1

IPCOP 1.4.x Mise en uvre du Pare Feu Et Des Addons

1. Description du contexte et de larchitecture

IPCOP est une distribution Linux gratuite et OpenSource permettant la mise en place simplifie dun pare-feu puissant moindre de cot. La distribution utilise pour ce TP est la version 1.4.16 1.1. Pr requis : Connaitre au minimum le plan dadressage cot LAN (voir schma ci-dessous), La manipulation de fichiers sous Linux est un plus. Disposer dun ordinateur connect et configur sur le rseau LAN et disposant dun navigateur Internet. La machine hte doit disposer dun minimum de 2 cartes rseau, afin de pouvoir reproduire le schma suivant :

Rseau Rouge 192.168.1.0 Postes et serveurs Rseau LAN 192.168.0.0 Pare Feu IPCOP

Liaison commute ou lien LAN to LAN

Site distant ou accs web (FAI)

Dans le cas du produit IPCOP les deux cartes seront nommes comme suit : Green (verte) pour la liaison LAN Red (Rouge) pour la liaison vers lextrieur (Web, Site distant) Le produit IPCOP est tout fait virtualisable cependant il est recommand de tout de mme disposer de 2 cartes rseau physique sur lhte. 1.2. Cration du support dinstallation : Le fichier tlcharg est de type image CDROM au format ISO (environ 45Mo). Ce dernier doit donc tre grav sur un media de type CD-R ou CD-R/W.

2. Lancement de linstallation :
Une fois le media cre, ce dernier doit tre insr dans le lecteur cdrom du pc hte. Il est alors ncessaire de booter avec ce cd (configuration requise dans le setup du poste).

A cet cran il est possible de dmarrer linstallation en pressant Entre , les options permettent soit de prciser certains paramtres lis au matriels soit de modifier des paramtres tels que la langue dinstallation, ou le partitionnement par dfaut de linstallation.

4 Slectionner sur cet cran la langue dinstallation dIPCOP, dans notre exemple nous choisirons Franais.

Valider en pressant la touche entre.

Slectionner ici Ok plus valider avec Entre.

Ici le programme nous indique quil va partitionner le disque et installer les fichiers, slectionner Ok puis valider.

Sur cet cran, sil sagit de la premire fois que vous installez IPCOP slectionner Passer (en vous dplaant avec les flches puis en validant votre choix avec la barre despace) puis valider.

Cet cran est primordial dans linstallation dIPCOP car cest ici que allez dfinir votre carte rseau Green (VERTE) lie au LAN. IPCOP dispose dun module de recherche et de configuration automatique pour de nombreuses cartes rseau. Valider alors la fonction de recherche.

Cet cran nous indique quIPCOP a bien trouv et configur une carte rseau sur votre systme. Vrifier que cette dernire correspond bien au matriel prsent dans votre machine et valider.

Sur cet cran vous allez dfinir ladresse IP de votre carte rseau VERTE. Cette adresse doit tre libre dans votre rseau LAN, dans notre exemple nous choisirons ladresse : 192.168.0.254

A cet cran linstallation dIPCOP est termine, nous allons dsormais procder la premire tape de la configuration.

Sur cet cran choisir le clavier correspondant votre disposition de clavier. Dans notre cas choisissons fr-pc puis validons.

Sur cet cran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.

Saisir sur cet cran le nom dhte de votre machine puis validez, dans notre cas nous gardons le nom par dfaut, savoir ipcop.

10

A cet cran, choisissez le nom de domaine de votre infrastructure rseau, ce dernier peut tre de type FQDN, nous choisirons dans notre exemple bloktout.dom, puis validez.

Cet cran permet de configurer une liaison (Rouge) de type RNIS ou Numris (FT). Aujourdhui rare, nous choisissons de dsactiver cette fonction.

11

2.1. Configuration complmentaire

Nous allons finaliser la configuration rseau de notre pare-feu. Nous allons alors choisir le type de configuration rseau nous retenons. Valider en pressant entre

12 Afin de correspondre au schma initialement prsent, nous choisissons GREEN+RED (Les autres configurations seront dtailles plus loin), puis nous validons.

Il faut ensuite dfinir les affectations de cartes rseau (Pour la carte Rouge dans notre cas)

Slectionner Affectation des pilotes et des cartes puis valider.

13

Nous voyons ici que la carte RED (rouge) nest pas configure. Il faut alors valider ici pour effectuer une recherche de la carte rseau.

