Firewall IPCop : sécuriser son réseau avec Linux

Le par Mathieu D.  |  28 commentaire(s)
Article n° 101 - Installation d'un serveur IPCop (120*120)

IPCop est un système d'exploitation complet basé sur un noyau Linux optimisé qui est destiné à assurer la sécurité de votre réseau. Utilisant très peu de ressources systèmes, il peut être installé sur un vieux PC (233MHz / 64Mo de RAM) et fera office de pare-feu très performant pour l'ensemble de vos ordinateurs.

Présentation

Image


  • INTRODUCTION


IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. Ce système d'exploitation à part entière fonctionne sur une machine dédiée, et utilise très peu de ressources systèmes (un ordinateur PC équipé de 64 Mo de mémoire vive et d'un processeur à 233 MHz suffit). Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre un réseau considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci.

Pour ce faire, un ordinateur muni de plusieurs cartes réseau sera nécessaire, alors que l'installation est à la portée de toute personne possédant un minimum de notions en réseau IP et en système Linux (adressage, ping, commandes shell de base), pas la peine donc d'être un expert ;-).

Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du pare-feu (ou firewall), les différents services proposés par IPCop, les plug-ins disponibles ainsi que leurs fonctions. Puis, dans un second temps, nous détaillerons l’installation d’un serveur IPCop avant de conclure en comparant ce système par rapport à d'autres solutions existantes.

Développé initialement à partir du code source d’un projet similaire nommé SmoothWall, IPCop et celui-ci ont maintenant pris une orientation différente (cependant la procédure d’installation des deux systèmes reste quasi identique, ce dossier pourra donc vous servir si vous le souhaitez à installer un serveur SmoothWall…).

La configuration des services via l’interface web d’administration fera quant à elle l’objet d’un futur dossier.

Image


  • FIREWALL ET ROUTAGE


La partie firewall d’IPCop se compose de plusieurs interfaces dont chacune peut être ou non utilisée, à l’exception de l’interface rouge, qui elle, est obligatoire :


  • Rouge
    Zone du réseau à risque ( Internet ). 
  • Vert
    Zone du réseau à protéger ( réseau local ).
  • Bleu
    Zone spécifique pour les périphériques sans fil. Il n’est possible de faire communiquer l’interface Verte et l’interface Bleu qu’en créant un VPN, des explications de John Bradshaw traduites par Eric Boniface sont disponibles ici.
  • Orange
    Zone démilitarisée ( DMZ ), cette zone est considérée comme publique, elle est accessible de l’extérieur mais ne possède aucun accès sortant (pour des serveurs web par exemple).


Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possède comme passerelle l'adresse IP de la carte d'interface derrière laquelle elle se situe (par exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte).



Voici un exemple plus parlant de schéma réseau réalisable avec IPCop :

Image


../..



Services

  • SERVICES

Les services permettent de créer différents serveurs, ou tout simplement d'ajouter un rôle afin qu'IPCop soit plus qu'un simple firewall ( pare-feu ).

Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici, bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration.


Image


Description des services :

  • RPV
    ce service vous permet de créer un Réseau Privé Virtuel ( VPN pour les intimes ) entre votre IPCop et un autre IPCop. Il peut etre désactivé si l'on ne fait pas de VPN.

  • Serveur CRON
    cron est le nom d’un démon ( ou processus ) qui permet de planifier l’exécution de tâches à des dates et heures définies à l’avance, ce service pourrait être comparé aux " Tâches planifiées " de Windows. Ce service ne peut être désactivé.

  • Serveur DHCP
    vous permet de créer un serveur DHCP afin d’allouer dynamiquement une adresse IP, une passerelle et l’adresse de vos serveurs DNS à des ordinateurs dont les cartes réseau sont configurées en mode « client DHCP » ( GNU Linux et Mac ) ou « Automatique » ( Windows ). Il peut être désactivé.

  • Serveur NTP
    il s'agit là d'un service de serveur de temps, ceci permet de synchroniser l'heure de votre IPCop en fonction de celle d'un serveur NTP d'internet. Il est possible de désactiver ce service.

  • Serveur Web
    ne peut être désactivé car ce service permet l'accès à l'interface web d'administration.

  • Serveur d'accès à distance ( SSH )
    vous permet d’accéder à votre serveur IPCop via le protocole SSH (avec PuTTY dont on peut automatiser les connexions par exemple). il peut être désactivé.

  • Serveur d'enregistrement de journaux
    vous permet d’avoir des rapports de suivi des événements survenus sur le réseau et les services (tentatives d’intrusion, trafic sortant et entrant, etc.). Ce service peut être désactivé.

