MandrakeSecurity. Multiple Network Firewall. Guide de l utilisateur. (http://www.mandrakesoft.com)

Dimension: px
Commencer à balayer dès la page:

Download "MandrakeSecurity. Multiple Network Firewall. Guide de l utilisateur. (http://www.mandrakesoft.com)"

Transcription

1 MandrakeSecurity Multiple Network Firewall Guide de l utilisateur (http://www.mandrakesoft.com)

2 MandrakeSecurity: Multiple Network Firewall; Guide de l utilisateur Publié Copyright 2002 MandrakeSoft SA par Camille Bégnis, Christian Roy, Fabian Mandelbaum, Joël Pomerleau, et Florin Grad

3 Table des matières Préface i 1. Notice légale i 2. À propos de Mandrake Linux i 2.1. Contacter la communauté Mandrake i 2.2. Contribuez au projet Mandrake Linux ii 2.3. Acquisition de produits Mandrake ii 3. Au sujet de ce guide d installation et d utilisation MandrakeSecurity iii 4. Auteurs et traducteurs iii 5. Note des traducteurs iv 6. Outils utilisés dans la conception de ce manuel iv 7. Conventions utilisées dans ce manuel iv 7.1. Conventions typographiques iv 7.2. Conventions générales v 1. Démarrage rapide Survol des opérations Étapes préliminaires Installation avec DrakX Introduction au programme d installation de Mandrake Linux Choix de la langue Licence de la distribution Détection et configuration des disques Configuration de la souris Configuration du clavier Création des partitions Choix des partitions à formater Installation des paquetages Mot de passe root Mot de passe de l administrateur Ajouter un utilisateur Configuration réseau Emplacement du programme d amorce Disquette de démarrage Installation de mises à jour depuis Internet L installation est maintenant terminée! Désinstaller Linux I. Administration et configuration de MandrakeSecurity Configuration de base de MandrakeSecurity Introduction Configuration de base du système Configuration des cartes Ethernet Changer le mot de passe de l administrateur Journaux système sur vos machines locales et distantes Configuration de l heure Configurer l accès à Internet Section Accès Internet Configuration d un modem analogique Configurer un accès Internet RNIS (ISDN) Configurer un accès Internet ADSL Configurer un accès Internet par câble ou réseau local Configuration des comptes d accès Restriction de temps Services : DHCP, Proxy, DNS, et bien d autres État des services hébergés Serveur DHCP Serveur mandataire ("Proxy") Squid DNS antémémoire ("Caching") Système de détection d intrusion iii

4 5.6. Activation de services Configuration du comportement du pare-feu Contrôle principal du pare-feu Définition des zones Configuration du masquage, des traductions d adresses réseau statiques et du Proxy ARP Configuration des règles générales Configuration des règles du pare-feu Entretien de la liste noire (BlackList) Configuration des règles de type de service (TDS) Configuration d un VPN Qu est-ce qu un réseau privé virtuel (VPN)? Pourquoi un VPN? Monter un serveur VPN Configurer un client VPN Configurer des clients de paserelle Machine Linux Machine Windows XP Machine Windows 95 ou Windows Machine Windows NT ou Windows Machine DOS utilisant le paquetage NCSA Telnet Windows pour Workgroup Machine MacOS Machine OS/2 Warp Surveillez le pare-feu L utilisation de votre système et de votre réseau Fichiers journaux Outils de gestion Connexion distante en utilisant SSH Sauvegarde et restauration Mise à jour logiciel II. Théorie appliquée De la sécurité sous GNU/Linux Préambule Aperçu Sécurité physique Sécurité locale Sécurité des fichiers et des systèmes de fichiers Sécurité des mots de passe et cryptage Sécurité du noyau Sécurité réseau Préparation de sécurité (avant de vous connecter) Que faire, avant et pendant une effraction Documents de base Foire aux questions Conclusion Vocabulaire relatif à la sécurité Le réseau sous GNU/Linux Copyright Comment utiliser ce document? Informations générales concernant le réseau sous Linux Informations générales sur la configuration du réseau Informations sur IP et Ethernet Informations relative à IP Utilisation du matériel courant pour PC Autres technologies de réseau Câbles et câblages A. Où trouver de la documentation supplémentaire B. La licence Publique Générale GNU (GPL) iv

5 B.1. Introduction B.2. Préambule B.3. Stipulations et conditions relatives à la copie, la distribution et la modification C. Licence de documentation libre GNU C.1. A propos de cette traduction française de la GFDL C.2. Licence de documentation libre GNU PRÉAMBULE APPLICABILITÉ ET DÉFINITIONS COPIES CONFORMES COPIES EN NOMBRE MODIFICATIONS FUSION DE DOCUMENTS REGROUPEMENTS DE DOCUMENTS AGRÉGATION AVEC DES TRAVAUX INDÉPENDANTS TRADUCTION CADUCITÉ RÉVISIONS FUTURES DE CETTE LICENCE C.3. Comment utiliser cette Licence pour vos documents v

6 vi

7 Liste des tableaux 1. Chapitres importés i 1-1. Matériel requis Allocations pour réseaux privés Liste des illustrations 2-1. Écran de bienvenue, le début de l installation Choix la langue par défaut La fenêtre de connexion à MandrakeSecurity Écran d accueil de MandrakeSecurity L icône de déconnexion Modèle d une connexion VPN Ajouter une zone VPN Ajouter une interface réseau ipsec Ajouter des politiques par défaut pour le VPN Ajouter un tunnel au pare-feu Configuration du CA Diagramme VPN Ajouter un serveur VPN Règle pour permettre le trafic HTTP sur le VPN Ajouter un client VPN Nouvelle configuration du réseau local avec drakconnect Régler la passerelle avec drakconnect Configuration de la passerelle sous Windows XP L icône de réseau sous Windows Le tableau de configuration réseau sous Windows Le tableau de configuration TCP/IP sous Windows Le tableau de configuration de la passerelle sous Windows Le tableau de configuration de protocole sous Windows NT La panneau de logiciel réseau sous Windows NT Le tableau de configuration TCP/IP sous Windows NT Le tableau de configuration DNS sous Windows NT Accéder au panneau de contrôle TCP/IP Configuration automatique de l accès à Internet pour MacOS Configuration manuelle de l accès à Internet pour MacOS Exemple de rapport de Snort L écran principal de la section Outils Exemple de l écran Récupérer Appliquer les configurations du fichier restauré Un exemple de routage dynamique Le câblage «NULL-modem» Câblage Ethernet 10base vii

8 viii

9 Préface 1. Notice légale Ce manuel (à l exception des chapitres cités ci-dessous) est la propriété intellectuelle de MandrakeSoft. Ce manuel peut être librement copié, distribué et/ou modifié selon les termes de la Licence GNU Free Documentation License, Version 1.1 ou ultérieure publiée par la Free Software Foundation ; avec la section inaltérable À propos de Mandrake Linux, page i ; les textes de couvertures, cités ci-dessous, et sans texte de dos de couverture. Une copie complète de la licence se trouve à la section Licence de documentation libre GNU, page 201. Textes de couverture : MandrakeSoft Mars Copyright 1999,2000,2001,2002 MandrakeSoft S.A. et MandrakeSoft inc. Les chapitres cité dans le tableau ci-dessous sont la propriété intellectuelle d autres auteurs que le manuel et sont soumis à une licence légèrement différente : De la sécurité sous GNU/Linux, page 131 Le réseau sous GNU/Linux, page 171 Tableau 1. Chapitres importés Copyright Original (c) Kevin Fenzi and Dave Wreski (c) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 & 2000 Joshua D. Drake {POET}/CommandPrompt, Inc. - Licence Licence publique général (GPL) GNU, telle que publiée par la Free Software Foundation ; version 2 de la licence ou ultérieure, au choix de l utilisateur. Licence LDP (voir l information sur la licence dans le chapitre même) «Mandrake», «Mandrake Linux» et «MandrakeSoft» sont des marques déposées par MandrakeSoft S.A. ; Linux est une marque déposée de Linus Torvalds; UNIX est une marque déposée de «The Open Group» aux États-Unis et d autres pays. Toutes les autres marques déposées et copyrights appartiennent à leurs propriétaires respectifs. 2. À propos de Mandrake Linux Mandrake Linux est une distribution GNU/Linux développée par MandrakeSoft S.A. MandrakeSoft est une société née sur Internet en 1998 avec l ambition de fournir un système GNU/Linux agréable et facile à utiliser. Les deux piliers de MandrakeSoft sont le logiciel libre et le travail coopératif Contacter la communauté Mandrake Nous présentons ci-dessous plusieurs liens Internet pointant vers de nombreuses ressources liées à Mandrake Linux. Si vous souhaitez en savoir plus sur la société MandrakeSoft, consultez son site Web (http://www. mandrakesoft.com/). Un site dédié à la distribution Mandrake Linux (http://www.mandrakelinux.com/) et tous ses dérivés existe également. MandrakeSoft est également fière de présenter sa plate-forme d aide libre. MandrakeExpert (http://www. mandrakeexpert.com/) n est pas un autre site Web où les gens en aident d autres pour leurs problèmes informatiques en échange d un prix payable d avance, quelle que soit la qualité du service rendu. Il propose une nouvelle expérience s appuyant sur la confiance et le plaisir de récompenser son prochain pour sa contribution. i

10 Préface En sus, MandrakeCampus (http://www.mandrakecampus.com/) propose à la communauté GNU/Linux des cours de formation libres sur toutes les technologies en rapport avec les logiciels libres. Professeurs, formateurs et élèves disposent là d une plate-forme unique d échange du savoir. Il y a un site pour les fans de Mandrake Linux appelé Mandrake Forum (http://www.mandrakeforum.com/) : un site exclusif pour toutes les annonces, ragots, astuces, conseils, nouvelles et plus, sur Mandrake Linux. C est aussi un des seuls sites Web interactifs hébergés par MandrakeSoft. Donc, si vous avez quelque chose à nous dire, ou quelque chose que vous souhaitez partager avec d autres utilisateurs, ne cherchez plus, c est l endroit rêvé! Dans la philosophie des logiciels libres, MandrakeSoft offre de nombreux canaux de support (http://www. mandrake-linux.com/fr/ffreesup.php3) pour les distributions Mandrake Linux. Vous êtes en particulier invité à participer aux nombreuses listes de diffusion (http://www.mandrake-inux.com/fr/flists.php3), où la communauté Mandrake Linux déploie tout son enthousiasme et sa vivacité. Finalement, n oubliez pas de vous connecter sur MandrakeSecure (http://www.mandrakesecure.net/). Ce site rassemble tout ce qui a rapport à la sécurité des distributions Mandrake Linux. Vous y trouverez notamment les avertissements de bogues et sécurité, ainsi que des articles en rapport avec la sécurité et la privacité. Un incontournable pour tout administrateur système, ou simple utilisateur soucieux de sécurité Contribuez au projet Mandrake Linux À la demande générale, MandrakeSoft propose à ses utilisateurs enthousiastes de faire une donation (http: //www.mandrakelinux.com/donations/) pour encourager les développements futurs du système Mandrake Linux. Vos contributions aideront MandrakeSoft à fournir à ses utilisateurs une distribution améliorée, sécuritaire, conviviale, actualiser, et prenant en charge encore plus de langues. Quels que soient vos talents, vous êtes encouragé à participer à l une des nombreuses tâches que requiert la construction du système Mandrake Linux : paquetages : un système GNU/Linux est principalement constitué de programmes rassemblés depuis Internet. Ils doivent être mis en forme de façon à ce qu ils puissent fonctionner ensemble, si tout se passe bien ; programmation : une foule de projets sont directement développés par MandrakeSoft : cherchez celui qui vous intéresse le plus et proposez votre aide au développeur principal ; internationalisation : traduction des pages des sites Web, programmes et leur documentation respective. documentation : enfin, le livre que vous lisez actuellement lire demande beaucoup d efforts pour suivre l évolution rapide du système. Rédacteurs et traducteurs seront accueillis à bras ouverts! Consultez aussi les pages des contributeurs (http://www.mandrakesoft.com/labs/) pour en savoir plus sur les différentes façons de contribuer à l évolution de Mandrake Linux. Le 3 août 2001, après avoir rejoint le peloton de tête des fournisseurs de solutions libres et de logiciels GNU/Linux, MandrakeSoft est devenue la première société Linux à être cotée sur une bourse européenne. Que vous soyez déjà actionnaire de MandrakeSoft ou que vous souhaitiez le devenir, nos pages investisseurs (http://www.mandrakesoft.com/company/investors) vous fourniront les meilleures informations financières sur notre société Acquisition de produits Mandrake Pour les fans de Mandrake Linux désirant profiter de la facilité de l achat en ligne, MandrakeSoft vend désormais ses produits dans le monde entier depuis son site de commerce électronique MandrakeStore (http://www.mandrakestore.com). Vous trouverez des logiciels Mandrake Linux systèmes d exploitation et outils réseau (pare-feu), mais aussi des offres spéciales d abonnement, de l assistance, des logiciels tiers et des licences, des manuels de formation et des livres GNU/Linux, ainsi que des tee-shirts, casquettes, et autres gadgets MandrakeSoft. ii

11 3. Au sujet de ce guide d installation et d utilisation MandrakeSecurity Préface Ce livre comprend un chapitre d introduction qui vous guidera quant à l installation et vous informera des composants matériel nécessaires pour utiliser MandrakeSecurity. Il est ensuite conseillé de lire Survol des opérations, page 1 qui donne un aperçu du cycle de vie d un serveur MandrakeSecurity et les tâches de maintenance. Nous détaillerons ensuite le processus d installation (Installation avec DrakX, page 3). C est assez simple, mais s il s agit de votre première installation de GNU/Linux, il est préférable de suivre ce chapitre pendant que vous installez MandrakeSecurity. Puis vient le coeur de la bête! Après ce chapitre d introduction suivent deux parties. La première s intitule Réglage et gestion de MandrakeSecurity et passe à travers toutes les étapes nécessaires pour opérer MandrakeSecurity de façon efficace. Vous apprendrez les réglages de base dans le chapitre Configuration de base de MandrakeSecurity, page 21 et comment configurer la connexion Internet de votre serveur dans le chapitre Configurer l accès à Internet, page 31. Ensuite, le chapitre Services : DHCP, Proxy, DNS, et bien d autres, page 47 explique comment configurer votre serveur en tant que DNS, DHCP et mandataire (Proxy). Il vous informera également au sujet de l utilisation des dispositifs SDI (soit IDS ou Intrusion Detection System). Un des chapitres les plus importants est celui-ci : Configuration du comportement du pare-feu, page 65. Il scrute la section Règles pare-feu de l interface MandrakeSecurity et vous aidera à définir le trafic entrant/sortant sur votre réseau. Les derniers chapitres de cette première partie traitent des réglages initiaux, de configurations ultérieures et de réglage de services. Vous trouverez des renseignements à ces sujets dans les chapitres Surveillez le pare-feu, page 111 et Outils de gestion, page 123. La deuxième partie est plus théorique, d où le titre : Théorie appliquée. Elle est divisée en deux chapitres. Le premier, De la sécurité sous GNU/Linux, page 131, s appuie sur un HOWTO de Kevin Fenzi et Dave Wreski. Son but premier est d aborder des questions de sécurité auxquelles les administrateurs système auront sans aucun doute à faire face. Il alterne entre des sujets philosophiques et pratiques qui vous permettront de mieux sécuriser votre système des crackers potentiels. Le second et dernier chapitre de cette partie s appelle Le réseau sous GNU/Linux, page 171. Il s appuie sur un HOWTO de Joshua D. Drake {POET}. Ce chapitre contient des liens vers de la documentation de réseau, par exemple, sur le TCP/IP. Il discute des incontournables pour opérer un réseau de façon efficace. Il explique des principes technologiques reliés à l IP et à Ethernet, des technologies communes à la plupart des PCs, ainsi que des technologies réseau particulières telles que Appletalk et le relais de trames (Frame Relay). Ce manuel se conclut sur deux annexes. La première, Où trouver de la documentation supplémentaire, page 195, vous guidera vers des sources d information sur Internet. Et la deuxième est la Licence de documentation libre GNU, page 201, soit la licence qui s applique au contenu de ce livre. 4. Auteurs et traducteurs Les personnes suivantes ont contribué à l élaboration de ce manuel Mandrake Linux : Camille Bégnis Fabian Mandelbaum Roberta Michel Rodrigo Pedrosa Joël Pomerleau Christian Roy Les personnes ayant écrit des documents que nous avons intégrés sont listées dans au tableau 1. Ces personnes ont aussi participé à des degrés divers : Amaury Amblard-Ladurantie, Florin Grad, Philippe Libat et Diane Tan. iii

12 Préface 5. Note des traducteurs En passant d un chapitre à l autre, vous remarquerez que ce livre est une œuvre composite. En effet, nous avons cru essentiel de respecter le style spécifique de chaque auteur (anglophone pour la plupart), même si, évidemment, la cohérence technique et lexicale a été notre priorité. Maintenir cette documentation est d ailleurs un véritable défi! Choisir le bon mot n est pas toujours facile puisque la plupart des termes informatiques utilisés par les professionnels de par le monde demeurent en fait des mots de langue anglaise. Inventer un terme français plus clair pour le novice risque alors de dérouter l expert! Que faire? On aura en général opté pour un compromis : donner les deux termes anglais et français lors de la première occurrence textuelle de la notion, puis un seul par la suite, afin de ne pas entraver la lecture. N hésitez pas à nous donner votre avis à ce sujet. Car enfin, dans le droit fil de l esprit particulier de la communauté du libre (open source), nous accueillons les collaborations à bras ouverts! Il vous est tout à fait possible d apporter votre petite pierre à l édification de ce projet de diverses façons. Vous disposez de temps libre? Proposez-nous un nouveau chapitre! Vous comprenez bien l anglais? Aidez-nous à traduire! Vous avez des idées pour améliorer ce document? Nous sommes tout ouïe! Pour toute information sur le projet de documentation de Mandrake Linux, communiquez avec le responsable de la documentation 6. Outils utilisés dans la conception de ce manuel Ce manuel a été mis en forme avec DocBook. Borges (http: // linux-mandrake. com/ en/ doc/ project/ Borges/ ) a été utilisé pour gérer l ensemble des fichiers du projet. Les fichiers sources XML ont été préformatés avec openjade et jadetex, grâce aux feuilles de style de Norman Walsh personnalisées. Les images ont été prises avec xwd ou GIMP puis converties avec la commande convert du paquetage ImageMagick. Tous ces logiciels sont libres et disponibles sur votre distribution Mandrake Linux. 7. Conventions utilisées dans ce manuel 7.1. Conventions typographiques Afin d accentuer clairement certains mots ou groupes de mots, nous avons utilisé certains attributs typographiques. Le tableau suivant en donne la signification symbolique : Exemple formaté inœud ls -lta ls(1) Signification Signale un terme technique. Types utilisés pour une commande et ses arguments, les options et les noms de fichier (voir la section «Synopsis d une commande, page v»). Référence vers une page de manuel. Pour consulter la page correspondante dans un shell (ou ligne de commande), exécutez la commande man 1 ls. $ ls *.pid $ Ce style est utilisé pour une copie d écran texte. Signale une interaction utilisateur-ordinateur, le code source d un programme, etc. localhost Apache C onfigurer Bus SCSI Once upon a time... Données littérales qui ne correspondent généralement pas à une des catégories précédemment définies : citation d un mot-clé tiré d un fichier de configuration, par exemple. Nom des applications. À ne pas confondre avec le nom de la commande associée (vois plus haut). Entrées de menu ou labels des interfaces graphiques, en général. La lettre soulignée indique le raccourci clavier éventuel. Partie d un ordinateur ou ordinateur lui-même. Citation en langue étrangère. Attention! Types réservés pour les mots que nous voulons accentuer (on les lira à voix haute ;-) iv