Une fois la carte trouve, il nous est propos de laffecter au rseau RED (rouge). Valider ce niveau.

14

A ce stade, tout va bien, il faut valider.

Nous allons dsormais procder la configuration de ladresse de la carte RED :

15

Choisir RED puis OK.

Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au rseau rouge (Souvent dans le rseau du routeur), soit de laisse le routeur ou le FAI nous fournir une adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque rseau propos.

16

Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit interroger IPCOP.

Saisir ici les adresses DNS de votre fournisseur daccs internet, ainsi que ladresse IP (LAN) de votre routeur(box)

17

Il ne reste plus qua dfinir si IPCOP doit tre serveur DHCP ou non.

En fonction de votre architecture, vous pouvez soit activer ou dsactiver DHCP. Si vous lactiver, vous devrez alors connaitre votre plan dadressage IP LAN, afin de crer ltendue DHCP. Dans notre cas nous nactiverons pas le DHCP.

18

Nous avons dsormais termin la configuration Rseau de notre IPCOP, nous pouvons passer la dernire tape consistant configurer les diffrents mot de passe du systme. Valider loption Continuer . Il est fort probable que lcran de configuration DHCP apparaisse de nouveau, valider alors par le bouton OK.

19 Le premier mot de passe que nous devons saisir est celui du compte root savoir le super utilisateur qui vous permet dentrer en mode console sur votre ipcop et surtout de pouvoir installer les AddOns. Si lorsque ce vous saisissez le mot de passe, rien ne saffiche, cest normal

Le second compte appel admin permet quant lui dadministrer IPCOP depuis linterface Web, ce compte ne permet pas douvrir une session en mode console.

20 Enfin le dernier mot de passe permet de protger la cl de cryptage des sauvegardes de configuration dIPCOP.

Si vous arrivez cette page, cest bon signe ! IPCOP doit alors redmarrer

21

3. Accs IPCOP
3.1. Accs local en mode terminal

Lorsque vous arrivez cet cran il vous est possible douvrir une session avec le compte root

Vous pouvez alors relancer la configuration IPCOP en tapant la commande setup

22

Vous pouvez alors effectuer les modifications ncessaires et quitter si besoin. Noubliez pas de fermer votre session sur IPCOP avec la commande logout 3.2. Accs distance via un navigateur Internet Pour des raisons que jignore jai pu constater que laffichage des menus tait de meilleure qualit avec Internet Explorer quavec Firefox. Jutilise donc dans ce tutoriel Internet Explorer. Excutez alors votre navigateur internet favori puis saisissez ladresse IP GREEN de votre IPCOP dans la barre dadresse de votre navigateur suivie de :81 comme ci-dessous :

Selon le navigateur employ, il vous est demand de valider un certificat de scurit :

On arrive alors la fentre de configuration IPCOP :

23

Il faut dsormais vous connecter en cliquant sur le bouton Connexion

Saisir ici le login admin avec le mot de passe configur auparavant. Vous avez dsormais accs toutes les fonctions de votre IPCOP. 3.3. Accs distance via un accs Telnet sur SSH Pour cela nous allons sur la page de configuration Web dans longlet Systme puis accs SSH

24

Il faut alors cocher les case Accs SSH , et autorise le transfert TCP , puis Enregistrer Nous pouvons dsormais utiliser Putty pour administrer notre IPCOP distance : Noter bien la ligne en surbrillance : IPCOP coute sur le port 222 pour SSH et non 22

Tout comme notre navigateur, Putty nous informe quil faut accepter un certificat pour accder a IPCOP, nous rpondons donc Oui.

25

26

4. Installation des Add-Ons :

Pour installer les add-on sur IPCOP nous allons avoir recours au logiciel permettant denvoyer des fichiers sur la machine IPCOP depuis un poste Windows savoir WinSCP. Pour utiliser WINSCP il est impratif davoir activ le protocol SSH sur lIPCOP (voir plus haut) 4.1. Installation de AdvancedProxy 4.1.1. Transfert du fichier dinstallation Via WinSCP transferer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de lIPCOP

Saisir les informations de connexion puis cliquer sur Connecter .

Comme pour Putty, il faut accepter le certificat.