  • Serveur d'enregistrement des journaux du noyau
    ce service peut être désactivé. Son rôle est d'analyser le noyau du système, vous permettant ainsi de repérer les erreurs du système.

  • Serveur mandataire (proxy)
    peut être désactivé. Ce service permet de créer un serveur proxy jouant le rôle de tampon entre les ordinateurs de votre réseau et Internet.

  • Système de détection d’intrusion
    peut être désactivé. Il permet d’activer la détection d’intrusion sur les interfaces avec les règles Snort (inscription gratuite obligatoire sur le site de Snort pour pouvoir profiter de ce service), il est possible de choisir l’interface sur laquelle on souhaite l’activer ou la désactiver.

../..


Plug-ins

  • PLUG-INS

Des plug-ins (modules supplémentaires ) peuvent être installés afin d’améliorer des services existants ou afin d’ajouter des rôles supplémentaires à votre serveur IPCop.

  • AdvProxy
    Advanced Proxy est, comme son nom l’indique, un serveur proxy avancé. Il enrichit ainsi les options existantes au niveau du proxy d’IPCop, son installation est nécessaire pour pouvoir utiliser et activer le plug-in URL Filter.

  • URL Filter
    Ce plug-in vous permettra d’effectuer un filtrage d’url afin d’interdire l’accès à certaines catégories de sites web (contenu pornographique, violence, drogue, hack, warez, etc.).

  • CopFilter
    On ne peut pas vraiment définir CopFilter de plug-in tellement l’étendu de ce qu’il apporte à IPCop est importante. CopFilter regroupe en fait un ensemble de plug-ins permettant d’effectuer un contrôle antivirus sur les e-mails entrants, de stopper le spam ( pourriel ), d’effectuer des tâches de monitoring, etc.


Image


Remarque : tous les plug-ins s'installent et se désinstallent de la même façon. Pour installer un plug-in il vous suffit de télécharger le fichier d'installation sur votre ordinateur, de le copier sur votre serveur IPCop à l’aide de l’utilitaire WinSCP (attention il faut utiliser le port 222 et non le port 22 par défaut) puis enfin de taper ces commandes en SSH :

  • tar -xzf –ipcop-NomDuPlugin-VersionDuPlugin.tar.gz

  • ipcop-NomDuPlugin/install

Une fois installés, les plug-ins seront disponibles immédiatement dans l’interface web (aucun redémarrage n’est nécessaire).

Pour désinstaller un plug-in il suffit de taper dans le Shell la commande :

  • ipcop-NomDuPlugin/uninstall


Cette liste de plug-ins n’est bien sûr pas exhaustive, il s’agit là uniquement des plug-ins les plus connus pour IPCop. A noter qu' AdvProxy et URL Filter sont également disponibles pour SmoothWall.


Attention :

Certains plug-ins, comme CopFilter, nécessitent des ressources systèmes plus importantes qu’un IPCop de base (il faut alors compter sur un PC équipé d'un processeur à 350 Mhz et de 256Mo de mémoire vive).

../..


Configuration matérielle

  • CONFIGURATION MATERIELLE

Etant dépourvu de tout élément non nécessaire au bon fonctionnement du système (pas de couche graphique, commandes et services non utiles supprimés, etc.),  IPCop ne nécessite pas une grosse configuration pour fonctionner convenablement (un ordinateur PC ayant un processeur à 233 Mhz et 64 Mo de mémoire vive suffit pour un réseau d’une vingtaine de postes).

Cependant votre machine devra posséder au moins autant de cartes réseaux que d’interfaces que vous comptez exploiter (sauf si vous utilisez un modem pour l’interface rouge) ainsi qu’un lecteur CD-ROM pour effectuer l’installation. Il peut être également utile d’ajouter un lecteur de disquettes si l’on souhaite effectuer et restaurer des sauvegardes.


Image


A titre indicatif, la configuration matérielle minimale est un processeur de type 386, 32Mo de RAM, un disque dur de 300Mo, et une carte réseau (si vous utilisez un modem).

La liste des cartes réseaux et des modems compatibles avec IPCop peut être consultée ici, il arrive que certains modèles qui ne figurent pas dans la liste soient tout de même reconnus, cependant pour éviter d'éventuels problèmes, il vaut mieux utiliser un périphérique qui figure dans celle-ci...

Un écran et un clavier sont bien évidemment nécessaires pour l’installation, mais dont on pourrait se passer une fois celle-ci terminée (à condition de désactiver l’erreur correspondant à l’absence de clavier au démarrage dans le BIOS...).