13 Préface Cette icône introduit une note. Il s agit généralement d une remarque dans le contexte courant, pour donner une information additionnelle. Cette icône introduit une astuce. Il peut s agir d un conseil d ordre général sur la meilleure façon d arriver à un but spécifique, ou une fonctionnalité intéressante qui peut vous rendre la vie plus facile. Soyez très attentif lorsque vous rencontrez cette icône. Il s agit toujours d informations très importantes sur le sujet en cours de discussion Conventions générales Synopsis d une commande L exemple ci-dessous présente les différents signes et symboles que vous rencontrerez lorsque nous décrivons les arguments d une commande : command <argument non littéral> [--option={arg1,arg2,arg3}] [argument optionnel...] Ces conventions étant standardisées, vous les retrouverez en bien d autres occasions (dans les pages de man, par exemple). Les signes «<» (supérieur) et «>» (inférieur) indiquent un argument obligatoire qui ne doit pas être recopié tel quel mais remplacé par votre texte spécifique. Par exemple : <fichier> désigne le nom d un fichier ; si ce fichier est toto.txt, vous devrez taper toto.txt, et non <toto.txt> ou <fichier>. Les crochets «[ ]» indiquent des arguments optionnels que vous déciderez ou non d inclure dans la ligne de commande. Les points de suspension «...» signifient qu un nombre illimité d options peut être inséré à cet endroit. Les accolades «{ }» contiennent les arguments autorisés à cet endroit. Il faudra obligatoirement insérer un d entre eux à cet endroit précis Notations particulières Il vous sera demandé, de temps à autre, de presser les touches Ctrl+R. Cela signifie que vous devez taper et maintenir la touche Ctrl enfoncée pendant que vous appuyez sur la touche R. Le même chose se rencontre pour les touches Alt et Shift. De même, à propos des menus, aller sur l entrée de menu Fichier Relire la configuration utilisateur (Ctrl+R) signifie : cliquer sur le texte File du menu (généralement horizontal en haut de la fenêtre) puis sur le menu vertical qui apparaît, cliquer sur Relire la configuration utilisateur. De plus, vous êtes informé que vous pouvez utiliser la combinaison de touches Ctrl+R comme décrit ci-dessus pour arriver au même résultat Utilisateurs du système À chaque fois que cela est possible, nous utiliserons deux utilisateurs génériques dans nos exemples : Reine Pingusa Pierre Pingus Cet utilisateur est créé pendant l installation. Cet utilisateur est ensuite créé par l administrateur système. v

14 Préface vi

15 Chapitre 1. Démarrage rapide Dans ce chapitre d introduction, nous passerons en revue toutes les étapes de pré-configuration requises avant de pouvoir utiliser les produits s appuyant sur MandrakeSecurity. Que vous utilisiez MandrakeSecurity sur un serveur dédié ou par-dessus une distribution Mandrake Linux, ce chapitre est pour vous Survol des opérations La liste chronologique présentée ici vous guidera à travers tout le cycle de vie de votre pare-feu. Lisez-la attentivement avant tout, et référez-vous aux sections du manuel citées. 1. Configuration matériel requise. Si vous construisez votre pare-feu à partir d un PC standard, vérifiez l adéquation entre vos besoins réels et le matériel en lisant Étapes préliminaires, page Installation. Installez une distribution minimale sur la machine, en suivant les instructions à Installation avec DrakX, page Première connexion et configuration de base. Configurez les paramètres de base du système et la connexion Internet : Configuration de base de MandrakeSecurity, page Activation des services. Activez ceux des services proposés par MandrakeSecurity dont vous avez besoin : Services : DHCP, Proxy, DNS, et bien d autres, page Paramétrage des règles de pare-feu. Contrôlez le trafic sur la passerelle : Configuration du comportement du pare-feu, page Configuration VPN. Si vous souhaitez établir un réseau privé virtuel (VPN : Virtual Private Network) avec un autre site distant équipé avec MandrakeSecurity : Configuration d un VPN, page Configuration des systèmes client. Il est maintenant temps de connecter vos différents serveurs et machines hôtes à votre pare-feu. Configurez les serveurs de la DMZ en fonction des règles que vous aurez ajoutées dans MandrakeSecurity. Pour les clients, suivez les instructions du chapitre Configurer des clients de paserelle, page Tests. Assurez-vous simplement que les différents services configurés fonctionnent comme prévu. Vérifiez aussi que les différentes règles du pare-feu donnent bien le résultat attendu, dans toutes les directions. 9. Sauvegarde de la configuration. Obligatoire, inutile d insister : Sauvegarde et restauration, page Surveillance du système. Tout le système est maintenant en étape de production et rempli ses missions comme prévu. Pour faire en sorte que tout se passe bien dans le temps, prenez la bonne habitude de vérifier régulièrement les indicateurs vitaux du système : Surveillez le pare-feu, page Changer les mots de passe. Il est extrêmement important pour la sécurité du système de changer périodiquement le mot de passe admin permettant d accéder au système pare-feu. Pour ce faire, allez au formulaire Configuration système Compte administrateur depuis l interface Web: Changer le mot de passe de l administrateur, page Mise à jour du système. Afin d être sûr que votre pare-feu est toujours au summum de la sécurité, MandrakeSoft publie régulièrement des mises à jour de paquetages des applications pour lesquelles des trous de sécurité ou des bogues ont été découverts et supprimés. Faites en sorte d installer toutes les mises à jour dès qu elles sont disponibles : Mise à jour logiciel, page Réinitialisation profonde. En cas d absolue nécessité : Sauvegardez la configuration ; désinstallez les paquetages naat-* du système ; installez le paquetage snf-en ; et restaurez la configuration. 1

16 Chapitre 1. Démarrage rapide 1.2. Étapes préliminaires Si vous avez choisi d installer MandrakeSecurity sur une machine du commerce, voici quelques conseils au sujet du matériel nécessaire pour deux utilisations différentes. Ensuite, nous passerons rapidement en revue le processus d installation. Configuration Réseau local modeste, sans DMZ et peu de trafic Processeur P166 PIII Mémoire RAM 64Mo 128Mo Disque dur 2Go 10Go Réseau local avec DMZ hébergeant plusieurs serveurs Internet publics Interfaces réseau Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet Tableau 1-1. Matériel requis Ces chiffres sont évidemment purement indicatifs et dépendent grandement de l utilisation effective du réseau. Selon les services activés sur le serveur, la configuration peut s avérer à l étroit. Vérifiez régulièrement la charge du système (Surveillez le pare-feu, page 111). Ainsi, vous pourrez agir avant que votre système ne sature. 2

17 Chapitre 2. Installation avec DrakX 2.1. Introduction au programme d installation de Mandrake Linux DrakX est le logiciel d installation pour Mandrake Linux. Possédant son interface graphique, il offre une facilité d utilisation incomparable. Il permet, par exemple, de retourner à tout moment à une étape précédente de l installation ou de définir le type d installation selon votre niveau d expertise avec GNU/Linux. Figure 2-1. Écran de bienvenue, le début de l installation Au début de l installation, que ce soit par CD-ROM ou disquette, le premier écran vous propose plusieurs options d installation (figure 2-1). Ne rien faire démarrera l installation en mode standard ou «linux». Les quelques paragraphes qui suivent présentent quelques options et paramètres qui peuvent être passés au programme d installation en cas de problème. En appuyant sur F1, un écran d aide apparaît. Voici les options qui vous y sont proposées : vgalo : Si vous avez essayé une installation normale et qu il vous a été impossible de voir l interface graphique telle que montrée plus loin (Choix de la langue, page 4), vous pouvez essayer de lancer l installation en mode basse résolution. Cela peut arriver avec quelques cartes graphiques et MandrakeSecurity vous propose de contourner ce problème. Pour lancer l installation en mode basse résolution, tapez vgalo à l invite. text : Dans la situation où vous utilisez une très vieille carte vidéo et que l installation en mode graphique refuse de démarrer, le mode text vous permettra de poursuivre l installation. Le mode expert : Dans certains cas isolés, la détection du matériel peut bloquer votre ordinateur. Le mode expert permet de contourner ce problème, mais sachez que vous devrez alors fournir l ensemble des paramètres de votre matériel manuellement. Enfin, expert est une option pour les modes précédents (ou linux, le mode standard). Vous pouvez donc être amené à spécifier: boot: vgalo expert Pour lancer une installation en mode graphique basse résolution sans détection matérielle. 3

18 Chapitre 2. Installation avec DrakX Le mode expert proposera aussi une installation plus détaillée, permettant une plus grande souplesse. options du noyau : vous permet de spécifier des options directement au noyau d installation. On l utilisera particulièrement sur les systèmes où l installeur est incapable de déterminer la quantité de mémoire installée. Il vous suffit donc de l inscrire manuellement, en option du mode d installation avec la commande mem=xxxxm. Par exemple, pour démarrer une installation en mode standard sur un PC ayant 256 Mo de mémoire vive, entrez la commande suivante : boot: linux mem=256m Le processus d installation proprement dit possède une interface graphique (figure 2-2). À gauche, les différentes phases d installation sont identifiées. Selon où vous en ètes dans le processus d installation, certaines étapes seront accessibles ou non. Si vous y avez accès, elles sont mises en surbrillance lorsque le curseur de la souris les survole. Par ailleurs, différentes couleurs identifient les phases de l installation. rouge : cette étape n est pas encore entamée. orange: identifie l étape où vous en ètes vert: cette étape est terminée. Rappelez-vous que vous pouvez toujours y revenir pour en changer les configurations. Ce guide se place dans l hypothèse où vous effectuez une installation standard, étape par étape, telle que décrite ci-dessous Choix de la langue La première étape consiste à choisir votre langue. 4

19 Chapitre 2. Installation avec DrakX Figure 2-2. Choix la langue par défaut Veuillez choisir votre langue. Celle-ci sera utilisée durant le processus d installation, ainsi que durant les mises à jour de votre système. En cliquant sur Avancé, le programme vous proposera également des langues complémentaires pouvant être installées sur votre station de travail. En choisissant des langues supplémentaires, le programme vous installera toute la documentation et les applications nécessaires à l utilisation de ces langues. Par exemple, si vous prévoyez d accueillir des utilisateurs d Espagne sur votre serveur, choisissez l anglais comme langue principale, et, dans la section avancée, cliquez sur l étoile grise correspondant à Spanish Spain. Sachez que plusieurs langues peuvent être installées. Une fois votre sélection complète terminée, cliquez sur OK pour continuer. Les langues présentées ici ne sont pas toutes disponibles dans l interface Web de MandrakeSecurity. 5

20 Chapitre 2. Installation avec DrakX 2.3. Licence de la distribution Avant d aller plus loin, il est fortement recommandé de lire attentivement les termes et conditions d utilisations de la licence. Celle-ci régit l ensemble de la distribution Mandrake Linux. Si, pour une raison ou une autre, vous n acceptez pas ces conditions, cliquez sur Refuser. L installation sera alors immédiatement interrompue. Pour continuer, cliquez sur Accepter. 6

21 Chapitre 2. Installation avec DrakX 2.4. Détection et configuration des disques. DrakX détecte maintenant tous les périphériques IDE présents sur votre système. DrakX recherchera aussi les périphériques SCSI. Finalement, selon les composantes détectées, DrakX installera tous les pilotes nécessaires à son fonctionnement. Compte tenu de la vaste gamme de périphériques disponibles sur le marché, dans certains cas la détection de matériel ne fonctionnera pas. DrakX vous demandera alors de confirmer si des composantes SCSI sont présentes sur votre système. Cliquez sur Oui si vous ètes certain d avoir un périphérique SCSI sur votre système. DrakX vous présentera alors une liste de carte SCSI disponibles. Sélectionnez la vôtre. Vous devez évidemment cliquer sur Non, si vous n en avez pas. Si vous n ètes pas certain, cliquez sur Voir les informations sur le matériel, puis sur OK. Vérifiez la liste du matériel, puis cliquez sur OK pour retourner à la question concernant les périphériques SCSI. Si vous devez configurer votre carte SCSI manuellement, DrakX vous demandera si vous souhaitez spécifier à la main les options du périphérique. Laissez en fait DrakX chercher automatiquement les options nécessaires à la configuration de votre carte, cela fonctionne généralement. Il peut arriver que DrakX soit incapable de vérifier les options nécessaires. Dans ce cas, vous devrez les déterminer manuellement. 7

22 Chapitre 2. Installation avec DrakX 2.5. Configuration de la souris DrakX détecte généralement le nombre de boutons de votre souris. Sinon, il prend pour acquis que vous avez une souris à deux boutons et configurera l émulation du troisième bouton. De plus, DrakX saura automatiquement si vous avez une souris PS/2, série ou USB. Si vous désirez installer une souris différente, veuillez la sélectionner à partir de la liste qui vous est proposée. Si vous sélectionnez une souris différente de celle choisie par défaut, DrakX vous présentera un écran de test. Utilisez les boutons et la roue pour vous assurer que tout fonctionne correctement. Si votre souris ne fonctionne pas normalement, appuyez sur la barre d espacement ou Entrée ou encore Annuler, puis, sélectionnez une autre souris. Les souris à roulette ne sont pas détectées parfois. Vous devrez alors sélectionner manuellement une souris dans la liste. Assurez vous de choisir celle qui correspond à votre modèle et au bon port de connexion. Après avoir pressé le bouton OK, une image de souris apparaît. Vous devez alors faire tourner la molette afin de l activer correctement. Testez alors que tous les mouvements et boutons fonctionnent correctement Configuration du clavier Cette étape est généralement ignorée en mode Recommandé. 8

23 Chapitre 2. Installation avec DrakX Normalement, DrakX sélectionne le clavier approprié en fonction de la langue choisie et vous ne devriez pas voir cette étape. Cela dit, il est possible que vous ayez un clavier ne correspondant pas exactement à votre langue d utilisation. Par exemple, si vous habitez le Québec et parlez le français et l anglais, vous pouvez vouloir avoir votre clavier anglais pour les tâches d administration système et votre clavier français pour écrire de la poésie. Dans ces cas, il vous faudra revenir à cette étape d installation et sélectionner un autre clavier à partir de la liste. Cliquez sur Davantage pour voir toutes les options proposées. 9

24 Chapitre 2. Installation avec DrakX 2.7. Création des partitions Cette étape vous permet de déterminer précisément l emplacement de votre installation de MandrakeSecurity. Si votre disque est vide ou utilisé par un autre système d exploitation, vous devrez repartitionner votre disque. Partitionner un disque signifie de le diviser précisément afin de créer un espace pour votre installation. Comme les effets du partitionnement sont irréversibles (l ensemble du disque est effacé), le partitionnement est généralement intimidant et stressant pour un utilisateur inexpérimenté. Heureusement, un assistant a été prévu à cet effet. Avant de commencer, révisez vos manuels et surtout, prenez votre temps. Si des partitions ont déjà été définies, peu importe qu elles proviennent d une autre installation ou d un autre outil de partitionnement, il vous suffit de simplement choisir sur quelle partition vous voulez installer Mandrake. Si vos partitions ne sont pas définies, vous devrez les créer en utilisant l assistant. Selon la configuration de votre disque, plusieurs options sont disponibles : Utilisez l espace disponible : cette option tentera simplement de partitionner automatiquement l espace inutilisé sur votre disque. Il n y aura pas d autre question. Utiliser les partitions existantes : l assistant a détecté une ou plusieurs partitions existants sur votre disque. Si vous voulez les utiliser, choisissez cette option. Il vous sera alors demandé de choisir les points de montage associés à chacune des partitions. Les anciens points de montage sont sélectionnés par défaut, et vous devriez généralement les garder. Utilisez l espace libre sur une partition Windows : si Microsoft Windows est installé sur votre disque et prend l ensemble de l espace vous devez créer une place pour votre installation Mandrake. Pour ce faire, vous pouvez tout effacer (voir «effacer tout le disque» ou «Mode expert») ou vous pouvez redimensionner l espace utilisé par Windows. Le redimensionnement peut être effectué sans pertes de données, à condition que vous ayez préalablement défragmenté la partition Windows. Une sauvegarde de Vos données ne fera pas de mal non plus. Cette seconde option peut être accomplie sans perte de données. Cette solution est recommandée pour faire cohabiter Linux et Windows sur le même ordinateur. Avant de choisir cette option, il faut comprendre qu après cette procédure l espace disponible pour Windows sera réduit. Vous aurez moins d espace pour installer des logiciels ou sauvegarder de l information avec Windows. 10

25 Chapitre 2. Installation avec DrakX Effacer tout le disque: si vous voulez effacer toutes les données et les applications installées sur votre système et les remplacer par votre nouveau système MandrakeSecurity, choisissez cette option. Soyez prudent, car ce choix est irréversible et permanent. Il vous sera impossible de retrouver vos données effacées. En choisissant cette option, l ensemble du contenu de votre disque sera détruit. Supprimer Microsoft Windows: ce choix effacera tout simplement ce que contient le disque et recommencera à zéro. Toutes les données et les programmes présents sur le disque seront effacés. En choisissant cette option, l ensemble de votre disque sera effacé Partitionnement personnalisé : permet de partitionner manuellement votre disque. Soyez prudent, parce que bien que plus puissante, cette option est dangereuse. Vous pouvez facilement perdre l ensemble du contenu d un disque. Donc, ne choisissez pas cette option si vous ne savez pas exactement ce que vous devez faire. Pour en savoir plus sur DiskDrake, référez vous à la documentation en ligne de DiskDrake (http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html) Choix des partitions à formater Les partitions ayant été nouvellement définies doivent être formatées (ce qui implique la création d un système de fichiers. Lors de cette étape, vous pouvez reformater des partitions existantes pour effacer les données présentes. Vous devrez alors les sélectionner également. 11