27

Nous avons alors ici une interface ou gauche se trouve les fichiers de votre micro, et droite les fichiers de votre IPCOP. Nous allons alors nous positionner dans le rpertoire tmp de lIPCOP. La copie seffectue par un simple Glisser-Coller, nous allons alors slectionner le fichier dinstallation dadvancedProxy puis le glisser vers le rpertoire /tmp de lIPCOP La fentre suivante apparait pour confirmer la copie :

Cliquer sur Copier

28

Nous constatons que le fichier est bien copi. 4.1.2. Installation de laddon Nous allons alors passer en mode console ou directement sur notre machine pour installer cet add-on. Basculer dans le rpertoire tmp, avec la commande cd /tmp

Lister le contenu du rpertoire avec la commande ll

Commenons par installer lAdvanced Proxy, pour cela il faut tout dabord extraire les fichier de larchive compresse en TAR :

29

En tapant la commande ll nous constatons quun nouveau rpertoire sest cre :

Entrons alors dans ce dernier pour excuter linstallation dAdvanced Proxy :

Pour lancer linstallation il faut taper la commande suivante : /install comme ci-dessous :

Une fois linstallation termine, nous avons ce type dcran :

4.1.3. Configuration de Advanced Proxy Lorsque nous retournons dans notre navigateur la page de configuration dIPCOP, nous avons dans longlet Services les fonctionnalits que nous venons dajouter :

30

4.1.3.1.

Activation du Proxy Avanc :

Afin dutiliser le proxy dans sa configuration initiale, il est impratif de lactiver. Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des navigateurs internet (paramtrage du proxy). Tout trafic passant par la passerelle IPCOP sera analys par le proxy. Si cette solution peut tre sduisante nous verrons plus loin quelle peut poser quelques problmes dans certains cas. 4.1.3.2. Activation des Logs

Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP :

4.1.3.3.

Gestion du contrle daccs

La section Contrle daccs par le rseau permet de dfinir les rseaux et sous rseau permits pour utiliser IPCOP.

31

Il est galement possible ici de dfinir les IP ou adresses Mac non restreintes ou interdites. Une adresse non restreinte nest pas affecte par la rduction de bande passante par exemple. Une adresse interdite, ne pourra pas accder internet ! 4.1.3.4. Les restrictions de temps

La section restrictions de temps, permet de dfinir les horaires daccs au web.

Nous verrons lors de la configuration dUrlFilter une mthode de restriction plus pousse. 4.1.3.5. Les limites de transfert

La section Limites de transfert permet ( confirmer) de donner une limite sur la taille des fichiers en rception et en emission.

32 4.1.3.6. Rduction du tlchargement

La section rduction du tlchargement, permet dallouer de la bande passante globale et/ou par poste client.

Dans cet exemple, le dbit total ENTRANT est de 1024kBit/s soit 128 Ko/s max, et le dbit par hte est de 256kBit/s soit 32Ko/s. Cependant notez bien que ces dbits naffectent que le tlchargement sur http, une personne effectuant du tlchargement via FTP dispose de toute la bande passante disponible ( !) Pour toute modification des paramtres de lAdvancedProxy ne pas oublier de redmarrer le service en cliquant sur Sauver et redmarrer

4.2. Installation de UrlFilter 4.2.1. Transfert du fichier dinstallation Via WinSCP transferer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de lIPCOP. 4.2.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire

Installer

33

Linstallation de ladd-on UrlFilter est termine. 4.3. Configuration de UrlFilter Lorsque nous retournons dans notre navigateur la page de configuration dIPCOP, nous avons dans longlet Services les fonctionnalits que nous venons dajouter :

4.3.1. Activation du Filtreur dURL Nous voyons ici que le filtreur dURL est bien disponible, cependant pour lactiver nous devons passer par AdvancedProxy. Section UrlFilter :

34

Et bien sur ne pas oublier denregistrer les changements ! 4.3.1.1. Catgories de blocage

Les catgories de blocage sont des listes de domaines et URL quil est possible de bloquer simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter dautres catgories de blocage. 4.3.1.2. Blacklists personnalises

Dans cette section il est possible dajouter rapidement un domaine ou une URL bloquer. Un domaine est de la forme www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier dactiver les blacklists personnalises ! 4.3.1.3. Whitelistes personnalises

Dans cette section il est possible dajouter rapidement un domaine ou une URL qui serait bloqu par les blacklists par dfaut.