La souris n’étant pas prise en charge il faudra se déplacer à l’aide de la touche [TAB] dans les menus (un retour en arrière est possible à l’aide de la combinaison [SHIFT] + [TAB], tout comme sous Windows), ceux-ci seront validés avec la touche [ENTREE].


Image


Note : Il est conseillé d’utiliser des cartes réseaux de marque ou de modèle différents pour les interfaces, ou alors de connaitre les adresse MAC de celles-ci. En effet, s'il y a des cartes identiques IPCop ne pourra les différencier que par leur adresse MAC.
Par ailleurs les cartes réseaux d’une marque à base de chip d’un autre fabricant ne sont pas conseillées car elles risquent de ne pas être reconnues lors de l’installation (par exemple une carte réseau X à base de chipset de marque Y qui est reconnu comme un modèle du constructeur Y dans Windows)

../..


Tutorial de l' installation (1/3)

  • INSTALLATION

Avant de se lancer dans l’installation d’ IPCop sous la forme d'un tutorial, quelques étapes préalables sont nécessaires.

Dans un premier temps, vous devrez télécharger une image iso de la dernière version d’ IPCop en suivant ce lien puis graver celle-ci au moyen d’un logiciel de gravure (CDBurnerXP Pro par exemple).

Une fois l’image gravée sur un CD il faudra vous assurer que votre BIOS est bien configuré pour que votre ordinateur boot sur le CD-ROM.

Une fois l’ordinateur allumé et le CD d’installation inséré, au boot de la machine cet écran apparait :


Image


Il suffit d’appuyer sur [Entrée] pour confirmer que vous souhaitez bien procéder à l’installation, ensuite celle-ci démarre.

La langue que vous souhaitez utiliser pendant l’installation vous est alors demandé, suivi d’un message d’accueil.

Il vous sera ensuite proposé de choisir le type de support d’installation, votre machine n’étant pas forcément reliée à internet et tous les fichiers nécessaires à l’installation se trouvant déjà sur le CD-ROM, vous sélectionnerez ce mode d’installation.


Image


Un message de confirmation vous demandant d’insérer le CD d’ IPCop dans le lecteur s’affiche, ce message est normal, sélectionner [OK].

Ensuite, un avertissement vous informe que votre disque dur va être partitionné et qu'un nouveau système de fichiers va être installé sur celui-ci, sélectionner à nouveau [OK].

Le partitionnement du disque et l’installation des fichiers commencent alors, cette étape terminée il vous sera demandé si vous souhaitez ou non restaurer une configuration d’un système IPCop défunt… Cette option est très pratique si vous désirez créer plusieurs IPCop avec les mêmes réglages à partir de configurations identiques.

Dans notre cas il s’agit de notre première installation, sélectionner [Passer] pour poursuivre l’installation.


../..


Tutorial de l' installation (2/3)

Une nouvelle fenêtre concernant la configuration du réseau s’affiche alors :


Image


Il s’agit ici de rechercher une carte réseau qui sera utilisée pour l’interface verte, une fois cette carte réseau détectée il vous sera demandé de spécifier une adresse privée : cette adresse correspondra à la passerelle des ordinateurs du réseau vert.

Note : il est conseillé de faire une recherche plutôt que de sélectionner manuellement une carte dans la liste (Rappel : les cartes X à base de chipset Y reconnues comme des cartes Y par Windows sont à éviter)


Sélection de l’adresse IP de l’interface verte, par exemple 192.168.1.1 :


Image


Un message s’affiche ensuite vous indiquant qu’ IPCop s’est installé avec succès et vous demande de retirer le CD d’installation du lecteur, une fois le CD éjecté appuyer sur [Entrée].

Le système redémarre alors, l’installation se poursuit et la disposition de votre clavier vous est maintenant demandée, sélectionner « fr-latin1 » puis [OK], sélectionner ensuite « Europe/Paris » comme fuseau horaire (du moins si vous êtes en France).

Un nom d’hôte vous sera ensuite demandé, il correspond au nom sous lequel votre serveur IPCop apparaitra sur le réseau, viendra ensuite le nom de votre domaine (laisser « localdomain » si vous n’en avez pas).

Arrive désormais l’étape de configuration du modem (si existant) :


Image


  • Si vous possédez un modem pour vous connecter à Internet, vous pouvez relier celui-ci directement à votre IPCop, si tel est le cas il vous faudra sélectionner un périphérique dans la liste disponible (« *AUTODETECT* » permet de simplifier la recherche), puis activer le RNIS en poursuivant la suite de l’installation avec le bouton correspondant. Votre modem sera ainsi défini comme interface rouge.