26 Chapitre 2. Installation avec DrakX Sachez qu il n est pas nécessaire de reformater toutes les partitions existantes. Vous devez formater les partitions contenant le système d exploitation (comme /, /usr ou /var, mais il n est pas nécessaire de formater les partitions de données, notamment /home.. Soyez prudent. Une fois que les partitions sélectionnées seront reformatées, il sera impossible de récupérer des données. Cliquez sur OK lorsque vous ètes prêt à formater les partitions. Cliquez sur Annuler pour ajouter ou enlever une partition à formater. Cliquer sur Avancer si vous désirez sélectionner des partitions pour une vérification des secteurs défectueux (Bad Blocks) Installation des paquetages Votre nouveau système MandrakeSecurity est actuellement en cours d installation. La liste de paquetages installés est prédéfinie et ne peux pas être modifiée. Selon la quantité de paquetages installés et la vitesse de votre ordinateur, la durée de cette opération peut varier de quelques instants à plusieurs minutes Mot de passe root Vous devez prendre ici une décision cruciale pour la sécurité de votre système. L utilisateur root est l administrateur du système qui a tous les droits d accès aux fichiers de configuration, etc. Il est donc impératif de choisir un mot de passe difficile à deviner (pensez aux systèmes prévus à cet effet qui anticipent les combinaisons communes des utilisateurs). DrakX vous avertira si le mot de passe entré est trop facile à deviner. Comme vous pouvez le voir, il est également possible de ne pas entrer de mot de passe. Nous déconseillons fortement cette pratique. Comme l erreur est humaine, un utilisateur avec tous les droits peut tout détruire sur votre système, c est pourquoi le mot de passe doit agir comme barrière à l entrée. Le niveau de sécurité MSEC est positionné à 4 («haut») par défaut. Le mot de passe choisi doit contenir au moins 8 caractères alphanumériques. Ne jamais écrire un mot de passe, forcez-vous à vous en souvenir par coeur. 12

27 Chapitre 2. Installation avec DrakX Il faut donc ménager accessibilité et mémoire, donc un mot de passe de 30 caractères est presque impossible à mémoriser. Afin d éviter les regards indiscrets, le mot de passe n apparaîtra pas à l écran. Il vous faudra donc l inscrire deux fois afin d éviter les erreurs de frappe. Évidemment, si vous faites deux fois la même erreur, celle-ci sera sauvegardée et vous devrez la reproduire afin d accéder à votre système pour la première fois Mot de passe de l administrateur Vous devez maintenant choisir le mot de passe pour l administrateur du système (login: admin). Cet utilisateur est différent du compte root pour des raisons de sécurité, mais aussi parcequ il peut s agir de personnes différentes. C est ce compte admin qui sera nécessaire pour accéder à l interface Web de MandrakeSecurity. Les critères de choix de ce mot de passe sont les mêmes que pour le compte root Ajouter un utilisateur Tous les utilisateurs nécessaires au fonctionnement de MandrakeSecurity ont été définis. Cependant, si vous prévoyez d utiliser la fonction d authentification PAM de squid, vous pouvez ajouter ici les utilisateurs qui seront autorisés. Il faut d abord entrer le vrai nom de la personne. Évidemment, vous pouvez y inscrire n importe quoi. DrakX prendra le premier mot inséré et le transposera comme Nom de login. C est le nom qui sera utilisé pour se connecter au système. Vous pouvez le modifier. Il faut maintenant entrer un mot de passe. Celui-ci n est pas aussi crucial que le mot de passe de root, mais ce n est pas une raison pour le laisser blanc ou trop simple. Après tout, ceci mettrait vos fichiers en péril. Vous pouvez alors choisir de rendre cet utilisateur membre d un ou plusieurs groupes spéciaux ce qui lui donnera des privilèges particuliers. Cochez les cases correspondants aux privilèges que vous souhaitez accorder à cet utilisateur. Si vous cliquez Accepter, il vous sera possible d ajouter d autres utilisateurs. Une fois chaque utilisateur défini, cliquez sur Terminer. 13

28 Chapitre 2. Installation avec DrakX En cliquant sur Avancé, vous pourrez sélectionner un shell différent pour cet utilisateur (bash est assigné par défaut) Configuration réseau Vous allez pouvoir configurer maintenant votre accès au réseau local (LAN). MandrakeSecurity tentera de détecter les périphériques réseau et modems. Si cette détection échouait, décochez la case Utiliser la détection automatique. Bien que plusieurs type de connexion soient proposés ici, ne configurez pas votre connexion Internet maintenant. Vous devriez vous contenter de configurer votre accès Ethernet LAN, de façon à pouvoir accéder à l interface d administration après l installation pour y configurer facilement toutes les autres connexions. Nous ne détaillerons pas ici chacune des configurations possibles. Assurez-vous seulement que vous avez toutes les informations (adresse IP, passerelle, serveurs DNS) de votre fournisseur de service Internet ou de l administrateur système à portée de main. Vous pourrez configurer toutes les autres interfaces réseau (Internet, DMZ, etc.) plus tard grâce à l interface de MandrakeSecurity. 14

29 Chapitre 2. Installation avec DrakX Emplacement du programme d amorce Vous devez indiquer le répertoire où vous souhaitez enregistrer les informations nécessaires au démarrage sous GNU/Linux. A moins que vous ne maîtrisiez parfaitement les choix dans ce domaine, nous vous conseillons de choisir Premier secteur du disque (MBR). Les différentes options de démarrage seront alors présentées, vous pouvez les modifier si nécessaire. 15

30 Chapitre 2. Installation avec DrakX Disquette de démarrage Le CD-ROM d installation de MandrakeSecurity a un mode de récupération prédéfini. Vous pouvez y accéder en démarrant l ordinateur sur le CD-ROM: pressez la touche F1 au premier écran, puis tapez rescue. Selon la version de votre BIOS, il faut lui spécifier de démarrer sur le CDROM. Vous pourrez avoir besoin de cela dans deux cas précis : Au moment d installer le Programme d amorce, DrakX va réécrire sur le secteur (MBR) contenant le programme d amorce (boot loader) afin de vous permettre de démarrer avec Windows ou GNU/Linux (en prenant pour acquis que vous avez deux systèmes d exploitation installés). Si vous réinstallez Windows, celui-ci va réécrire sur le secteur de démarrage et il vous sera désormais impossible de démarrer GNU/Linux. Si un problème survient et qu il vous est impossible de démarrer GNU/Linux à partir du disque dur, cette disquette deviendra votre seul moyen de démarrer votre système Linux. Elle contient un bon nombre d outils pour récupérer un système défectueux, peu importe la source du problème. En cliquant sur cette étape, on vous demandera d insérer une disquette. La disquette insérée sera complètement effacée et DrakX se chargera de la formater et d y insérer les fichiers nécessaires. 16

31 Chapitre 2. Installation avec DrakX Installation de mises à jour depuis Internet Au moment où vous êtes en train d installer MandrakeSecurity, il est possible que certains paquetages aient été mis à jour depuis la sortie du produit. Des erreurs ont pu être corrigées, et des problèmes de sécurité résolus. Pour vous permettre de bénéficier de ces mises à jour, il vous est maintenant proposé de les télécharger depuis Internet. Choisissez Oui si vous avez une connexion Internet, ou Non si vous préférez installer les mises à jour plus tard. En choisissant Oui, la liste des sites depuis lesquels les mises à jour peuvent être téléchargées est affichée. Choisissez le site le plus proche. Puis un arbre de choix des paquetages apparaît : vérifiez la sélection, puis cliquez sur Installer pour télé-charger et installer les mises à jour sélectionnées, ou Annuler pour abandonner. 17

32 Chapitre 2. Installation avec DrakX L installation est maintenant terminée! Votre installation de MandrakeSecurity est maintenant terminée et votre système est prêt à être utilisé. Notez soigneusement l adresse donnée par ce dialogue, c est celle que vous devrez utiliser dans votre navigateur Internet pour accéder à l interface Web de MandrakeSecurity avec le compte admin. Cliquez maintenant sur OK deux fois pour redémarrer votre système Désinstaller Linux Le processus s effectue en deux étapes simples : 1. Détruire toutes les partitions sur votre disque et les remplacer par une seule partition FAT. Pour ce faire, consulter la section Gérer ses partitions. 2. Désinstaller le programme d amorce (généralement grub ). Pour ce faire, démarrer sous DOS et lancer la commande : fdisk /mbr. Évidemment, si vous utilisez un autre système d exploitation, celui-ci inclut sans doute de la documentation concernant l installation de son programme d amorce (boot loader). Au revoir. Merci d avoir utilisé MandrakeSecurity :-) 18

33 Présentation de l interface de MandrakeSecurity Les chapitres de cette partie sont dédiés à l utilisation de l outil d administration Web de MandrakeSecurity, qui vous permet de contrôler votre pare-feu à distance depuis n importe quelle machine connectée à votre réseau local. Le premier chapitre, Configuration de base de MandrakeSecurity, page 21, vous guidera pour les premières étapes de configuration de base du pare-feu. Vous pourrez y créer des comptes, configurer les cartes réseau, le serveur de journaux (logs), ainsi que l heure locale et un serveur local de temps NTP (Network Time Protocol). Vient ensuite le chapitre Configurer l accès à Internet, page 31, qui vous permettra de configurer la connexion Internet de votre serveur. Le troisième chapitre, Services : DHCP, Proxy, DNS, et bien d autres, page 47, vous conseille dans la configuration des services associés tels que DHCP, DNS et serveurs mandataires (Proxy). Vous pourrez aussi activer un système de détection d intrusion IDS (Intrusion Detection System) comme Prelude ou Snort, ou encore bloquer l accès à certaines adresses Internet auxquelles vous ne voulez pas que vos utilisateurs accèdent. Le chapitre Configuration du comportement du pare-feu, page 65 parcours toutes les pages de la section des règles pare-feu de MandrakeSecurity. Cette section permet de réguler le trafic entre les différentes zones gérées par le pare-feu. Finalement, nous parlerons de surveillance du système (essentiel pour garantir le bon fonctionnement du système) dans le chapitre Surveillez le pare-feu, page 111, et des outils d entretien dans Outils de gestion, page 123. Nous espérons que vous apprécierez MandrakeSecurity!

34 20

35 Chapitre 3. Configuration de base de MandrakeSecurity 3.1. Introduction Nous allons maintenant présenter brièvement l interface de configuration et comment y naviguer. Celle-ci est faite de menus ouvrant des assistants de configuration Connexion La connexion au serveur pare-feu depuis n importe quel client est effectuée grâce à n importe quel fureteur Internet, suffisamment récent. La communication est intégralement cryptée. Ainsi les informations transmises sur le réseau sont chiffrées et, presque impossible, à lire sans les codes d accès. Pour démarrer la session, pointez votre fureteur sur l adresse qui vous a été fournie lors de la dernière étape de la procédure d installation. Ce devrait être une adresse qui ressemble à : https:// :8443/ où est l adresse IP interne (réseau local) du pare-feu. Des messages vont alors apparaître pour accepter un nouveau certificat de site, acceptez les. Finalement, l écran de connexion de MandrakeSecurity apparaîtra (figure 3-1). Figure 3-1. La fenêtre de connexion à MandrakeSecurity Remplissez-la avec les informations de connexion du compte admin tel que défini durant l installation. À chaque fois que vous devrez vous identifier pour vous connecter à l interface, utilisez le compte admin. Le mot de passe doit être modifié dès la première connexion, voyez Changer le mot de passe de l administrateur, page

36 Chapitre 3. Configuration de base de MandrakeSecurity L interface Figure 3-2. Écran d accueil de MandrakeSecurity L interface est disposée de manière traditionnelle, avec un menu à deux niveau sur la gauche et un cadre de contenus sur la droite. Ce dernier contiendra les différentes étapes des assistants correspondant aux entrées de menu de second niveau. Par la suite, nous appellerons «section» le sujet couvert par une entrée de menu de premier niveau, et «sous-section» pour les entrées de second niveau (les assistants). Les pages des assistants sont composées de : texte informatif : Le sujet de cet écran ; champs de saisie : à remplir ou sélectionner selon votre choix ; boutons : pour lancer des actions. Vous rencontrerez aussi divers icônes. Voici les plus importants : Le bouton d aide. Ouvre une fenêtre d aide contextuelle, détaillant les divers éléments présents dans la page courante. Le bouton d annulation. Annule toutes les modification faites depuis le début de l assistant, et vous ramène à la page d accueil de MandrakeSecurity. Le bouton de retour. Revient à l étape précédente de l assistant. Le bouton «suivant». Passe à l étape suivante. Notez que les choix effectués sur une page ne sont rendus effectifs que lorsque le bouton de confirmation de l assistant tout entier (ci-dessous) est pressé. Le bouton de confirmation. Lorsque vous atteignez le dernier écran de confirmation d un assistant, ce bouton confirme tous les choix afférant à cet assistant et les applique au système. N oubliez pas de l utiliser lorsque vous avez fini un assistant, si non tous vos changements seront perdus! 22

37 Chapitre 3. Configuration de base de MandrakeSecurity Déconnexion Il est très important de se déconnecter explicitement de l interface lorsque vous avez fini de travailler, ou si vous abandonnez votre bureau pour un certain temps. Notez bien que fermer le navigateur ne suffit généralement pas, car le serveur n a alors aucun moyen de savoir que vous abandonnez votre machine, et une autre personne utilisant l ordinateur juste après vous pourrait reprendre votre session là où vous l avez laissée. Figure 3-3. L icône de déconnexion Dès que vous avez fini une session, cliquez sur cet icône. La prochaine fois que vous essaierez de vous connecter, vous devrez vous identifier à nouveau Configuration de base du système Cette section vous guidera pour la configuration de base du serveur. Elle permet aussi à l administrateur de changer son mot de passe d accès à l interface Configuration générale du système L information affichée ici est très générale, quoique essentielle. Votre système doit être associé à un nom ainsi qu à un nom de domaine. Les champs Informations du système et temps d utilisation (Uptime) vous donnent de l information de base au sujet de votre système. Un nom sera attribué au système. Celui-ci sera ensuite alloué à un réseau local. À ce stade, les paramètres à entrer dépendront du fait que vous ayez ou non un accès permanent à Internet avec une adresse IP fixe. Nom du système machine.domain.net Ce champ contient le nom d hôte complet de votre machine: le nom de la machine suivi du nom de domaine, tel que parefeu.société.net. Nom du domaine domain.net Ce champ abrite le nom de domaine de votre machine. Si vous possédez un nom de domaine et que les DNS requis pointe vers votre adresse IP, utilisez votre nom de domaine dans ce champ. Sinon, utilisez le nom de domaine de votre fournisseur Internet. 23

38 Chapitre 3. Configuration de base de MandrakeSecurity System Info Linux machine.domain.net mdk #1, etc. Dans ce champ sont listés 1) le type de système d exploitation 2) le nom complet de la machine 3) la version du noyau 4) la date à laquelle le système a été installé 5) et le type de processeur. Temps d utilisation 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00 Ce champ affiche 1) l heure locale 2) temps d utilisation en jour, minutes et secondes 3) le nombre d utilisateurs 4) et la charge moyenne ("load average") des dernières 1, 5 et 15 minutes. Modifier Cliquez sur cette icône si vous voulez change le nom de votre système ou le nom de domaine Propriétés du système Cette section vous aidera à changer le nom de votre système et de votre nom de domaine. Lorsque vous aurez terminé vos changements, cliquez sur le bouton Next, puis sur le bouton Apply. Vous reviendrez alors à la page System Properties Group, qui affichera le nom du système, le nom de domaine, ainsi que de l information sur le système et le temps disponible ("uptime") Configuration des cartes Ethernet Cette page liste les cartes d interface réseau ("Network Interface Cards" ou NIC) qui sont actuellement configurées sur votre machine. Cela vous permettra de choisir une carte particulière et de la configurer à nouveau, ou d ajouter une autre carte. Zone IP Address Subnet Mask On Boot Protocol eth0 wan yes dhcp edit suppress admin eth1 lan yes static edit suppress admin 24

39 Chapitre 3. Configuration de base de MandrakeSecurity Chaque ligne correspond à une carte d interface réseau dans votre ordinateur: pour la configurer à nouveau, cliquez sur cette icône située à la gauche de la corbeille. Vous serez également en mesure de choisir si vous voulez l activer (ou non) lors de l amorçage depuis la page Ethernet Interface Configuration; pour permettre au réseau associé à cette interface de se connecter à l interface Web, cliquez sur Admin (voir "Administration Interface" plus bas); pour la supprimer, cliquez sur cette icône. Puis vient l interface d administration, qui indique l interface à travers laquelle les connexions de l administrateur sont permises. Ceci signifie que votre pare-feu devra être administré depuis un ordinateur connecté au sousréseau qui est associé à la carte réseau susmentionnée. Vous pouvez effectuer deux actions: - Détection des cartes d interface réseau courantes: en cliquant sur cette icône, vous lancerez un processus d auto-détection de cartes d interface réseau. Utilisez cette fonctionnalité si vous avez installé une nouvelle carte d interface réseau dans votre ordinateur. Note: après votre clic, il pourrait prendre un certain temps avant que le prochain écran apparaisse puisque l ordinateur cherche les nouvelles cartes. - Ajouter une carte d interface réseau manuellement: si l opération précédente devait échouer, vous pouvez configurer manuellement votre carte en cliquant sur cette icône Détection des interfaces Ethernet Cet écran montre les cartes d interface réseau qui viennent tout juste d être détectées automatiquement sur votre machine. Si la carte que vous souhaitez configurer n apparaît pas sur cet écran, retournez à la page précédente et cliquez sur le bouton "Ajouter une carte d interface réseau manuellement". Driver Mac IP Address Subnet Mask On Boot Eth0 ne2k-pci 00:40:05:E2:55:F yes Chaque ligne correspond à une carte d interface réseau physique dans votre ordinateur. Pour en choisir une et la configurer en tant qu interface d accès au réseau local, revenez à la page précédente, cliquez sur remplissez les champs. et 25

40 Chapitre 3. Configuration de base de MandrakeSecurity Configuration de l interface Ethernet pour votre réseau local Dans cette section, vous devez définir les paramètres de la carte d interface nécessaires pour ajuster les besoins de votre réseau local (ou vos réseaux locaux, le cas échéant). Certains des paramètres auront peut-être été déjà définis lors de l installation, ou durant une configuration précédente, ou complétés avec des valeurs par défaut. Faites les modifications nécessaires pour répondre à vos besoins actuels. Connecté au nom de zone lan Vous devez choisir dans quel sorte de réseau vous travaillerez. Voici vos choix : lan, ou les systèmes de votre réseau local (ou réseaux locaux, le cas échéant). Ces systèmes doivent être protégés d Internet et de la DMZ et, dans certains cas, entre eux également. Choisissez cette zone pour définir votre réseau local ; dmz, qui signifie "Demilitarized Zone" (soit zone démilitarisée). Choisissez ce type de zone si vos systèmes doivent être accessibles depuis Internet et depuis votre réseau local ; wan - "Wide Area Network" (soit réseau étendu). Il peut être soit public, soit privé, et il assure l interconnexion entre les réseaux à l extérieur de votre LAN (soit Internet). Choisissez ce type de zone pour vous connecter directement au monde extérieur. Adresse IP Remplissez ce champ si vous avez une adresse IP statique pour cette interface. C est l adresse de votre serveur : elle est essentielle puisque les systèmes client se référeront à cette adresse. Masque de sous-réseau ("Subnet Mask". ex.: ) Dans ce champ, entrez le nom du masque de sous-réseau relié au réseau auquel l interface est connectée. Maintenant, réglez le protocole d amorçage à utiliser lorsque l interface est initialisée. Cela dépend du protocole utilisé par votre FAI ("ISP"). Choisissez la bonne boîte à cocher, par exemple, une des suivantes : static. C est une adresse IP permanente assignée à votre serveur par votre FAI ; dhcp. C est une adresse IP dynamique assignée par votre FAI lors de l amorçage de la machine. La plupart des FAI câble et DSL utilise une forme de DHCP ou une autre pour assigner une adresse IP à votre système. Notez également que les postes de travail devraient être configurés de cette façon pour simplifier la gestion de réseau ; bootp. Permet à une machine Linux de récupérer son information réseau depuis un serveur à travers le réseau. 26