35 Un domaine est de la forme www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier dactiver les Whitelistes personnalises ! 4.3.1.4. Liste dexpressions personnalises

Les listes dexpressions personnalises permettent de bloquer des termes apparaissant dans dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant lexpression : /gateway/gateway32.dll ? (pour msn) 4.3.1.5. Bloquer les extensions de fichiers

Cette section permet de bloquer les fichiers excutables (exe, com, bin, bat, cmd) compresss (zip, rar, arj, tar.gz), audio et video (mp3, wav, wma, avi, mpg,) Uniquement par le biais de la navigation HTTP. 4.3.1.6. Contrle daccs bas sur le rseau

Cette section permet de dfinir les adresse IP qui ne doivent pas tre filtres (serveurs) et celle qui doivent tre bannies. 4.3.1.7. Contrle daccs bas sur le temps

36 Si vous cliquer dfinir les contraintes horaires vous arrivez lcran suivant :

Vous pourrez ici dfinir qui peut accder quoi et quel moment de la semaine ou de la journe (ici les postes du rseau 192.168.10.0/24 peuvent accder sans restrictions au contenu internet de 10h00 12h00 du lundi au vendredi.)

On voit quil est galement possible de dfinir des quotas utilisateurs, il sagit l de quotas temps bass sur la dure de connexion. 4.3.1.8. Paramtres des pages bloques

Ici il est possible de paramtrer laffichage de lutilisateur lorsque ce dernier se voit tre bloqu. 4.3.1.9. Paramtres avancs

37

Vous pouvez ici par exemple activer SafeSearch, masquer le message derreur IPCOP pour la catgorie ads (Trs souvent utilise). Vous pouvez galement depuis cette section pallier une ruse des utilisateurs qui consiste saisir lip de lURL bloque plutt que ladresse pour outre passer le filtrage, en cliquant sur bloquer laccs aux sites pour cette (ou ces) adresse(s) IP Enfin cest ici que vous activez les logs pour le filtreur dURL. 4.3.1.10. Ajout massif de Blacklist Pour davantage de filtrage il est conseill dinstaller dautres Blacklist complmentaire celle en place par dfaut. Jai pour ma part choisi les blacklist suivantes : Blacklist de luniversit de Toulouse : ftp://ftp.univtlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Blacklist Shalla Secure Services : http://www.shallalist.de/Downloads/shallalist.tar.gz La combinaison de ces deux blacklists permet un filtrage assez pouss comme le dmontre la nouvelle liste de catgories alors disponible :

38

4.3.1.11. Installation des blacklists Dans le bas de cette page il nous est possible duploader un fichier de blacklist :

En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist :

On slectionne le fichier blacklists.tar.gz

39

Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la machine cette opration peut prendre de 1 10 minutes ! Ne surtout pas redmarrer votre IPCOP pendant cette priode !!! Une fois termine cette opration, nous constatons que la liste des catgories a volu de faon significative :

40

5. Configuration de lauthentification :
Il est possible dans IPCOP de procder lidentification des utilisateurs dInternet. Cependant pour activer cette fonction, plusieurs points sont prendre en considration : Le mode Proxy Transparent doit tre dsactiv Les postes clients doivent donc tre configurs pour passer travers le proxy

Plusieurs mthodes dauthentification sont disponibles sous IPCOP : Dans le bas de la fentre de configuration du Proxy Avanc nous avons :

None Lauthentification est dsactive, aucun login/mot de passe nest demand. Local Authentication Cette mthode dauthentification est la prfre des petites structures, la gestion des utilisateurs et mot de passe est effectue par IPCOP lui-mme. Authentication avec identd Cette mthode est particulirement prise pour les entreprise ou lauthentication doit se faire de manire masque le proxy doit fonctionner en mode transparent Les login utilisateurs sont davantage utiliss pour les log que pour une rlle authentification. Cette mthode requiert cependant linstallation dun client idend sur les postes clients (surtout Microsoft) Authentication utilisant LDAP Cette mthode est la plus utilise pour les rseau de moyenne et grande taille. Les utilisateurs devront sauthentifier lors de laccs aux site web par un couple login / Mot de passe Les informations sont alors vrifes, par un serveur LDAP externe Advanced Proxy fonctionne avec ces type de serveurs LDAP : Active Directory (Windows 2000 and 2003 Server) Novell eDirectory (NetWare 5.x und NetWare 6) LDAP Version 2 and 3 (OpenLDAP)