  • Si vous ne possédez pas de modem, sélectionner « Désactiver RNIS (ISDN) » pour poursuivre l’installation, une de vos cartes réseaux désignera automatiquement l’interface rouge dans la suite du processus d’installation.

../..


Tutorial de l' installation (3/3)

Apparaît alors le choix du type de configuration réseau :


Image


C’est ici que nous allons choisir le type de configuration qu’ IPCop va adopter :
  • choix du type d’interfaces (rouge, verte, bleu et orange)
  • affectation des cartes réseaux à une interface
  • configuration de l’adressage IP des cartes réseaux
  • configuration du serveur DNS et de la passerelle (dans le cas où l’interface rouge n’est pas configurée via un DHCP ou un modem).

Une fois cette étape terminée, sélectionner [Continuer] pour passer à l’étape suivante.

Désormais il va falloir configurer une adresse pour chaque interface. L’interface rouge peut être statique, dynamique, PPPoE ou PPTP (si modem) :


Image


Il s’agit ici de définir les adresses IP des différentes interfaces, ces adresses correspondront à la passerelle sur les postes qui seront connectés derrière ces interfaces.


Concernant les interfaces verte, bleu et orange la configuration est identique :


Image


Si vous n’avez pas activé l’adressage via DHCP ( Dynamique ), il faudra préciser une configuration de la passerelle et du DNS que l’interface rouge devra utiliser.


../..


Accès et commande setup

Une fois le menu de configuration du réseau passé, il vous est possible de créer un serveur DHCP pour l’interface verte.

Le DHCP permet d’allouer de façon dynamique une adresse IP, une passerelle et des adresses de serveurs DNS à un client qui se connecte sur le réseau. Ce type de service est très pratique lorsque l’adresse d’un serveur DNS ou d’une passerelle change : en effet il n’est alors pas nécessaire de reconfigurer tous les postes du réseau ! Il facilite également l’ajout d’un poste sur le réseau.

Les mots de passe des comptes « root » et « admin » vous seront ensuite demandés, le compte « root » a la possibilité de se connecter en local ou en SSH à l’ IPCop tandis que le compte « admin » permet d’accéder à l’interface web d’administration de celui-ci.


Attention :

Même si vous avez sélectionné un clavier français lors de l’installation, celui-ci est encore considéré comme un clavier QWERTY : il faudra donc en tenir compte lorsque vous saisirez les mots de passe sous peine de mauvaise surprise lors de la première identification!!


Une fois ces étapes passées, un message vous informe que l’installation est terminée et que l’ordinateur va maintenant redémarrer.

Vous pourrez désormais accéder à l’interface web d’ IPCop en entrant l'une des adresses suivantes :
  • http://AdresseIpInterfaceVerte:81

  • https://AdresseIpInterfaceVerte:445

sur le navigateur internet de n’importe quel poste présent sur l’interface verte, par exemple :
  • http://192.168.1.1:81

Cliquez sur « Connexion » dans l’interface web pour activer le trafic internet, un nom d’utilisateur et un mot de passe vous sont alors demandés, le nom d’utilisateur est ici « admin » et le mot de passe correspond à celui que vous avez défini pendant l’installation.

Une fois l’accès SSH activé dans le menu « Système » vous pourrez utiliser le compte « root » pour accéder au Shell ou envoyer des fichiers ( plug-ins par exemple ) sur votre serveur IPCop.


Remarque concernant la commande " Setup " :

Tout ce qui a été défini au-delà de l’extraction du CD-ROM d’installation et du redémarrage de la machine, peut être modifié en tapant la commande « setup » dans le Shell ( en local ou en SSH ).


Image


../..


Conclusion

  • CONCLUSION

IPCop permet d’utiliser une machine de récupération, même très vieille (64Mo de RAM, processeur à 233 MHz) pour couvrir les besoins en sécurité internet de la plupart des PME, il vous permettra ainsi de réaliser des économies par rapport à d’autres solutions disponibles sur le marché réalisant la même tâche.

À la fois complet et léger vous ne pourrez plus vous en passer une fois que vous aurez goûté à son interface d’administration très simple et intuitive. Par ailleurs ce système ne demande aucune maintenance particulière et est conçu pour fonctionner non-stop pendant des mois sans avoir besoin de redémarrer.