41 Chapitre 3. Configuration de base de MandrakeSecurity Ensuite, vous pouvez décider d activer (ou non) cette interface lors de l amorçage. Client DHCP (optionnel) dhcpd Ce champ vous permet de choisir quel client DHCP sera utilisé sur votre réseau. Vous pouvez choisir un des suivants : dhcpcd - démon client qui récupère une adresse IP et d autres informations depuis un serveur DHCP. Il configure automatiquement l interface réseau, et essaie de renouveler le temps de location selon le RFC2131 ou RFC1541 (ce dernier est désuet) ; pump - démon client pour BOOTP et DHCP. Il permet à votre machine de récupérer de l information de configuration depuis un serveur ; dhclient - avec celui-ci, vous pouvez configurer une ou plusieurs interfaces utilisant le protocole DHCP ou BOOTP ; dhcpxd - son but premier est de se conformer aux spécifications DHCP définies par le RFC2131. Il prend en charge un processus par session et est aussi capable de gérer des sessions processus-tout-en-un ("all-in-oneprocess sessions"). Une de ses fonctionnalités les plus avancées réside sous forme de scripts, lesquels sont exécutés lorsque nécessaire, dans le but de configurer tout ce qui est requis pour régler les interfaces. Finalement, vous pouvez choisir de remplir le champ Nom d hôte DHCP (optionnel) avec une valeur appropriée Changer le mot de passe de l administrateur Ce formulaire vous permettra de modifier le mot de passe de l administrateur. Nous recommandons que vous le changiez de façon périodique. Nom de connexion admin Nouveau mot de passe ******** Nouveau mot de passe (encore) ******** Vous devez choisir un mot de passe sécuritaire. Lorsque vous avez terminé, cliquez sur le bouton "Modifier". 27

42 Chapitre 3. Configuration de base de MandrakeSecurity 3.5. Journaux système sur vos machines locales et distantes Les journaux constituent une partie essentielle d un système à vocation sécuritaire tel qu un pare-feu. Ils ne font pas que donner de l information en temps réel sur ce qui se passe sur votre système: ils peuvent en retracer l historique, par exemple, lorsque quelque chose cloche sur votre système - un crash ou une intrusion - ils trouveront la source de votre problème et, généralement, une solution à ce problème. Premièrement, vous avez le choix d activer (ou non) le système de journaux sur la machine locale (soit le parefeu). Évidemment, ceci ne sera pertinent que si un affichage est directement relié au pare-feu. Il sera possible de contrôler: Serveur Syslog (ex: ) Vous pouvez choisir d entrer soit le nom du serveur syslog (ex: syslog.entreprise.com) ou l adresse IP. Si vous ne connaissez pas cette dernière, utilisez la commande ifconfig en tant que root, ou /sbin/ifconfig en tant qu utilisateur normal. Ensuite, entrez l adresse du serveur syslog. C est une façon de mieux sécuriser vos journaux en ne les hébergeant pas directement sur votre serveur, mais bien sur une autre machine. Niveau d information émis Info Ce paramètre contrôle l information qui sera affichée, selon le niveau que vous choisirez: Information: affiche en sortie tous les messages sur le pare-feu, en passant des messages normaux aux plus critiques; Notification: retourne les messages qui ne poseront pas de problèmes au système, mais qui sont inhabituels; Attention: vous informe que quelque chose d anormal est peut-être en train de se réaliser et que vous devriez commencer à penser à passer à l acte; Erreur: affiche en sortie les messages d erreur qui pourraient mener à un mauvais fonctionnement du système; Critique: retourne les messages indiquant que votre système est en sérieux danger; Alertes: vous indique d agir immédiatement; Panique: affiche en sortie seulement les messages critiques qui mènent généralement à une panne totale de votre système. À cette étape, votre système pourrait être inutilisable. À moins que vous sachiez exactement ce que vous faites, nous vous déconseillons fortement d utiliser ce niveau d information. 28

43 Chapitre 3. Configuration de base de MandrakeSecurity 3.6. Configuration de l heure Premièrement, l assistant fera deux suggestions concernant la configuration de l heure interne. Cliquez sur l icône relative à ce que vous voulez configurer : date et heure : si vous ne possédez pas de serveur NTP ("Network Time Protocol"), cliquez sur le bouton Modifier pour régler manuellement la date actuelle et l heure sur la machine ; fuseau horaire et adresse du serveur NTP : cliquez sur le bouton sous le champ Adresse du serveur NTP (optionnel) pour indiquer la location physique du serveur et éventuellement, configurer un serveur de temps, qui règlerait automatiquemnt la date et l heure du système Configuration de l heure et de la date Tapez simplement la date et l heure courante dans leurs champs respectifs : Date (jj/mm/yy) 22/05/02 Heure 24 heures (hh:mm:ss) 17:07:58 Ensuite, appliquez vos modifications en cliquant sur le bouton Modifier. 29

44 Chapitre 3. Configuration de base de MandrakeSecurity Configuration d un fuseau horaire et d un serveur NTP Vous devez choisir le fuseau horaire de votre location géographique et indiquer la présence éventuelle d un serveur NTP. Fuseau horaire Adresse du serveur NTP (optionnel) Amérique/Montréal ntp.myco.com Dans la liste de fuseau horaire, choisissez celui qui est situé le plus près de votre emplacement géographique, ainsi que la ville la plus près de votre location. Éventuellement, vous pouvez entrer le nom d un serveur NTP, qui règle automatiquement et vérifie l heure sur votre machine de façon périodique. Si votre société possède son propre serveur, utilisez-le. Sinon, vous pouvez utiliser un serveur public, tels que ceux contenus sur le site Web Public NTP Secondary (stratum 2) Time Servers (http://www.eecis.udel.edu/~mills/ntp/clock2.htm). 30

45 Chapitre 4. Configurer l accès à Internet Dans cette section, vous pourrez configurer le ou les accès Internet dont dispose votre pare-feu. Il est possible de configurer des interfaces vers les protocoles supportés par votre version de MandrakeSecurity. Vous pourrez aussi définir tous vos comptes de fournisseurs d accès Section Accès Internet Cette page d introduction aux interfaces de configurations résume l état des connexions à Internet. Elle permet d arrêter, de démarrer et de tester la connexion à Internet. La première partie du cadre présente tous les paramètres d accès à Internet selon la configuration active : type, interface, compte (Account), etc. Ensuite, on présente l état de l accès à Internet: "Up" (actif) ou "Down" (inactif); et quelques informations supplémentaires à propos de la connexion courante. Ceci est suivit de trois boutons: Démmarrer: Démarrer manuellement la connexion à Internet selon la configuration courante. Arrêter: Forcer déconnexion à Internet. Tester: mise à jour de l état de la connexion présenté plus haut. Pour effectuer ce test, le logiciel tente simplement un "ping" vers un système externe. Si vous désirez tester avec un système spécific, entrez son adresse IP ici, selon la convention suivante: Tester l hôter Puis, cliquez sur Mise à Jour 31

46 Chapitre 4. Configurer l accès à Internet Service DNS Dynamique Nom d hôte DNS Dynaamique on your_host_name.dyndns.org Si vous utilisez un service de DNS dynamique pour configurer votre nom de domaine (lorsque votre adresse IP est dynamique), cliquez sur Modifier et remplissez les champs correspondants pour établir la configuration Configuration d un modem analogique Ce formulaire contient l ensemble des paramètres requis pour configurer un modem analogique standard pour se brancher à Internet. Assurez d avoir l ensemble des informations remises par votre fournisseur de services Internet (ISP) D abord, il se peut que vous receviez des rappels concernant la configuration actuelle. Nom de la connexion Ma formidable connexion à Internet Remplissez ce champ avec n importe quel nom vous permettant d identifier cette connexion. Vous pouvez ensuite essayer le mode auto détection du modem, en cliquant sur l icône détection: Liste des modems trouvés ttys0 Cette liste contient tous les modems détectés sur votre machine (le premier port série, selon notre exemple). Choisissez celui que vous désirez utiliser pour cette connexion. Port du modem ttys1 (COM 2) Si vous modem n a pas été détecté, vous pouvez également configurer manuellement le port auquel il est relié 32

47 Chapitre 4. Configurer l accès à Internet Vitesse du modem Déterminez ici la vitesse maximum de transfert de votre modem (en bits/seconde) Commande spéciale PPP Dans certaines situations, il est nécessaire de fournir des paramètres supplémentaire au deamon PPP. Vous pouvez les inclure ici. Dans la majorité des cas, ces cases seront laissées vides. Nom de Domaine du fournisseur de services free.fr Le nom de domaine de votre fournisseur de services Internet. Numéro de téléphone du fournisseur de services Le numéro de téléphone d accès internet de votre fournisseur de service. Il est important d inscrire ici les préfixes d appel nécessaire. Nom d usager foo Mot de passe ****** Confirmez votre mot de passe ****** Entrez votre nom d usager et votre mot de passe fournis par votre fournisseur de service internet. Authentification PAP Le mécanisme d authentification utilisés par votre fournisseur de service. Généralement, PAP. DNS DNS Les serveurs de noms de domaine de votre fournisseur de service. Dès que vous aurez remplis tous les champs, cliquez sur suivant. Vous pourrez réviser votre configuration avant de l appliquer. Si vous voulez retirer un compte, cliquez sur comptes internet dans le menu de gauche Listes des modems analogiques 33

48 Chapitre 4. Configurer l accès à Internet Cette page affiche tous les modems analogiques trouvés sur votre machine. Assurez-vous qu ils sont brahccnez correctement et bien branché à internet avant d aller sur cette page. Liste des modem détectés ttys0 (COM1) Dans le menu déroulant, choississez simplement le port sur lequel le modem choisi est branché, et cliquer sur suivant Configurer un accès Internet RNIS (ISDN) Déterminez le type de votre carte ISDN Cette première étape de la configuration d une carte internet ISDN vous offre plusieurs options: Détecter un carte interne: en cliquant sur cet icône, une liste des cartes ISDN détectées sur votre système vous sera présentées. Si vous avez une carte interne, c est la première étape à essayer. Si non: Sélectionnez une carte interne: une liste des cartes supportées sera présentée si l étape précédente à échouée. Configurer une carte externe: sélectionnez cet icône si vous avez un modem ISDN externe Choisissez votre carte ISDN 34

49 Chapitre 4. Configurer l accès à Internet On vous présente la liste des cartes ISDN détectées sur votre système. Sélectionnez simplement la carte que vous désirez utiliser pour votre branchement à Internet, puis continuez vers la prochaine étape. Si votre carte n a pas été détectée, cliquez sur "Configurer une carte manuellement " pour la configurer manuellement Choisir le modèle de la carte RNIS Choisissez simplement le modèle de votre carte dans la liste des modèles suggérés, et passez à l étape suivante. Si votre modèle de carte n est pas dans la liste, identifiez un modèle compatible avec le vôtre dans la documentation fournie avec votre carte. 35

50 Chapitre 4. Configurer l accès à Internet Choisissez votre fournisseur de service et votre protocole ISDN (RNIS) On vous présente une liste étendue des fournisseurs ISDN à travers le monde. Si le votre est absent, il vous faudra le créer manuellement. Vous devez d abord indiquer le protocole à utiliser, selon votre emplacement: Europe Reste du monde Puis, il vous faudra configurer votre fournisseur : Sélectionnez votre FAI : pour choisir votre fournisseur dans une liste classée par pays, ville et par nom du fournisseur. Si le votre y est, choisissez-le et passer à l autre étape. Modifier manuellement les paramètres du FAI: Si votre fournisseur n apparaît pas dans la liste, cliquez ici. 36

51 Chapitre 4. Configurer l accès à Internet ISDN - Configuration de l accès Cette page énumère tous les paramètres nécessaires pour configurer un connexion Internet ISDN. Assurezvous d avoir toutes les informations nécessaires remis par votre fournisseur de service Internet. Si votre fournisseur est présenté dans la liste, il vous suffit de remplir les champs vides suivants : Compte RNIS foo Votre mot de passe RNIS ****** Votre mot de passe RNIS (confirmation) ****** Ce sont les noms d usager et mot de passe remis par votre ISP. Votre numéro de téléphone Il faut entrer ici le numéro de téléphone de la ligne utilisée pour votre branchement ISDN. Nom du fournisseur Mon FAI préféré Numéro de téléphone du FAI Il suffit ici d identifier votre fournisseur, mais plus important, son numéro de téléphone pour l accès à Internet.. DNS primaire du FAI DNS secondaire du FAI Les serveur de nom de domaine (DNS) de votre ISP. Description de la carte RNIS ELSA Quickstep 1000 (PCI) 37

52 Chapitre 4. Configurer l accès à Internet Ceci indique le nom de la carte présentement configurée. Mode de composition Automatique/manuel Cette section permet de choisir le comportement du branchement à Internet : Automatic: (automatique) Dès que votre serveur reçois un requête pour Internet, la connexion sera établie automatiquement. Manual: (manuel) Cette option requiert que l administrateur du système démarre et arrête la connexion manuellement. IRQ de la carte RNIS 12 E/S de la carte RNIS 0x300 Si votre carte n a pas été détectée, vous devrez indiquer ces informations. Lorsque tous les champs sont remplis ou laissé vide, allez à la prochaine étape. Vous pourrez réviser les changements et confirmer vos choix. La connexion sera alors automatiquement créée Configurer un accès Internet ADSL Sélection du protocole ADSL. Choisissez ici le protocole DSL spécifié par votre fournisseur de service. Choisissez le protocole approprié en cochant la boîte appropriée. Point-to-Point Tunnelling Protocol (PPTP) Point-to-Point Over Ethernet (PPPOE) Adresse IP dynamique (DHCP) 38

53 Chapitre 4. Configurer l accès à Internet Dynamic Host Configuration Protocol (DHCP) Configurez un connexion DSL Cette première interface vous guidera vers les prochaines étapes de configuration. Premièrement, sélectionnez la carte réseau (NIC) à utiliser. Dans la liste présenté, cliquez sur l interface désirée pour votre connexion DSL. Si votre carte est absente, essayer de la détecter en cliquant sur "Détecter" Ajouter une interface réseau Cette page affiche les interfaces réseau détectées sur votre mur coupe-feu. Choisissez simplement le nom (ETHx) de la carte désirée. 39

54 Chapitre 4. Configurer l accès à Internet Configuration de l interface Ethernet pour votre accès Internet Sur cette page sont définis les paramètres de la carte d interface nécessaire pour mapper les paramètres de votre accès xdsl. La plupart des paramètres auront déjà été choisis ou remplis avec des valeurs standards : vérifiez qu elles correspondent à vos besoins. Adresse IP (ex: ) Remplissez ce champ si vous avec une adresse IP statique pour cette interface. Assurez-vous que c est bien celle qui vous est assignée. Masque de sous-réseau (ex: ) Remplissez ce champ avec le sous-réseau du réseau auquel cette interface est connectée. Assurez-vous que c est bien celui qui vous est assigné. Passerelle par défaut (ex: ) C est la passerelle à travers laquelle vos requêtes Internet passeront. Ce paramètre est crucial pour que votre pare-feu puisse accéder à Internet. Finalement, vous pouvez choisir que cette interface soit activée lors du démarrage, ou non. 40

55 Chapitre 4. Configurer l accès à Internet Configuration du compte d accès DSL Pour que votre fournisseur de service vous reconnaisse comme usager, vous devez spécifier des informations de comptes. Les informations nécessaires auraient due vous être fournies par votre ISP. Nom d usager foo Mot de passe ****** Confirmation du mot de passe ****** Entrez précisément le nom d usager et le mot de passe fournies par votre ISP. Attention au lettre majuscules/minuscules. Nom de votre fournisseur) Serveur DNS 1 de votre fournisseur Serveur DNS 1 de votre fournisseur Mon fournisseur favori Un formule simple pour identifier votre fournisseur de service et ses serveurs de DNS. Une fois tous les champs remplis, passez à prochaine étape. Vous aurez une dernière chance de réviser vos changements avant de le appliquer. 41

56 Chapitre 4. Configurer l accès à Internet 4.5. Configurer un accès Internet par câble ou réseau local Configurez une connexion Cable/LAN Cet écran apparaît lorsque vous avez déjà configurer ce type de connexion à Internet pour résumer les informations principales. Cliquez sur "change" si vous désirez utiliser une autre carte réseau avec cet accès Internet. Cliquez sur "Configure" si vous désirez reconfigurer la carte réseau sélectionnée Configurez une connexion Cable/Lan Cette première interface vous guidera vers les autres étapes de configuration. Ces deux types sont plus ou moins identiques, c est pourquoi ils sont traités ensemble. Choisissez d abord la carte réseau à configurer. Dans la liste de suggestions, sélectionner le nom de la carte que vous désirez utiliser. 42

57 Chapitre 4. Configurer l accès à Internet Configuration Ethernet pour accès internet Cable/LAN Vous définirez ici les paramètres de la carte réseau pour accéder à Internet. La plupart de ceux-ci auront été remplis par les valeurs par défaut, commercer par les valider. IP Address (adresse IP) Il faut remplir ce champ si vous avez une adresse IP fixe. Assurez qu il s agit de la bonne adresse car des conflits d adresse IP génère de nombreux problèmes intermittent. Subnet Mask (Masque de sous-réseau) Indique ici le masque de sous-réseau correspondant au réseau sur lequel l interface est branchée. Default Gateway (passerelle par défaut) Il s agit de la passerelle par laquelle toutes vos requêtes Internet seront acheminés. Il s agit d une information cruciale pour que votre coupe-feu accède à Internet. Il faudra ensuite déterminer le protocole de démarrage à utiliser. Ceci dépend généralement de votre ISP. Choisissez parmi les suivants: static, si vous avez une adresse IP fixe assignée à votre serveur. dhcp, si votre adresse est configurée dynamiquement par ce protocole. bootp, si votre adresse est configurée dynamiquement par ce protocole Vous pouvez finalement choisir si vous voulez que la carte s auto-détecte. il faut ensuite configurer le serveur sur Internet. Nom d hôte externe 43