41 Note: le protocole LDAPS (Secure LDAP) nest pas support par Advanced Proxy. Windows authentication Les utilisateurs doivent sauthentifier lorsquisl accdent au web, les informations didentification sont vrifie par une contrleur de domaine externe tel que : Windows NT 4.0 Server or Windows 2000/2003 Server Samba 2.x / 3.x Server (running as Domain Controller) RADIUS authentication Les utilisateurs doivent sauthentifier lorsquils accdent au web, les informations didentification sont vrifies par serveur RADIUS externe : Dans notre cas nous allons utiliser lauthentification Locale. Nous devons donc dans notre cas dsactiver le mode transparent, et cocher loption locale

Nous pouvons donc ds maintenant grer nos utilisateurs en cliquant sur Gestion des utilisateurs :

Dans la partie droite de cette fentre nous avons la possibilit daffecter 1 groupe parmi 3 chaque utilisateur : Standard : Toutes les restrictions sont actives tout le temps Etendu : Les membres de ce groupe outrepassent les restrictions Dsactiv : Permet de dsactiver un compte sans le supprimer Une fois les utilisateurs cres, ils apparaissent comme ci-dessous :

42

Maintenant passons la configuration du navigateur client : Il sagit de configurer la navigateur pour passer travers le proxy : Pour Internet Explorer :

Lors de louverture du navigateur nous avons alors une fentre du type :

43 Lutilisateur peut alors changer son mot de passe ladresse suivante : http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi

44

6. Installation des Addons supplmentaires :

6.1. Installation de Update Accelerator Update Accelerator est un outils fort utile sur un rseau dentreprise effectuant rgulirement des mises jour logicielles dantivirus, de correctifs Windows et Linux. En effet ce dernier stocke localement les produits tlchargs et les met donc disposition localement pour les utilisateur de manire totalement transparente pour ce dernier. Attention : Cet addon savre extrmement gourmand en espace disque ou bout de quelques temps (en fonction de votre parc) il malheureusement il ne sinstalle pas sur la plus grande partition Linux de votre IPCOP . Un disque dur dun minimum de 40 Go et un redimensionnement sont donc impratif. Le redimensionnement peut se faire avec Gparted Live CD Edition disponible ici : http://ftpclubic31.clubic.com/files/bb5451de46edea0176eca239e76fe873/492ab59d/logiciel/g parted-live-cd_gparted_live_cd_0.3.7-7_francais_18746.iso Recommandations : - Rduire la partition /var - Augmenter en consquence la partition /

6.1.1. Transfert du fichier dinstallation Via WinSCP transferer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de lIPCOP. 6.1.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire

Installer

45

6.1.3. Configuration dupdate accelerator Une fois install laddon se trouve dans le menu SERVICES dIPCOP :

Cependant pour activer la fonction de cet addon il est impratif de passer par le Proxy Avanc :

Une fois activ une des seules actions mener est de vrifier lespace disque disponible de faon rgulire en cliquant sur Maintenance.

46 Il est alors possible ici de purger certains fichiers obsoltes :

6.2. Installation de Sarg Sarg est un outils de journalisation des activits de navigation au travers dun proxy Squid. Une version spciale IPCOP t dveloppe, nous allons procder son installation et visualiser quelques logs (disponibles partir dun minimum de 24 heures) 6.2.1. Transfert du fichier dinstallation Via WinSCP transferer le package sarg_ipcop.x.x.x.tar.gz dans le dossier /tmp de lIPCOP. 6.2.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire

Installer

47

6.2.3. Visualisation de journaux IPCOP Sarg est alors disponible via longlet Journaux dIPCOP :

Au bout de 24 heures (rotation et enregistrement de log par dfaut) :

Lorsquon cliquer sur Daily :

48 6.3. Installation de BlockOutTraffic (BOT) Par dfaut IPCOP filtre tous les paquets entrant par le biais de sa fonction principale savoir Pare-Feu. Or lors dune utilisation en entreprise laccs Internet de cette dernire est parfois (voir souvent !) utilise des fins peu scrupuleuses par certains utilisateurs. Jusqu' maintenant IPCOP autorise la quasi-totalit des services en sortie, y compris le Peer 2 Peer, les prises de main distance, le ftp. BlockOutTraffic permet de contrler davantage ce qui sort de notre IPCOP. Dans notre exemple nous allons voir les points suivants : Crer les rgles de base pour accder au web Autoriser certains services Affiner les droits utilisateurs Crer des groupes dordinateurs et leur affecter des rgles diffrentes 6.3.1. Transfert du fichier dinstallation Via WinSCP transferer le package BlockOutTraffic.x.x.x.tar.gz dans le dossier /tmp/BOT de lIPCOP. 6.3.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire

