souhaite, voici celles proposées par IPCOP : – Aucune authentification : libre accès, – Authentification locale : stockage des logins et mots de passe dans un fichier, – Authentification identd : utilise la base des utilisateurs du système d’exploitation du client, – Authentification LDAP : utilise un annuaire utilisant le protocole LDAP comme Active Directory ou OpenLDAP. – Authentification Windows : utilise les utilisateurs Windows, – Authentification Radius : utilise un serveur Radius pour l’authentification. Dans ce tutoriel, on va voir l’authentification locale, c’est-à-dire en utilisant des identifiants directement stockés en local sur le serveur IPCOP. C’est simple à mettre en place et ne nécessite pas de mettre en place de système supplémentaire mais ce n’est pas sécurisé. II. Accès aux paramètres du proxy

I. Présentation IPCOP possède nativement une multitude de fonctionnalités et de services mais il est possible d’installer des « add-ons » pour ajouter une nouvelle fonction au serveur IPCOP ou améliorer une fonction déjà présente. Les add-ons sont nombreux mais la méthode d’installation est quant à elle unique. C’est ce que nous allons voir dans ce tutoriel. II. Où trouver les add-ons ? On les trouve un peu partout sur le net, en cherchant sur Internet, mais certains ne sont pas toujours évidents à trouver. Lorsque vous téléchargez un add-on, vérifiez bien qu’il soit compatible avec la version que vous utilisez. Les add-ons sont compatibles soit avec la version 1.4.20 (je dirais même 1.4.x) d’IPCOP, soit avec la nouvelle version 2.0.3. III. Téléchargement de l’add-on Pour ma part, j’utilise la version 2.0.3 d’IPCOP et je vais installer l’add-on « Copfilter » sur mon serveur, que j’ai trouvé sur le site de Copfilter. IV. Transfert de l’add-on sur l’IPCOP Une fois

I. Présentation On peut consulter la configuration réseau du serveur IPCOP via l’interface web ou en saisissant la commande « ifconfig » dans le terminal. On peut éditer la configuration réseau à n’importe quel moment on saisissant la commande « setup », mais on peut aussi éditer la configuration manuellement directement dans un fichier de configuration. C’est ce que nous allons voir. II. Le fichier à modifier La passerelle, les DNS, les adresses IP des interfaces, l’état des interfaces,… tout est contenu dans le même fichier, il faut donc le manipuler avec précaution. Le fichier en question est le suivant : /var/ipcop/ethernet/settings III. La signification des lignes Je vais vous expliquer la signification des lignes de ce fichier pour que vous puissiez l’éditer si besoin. DEFAULT_GATEWAY : Le routeur, la passerelle par défaut, pour sortie du réseau. DNS1 et DNS2 : Le serveur DNS primaire et le serveur DNS secondaire que doit utiliser l’IPCOP pour la résolution des noms. RED_1_NETADDRESS : L’adresse du réseau

I. Présentation Pour rappel, IPCOP 2.0.3 utilises le port non-standard 8022 pour l’accès via SSH et le port non-standard 8443 pour l’accès via interface web, pour des raisons de sécurité. Le port standard étant 22 pour le protocole SSH et 443 pour le protocole HTTPS. Pour une raison qui ne regarde que vous, il peut être nécessaire de modifier ces ports pour l’accès SSH et web. Nous allons voir comment procéder. IPCOP contient un script « setreservedports.pl » qui permet de redéfinir le port d’accès à l’interface web et le port d’accès via SSH simplement. II. Modifier le port de l’accès SSH Pour modifier le port de l’accès SSH, utilisez la commande suivante : setreservedports.pl –ssh 2222 Remplacez « 2222 » par le numéro de port que vous souhaitez utiliser pour l’accès SSH. III. Modifier le port de l’accès web (GUI) Pour modifier le port de l’accès Web, utilisez la commande suivante : setreservedports.pl –gui 4443 Comme pour la commande précédente, remplacez « 4443 » par

I. Présentation Il y a pratiquement un an, j’avais rédigé un tutoriel sur l’installation d’IPCOP version 1.4.20 (voir ce tutoriel : Installation d’IPCOP 1.4.20). Aujourd’hui je vous propose un tutoriel qui va vous guider lors de l’installation de la version 2.0.3 d’IPCOP. L’installation est sensiblement la même à quelques détails près, mais le tutoriel sera parfaitement adapté à ceux qui souhaitent installer la nouvelle version. En ce qui concerne le fonctionnement d’IPCOP, vous pouvez vous référer à l’autre tutoriel puisque ça n’a pas changé. II. Installation Vous pouvez télécharger IPCOP sur le site officiel, l’image ISO pèse 61 Mo, c’est donc rapide et léger. Ensuite, gravez l’image sur un CD puis booter dessus pour démarrer l’installation en appuyant sur « Entrée ». Choisissez la langue que vous souhaitez, le choix devrait se faire facilement. Démarrez le programme d’installation Choisissez « fr-latin1 » si vous disposez d’un clavier français, AZERTY standard. Pour qu’IPCOP se mettre à l’heure dès l’installation, choisissez le fuseau horaire vous correspondant.