58 Chapitre 4. Configurer l accès à Internet Nom de domaine externe myco.org Remplissez ces champs avec les informations externes. DNS Externe DNS Externe Ces adresses IP sont généralement celles des serveur de DNS de votre ISP Cable/Lan - Appliquez votre configuration Vous êtes à la dernière étape de la configuration. Réviser tous les paramètres et clique sur "Apply" pour appliquer votre changements. Cliquez sur "Back" pour revenir en arrière. 44

59 Chapitre 4. Configurer l accès à Internet 4.6. Configuration des comptes d accès Cet écran présente les configurations courantes. Dans le cas où vous avec plusieurs comptes d accès, vous pouvez changer de compte à l intérieur d un même type d accès. La première partie vous informe à propos de la configuration active. Ensuite, vous avez la liste des comptes associés à ce type d accès. DNS1 ProviderPhone DNS2 Password Login Auth free.fr SecreT bar PAP suppress provider.net SoSecreT foo PAP suppress Chaque compte contient 8 champs: Provider Domain: Cliquez ici pour activer le compte DNS1: le premier serveur DNS du fournisseur Internet ProviderPhone: si nécessaire, c est le numéro à composer pour accéder au fournisseur. DNS2: le serveur DNS secondaire Password: le mot de passe Login: le nom d usager Auth: si nécessaire, le protocole d authentification à utiliser. supprimer: pour détruire le compte. 45

60 Chapitre 4. Configurer l accès à Internet 4.7. Restriction de temps Si vous avez une connexion non permanente, cette page vous permettra de définir vos schèmes de connexion Internet. Pour chacune des trois périodes définies, vous aurez 5 options de connexion. Durant les heures d affaire (8 heure à 18 heure) À l extérieur de heures d affaire (18 heure à 8 heure). Durant le week-end (samedi et dimanche). Pour chacune de ces périodes, choisissez une des politiques suivantes : Pas de connexion la connexion n est pas opérationnelle durant cette période. Connexion de courte durée : les connexions sont faites sur demande, et le lien se coupe lorsque il n y a plus de requêtes. (Pertinent seulement pour les types de lien analogue et modem RNIS (ISDN en anglais).) Connexion de moyenne durée : les connexions sont faites sur demande, et le lien est coupé quelques temps après qu il n y ait plus de requêtes (Impertinent pour les types de lien permanents.) Connexion de longue durée : les connexions sont faites sur demande, et le lien est coupé très longtemps après qu il n y ait plus de requêtes. Les délais de connexion moyens sont en conséquence minimisés. (Impertinent pour les types de lien permanents.) Connexion continue : le lien Internet est maintenu durant cette période. Nous avons passé à travers les 3 types de période. La prochaine étape consiste à montrer les choix que vous venez de faire. Réviser-les et passe à l étape suivante. Vous reviendrez alors à la page de filtrage Proxy Web. 46

61 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Cette section permet de contrôler l utilisation d autres services tels que DHCP, DNS ou mandataire (proxy) Internet État des services hébergés Cette page affiche l état des services hébergés sur votre machine. Vous pouvez les changer en cliquant sur les différents services, tels que serveur DHCP, mandataire ("Proxy"), DNS et détection d intrusion, lesquels sont tous situés à la gauche de votre fenêtre MandrakeSecurity Serveur DHCP Afin de permettre la configuration dynamique de nouvelles machines connectées sur votre LAN ("Local Area Network" ou, simplement, réseau local), vous devez configurer un serveur DHCP sur votre pare-feu. Si ces machines sont configurées pour utiliser le serveur DHCP au démarrage, elles seront automatiquement réglées 47

62 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres selon les paramètres réseau nécessaires à l intégration au réseau local. Ensuite, vous n avez qu à configurer les clients pour utiliser un serveur DHCP. Cette fonctionnalité est disponible sur la plupart des systèmes d exploitation modernes. Choisissez, si vous désirez utiliser un serveur DHCP (ou non), en sélectionnant Oui ou Non et en cliquant sur le bouton Next Configuration d un serveur DHCP Vous devez maitenant, à l aide de cet assistant, établir certain paramètres afin que votre coupe-feu agisse comme serveur DHCP sur votre réseau. Interface que le DHCP devrait écouter eth0 Ce champ abrite le nom de l interface connectée au LAN. Seulement les ordinateurs qui partagent le même sous-réseau avec cette adresse recevront une réponse de la part du serveur DHCP. Nom de domaine du client (ex. : entreprise.com) entreprise.com Entrez simplement le nom de domaine de votre machine dans ce champ. Adresse IP du serveur WINS Si vous hébergez un serveur de noms de domaine Windows sur votre réseau local, entrez son IP dans ce champ. Ainsi, le serveur DHCP dira aux postes de travail Windows de votre réseau, à l amorçage, quelle est l IP du serveur WINS, au lieu d avoir à configurer en conséquence chacun des postes de travail Windows. Début de la plage d adresses IP (ex. : 24) Fin de la plage d adresses IP (ex. : 75) Ces champs contiennent l étendue d adresses IP allouée pour les hôtes de client DHCP. L exemple donné est pour un sous-réseau de classe C. Assurez-vous de ne pas inclure la première IP (0 dans notre exemple) ni 48

63 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres la dernière (255) dans l étendue : elles sont réservées. Notez que les premières adresses sont généralement réservées pour les hôtes d IP statique, tandis que les dernières sont utilisées par les serveurs DHCP. Intervalle de temps par défaut en secondes (21600 = 6h) Intervalle de temps maximale en secondes (43200 = 12h) L assignation d une adresse IP à un hôte est toujours limitée dans le temps. Lorsque le client ne règle pas la période d assignation nécessaire, le serveur interviendra et réassignera une IP à l hôte à chaque "Intervalle de temps par défaut". Toutefois, une requête client pour une période spécifique, inférieure à l "Intervalle de temps maximale" sera honorée. Sinon, une adresse IP sera réassignée automatiquement après l expiration de l "Intervalle de temps maximale" Serveur DHCP - confirmer vos changements À ce stade, la page de confirmation affiche les données qui seront appliquées à la MNF. Si vous cliquez sur le bouton Appliquer, tous vos changements seront sauvegardés, et ils remplaceront la configuration par défaut ou la précédente. Si vous souhaitez changer les paramètres, cliquez sur le bouton Précédent, changez les paramètres, cliquez sur le bouton Suivant, et appliquer vos changements. 49

64 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 5.3. Serveur mandataire ( Proxy ) Squid Afin d être capable de mettre en cache (mémoire temporaire) les requêtes HTTP et FTP faites depuis votre réseau local vers Internet, vous devez configurer un serveur mandataire (Proxy) sur votre pare-feu. Ceci permet de récupérer une page Web depuis Internet une seule fois, et de la mettre à la disposition de tous les utilisateurs du réseau. En conséquence, ceci accélère de façon substantielle l accès aux pages mises en cache et permet d économiser de la précieuse bande passante. MandrakeSecurity utilise le serveur mandataire Squid. Il agit comme un agent et il accepte les requêtes des clients (tel que les fureteurs) et les passent au serveur Internet approprié. Ensuite, il stocke une copie des données retournées dans une mémoire locale. Choisissez une des quatre options qui suivent avant de passer à la prochaine étape : désactiver : si vous choisissez de ne pas utiliser un mandataire, les requêtes faites par les utilisateurs seront transférées directement au monde extérieur ; transparent : active le mandataire et le configure afin qu il agisse en tant que mandataire transparent. Par exemple, les utilisateurs n auront pas à configurer leur client pour l utiliser : toutes les requêtes sont interceptées automatiquement et gérées par le mandataire ; manuel : même fonctions que l option précédente, mais les navigateurs client devront être configurés à nouveau pour utiliser le serveur mandataire installé sur votre serveur MandrakeSecurity ; activer le mandataire manuel avec un niveau d authentification : même chose que l option précédente. AT- TENTION : sur le pare-feu, créez des comptes pour les utilisateurs qui ont le droit de se connecter à Internet Configuration principale du mandataire C est ici que vous pourrez configurer les paramètres du mandataire. Après avoir réglé quelques paramètres communs, vous avez l option d activer (ou non) le filtrage Web ("web filtering"). 50

65 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Le mode de Squid : authenticate Ce champ est défini par le mode de serveur mandataire que vous avez précédemment choisi, soit "désactiver", "transparent", "manuel" ou "manuel avec authentification". Dans notre exemple, nous avons choisi le mode "manuel". Le port de Squid : 3328 Voici le port du le pare-feu sur lequel Squid écoutera les requêtes. Il n y a pas lieu de faire de changements à moins que ce port soit déjà utilisé par un autre service. La taille du cache de Squid (en Mo) : 150 Ce champ vous laisse contrôler la somme des données en cache que Squid peut stocker et gérer. Pour que votre cache soit efficace, vous devez ajuster l espace cache au nombre d usagers : plus il y a d utilisateurs, plus vous aurez besoin d espace. Cet espace peut varier entre 10 Mo et 10 Go ou plus. L de l administrateur de Squid : Si un pépin devait survenir, tapez le courriel de l administrateur dans ce champ dans notre exemple). Ainsi, vos utilisateurs sauront qui contacter en cas de problèmes/bogues. Veuillez sélectionner le mode d authentification Pam Ce champ ne sera affiché que si vous avez choisi le mode "manuel avec authentification". Il permet de choisir entre les modes suivants : PAM ("Pluggable Authentication Modules", soit modules d authentification enfichables), un mécanisme flexible pour l authentification d usagers (et l action par défaut sous MandrakeSecurity) ; LDAP ("Lightweight Directory Access Protocol", soit protocole d annuaire) qui permet d accéder à des services de répertoire en ligne ; Samba, qui vous permettra de vous connecter à un groupe de travail Samba tel que SOCIÉTÉ si vous utilisez un tel serveur ; et finalement, NIS ("Network Information Service" soit service d information réseau), qui facilite le flux d informations essentielles à chacune des machines de votre réseau. Lorsque vous serez de retour sur la page principale du serveur mandataire Squid, vous pourrez activer le filtrage Web. Cette fonctionnalité vous permettra de refuser ou de restreindre l accès à certaines pages sur Internet, tout dépendant des adresses Web. Par exemple, il est utile de bloquer l accès aux publicités ou aux sites pour adultes. Vous pouvez filtrer par adresse Web ou par contenu. Choisissez l icône pour un ou l autre. Ensuite, vous pouvez appliquer des règles de filtrage pour les réseaux autorisés ("Authorized Networks"), la restriction de temps ("Time Restriction"), les publicités à supprimer ("Advertising to Be Removed"), les adresses bannies ("Banned Destination URLs"), les IPs privilégiées ("Privileged IPs") les IPs source bannies ("Banned Source IPs") ou faire une sauvegarde de vos données. 51

66 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Options LDAP Pour utiliser LDAP, vous devez régler quelques paramètres de base tels que ceux qui suivent. ou (ex. : people) dc (ex. : mdk) IP du serveur LDAP Premièrement, associez l attribut d objet à la catégorie nécessaire, telle que "people" ou "department". Ensuite, associez la variable d objet dc à votre nom de domaine, tel que "mandrake". L autre variable d objet dc devrait être associée à votre pays, tel que "fr" pour la France. Finalement, tapez l IP du serveur LDAP (par exemple : ) ou son nom (ex. : ldap.mesd.k12.or.us) Options Samba Cette page permet de régler le nom de votre groupe de travail ("Workgroup") Samba. Groupe de travail Samba (ex. : MANDRAKESOFT) Entrez simplement le nom de votre groupe de travail Samba dans le champ. 52

67 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Options NIS La page d authentification NIS permet de régler deux paramètres essentiels : le domaine NIS et la liste NIS. Domaine NIS (ex. : yp.mandrakesoft.com) Liste NIS (d habitude, yp_liste.parnom) Dans ce champ, tapez votre nom de domaine NIS en empruntant le format suivant : yp.mandrakesoft.com, soit "yp" pour "Yellow Pages" (pages jaunes), suivi de votre nom de domaine. Même principe pour la liste NIS : commencez avec "yp", suivi du symbole de soulignement ("_"), puis le nom de la liste sous la forme "liste.nom" Filtrage d adresse par le Proxy Web Vous avez activé Proxy-Guard et cette page vous permettra de le configurer. Vous êtes en face du premier écran de l assistant. Des suggestions vous seront faites pour configurer les divers aspects du filtrage. Premièrement, cochez la section à configurer et passez à l étape suivante : Réseau autorisé : entrez les réseaux/masques autorisés dans le but de leur permettre d utiliser les services du mandataire. 53

68 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Restriction du temps : permet de définir un horaire de connexion, par exemple, lorsque les utilisateurs ont le droit de se connecter à Internet, ou non. Publicité à supprimer : entrez les adresses ou les domaines complets de sites de publicité. Les images procédant de ces sites ne seront pas transférées aux clients. URLS de destination interdits : entrez les adresses ou les domaines complets pour lesquels l accès devrait être bloqué. Adresse IP privilégiées : entrez les IPs des machines privilégiées votre réseau local. Elles seront libérées des restrictions imposées par le filtre aux autres hôtes. Adresse IP interdite : désignes les machines qui n ont pas l autorisation d utiliser le mandataire. Sauvegarde et restauration : permet de faire une sauvegarde de vos règles de mandataire, ainsi que de les restaurer. Lorsque vous aurez terminé de configurer une des sections précédentes, vous reviendrez à la page d accueil Proxy Web Réseau/masque source autorisé Ce formulaire vous permettra de spécifier les sous-réseaux qui peuvent utiliser les services du mandataire. Si des classes différentes de réseau doivent être spécifiées (une pour les personnes qui ont le droit d accéder au Web, une autre pour celles qui n ont pas ce droit), vous devrez créer un sous-réseau pour les machines autorisées et assigner des IP selon le statut d authentification d un ordinateur donné. Entrée de réseau/masque autorisée /25 Dans ce champ, entrez l adresse IP du réseau/masque du sous-réseau (notre exemple montre une étendue IP de à où 0 est l adresse réseau et 127 l adresse de diffusion). Ensuite, cliquez sur le bouton Add: L adresse apparaîtra dans la liste au bas de la page. Si vous désirez supprimer une IP de la liste, choisissez-la et cliquez sur le bouton Suppress: 54

69 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Lorsque vous aurez tout parcouru la liste, passez à la prochaine étape qui vous ramènera à la page principale "WebProxy Filtering" Restriction de temps Ce formulaire vous permettra de définit des plages de temps à l intérieur desquelles l accès au mandataire sera alloué. Notez que cela n affecte pas les hôtes privilégiés de votre réseau local. À l extérieur de ces plages de temps, les machines à accès restreint ne seront pas en mesure de naviguer sur le Web. Premièrement, vous devez choisir d activer ou non cette fonctionnalité. Si vous l activez, vous devrez définir les plages de temps en question : il existe deux périodes par jour. Dim AM 09:00-13:00 Assurez-vous de respecter strictement le format d heure tel qu illustré : HH:MM-HH:MM. Modifiez toutes les périodes à votre convenance. Lorsque vous aurez terminé de définir lesdites plages de temps, passez à l étape suivante. Vos choix seront alors affichés. Révisez-les et passez à l étape suivante. Vous retournerez ensuite à la page principale du filtrage Proxy Web. 55

70 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Domaines et adresses publicitaires Comment peut-on se débarrasser des encombrantes publicités sur nos sites Web préféré? Examinons deux exemples : freshmeat.net et yahoo.com. Sur le site Web de freshmeat.net, faites un clic droit sur l image publicitaire puis cliquez "Copier l adresse de l image". Ensuite, allez dans la section New Banned Advertising Domain (nouveau domaine publicitaire banni), cliquez sur le bouton du milieu de votre souris ou sur les deux boutons simultanément. Effacez la dernière partie de l adresse et vous obtiendrez ads.freshmeat.net. Maintenant, ajoutez ce domaine à la liste. Nouveau domaine de publicité interdit ads.freshmeat.net Sur le site de Yahoo.com, faites un clic droit sur l image publicitaire et ensuite, choisissez l option "Copier l adresse de l image". Ensuite, placez-vous dans le champ New Banned URL (nouvelle adresse bannie) cliquez sur le bouton du milieu de votre souris, ou sur les deux boutons simultanément pour copier l information. Effacez la dernière partie de l adresse et vous obtiendrez us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor. Maintenant, ajoutez cette adresse à la liste. Si vos cliquez sur le bouton Rafraîchir de votre navigateur plusieurs fois et que vous copiez l adresse de l image, vous obtiendrez plusieurs adresse différents : us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor us.a1.yimg.com/us.yimg.com/a/an/promo/anchor us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions ainsi de suite... Nouvelle URL interdit us.a1.yimg.com/us.yimg.com/a/an/anchor La publicité correspondant à cette adresse précise ne sera pas affichée. Les listes pour ces deux catégories apparaîtront. Choisissez n importe quel item de ces listes et effacez-le en cliquant sur le bouton Supprimer : 56

71 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Une fois que vous aurez passé à travers ces listes, passez à l étape suivante. Vous reviendrez alors à la page principale de filtrage Proxy Web Sites interdits Ce formulaire offre trois façon différentes pour filtrer les pages lues à l intérieur de votre réseau local. Ces trois types de filtrage dépendent des adresses des pages à bannir. Nouveau mot clé msn Toutes les adresses contenant ce mot seront bloquées. Cliquez sur "Ajouter ce mot clé à la liste" pour ce faire. Nouveau domaine interdit microsoft.com Toutes les pages dépendant d un serveur dont le nom ce termine par ce domaine seront bloquées. Dans notre exemple : "http://eshop.msn.com/category.asp?catid=212" ne sera pas affiché. Cliquez sur "Ajouter ce domaine à la liste" pour ce faire. Nouvelle URL interdit Cette adresse spécifique ne sera pas affichée. Dans notre exemple : ne sera pas supprimer. Cliquez sur "Ajouter cet URL à la liste) pour ce faire. Ensuite, les listes pour les trois catégories seront affichées. Vous pouvez choisir un item d une de ces listes et le supprimer en le saisissant et en cliquant sur le bouton Supprimer : 57

72 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Lorsque vous aurez terminé de réviser ces listes, passez à l étape suivante. Vous reviendrez alors à la page principale de filtrage Proxy Web IPs privilégiées Ce formulaire vous permettra d ajouter ou de supprimer des IPs privilégiées sur votre réseau local. Ces machines seront libérées de toute restriction imposée par le filtre qui s applique aux autres hôtes. Entrer une nouvelle adresse IP privilégiée Entrez l adresse IP complète de l hôte privilégié. Ensuite, cliquez sur le bouton Ajouter : L IP apparaîtra dans la liste au bas de la page. Pour supprimer les privilèges d une IP sur la liste, choisissez-la simplement et cliquez sur le bouton Supprimer : Lorsque vous aurez passé à travers la liste, passez à l étape suivante. Vous reviendrez alors à la page principale de filtrage Proxy Web. 58