Installer

49 6.3.3. Configuration de BOT La premire action mener est de se rendre dans longlet Pare-Feu puis Grer le traffic sortant :

Un message nous informe que le fichier de configuration est invalide :

Il faut alors cliquer sur le bouton Modifier Saisir les informations suivantes

Ladresse MAC du pc dadministration, sans cette dernire, vous ne pourrez pas administrer votre IPCOP sur le port 81. Le port https dadministration : 445 Cochez la case Lien autoris, connexions tablies Cochez la case Journaliser les paquets ne correspondant pas une rgle de BlockOutTraffic Action de refus par dfaut : DROP

50 Cochez la case du mode avanc Cochez la case afficher les couleurs dinterfaces dans laperu des rgles Puis enregistrer. La configuration de BOT ressemble alors ceci :

6.3.3.1.

Ajout des services daccs IPCOP

A partir de ce point nous allons devoir crer quelques services lis au fonctionnement dIPCOP. Afin de pouvoir utiliser les services dIPCOP et du filtrage et sera tout dabord impratif de donner quelques droits aux utilisateurs du rseau local. Pour cela rendez vous dans Pare-Feu, puis Configuration Avance du BOT :

Nous allons ici crer des services propres IPCOP : Un service SSH_IPCOP, permettant laccs la machine IPCOP par le biais du protocole SSH sur le port 222 (par dfaut) Un service PROXY_IPCOP, permettant dutiliser les services Proxy dIPCOP via le le port 800 (par dfaut) Un Service HTTPS_IPCOP, permettant laccs la configuration web de lIPCOP via le port 445 (dfinit par dfaut)

Pour cela choisir la rubrique Paramtres de services :

51

Saffiche alors la liste des services ajouts (vide par dfaut) ainsi que la liste des services par dfaut.

Ajout du service SSH_IPCOP : Saisir le nom du service, puis le port correspondant enfin le protocole utilis puis Ajouter

Une fois les services ajouts la rubrique services doit ressembler ceci :

6.3.3.2.

Groupement des services

Afin prochainement de simplifier la cration et la gestion des rgles de filtrage, nous allons regrouper ces services dans un groupe afin de ne faire quune rgle daccs pour ces 3 services. Pour cela choisir la rubrique Rglages pour grouper :

52 Sous cette section nous avons la section permettant de crer des groupements de services :

Nous allons crer les groupements suivants : ACCES_IPCOP : Ce groupe intgrera les services SSH_IPCOP, HTTPS_IPCOP, PROXY_IPCOP NAVIG_NORM : Ce groupe intgrera les services http(80), dns(53), pop3(110), smtp(25), ftp(21), ftp-data(20), permettant une navigation sur le web standard accompagne de la possibilit de consultation de mail depuis un client en POP/SMTP et galement la possibilit dchanger des fichiers en FTP.

Cration du groupe ACCES_IPCOP :

Le groupe une fois cre et avec les 3 services :

53 Avec lautre groupe (NAVIG_NORM) :

6.3.3.3.

Cration des rgles daccs Internet

Nous avons dsormais cre nos groupement de services afin de simplifier la gestion des rgles. Nous allons dsormais crer les rgles daccs Internet. Notez bien que la rgle par dfaut interdit tout trafic Le fonctionnement dune rgle de filtrage est le suivant sur IPCOP : Il faut dfinir, linterface dentre de la rgle (celle sur laquelle le rseau source est connecte, souvent GREEN), puis le rseau Source, ventuellement le port source, puis dfinir sil sagit dune rgle daccs IPCOP ou daccs un autre rseau (web), par quelle interface la sortie doit seffectuer (souvent RED), le rseau de destination, et le service ou groupement de service utilis. Enfin on active ou non la rgle.

54 Cration de la rgle daccs IPCOP :

Notez bien que pour le moment BlockOutTraffic est dsactiv (heureusement !)