I. Présentation En installant l’add-on NMAP sur IPCOP vous pouvez scanner les ports des machines situées sur votre réseau à partir de votre serveur. II. Activer l’accès SSH sur le serveur Pour pouvoir transférer l’archive d’installation du module NMAP il faut activer l’accès SSH pour transférer l’archive grâce au logiciel WinSCP (logiciel de transfert FTP par le protocole SSH). Si l’accès SSH est déjà actif passez à l’étape suivante sinon allez sur l’interface web d’IPCOP puis allez dans l’onglet Système puis Accès SSH. Ensuite cochez la case pour activer l’accès SSH puis Enregistrer. III. Transfert de l’archive de NMAP sur le serveur Maintenant connectez vous en SSH avec WinSCP, en indiquant l’adresse IP de votre serveur, l’utilisateur Root puis son mot de passe. En ce qui concerne le numéro de port c’est le port non-standard 222. Ensuite transférez l’archive de NMAP où vous le souhaitez sur votre serveur mais pensez à repérer quand même où vous la mettez car il

I. Présentation IPCOP est avant toute chose un firewall mais il inclut bien d’autres fonctions supplémentaires nativement, comme notamment la fonction de serveur DHCP. C’est ce que nous allons voir dans ce tutoriel. Cela vous évitera d’avoir un serveur supplémentaire pour assurer le rôle de serveur DHCP. De plus, tout est configurable par l’interface web d’IPCOP. II. Schéma du réseau III. Informations sur les équipements du réseau – Serveur IPCOP : version 2.0 – Adresse IP de l’interface rouge (côté internet) : 192.168.1.254 255.255.255.0 – Adresse IP de l’interface verte (côté LAN) : 192.168.2.254 255.255.255.0 – Client DHCP : client Windows en attente d’une configuration IP. – PC Administration : PC côté LAN, permettant d’administrer IPCOP par interface web. IV. Configuration du service DHCP de l’IPCOP Après avoir installé IPCOP (cf. tutoriel « Installation d’IPCOP 1.4.20 »), accédez à l’interface web en saisissant l’IP de l’interface verte de votre IPCOP suivit du port « 8443 » qui est port non standard pour le HTTPS.

I. Présentation Comme vous pouvez le remarquer au démarrage IPCOP démarre les différents services qui sont actifs, cependant les messages qui s’affichent sont écrits en anglais. II. Procédure Si vous souhaitez les mettre en français voici le fichier où il faut les modifier : /etc/rc.d/rc.sysinit Tous les messages que vous voyez s’afficher à l’écran correspondent au texte présent entre les guillemets de chaque commande echo. Par exemple vous pouvez modifier les lignes de la manière suivante : Note : Évitez de mettre des accents et des apostrophes car il se pourrait que certains disparaisse à l’affichage. Les modifications peuvent s’avérer longues mais si vous trouvez cela nécessaire libre à vous de les modifier. Une fois les modifications effectuez, redémarrez votre serveur et lisez les messages au démarrage, vous verrez que ce sont les vôtres.

I. Présentation IPCOP est une distribution Linux complète, son but est de protéger le réseau sur lequel elle est mise en oeuvre. En implémentant les technologies existantes, les technologies émergentes et en se servant de pratiques de programmations sûres, IPCOP est la distribution qu’il vous faut si vous souhaitez garantir la sécurité de vos ordinateurs et réseaux. IPCOP peut gérer jusqu’à 4 interfaces différentes : – Interface Rouge : Ce réseau correspond au réseau Internet (le réseau dit le plus dangereux.). Le but même d’IPCOP est de protéger les autres réseaux des attaques venues du réseau Internet, c’est-à-dire de l’interface Rouge. – Interface Verte : Correspond au réseau local (LAN) protégé par IPCOP. Ce réseau à le droit d’accès aux 3 autres réseaux (sauf paramétrage spéciaux grâce à des Add-Ons: URL Filter qui limite l’accès au Web, BlockoutTrafic pour gérer finement le trafic réseau). – Interface Orange : Ce réseau est une DMZ (Demilitarized Zone = Zone Démilitarisée) qui permet