73 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres IPs bannies Ce formulaire vous permettra d ajouter ou de supprimer les IPs des machines qui n ont pas le droit d utiliser le mandataire. Ceci signifie que s il n y a aucune autre passerelle vers Internet depuis le réseau local, ces utilisateurs ne pourront pas naviguer sur le Web. Entrez une nouvelle adresse IP bannie Entrez l adresse IP complète de l hôte banni. Ensuite, cliquez sur le bouton Ajouter : au bas de la liste. L IP apparaîtra Si vous souhaitez supprimer une IP de la liste, sélectionnez-la et cliquez sur le bouton Supprimer : Lorsque vous aurez passé à travers la liste, passez à l étape suivante. Vous reviendrez alors à la page principale Proxy Web. 59

74 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres Faire des copies de sauvegarde et restaurer les règles du mandataire Faire une copie de sauvegarde de vos règles de mandataire est une excellente idée. D être capable de pouvoir les restaurer est également très commode. Suivez ces étapes simples pour ce faire. Sauvegarde : pour créer une copie de sauvegarde de vos règles de mandataire, cliquez sur le bouton gris appelé Sauvegarde. Une nouvelle page s affichera : appuyez sur la touche Shift et cliquez sur le lien "Web- Proxy Backup File" (ou faites un clic droit et choisissez Télécharger ce lien) et le fichier WebProxyRulesBackup.tar.bz2 sera sauvegardé sur votre disque dur. Restauration : pour restaurer vos règles de mandataire, cliquez sur le bouton Browse ("Naviguer") pour localiser le fichier approprié (tel que WebProxyRulesBackup.tar.bz2). Ensuite, cliquez sur le bouton Charger et, sur la prochaine page, cliquez sur Appliquer Règles de sauvegarde Votre opération de sauvegarde a été réussie avec succès. Maintenant, suivez les instructions plus bas pour sauvegarder votre fichier de règles du mandataire. Faites simplement un shift-click sur le lien "WebProxy Backup" (ou en faisant un clic droit et en choisissant Télécharger ce lien) et le fichier WebProxyRulesBackup.tar.bz2 sera sauvegardé sur votre disque dur. Ensuite, cliquez sur le bouton Suivant. Toutefois, si vous souhaitez terminer cette opération, cliquez sur le bouton Annuler : vous reviendrez alors à la page principale de MandrakeSecurity. 60

75 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 5.4. DNS antémémoire ( Caching ) Cet assistant vous aidera à configurer votre serveur DNS. DNS est un acronyme qui signifie Système de nom de domaine ("Domain Name System"). Il traduit des noms de machine lisibles par des humains en adresses IP lisibles par des machines, et vice versa. Cet assistant de configuration fournira un service DNS local aux ordinateurs connectés à votre réseau local, et toutes les requêtes non locales seront transférées à un serveur DNS externe. Pour activer ce service, veuillez cocher la boîte Activer et cliquez sur le bouton Suivant. En cliquant sur le bouton Annuler, vous reviendrez à la page par défaut et vous annulerez cet assistant de configuration Étape de configuration des relais primaires DNS À partir de cette page, vous pouvez spécifier les serveurs DNS utilisés pour transférer les requêtes. Serveur DNS Relais primaire de DNS Relais secondaire de DNS activé adresse_ip_de_dns_primaire_de_votre_fai adresse_ip_de_dns_secondaire_de_votre_fai Vous devez entrer les adresses IP des serveurs de relais primaire DNS et, en option, celles des relais secondaires, dans les champs respectifs. Normalement, vous devriez entrer les adresses IP de vos serveurs de relais 61

76 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres primaire/secondaire DNS ici, mais peut-être utilisez-vous un autre serveur DNS vers lesquels les requêtes sont transférés. Une fois que vous aurez entré les adresses IP de vos serveurs de relais DNS, cliquez sur le bouton. En cliquant sur En cliquant sur, vous reviendrez à l étape précédente de cet assistant de configuration., vous reviendrez à la page d accueil de MandrakeSecurity Système de détection d intrusion Cette page permet de choisir et d activer un système de détection d intrusion ou SDI (soit «Intrusion Detection System» ou IDS en anglais) sur votre serveur. Les SDI sont des applications de filtrage de paquets à base de signature utilisés pour générer des alarmes lorsque des activités anormales ont lieu sur un réseau. SDI Prelude SDI Snort Activer/désactiver Activer/désactiver SDI Prelude Prelude est un SDI hybride qui combine la détection d intrusion réseau («Network Intrusion Detection») et la détection d intrusion à base d hôte («Host-Based Intrusion Detection»). SDI Snort Snort est un SDI de réseau open source. 62

77 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 5.6. Activation de services Cette page liste les services présents sur votre machine. Vous aurez l opportunité de les activer (ou non). Status [...] Gpm Running reload restart stop start Details Httpd-naat Running reload restart stop start Details Squid Running reload restart stop start Details [...] La première colonne de la table liste le nom du service et son statut actuel : "Running" (en marche) : ce service est installé et accepte les connexions. "Stopped" (arrêté): ce service est installé sur le pare-feu mais est actuellement désactivé. "Unknown" (inconnu) : pour une raison ou une autre, l interface n a pas été en mesure de déterminer le statut de ce service. Les paramètres de ces services peuvent ensuite être modifiés : recharger : permet le rechargement de la configuration de ce service sans interruption. À utiliser lorsqu un paramètre de ce service vient tout juste d être modifié. redémarrer : arrête et redémarre le service. arrêter : le service refusera toutes connexions et arrêtera les connexions courantes. démarrer : ce service acceptera les nouvelles connexions. Détails : affiche une nouvelle page contenant plus d information au sujet d un service particulier. 63

78 Chapitre 5. Services : DHCP, Proxy, DNS, et bien d autres 64

79 Chapitre 6. Configuration du comportement du pare-feu Dans ce chapitre, nous allons parcourir toutes les pages de configuration de la section Règles pare-feu de l interface. C est ici que nous autoriserons ou bloquerons le trafic entre les différentes zones et machines auxquelles le pare-feu est relié Contrôle principal du pare-feu Cette section permet de contrôler tout le trafic entrant et sortant sur le pare-feu. Plus particulièrement, il permet de définir les différents groupes d ordinateurs (zones) avec lesquels votre pare-feu interopère, ainsi que le trafic alloué entre ces zones. Sur l écran principal, vous trouverez les Actions du Firewall pour tous les services de filtrage et de routage. Quatre actions peuvent être appliquées au pare-feu : démarrer : met le pare-feu en route, ainsi que tous les services définis dans cette section ; arrêter : arrête le pare-feu. Tous les canaux de communication seront perdus, isolant la machine du réseau externe. Cette opération peut être utile lorsque vous vous appercevez que certaines machines ont été compromises. Toutefois, l interface d administration ne sera plus accessible. Vous pourrez toujours vous connecter physiquement sur la consôle du pare-feu. redémarrer : arrête le pare-feu (s il est en fonction) et le démarre à nouveau ; effacer («clear») : efface toute la configuration effectuée par l administrateur dans la section Règles du pare-feu («firewall rules»). Utilisez cette action avec beaucoup de prudence! Ensuite, cette action réinstalle et active la configuration par défaut du manufacturier. Utilisez «démarrer» ou «redémarrer» pour revenir à la configuration personnalisée. Soyez particulièrement conscient des effets des actions arrêter et nettoyer. Lorsque vous aurez choisi l action désirée, cliquez sur le bouton Suivant pour confirmer. 65

80 Chapitre 6. Configuration du comportement du pare-feu 6.2. Définition des zones Cette sous-section permet de déterminer précisément chaque groupes de machines (zones) avec lequel le coupe-feu devra interagir. Les écrans d introduction résument les configurations actuelles et permettent de gérer les trois composantes de la définition d une zone. N oubliez pas de cliquer sur Appliquer après avoir modifié ou créé une zone dans cette sous-section. D abord, vous devez définir le nom de chaque zone. Réfléchissez aux zones nécessaires à votre réseau. Trois noms sont fournis pas défaut comme en témoigne la première table résumant les noms définis. Ces valeurs prédéterminées permettent une configuration simple et sécuritaire de votre coupe-feu. LAN : Local Area Network (réseau local). Le réseau interne où sont branchés les postes clients. Les connexions de l extérieur vers cette zone sont généralement refusées. DMZ : DeMilitarized Zone (zone démilitarisée). Généralement réservée aux serveurs Internet, cette zone sera dédiée à des serveurs publics offrants des services tel que "WWW", "SMTP" ou "POP". Les connexions de l extérieur sont donc permises. WAN : Wide Area Network (réseau étendu). Cette appellation désigne le réseau Internet, ou plus précisément, un réseau relié à Internet. Pour chaque nom de zone définis, cliquez sur l icône pour modifier les noms associés à cette zone ou sur pour la détruire. 66

81 Chapitre 6. Configuration du comportement du pare-feu Si vous désirez définir une nouvelle zone, cliquez sur Rajouter une interface Il y une zone spéciale fw qui n est pas affichée ici mais qui existe toujours. Elle est utilisée pour désigner la zone coupe-feu firewall : une zone composée d une seule machine, le coupe-feu lui-même. Puis, il faut informer le système de chaque interface réseau configurée sur le coupe-feu, et les zones leur étant associées. Les tables qui suivent listent les interfaces et les zones respectives. Si le nom de zone est "-", ça signifie que plusieurs zones sont associées à cette interface. La procédure de création de zones "host" est définies plus bas. Pour chaque interface définie, cliquez sur pour modifier une zone associée à cette interface ou pour la détruire. Pour ajouter une nouvelle interface, cliquer sur Rajouter une interface Vous pouvez définir, dans la dernière partie de la page les zones hôtes ("host"). Ces zones sont composées d un groupe de machines partageant la même interface sur le coupe-feu. Vous voulez que ces machines soient traitées différemment des autres postes du réseau. Les machines appartenant à ces zones hôtes sont identifiées par leur masque de sous-réseau ("subnet mask"). Par exemple, ceci pourrait être utile si votre serveur Internet est branché physiquement à votre réseau local. Il faut alors le séparer virtuellement en associant la zone DMZ à une zone hôte composée exclusivement du serveur Internet. Pour chaque zone hôte, cliquez sur pour modifier la configuration ou sur pour la détruire. Pour ajouter une nouvelle zone hôte, cliquez sur "Add Host" Modifier une identification de Zone Ce formulaire permet d ajouter/modifier une identification de zone. On compte trois façons d identifier une zone, utilisée selon l endroit où elle est affichée. N o de zone (unique) : Ce numéro sera utilisé partout où la zone doit être identifiée. Il est recommandé de ne pas modifier la valeur par défaut. 67

82 Chapitre 6. Configuration du comportement du pare-feu Zone : Nom d affichage de zone : Commentaires : Le surnom de la zone. Le nom devrait être d au maximum 5 chiffres ou lettres (minuscules). Le nom doit commencer par une lettre. Aussi, le nom du pare-feu et "multi" sont réservés à des usages internes du système. Le nom de la zone tel qu il doit apparaître dans les fichiers journaux (logs). Ce champ vous permet d ajouter quelques précisions sur le rôle de la zone, pour fins de maintenance. Attention : certains caractères ou symboles peuvent causer des conflits. Il est fortement recommandé de limiter votre créativité à des lettres, des chiffres et des traits de soulignement ("_"). Attention 2 : si vous renommez ou détruisez une zone, vous devez arrêter ("stop") puis démarrer le serveur ("start") pour que les changements prennent effets. Un redémarrage "restart" ne prendra pas en compte les changements. Par exemple : vous avez plusieurs serveurs Web sur le même sous réseau. Nous créerons ici la zone pour la configurer plus tard. N o de zone (unique) Nom d affichage de zone : Commentaires www WWW Web_Servers_Farm Associer une zone à une interface réseau Pour chaque interface Ethernet, au moins une zone doit y être associée. On peut associer plusieurs zones à une interface réseau par les zones "host". Ce formulaire permet donc de configurer les options associées aux interfaces. 68

83 Chapitre 6. Configuration du comportement du pare-feu ID d interface : Zone : Interface : Diffusion (Broadcast) : Options : Cette valeur numérique sera utilisée partout pour identifier l interface. Il est recommandé de ne pas modifier les valeurs proposées par défaut. Dans le menu déroulant, choisissez la zone que vous voulez assigner à cette interface. La zone spéciale "-" signifie que plusieurs zones "host" seront associées à cette interface. Choisissez l interface à configurer dans le menu déroulant. Si vous ne retrouver par l interface désirée, c est qu il faut d abord la déclarer dans la section "System setup". L adresse de diffusion pour le sous-réseau relié à l interface. Cette valeur doit rester vide pour les interfaces P-T-P (ppp*, ippp*); si vous devez spécifier une valeur, entrez "-" dans ce champ. Si vous indiquer "detect", le coupe-feu déterminera automatiquement l adresse de diffusion. Neuf options de configurations avancées de l interface. Voir le tableau suivant: Voici quelques informations supplémentaires sur les options disponibles. Réviser-les biens puisque pour certaines interfaces, certaines options sont fortement recommandées. dhcp noping routestopped norfc1918 routefilter multi dropunclean logunclean Liste noire L interface se verra assignée une adresse IP automatiquement pas un serveur DHCP. Le mur coupe feu sera configuré pour permettre le trafic entrant et sortant de cette interface, même s il est arrêté. Les requêtes ICMP echo-request (ping) seront ignorées par cette interface. Lorsque le coupe feu est arrêté, le trafic entrant et sortant de cette interface sera accepté et la redirection ("routing") permise entre les interfaces "routestopped". Les paquets arrivant sur cette interface et qui ont comme source ou destination des adresses réservées dans le RFC 1918 (adresse de réseau privée) seront tracés ("logged") et abandonnés. Cette option est généralement activée pour les interfaces Internet. Cette option invoque les fonctionnalités de filtre de redirection du noyau. Celui-ci rejettera tout paquet entrant avec une adresse source redirigeable vers l extérieur par une autre interface réseau. ATTENTION: si vous spécifiez cette options pour une interface, il faudra alors que celle-ci soit mise en fonction avant le coupe-feu. L interface a plusieurs adresses et vous voulez permette la redirection entre celle-ci. Par exemple: vous avez deux adresses sur eth1, la première dans le sous-réseau /2 et l autre dans /2 et vous voulez permettre la redirection entre ces réseaux. Parce que vous avez seulement une interface dans la zone locale, le système ne créera pas normalement de règle pour rediriger entre eth1 et eth1. En ajoutant "multi" à l entrée de eth1, le coupe-feu créera la chaîne "loc2loc" dans l entrée de eth1 et les règles de redirection appropriée. Les paquets de cette interface sélectionné par "unclean" de IPtables seront tracés (logged) et abandonnés. Similaire à la précédente, les paquets sélectionné par "unclean" seront tracés (logged), mais ne seront pas abandonnés. Cette option a pour effet de faire valider les paquets entrant contre un fichier "blacklist" (liste noire). Voir la sous-section blacklist. Par exemple, selon notre exemple de serveur Web, nous allons indiquer que la zone "www" est attribuée au sous-réseau branché à l interface "eth3". 69

84 Chapitre 6. Configuration du comportement du pare-feu Zone : Interface : Diffusion : www eth3 detect Associer des zones hôte ( host ) à une interface Si vous avez assigné la zone spéciale "-" à une interface, vous devez maintenant déterminer la zone hôte pour cette interface. Une zone hôte est simplement un groupe de machines identifiées par leur sous-réseau commun. Cette zone peut être réduite à une seule machine. Host ID : Zone : Interface : Adresse IP : Options : Ce numéro d identification (ID number) sera utilisé partout pour identifier cette zone hôte. Choisissez, dans le menu déroulant, le nom de zone à utiliser pour cette zone hôte. Choisissez l interface associée à cette zone hôte dans le menu déroulant. Choisissez "+" si vous ne voulez pas associer une interface spécifique à une zone hôte ou à un sous-réseau. Notez : l utilisation du "+" affaiblit et ralentit légèrement le pare-feu. L hôte ou l adresse de sous-réseau pour les machines associées à cette zone hôte. Par exemple : " /2". L option "routestopped" a l effet suivant : lorsque le pare-feu est arrêté, le trafic de et vers cet hôte (ou ces hôtes) est accepté et redirigé entre les hôtes et interfaces "routestopped". Par exemple : vous désirez que certains postes de votre réseau local puissent administrer le pare-feu même lorsque celui-ci est arrêter. Après avoir configuré "eth2" avec la zone spéciale "-" et l option "multi", vous devez configurer la zone hôte spéciale "adm", qui correspond exclusivement aux machines qui doivent administrer le pare-feu à partir du sous-réseau. Zone : adm Interface : eth2 Adresse IP : /25 70

85 Chapitre 6. Configuration du comportement du pare-feu Options : routestopped 6.3. Configuration du masquage, des traductions d adresses réseau statiques et du Proxy ARP Cette sous-section propose des services pour faciliter les communications entre Internet et vos machines internes, quelles soient client ou serveur. ATTENTION : souvenez-vous de cliquer sur le bouton Appliquer lorsque vous aurez terminé de configurer les services nécessaires de cette sous-section. La partie "Masquage classique" gère les règles qui permettent aux clients internes d accéder à Internet. Pour chacune des règles définies (s il y a lieu), cliquez sur l icône correspondante pour modifier la règle ou sur pour supprimer définitivement ce masquage. Si vous souhaitez définir un nouveau masquage, cliquez sur l icône Ajouter un masque La partie "Traduction statique", pour sa part, gère les règles de traduction d adresse réseau (NAT). Ceci permet aux serveurs internes (généralement dans la DMZ) d apparaître comme s ils faisaient partie d Internet pour les clients externes. Pour chacune des règles définies (s il y a lieu), cliquez sur l icône correspondante pour modifier la règle ou sur pour supprimer définitivement ce masquage. 71

86 Chapitre 6. Configuration du comportement du pare-feu Si vous souhaitez ajouter une nouvelle règle de traduction d adresse réseau, cliquez sur l icône Ajouter NAT Finalement, vous pouvez définir, dans la dernière partie de la page, les "Règles Proxy ARP" Mascarade IP classique Afin de permettre aux clients de votre réseau local d accéder à Internet, vous devez masquer ce réseau en toute déférence d Internet, puisque votre réseau s appuie sur des adresses privées invalides sur Internet. ID : Réseau masqué : À travers l interface : Réseau/masque (optionnel) : Adresse source NAT (SNAT) : Le numéro d ID unique qui identifie cette règle classique de masquage IP. Le sous-réseau que vous voulez masquer à travers l interface ci-dessous. Ceci peut être exprimé comme une adresse IP unique, un sous-réseau ou un nom d interface. En option, le sous-réseau peut être suivi de «"!"» et d une liste d adresses ou/et de sous-réseaux, séparés par une virgule, lesquels sont à exclure du masquage. L interface qui masquera le sous-réseau ; normalement, c est votre interface Internet. En option, vous pouvez spécialiser une règle en ajoutant un sous-réseau ou un hôte IP. Lorsque cet ajout est fait, seulement les paquets adressés à l hôte ou au réseau seront masqués. L adresse source à utiliser pour les paquets sortants. Cette colonne est optionnelle et, si elle demeure vide, l adresse IP primaire courante de l interface sera utilisée. Exemple1 : vous avez de nombreux tunnels IPSEC à travers ipsec0 et vous voulez masquer le trafic depuis votre sous-réseau /24 au sous-réseau /16 seulement. Réseau masqué : /24 À travers l interface : ipsec0 Réseau/hôte optionnel : /16 Adresse source (SNAT) : Exemple2 : vous avez une ligne DSL connectée sur eth0 et un réseau local ( /24) connecté sur eth1. Vous voulez que toutes les connexions local->internet utilisent l adresse source De plus, vous 72