Ajoutons la rgle ayant pour action daccepter le trafic vers IPCOP, en cliquant sur Nouvelle rgle. Configuration de la source :

Interface par dfaut : Green Rseau par dfaut : Green Network Configuration de la destination :

Simplement cocher Accs IPCOP

55 Configuration du ou des services :

Cocher service utilis, puis choisir Regroupement de services et slectionner ACCES_IPCOP Rglages supplmentaires :

Bien penser cocher Rgle active Dfinir laction de la rgle Saisir un commentaire pour la rgle Dsactiver les options de Match*

Si besoin dfinir une plage horaire de fonctionnement de la rgle :

Cliquer alors sur Suivant pour visualiser votre rgle avant de lenregistrer, enregistrer directement si vous tes sur de vous !

56

La rgle que vous venez de crer est alors visible dans les rgles actuelles :

6.3.3.4.

Cration de la rgle de navigation Web :

Ajoutons maintenant la rgle ayant pour action daccepter le trafic vers Internet, en cliquant sur Nouvelle rgle. Configuration de la source :

Interface par dfaut : Green Rseau par dfaut : Green Network Configuration de la destination :

57

Cocher : autre rseau Rseau par dfaut : Any Configuration du ou des services utiliss :

Cocher : Service utilis Regroupement de services : NAVIG_NORM Enregistrer. Les deux rgles que nous venons de crer :

A partir de ce point nous devons pouvoir activer BOT et tester la navigation. Cliquer sur paramtres :

Cliquer sur Activer BOT :

Si tout sest bien droul jusque l vous devez pouvoir naviguer sur Internet, echanger des mails via pop/smtp et faire du ftp (Mode Actif uniquement). Par contre vous ne devez pas pouvoir vous rendre sur une page HTTPS

58

Si vous dsirez autoriser le https, il suffit de se rendre dans Configuration avance du BOT, puis rglages pour grouper :

Et ajouter le service par dfaut https(443) au groupe NAVIG_IPCOP :

Cette modification est immdiate pour les utilisateurs. 6.3.3.5. Crer des groupes dordinateurs

59 Dans ltat actuel dIPCOP tout le monde y compris les serveurs et les admins disposent des droits de navigation identiques, cela peut dans certains cas savrer peu pratique (Mise jour dun serveur AntiVirus par exemple) Dans ce chapitre nous allons donc voir comment affecter des services diffrents diffrents ordinateurs voir groupe dordinateurs. Pour cela nous prendrons lexemple suivant : Un espace de formation, compos de 14 postes stagiaires et dun poste formateur. Les 14 postes disposent des droits que nous venons de mettre en place, le formateur peut utiliser nimporte quel service Internet. Si dautres ordinateurs se connectent au rseau local, ces derniers ne doivent uniquement pouvoir naviguer en http. Afin de diffrentier les postes de travail de manire intelligente, nous allons utiliser les adresses MAC des cartes rseau et non les adresses IP (plus pratique si vous utilisez un serveur DHCP sur votre rseau). Pour saisir les adresses MAC des ordinateurs rendez vous dans Configuration avance du BOT, puis rglages dadresses :

Saisir un nom de poste (pas ncessairement le nom Netbios du poste) puis choisir MAC comme format dadresse et saisir ladresse MAC.

Et ainsi de suite pour tous les pc que vous voulez rpertorier :

60 Une fois les postes cres, vous pouvez alors vous rendre dans paramtres txt du regroupement dadresses :

Vous allez alors pouvoir crer un groupe et y affecter un ou plusieurs postes :

Au final nous obtenons quelque chose de ce genre :

6.3.3.6.

Cration de la rgle pour le groupe de pc PC-FORMATEURS :

Configuration de la source :

Configuration de la destination :

61

Une fois la rgle termine :

Remarque : Il est possible de modifier lordre dexcution des rgles ici : 6.3.3.7. Modification de la rgle pour les stagiaires :

Nous pouvons ds lors modifier la rgle existante (la numro ci-dessus) pour que seuls les pc du groupe PC-STAGIAIRES puissent utiliser les services configurs. Il suffit de cliquer sur le bouton modifier et de changer la source :

62

Puis denregistrer. Enfin il est possible de crer une nouvelle rgle permettant par exemple uniquement la navigation http pour tous les autres pc qui se connectent au rseau :

Pour cela nous avons du recrer un groupe de services appel NAVIG_MINI comprenant les services domain(53) et http(80) uniquement. Voici les regroupements que vous devez avoir si vous avez suivi ce tutoriel dans son intgralit jusqu' maintenant :