La possibilité d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil à la fois fiable et évolutif. Par ailleurs, la facilité d'installation des mises à jour et la non-nécessité de redémarrer est un plus non négligeable. Seule ombre au tableau : celles-ci ne s'effectuent pas de façon automatique et il faut donc les vérifier de temps en temps à l'aide de l'onglet prévu à cet effet...

L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est plus nécessaire d'avoir un firewall d'installé sur chaque poste du réseau, le serveur se chargeant d'effectuer le filtrage en amont. En revanche, cela demande tout de même d'avoir un ordinateur supplémentaire qui sera installé sur site. Contrainte que possède IPCop par rapport à des solutions physiques payantes qui prennent elles moins de place et qui possèdent parfois des règles de filtrage que l'ont peut un peu plus affiner, mais le coût de ce genre de solution ( surtout si elles gèrent le VPN ) n'a rien à voir avec celui d'un IPCop !

Un dossier concernant l’interface web d’administration est également disponible pour vous perfectionner dans l'art d'installer et de gérer un serveur IPCop.


Image


  • Partager ce contenu :
Vos commentaires Page 1 / 3
Trier par : date / pertinence
yagami offline Hors ligne Vétéran avatar 1295 points
Le #169409
Super merci pour le tutoriel
Une question sinon que vaut ipcop face a smoothwall et il plus simple, plus efficace'
Et si l'on fait du peer to peer avec enormement de source avec un poste ordinateur qu'elle config faut t'il, un processeur à 350 Mhz et de 256Mo de mémoire vive suffisent t'il dans ce cas la'

Encore merci pour ce tutoriel je m'en vais l'essayer
Mathieu D. offline Hors ligne Héroïque avatar 957 points
Le #169410
IPCop et Smoothwall sont, comme dis dans le dossier, à la base du même noyau, donc ils ce valent niveau sécurité... Ensuite c'est à toi de voir lequel tu préfères en essayant les deux !
Niveau config pas besoin d'une machine plus puissante que ce qui est décrit (celle que tu cites suffit largement), en revanche il faudra rediriger les ports adéquat pour que le trafic de ton logiciel ne soit pas bloquer.
PlipPlop offline Hors ligne Héroïque avatar 612 points
Le #169411
Merci pour ce super tuto !!
tite question: avec une Freebox ou Wanabox connectée via son interface Lan (pas en usb, on perd trop de débit!), y-a-t-il des éléments particuliers à connaître '
Merci
xavi offline Hors ligne Héroïque avatar 657 points
Le #169412
Juste pour info je faisais tourner un ipcop sur un P90 avec 32Mb de RAM avec DHCP et firewall pour 4 postes sans aucun probleme.
Mathieu D. offline Hors ligne Héroïque avatar 957 points
Le #169413
@ PlipPlop : aucun soucis avec une freebox ou une livebox

@ xavi : j'ai un ipcop qui tourne depuis deux mois pour 15 utilisateurs avec un P233 MMX et 32Mo de RAM
yagami offline Hors ligne Vétéran avatar 1295 points
Le #169414
Merci pour la réponse
Car je compte filtrer pas mal de chose avec snort filtrer les url ca me faisait un peu peur de voir des ralentissement
Bon je me lance ca va soulager mon petit wrt54gs
CocoVFR offline Hors ligne Vétéran avatar 1361 points
Le #169415
Salut a tous.
Une petite info pour ceux qui veulent creuser la chose et obtenir de l'aide de la part de "spécialiste", rendez vous sur www.ixus.net.
Voila, voila.
super-kanard offline Hors ligne Héroïque avatar 612 points
Le #169416
Très bonne distribution en effet!

Elle a tourné chez moi sur un p75 avec 8mo de ram, et un disque de 1go (1 an et demi d'uptime). Le tout relié à un vieux modem adsl speedtouch (la raie verte).

Je ne connaissais pas les plugins, je vais tester cela (sur un celeron 500 avec seulement 64 mo de ram, je vais voir ce que ça donne).
foxfriend offline Hors ligne Héroïque avatar 612 points
Le #169417
On peut également citer dans ce créneau (petit firewall pour PME ou particulier) la distribution Free-EOS qui en plus de la fonction firewall offre pleins d'autres service (aller voir le page de wikipedia) dont notamment un serveur de mail avec antivirus, un serveur web qui dispose de plein d'appli PHP tel wiki, gestion de projet CMS, LMS, etc.
Cette distrib est également utilisable sur un PC de récupération vu sa faible consommation en ressource.
phebus offline Hors ligne VIP icone 11509 points
Le #169418
Et on en fait quoi de ce truc '
icone Suivre les commentaires
Poster un commentaire