87 Chapitre 6. Configuration du comportement du pare-feu souhaitez exclure et de la règle SNAT. Réseau masqué : /24! , À travers l interface : eth0 Réseau/hôte optionnel : Adresse source (SNAT) : Traduction d adresse réseau statique La traduction d adresse réseau statique est une façon de présenter les systèmes derrière un pare-feu, et configurés avec des adresses IP privées (celles réservées pour un usage privé dans le RFC1918), comme s ils avaient des adresses IP publiques. Pour permettre aux clients de votre réseau local d accéder à Internet, vous devez masquer ce réseau en toute déférence d Internet, puisque votre réseau local s appuie sur des adresses privées invalides sur Internet. IMPORTANT : si vous voulez seulement transférer des ports à des serveurs derrière votre pare-feu, vous ne devez PAS utiliser une traduction d adresse réseau statique. Le transfert de port peut être accompli avec des entrées simples dans la sous-section Règles. Aussi, dans la plupart des cas, Proxy ARP est une meilleure solution que la traduction d adresse réseau statique puisqu on accède aux systèmes internes en utilisant la même adresse IP à l interne qu à l externe. ID: IP publique externe : Sur cette interface réseau : IP privée interne (RFC1918) : Le numéro d ID unique qui identifie cette règle de traduction d adresse réseau statique. Adresse IP externe pour la traduction - Ceci ne devrait PAS être l adresse IP primaire de l interface nommée dans le champ suivant. Interface sur laquelle vous voulez que l adresse IP publique externe apparaisse. Adresse IP interne pour traduction. Doit être une adresse IP privée tel que défini par le RFC Deux options sont disponibles pour la traduction : 73

88 Chapitre 6. Configuration du comportement du pare-feu Tous les hôtes Système pare-feu Si activé, cette traduction d adresse réseau sera en fonction pour tous les hôtes. Sinon, la traduction d adresse réseau s appliquera uniquement à travers l interface nommée dans le champ «Sur cette interface réseau». Si activé, la traduction d adresse réseau s appliquera aussi depuis le système pare-feu en tant que tel. Exemple : nous voulons que le système interne avec l adresse IP apparaisse sur Internet en tant que sous-réseau *. Si nous assumons que l interface à Internet est eth0, donc la règle suivante affichera le système comme ayant l adresse IP IP publique externe : Sur cette interface réseau : eth0 IP privée interne : Tous les hôtes Système pare-feu Oui Oui Note 1 : l option «Tous les hôtes» est utilisée pour spécifier que l accès à l IP externe depuis toutes les interfaces pare-feu devraient passer par la traduction d adresse réseau. Si cette option est réglée à «Non», seulement l accès depuis l interface dans le champ Interface devrait passer par la traduction d adresse réseau. Note 2 : le fait de régler l option «Système pare-feu» fait en sorte que le paquet originaire du pare-feu luimême, et destiné à l adresse externe, sera redirigé à l IP privée interne Règle de Proxy ARP Ce formulaire est utilisé pour définir les règles de Proxy ARP ("Address Resolution Protocol", soit protocole de résolution d adresse). Vous avez besoin d une règle pour chaque système sur lequel vous voulez utiliser le protocole de résolution d adresse. ID : Adresse IP du serveur : Interface interne : Le numéro d ID unique qui identifie cette règle de Proxy ARP. Adresse du système ciblé. L interface qui se connecte au système. Si l interface est évidente depuis le sous-réseau, vous pouvez choisir «-». 74

89 Chapitre 6. Configuration du comportement du pare-feu Interface externe : Route vers le serveur IP déjà active : L interface externe avec laquelle vous voulez honorer les requêtes ARP pour l adresse IP du serveur spécifié plus haut. Si vous avez déjà une route à travers l "Interface interne" vers l "adresse IP du serveur", cochez cette option. Si vous voulez que le pare-feu lui-même ajoute la route, assurez-vous que la case n est pas cochée. Exemple : vous avez les adresses IP publiques /28. Vous configurez votre pare-feu ainsi : eth (Internet connection) eth /24 (masqueraded local systems) eth (interface to your DMZ) Dans votre DMZ, vous voulez installer un serveur Web/FTP avec l adresse publique Sur le serveur Web, vous faites un sous-réseau exactement comme l eth0 du pare-feu et vous configurez l adresse en tant que passerelle par défaut : Adresse IP du serveur : Interface interne : Interface externe : Route vers le serveur IP déjà active : eth2 eth0 Non Note : il est possible que vous vouliez configurer les serveurs de votre DMZ avec un sous-réseau similaire à celui de votre interface Internet. Dans ce cas, choisissez Oui dans la colonne HAVEROUTE Configuration des règles générales Cette sous-section décrit la politique du pare-feu relative à l établissement de connexion. Cette dernière est 75

90 Chapitre 6. Configuration du comportement du pare-feu décrite selon la dichotomie suivante : les clients qui initient les connexions ; et les serveurs qui reçoivent les requêtes de connexion. Les politiques définies dans cette section sont celles par défaut. Si aucune règle dans la section suivante appelée Règles ne s applique à une requête de connexion particulière, la politique par défaut définit ici sera en vigueur. La table fait un résumé de toutes les politiques par défaut actuellement configurées. La configuration des politiques par défaut est réglée à REFUSER pour toutes les règles, dans le but de ne permettre l accès qu aux connexions explicitement permises dans la sous-section Règles qui suit. ATTENTION : l ordre est important. Le pare-feu exécute les règles de la politique de haut en bas et utilise la première politique applicable qu il trouve. Par exemple, dans le fichier de politique qui suit, la politique pour les connexions (loc, loc) serait ACCEPTER tel que spécifié dans la première entrée même si la troisième entrée du fichier spécifie de REFUSER. S il y a plusieurs règles, vous pouvez les filtrer par client et zones serveur. Choisissez les zones "client" et "Serveur" disponibles que vous désirez dans le menu contextuel et cliquez sur l icône "*" est simplement un métacaractère («wildcard») qui permet de rejoindre toutes les zones. Rappel : la zone «fw» désigne le pare-feu lui-même. La zone spéciale Pour toutes les politiques définies, cliquez sur l icône correspondante pour modifier cette politique ou pour la supprimer définitivement. Pour ajouter une nouvelle politique, cliquez sur l icône Définir une politique par défaut Vous êtes sur le point de définir une politique par défaut pour les requêtes de connexion entre des zones Client et Serveur. Pour que cette politique soit en fonction, la connexion doit provenir d une machine de la zone Client et doit être dirigée vers une machine appartenant à la zone Serveur. Ensuite, l action de politique par défaut sera prise pour cette connexion. En option, si cette politique est déjà active, elle générera une entrée journal ("log entry") au niveau "Niveau journal". ID de la politique Le numéro d ID unique identifiant cette règle de politique. 76

91 Chapitre 6. Configuration du comportement du pare-feu Zone client Zone serveur Comportement par défaut Niveau journal La zone depuis laquelle la connexion doit provenir pour la politique à activer. La zone vers laquelle la connexion est ciblée. L action qui sera entreprise si la politique est activée. Voir le tableau ci-bas pour de plus amples détails au sujet des actions possibles. Si réglé à "-", aucun message journal n est généré lorsque la politique est en fonction. Sinon, un message syslog est généré avec le niveau de syslog choisi. Voir la page de man "syslog.conf" pour obtenir une description de chacun des niveaux journal. Voici une courte description des 4 politiques possibles : ACCEPTER RETIRER ("DROP") REJETER CONTINUER La connexion est permise. La requête de connexion est ignorée. La requête de connexion est bloquée et un message de "destination impossible à rejoindre" est renvoyé au client. La connexion n est ni ACCEPTée, RETIRée ou REJETée. L action CONTINUER peut être utilisée lorsqu une ou les deux zones nommées dans l entrée sont des sous-zones d une autre zone, ou en croise une autre (zone). Exemple : vous faites confiance aux gens de votre réseau local et vous voulez autoriser l accès à tous les services Web (zone WAN). Vous ne souhaitez pas journaliser leurs activités non plus. Zone client loc Zone serveur wan Comportement par défaut ACCEPTER Niveau journal - 77

92 Chapitre 6. Configuration du comportement du pare-feu 6.5. Configuration des règles du pare-feu Voici le coeur du pare-feu. La sous-section Règles définit les exceptions des politiques établies dans la section Politiques par défaut. Une entrée correspond à chacune de ses règles dans le tableau. Le tableau fait un sommaire de toutes les règles présentement configurées. Par défaut, MandrakeSecurity définies des valeurs standards pour les zones par défaut (LAN, WAN, DMZ). Vu que la politique par défaut est de «RETIRER» («DROP») toutes les connexions, les règles par défaut permettent d en définir de plus précises : les ordinateurs du réseau local peuvent se connecter à Internet (WAN) pour naviguer sur le Web, accéder aux services du courrier électronique, au protocole FTP et aux connexions SSH ; les ordinateurs du réseau local peuvent se connecter au serveur SSH du pare-feu ou à l interface Web de MandrakeSecurity ; toutes les requêtes DNS («Domain Name Service») vers Internet sont acceptées ; les échos Ping sont permis entre les zones internes. Si beaucoup de règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi qu un Port dans le menu contextuel, et cliquez sur l icône La zone spéciale ou le port «*» est tout simplement un métacaractère («wildcard») qui correspond à toutes les possibilités. Rappel : la zone «fw» désigne le pare-feu en tant que tel. Pour chacune des règles définies dans le tableau, cliquez sur l icône correspondante pour modifier cette règle ou sur pour la supprimer définitivement. 78

93 Chapitre 6. Configuration du comportement du pare-feu Si vous souhaitez ajouter une nouvelle règle, deux formulaires sont disponibles : cliquez sur l icône correspondante «Ajouter un hôte» Ajouter une règle simple Ajouter une règle personnalisée Vous obtiendrez le formulaire de règle simple, permettant de définir une règle «ACCEPTER» en spécifiant seulement la source, la destination et le protocole. Le formulaire affiché permet de définir une ou plusieurs règles complexes, avec toutes sortes d actions disponibles, et quelques options, comme la connexion, le transfert et le SNAT («Source Network Address Translation») Définir une règle ACCEPT simple de pare-feu Vous êtes sur le point de définir une nouvelle règle pour autoriser une connexion spécifique entre deux zones différentes. Lorsque une connexion rejoint les critères définis sur cette page, la connexion sera permise. ID de la règle Services prédéfinis Protocole Origine ("Coming from") Destination ("and going to") Renvoyer Le numéro d ID unique qui définit cette règle de politique. Choisissez un service commun depuis le menu contextuel, ou entrez un nom ou un numéro de service dans ce champ. Le type de protocole associé à ce service. La zone depuis laquelle la requête de connexion provient. la zone vers laquelle la requête de connexion est dirigée. Peut être suivi par une IP ou un masque de sous-réseau. Laissez «-» dans le champ pour toute la zone. Lorsque cette option est cochée, le fonctionnement de la règle est modifié. Toutes les requêtes depuis des sources spécifiques et pour le service spécifié seront interceptées, quelque soit le système cible. Ensuite, cette requête sera transférée à l IP de destination («and going to»). Dans ce cas, une adresse IP spécifique doit être mentionné dans le champ de Destination. 79

94 Chapitre 6. Configuration du comportement du pare-feu Exemple : vous désirez transférer toutes les requêtes de connexion SSH depuis Internet à votre système local Services prédéfinis Protocole Origine Connexion distante sécuritaire [ssh] tcp wan Destination lan Renvoyer [cocher] Définir une règle complexe de pare-feu Vous êtes sur le point de définir une nouvelle règle pour gérer une connexion spécifique entre deux zones différentes. Si la requête rejoint les critères définis sur cette page, l action «Résultat» sera entreprise. Voici une description des différents champs disponibles pour ce formulaire. Remplissez-les selon les critères correspondants pour que cette règle soit activée. Quelques options sont également disponibles afin de gérer ces connexions : Rule Id («ID de la règle») Action («Résultat») Logging («Connexion») Services prédéfinis Protocole Le numéro d ID unique de cette règle de politique. L action entreprise pour les requêtes de connexion qui correspondent à cette règle. Voir le tableau ci-dessous. Réglez ce champ à «info» si vous voulez que chacune de ces connexions soient journalisées par syslog lorsque elles sont acceptées. Choisissez un service commun dans le menu contextuel ou entrez un nom ou un numéro de service dans le champ. Le type de protocole associé à ce service. 80

95 Chapitre 6. Configuration du comportement du pare-feu Client Serveur Adresse de renvoi SNAT La zone depuis laquelle la requête de connexion provient. La correspondance peut être réduite en spécifiant une adresse IP ou masque de sous-réseau précis, même un numéro de port. Laissez «-» dans le champ pour que la requête corresponde à n importe quel port ou IP. La zone vers laquelle la requête de connexion est dirigée. La correspondance peut être restreinte en spécifiant une IP ou un masque de sous-réseau précis, même un numéro de port. Laissez «-» dans le champ pour que la requête corresponde à n importe quel port ou IP. Si la requête cible une IP spécifique (ou si elle est réglée à «tout»), elle sera transférée à l IP «Serveur» et au port. Dans ce cas, une adresse IP spécifique doit être présente dans le champ Serveur. Si spécifiée, et si le transfert ci-haut est activé, l adresse source de la requête sera réglée selon la valeur «SNAT» avant d être transférée au serveur. Voici une courte description des 4 actions disponibles : ACCEPTER RETIRER («DROP») REJETER CONTINUER La connexion est permise. La requête de connexion est ignorée. La requête de connexion est bloquée et un message de «destination impossible à rejoindre» est envoyé au client. La connexion n est ni ACCEPTÉE, RETIRÉE ou REJETÉE. L action CONTINUER peut être utilisée lorsqu une ou les deux zones nommées dans l entrée sont des sous-zones d une autre zone, ou en croise une autre (zone). Exemple : vous voulez que le serveur FTP sur dans votre DMZ en mascarade soit accessible depuis votre sous-réseau local /24. Puisque le serveur est dans le sous-réseau /24, nous pouvons assumer que l accès au serveur depuis ce sous-réseau n impliquera pas le pare-feu. Résultat ACCEPTER Connexion Services prédéfinis ftp Protocole tcp Client loc /24 Serveur dmz Adresse de renvoi SNAT 81

96 Chapitre 6. Configuration du comportement du pare-feu 6.6. Entretien de la liste noire (BlackList) Cette page liste les hôtes et les sous-réseaux pour lesquels les requêtes de connexion sont annulés systématiquement, même si, normalement, une règle explicite permet la connexion. Notez que pour que cette liste soit en fonction, les options «liste noire» doivent être réglées dans la sous-section «Paramétrage de zone» («Zone setup») de l interface (ou les interfaces, selon le cas) à laquelle ces IPs sont connectés. Pour ajouter un nouveau sous-réseau ou IP à la liste noire, entrez-le dans le champ «Ajouter une entrée» et cliquez sur La nouvelle adresse apparaîtra dans la liste. Pour supprimer un nouveau sous-réseau ou IP à la liste noire, sélectionnez-le dans la liste et cliquez sur 82

97 6.7. Configuration des règles de type de service (TDS) Chapitre 6. Configuration du comportement du pare-feu Cette page liste et permet de gérer les règles de TDS (type de service) du pare-feu. Les règles de TDS indique AU pare-feu les en-têtes de paquet modifiées en leur ajoutant une valeur TDS. Cette valeur donne de l information supplémentaire, notamment aux routeurs, pour que les paquets reçoivent un traitement optimal concernant leur utilisation. Le tableau fait un sommaire de toutes les règles de TDS actuellement configurées. Si plusieurs règles existent, vous pouvez les filtrer. Choisissez les zones Client et Serveur désirées, ainsi qu un Port dans le menu contextuel et cliquez sur l icône Le port ou la zone spéciale «*» est simplement un métacaractère («wildcard») correspondant à toutes les possibilités Rappel : la zone «fw» désigne le pare-feu lui-même. Pour toutes les politiques définies, cliquez sur l icône correspondante pour modifier cette politique ou pour la supprimer définitivement. Pour ajouter une nouvelle politique, cliquez sur l icône 83

98 Chapitre 6. Configuration du comportement du pare-feu Éditer des règles de TDS Ce formulaire définit les règles de TDS (type de service), lesquelles règles ajoutent une valeur TDS aux en-têtes de paquet correspondant. Lorsqu un paquet passant à travers le pare-feu correspond à un critère définit sur cette page, la valeur de TDS correspondante sera ajoutée. ID de la règle TDS Client Serveur Protocole Le numéro d ID unique identifiant cette règle de TDS. Choisissez le type de traitement qui conviendra le mieux aux paquets qui coïncident avec cette règle. La zone depuis laquelle le paquet provient. La correspondance peut être restreinte en spécifiant une IP précise, une interface ou un sous-réseau dans le champ du milieu, ou même un numéro de port dans le champ correspondant. Laissez «-» dans le champ pour faire coïncider n importe quel port ou IP. La zone à laquelle le paquet est destiné. La correspondance peut être restreinte en spécifiant une IP précise, une interface ou un sous-réseau dans le champ du milieu ; même un numéro de port dans le champ correspondant. Laissez «-» dans le champ pour faire coïncider n importe quel port ou IP. Le type de protocole associé à ce service. Exemple : vous voulez que les paquets de données FTP soient gérés de façon à ce que le taux de transfert soit maximisé, passant outre la fiabilité et le délai, dans toutes les directions. TDS Maximiser le débit (8) Client tous Serveur tous Protocole données-ftp 84

99 Chapitre 7. Configuration d un VPN Ce chapitre explique ce qu est un VPN. Il décrit également comment en configurer un avec MandrakeSecurity, que ce soit coté serveur ou client Qu est-ce qu un réseau privé virtuel (VPN)? Un réseau privé virtuel (VPN) permet d établir un réseau privé à l intérieur d un réseau public, tel qu Internet, en utilisant des mécanismes de sécurité. Voir figure 7-1. Figure 7-1. Modèle d une connexion VPN Les VPNs utilisent la tunnellisation pour créer des réseaux privés virtuels sur Internet. Pour résumer, la tunnellisation consiste à encapsuler un paquet à l intérieur d un autre, puis de le transmettre sur un réseau (Internet, dans le cas d un VPN). MandrakeSecurity utilise IPSec 1 comme protocole de tunnellisation. Le «réseau de confiance» («network of trust») entre plusieurs ordinateurs privés sur Internet s établit grâce aux Certificats et aux Autorités de certification (Certificate Authority --CA). Le CA est l entité de «confiance» de chacun des participants du VPN. Les certificats créés par votre système MandrakeSecurity, bien qu adhérant à tous les standards de l industrie, ne seront pas garantis par un tiers, tel que VeriSign. Vous pourrez évidement utilisez vos propres certificats, approuvés par une CA publique, avec votre système MandrakeSecurity Pourquoi un VPN? L installation d un VPN recèle de nombreux avantages dont : La possibilité de relier des réseaux privés géographiquement éloignés. C est la raison principale pour laquelle les VPNs ont été conçus. Faites un parallèle avec le concept suivant : lier les différentes sociétés sœur de votre entreprise où qu elles soient situées dans le monde. Communications sécurisées. Tout le trafic VPN étant chiffré, vous pouvez être assuré que vos données transiteront de façon sûre sur le réseau. Réduction des coûts. En utilisant un réseau déjà établi à travers le monde (Internet), toute l infrastructure dont vous avez besoin pour interconnecter vos réseaux privés distribués est en place. Nul besoin de payer pour des liens dédiés (très) dispendieux. L utilisation de quelques liens Internet haute vitesse tel que ceux de type DSL est suffisant. 1. IPIP est également pris en charge. 85

100 Chapitre 7. Configuration d un VPN En fait, les VPNs peuvent également être utilisés avec des liens par modem analogique, mais d habitude, une connexion de type permanent (tel que le DSL ou le modem-câble) est plus appropriée. Ceci dépend de la façon dont vous voulez utiliser votre VPN. Bien entendu, il y a quelques effets secondaires : Vous ne gérez pas tout le réseau. Vu que les réseaux publiques sont une partie inhérentes d un réseau VPN, la partie «publique» du réseau est totalement hors de votre contrôle. Toutefois, c est également un de ses plus grands avantages : moins de gestion de réseau donc une réduction des coûts. De plus, la partie publique du réseau est Internet, et ce dernier est bien géré par des gens intelligents qui possèdent assez de ressources pour assurer un service de qualité supérieure. Un point d échec unique. Généralement, on n utilise qu un serveur VPN donc, si cette machine échoue, le réseau est mort. Toutefois, ce risque peut être diminué en utilisant des machines qui tolèrent certaines erreurs. Ceci dépend évidemment du niveau d importance de vos opérations Monter un serveur VPN Les sections suivantes détailleront comment monter un serveur VPN sur un système MandrakeSecurity. Nous supposons que votre système MandrakeSecurity possède une connexion permanente à Internet réglée avec un adresse IP fixe, et que le LAN derrière celui-ci abrite un sous-réseau de type /24. De plus, MandrakeSecurity agira en tant que CA pour le VPN. Les étapes de configuration seront présentées en ordre logique, il est hautement recommandé de les suivre pas à pas. Toutefois, si vous savez ce que vous faites, vous pourrez réaliser ces étapes dans un ordre quelque peu différent Sauvegarder la configuration actuelle de MandrakeSecurity Vu que le réglage d un VPN implique des changements de politiques et de règles du pare-feu, c est une bonne idée de les sauvegarder en utilisant la fonction Sauvegarde et restauration située dans la section Outils. Veuillez-vous référer à Outils de gestion, page 123 pour plus de renseignements. 86

101 Chapitre 7. Configuration d un VPN Créer une zone VPN Allez dans la sous-section Définition des zones de la section Configuration du pare-feu et cliquez sur le bouton Ajouter une zone. Des exemples de valeur relatives aux divers champs sont montrées dans la figure ci-bas. Figure 7-2. Ajouter une zone VPN Veuillez-vous référer à Configuration du comportement du pare-feu, page 65 pour une explication des différents champs. Aucun caractère d espacement n est autorisé dans ces chaînes. Il est plus sûr d utiliser uniquement des lettres et des chiffres, ainsi que le caractère de soulignement (_). Ensuite, cliquez sur le bouton Suivant pour ajouter une nouvelle zone identifiant le VPN en tant que tel. Une fois que vous verrez la zone listée dans la page Définition des zones, appuyez sur le bouton Appliquer pour que vos changements s effectuent Ajouter l interface réseau VPN Allez dans la sous-section Définition de zones de la section Configuration du pare-feu et cliquez sur le bouton Rajouter une interface. Des exemples de valeur relatives aux divers champs sont montrées dans la figure 87

102 Chapitre 7. Configuration d un VPN ci-bas. Figure 7-3. Ajouter une interface réseau ipsec Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus en profondeur de la signification de ces champs. Ensuite, cliquez sur le bouton Suivant pour ajouter une interface IPSec au VPN. Une fois que vous verrez que l interface est listée dans la page Définition des zones, appuyez sur Appliquer pour activer vos changements. Les interfaces ipsecn sont des interfaces logiques liées à des interfaces physiques, eth0 par exemple. Vous pouvez associer plus d un VPN à la même interface ipsecn, et ajouter des zones VPN différentes pour régler une politique par zone, si nécessaire Ajouter des politiques par défaut au pare-feu pour gérer le trafic du VPN Maintenant, vous devez ajouter des politiques par défaut de pare-feu pour gérer le trafic VPN. Pour ce faire, allez dans la sous-section Règles par défaut de la section Configuration du pare-feu et cliquez sur le bouton Ajout d une règle. La figure ci-dessous montre la politique pour le trafic entrant depuis n importe quelle zone 88

103 Chapitre 7. Configuration d un VPN et se dirigeant vers le VPN (all->vpn). Figure 7-4. Ajouter des politiques par défaut pour le VPN Vous devez également ajouter une politique similaire pour le trafic provenant du VPN et se dirigeant vers toutes les autres zones (vpn->all), dans le but de monter un lien de communication bidirectionnel. Référez-vous à Configuration du comportement du pare-feu, page 65 pour une explication plus approfondie des différents champs. Ensuite, cliquez sur le bouton Suivant pour ajouter la politique de pare-feu pour le VPN. Une fois que vous avez ajouté les deux politiques et que vous les voyez listées dans la page Règles par défaut, appuyez sur Appliquer pour que vos changements soient activés. Cette configuration permettra tout et n importe quel type de trafic VPN. Pour une configuration et des tests initiaux, vous pouvez laisser tel quel. Mais une fois que vous serez certain que votre VPN fonctionne, vous devriez changer les règles définies plus haut afin qu elles soient REJETÉES (REJECTed), et ajouter des règles pour les types de trafic spécifiques que vous voulez allouer sur votre VPN. Référez-vous à Tester le VPN et le rendre plus sûr, page 94 pour voir un exemple de configuration de règles qui permet le trafic HTTP Ajouter le tunnel VPN du pare-feu Il est maintenant temps d ajouter le «tunnel» VPN dans le pare-feu, permettant le trafic sur le port 500/udp. Allez dans la sous-section Tunnels de la section Configuration du pare-feu et cliquez sur le lien Ajouter un 89

104 Chapitre 7. Configuration d un VPN tunnel. La figure ci-dessous montre les valeurs du tunnel. Figure 7-5. Ajouter un tunnel au pare-feu ID (unique). L identifiant unique pour ce tunnel. Il est hautement recommandé de laisser cette valeur inchangée. Type. Le type de tunnel. ipsec pour un tunnel IPSec (la valeur par défaut et celle que nous recommandons) ; ipip pour un tunnel IPIP. Zone. La zone depuis/vers laquelle le trafic VPN se dirigera. Pour ce type de VPN que nous sommes en train de configurer, il doit être réglé à wan (la zone Internet). IP de la passerelle. L adresse IP de la machine passerelle «distante». Dans notre exemple, nous l avons réglé à /0, ce qui signifie que le trafic VPN sera autorisé depuis n importe où sur Internet. Le fait de le régler à /0 peut être perçu comme un trou de sécurité et, en effet, ce n est pas très sûr. Toutefois, c est le seul réglage possible pour les machines qui ont un accès non permanent à Internet (comme un modem analogique) et pour celles qui ont une adresse IP non fixe (presque toutes les connexions DSL et modemcâble). Zone passerelle (Gateway Zone) optionnel. Réglez-la à vpn parce que ce dernier sera la «passerelle» entre les deux réseaux privés. Puis, cliquez sur le bouton Suivant pour ajouter le tunnel pare-feu au VPN. Une fois que vous le verrez listé sur la page Tunnels, cliquez sur le bouton Appliquer pour activer vos changements Générer des certificats CA Tous les intervenants impliqués dans un VPN ont besoin d un certificat en tant que «preuve» de leur identité (authentification) et pour des raisons de chiffrement. 90

105 Chapitre 7. Configuration d un VPN La procédure suivante n est nécessaire que si votre système MandrakeSecurity sera l Autorité de certification (CA) de votre VPN. Si ce n est pas le cas, vous pouvez ignorer cette étape sans problème. Il est obligatoire de créer la clé de CA en premier lieu Clé de CA Allez dans la sous-section CA de la section VPN et cliquez sur le lien Clé du CA puis cliquez sur le bouton Suivant. La figure ci-dessous montre un exemple des valeurs associées à chacun des champs. Figure 7-6. Configuration du CA Aucun caractère d espacement n est autorisé dans ces chaînes. Il est plus sûr d utiliser uniquement des lettres et des chiffres, ainsi que le caractère de soulignement (_). Ce qui suit est une brève explication de certains champs (les autres sont explicites) : Nom commun. Ce champ doit être réglé au nom de domaine complet (FQDN) de votre hôte MandrakeSecurity. Jours. Le temps d expiration de ce certificat en termes de jours. Réglé à 10 ans dans notre exemple. 91

106 Chapitre 7. Configuration d un VPN Jours Crl. Le nombre de jours avant que la Liste de révocation de certificat (Certificate Revocation List ou CRL) soit considérée comme obsolète. Bits. Le nombre de bits à utiliser pour la génération de la clé. Généralement réglé à 1024 ou N utilisez pas de valeurs inférieures à 1024 pour ce champ. Pays. Le code ISO de deux lettres identifiant le pays où MandrakeSecurity réside physiquement. Courrier électronique. L adresse de courrier électronique de l administrateur de MandrakeSecurity. Généralement, ce champ devrait être réglé à Une fois que la configuration vous convient, cliquez sur le bouton Suivant puis cliquez sur le lien Généré le certificat autosigné pour générer le certificat du CA Autres clés (Other Keys) Allez dans la sous-section CA de la section VPN et cliquez sur le lien Autres clés puis sur Ajouter une entrée VPN. Vous verrez le même dialogue que pour la clé de CA. Il est obligatoire que la première entrée que vous ajoutée soit celle de votre serveur VPN, soit votre système MandrakeSecurity dans notre exemple. Donc, entrez les mêmes valeurs que celles entrées pour la Clé de CA et cliquez sur le bouton Suivant. Maintenant, vous devez ajouter des entrées pour vos machines distantes. Une fois que vous aurez ajouté toutes les entrées et que vous les verrez listées sur la page Configuration des certificats, cliquez sur le bouton Appliquer pour activer vos changements Ajouter un serveur VPN La figure ci-dessous montre le VPN que nous sommes en train de mettre en place. Cette figure montre des détails concernant l IP et le masque réseau du réseau privé, ainsi que la signification des positions «gauche» et «droit» nécessaires à la configuration voulue à cette étape. Figure 7-7. Diagramme VPN Donc, votre serveur MandrakeSecurity (Serveur MNF A) est du «côté gauche» et tous les autres serveurs/clients sont du «côté droit» du VPN. C est une convention qui doit être établie à priori et les deux extrémités (gauche et droite) doivent être configurées pour que la configuration soit complète. 92

107 Chapitre 7. Configuration d un VPN Allez dans la sous-section Serveur de la section VPN et cliquez sur le lien Ajouter un serveur VPN. La figure ci-dessous montre les valeurs typiques attribuées à chaque champs. Figure 7-8. Ajouter un serveur VPN Le serveur VPN doit être la première entrée. ID du serveur VPN. Identifiant numérique unique. Il est plus sûr (et recommandé) de ne pas toucher à cette valeur. Position. Réglé à gauche pour votre système MandrakeSecurity et à droite pour le système distant. Nom commun. Ce champ doit contenir le nom de domaine complet (FQDN) de votre hôte MandrakeSecurity pour le côté gauche et le nom de domaine complet de votre hôte distant sur le côté droit. IP. L adresse IP sur l interface Internet de votre hôte MandrakeSecurity pour le côté gauche, ainsi que l adresse IP de votre hôte distant sur le côté droit. Adresse réseau/masque. L adresse IP et le masque de réseau pour le côté correspondant (gauche ou droit). Dans notre exemple, le côté gauche est réglé à /24, tandis que le côté droit est réglé à /24. VPN distant. L adresse IP de la passerelle du système. Elle sera dépendante de l adresse IP de l hôte que vous êtes en train de configurer, mais généralement, c est identique à l hôte IP sauf que le dernier numéro est 1. Par exemple, si l IP de votre hôte est , sa valeur devrait être réglée à Authentification. x509 est le seul type de certificat pris en charge. Une fois que vous aurez ajouté les côtés gauche et droit, cliquez sur le bouton Appliquer puis sur Redémarrer IPSEC pour activer vos changements. Félicitations! Le serveur VPN est configuré. 93

108 Chapitre 7. Configuration d un VPN Distribution des certificats et des clés Les opérations suivantes ne sont nécessaires que si vous comptez utiliser MandrakeSecurity en tant qu Autorité de certification (CA) pour votre VPN. Si ce n est pas le cas, vous pouvez ignorer cette étape sans problème. Maintenant, vous devez distribuer tous les certificats et clé nécessaires aux intervenants. Cette distribution doit être faite de façon sécurisée puisque la sécurité de toute l architecture VPN dépend de ces certificats et clés. Vous pouvez chiffrer les fichiers puis les envoyer (ex. : en utilisant OpenPGP ), rencontrer les parties en personne et leur donner une disquette abritant les données, ou toute autre façon sûre. N envoyez jamais ces fichiers sans qu ils ne soient chiffrés. Voici les fichiers que vous devez distribuer aux tiers : /etc/freeswan/ipsec.d/fqdn_of_mandrakesecurity.crt /etc/freeswan/ipsec.d/fqdn_of_remote_system.crt /etc/freeswan/ipsec.d/private/fqdn_of_remote_system.key Les tiers doivent alors copier ces fichiers à leur place sur leurs systèmes. Cette opération dépend du système en question et nous ne la détaillerons pas ici. Après que les certificats et clés aient été distribués et copiés aux endroits appropriés sur les systèmes distants, le service ipsec doit être redémarré sur les hôtes distants afin que les clés et certificats distribués soient inclus Tester le VPN et le rendre plus sûr Il est maintenant temps de tester le VPN. C est relativement simple. Vous n avez qu à faire un ping sur le réseau distant et voyez si vous obtenez une réponse. Suivant notre exemple, la commande ping -c devrait retourner quelque chose de similaire à la capture d écran ci-bas : PING ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.047 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.069 ms ping statistics packets transmitted, 2 received, 0% loss, time 1502ms rtt min/avg/max/mdev = 0.047/0.055/0.069/0.011 ms en supposant que l hôte distant, , est actif. Une fois que vous êtes certain qu il fonctionne, réglez les règles par défaut du pare-feu pour le VPN à REJECT (interdire tout trafic VPN par défaut) et ajoutez une règle pare-feu pour le service spécifique que vous souhaitez utiliser sur le VPN. La figure suivante montre le champ de valeur pour une règle de pare-feu permettant le trafic HTTP sur le port 80 à travers le VPN : 94

109 Chapitre 7. Configuration d un VPN Figure 7-9. Règle pour permettre le trafic HTTP sur le VPN 7.4. Configurer un client VPN Allez dans la sous-section Client de la section VPN et cliquez sur le bouton Suivant. La figure ci-contre vous renseigne sur les valeurs à entrer dans les divers champs : Figure Ajouter un client VPN Une fois que vous aurez rempli tous les champs, cliquez sur le bouton Appliquer pour activer vos changements. Référez-vous à Ajouter un serveur VPN, page 92 pour une explication plus détaillée de ces champs. 95

110 Chapitre 7. Configuration d un VPN Une fois que le VPN est configuré, les rôles client/serveur ne sont pas obligés de demeurer les mêmes. Par exemple, vous pourriez configurer un serveur VPN sur votre réseau et rendre les services (serveurs) disponibles à travers ce dernier sur le réseau distant. Vous devez copier les fichiers listés dans Distribution des certificats et des clés, page 93 sur votre système (souvenez-vous que ces fichiers dépendent du système donc, nous ne décrirons pas comment procéder ici) puis cliquer sur le lien Redémarrer IPSEC pour que les réglages soient pris en considération. 96

111 Chapitre 8. Configurer des clients de paserelle Ce chapitre vous montrera comment faire interagir différents systèmes d opération avec une machine GNU/Linux, laquelle agit comme dispositif mandataire (masquerading) réglé en tant que passerelle vers le monde extérieur. Les tests de configuration sur les systèmes d exploitation suivants ont tous été couronnés de succès : Apple Macintosh, avec MacTCP ou Open Transport ; Commodore Amiga, avec AmiTCP ou AS225-stack ; Postes de travail Digital VAX 3520 et 3100, avec UCX (pile TCP/IP pour VMS) ; Digital Alpha/AXP, avec Linux/Red Hat ; IBM AIX (sur un RS/6000), OS/2 (incluant Warp 3) et OS400 (sur un OS/400) ; Linux (évidemment!) : n importe quel noyau depuis 1.2.x ; Microsoft DOS, (avec le paquetage NCSA Telnet, support partiel de DOS Trumpet), Windows 3.1 (avec le paquetage Netmanage Chameleon) et Windows pour Workgroup 3.11 (avec le paquetage TCP/IP) ; Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se ; Microsoft Windows NT 3.51, 4.0 et 2000 (poste de travail et serveur) ; Serveur Novell Netware 4.01, avec le service TCP/IP ; SCO OpenServer (v et 5) ; Sun Solaris 2.51, 2.6 et 7. Passons à travers la configuration de certains d entre eux. Si votre système n est pas inclus dans la liste susmentionnée, une façon simple de procéder est de «simplement signifier au système d exploitation quelle machine doit être utilisée en tant que passerelle». Notez qu ici, nous nous concentrerons sur le côté passerelle du réseau : donc, nous n aborderons pas les problèmes pouvant être reliés au DNS, au partage de fichiers ou au schémas de connexion. Ainsi, pour que ce chapitre vous soit utile, votre réseau local doit être bien configuré. Référez-vous à la documentation de votre système pour le régler de façon adéquate, en accordant une attention particulière aux réglages du DNS. Pour la suite, nous assumons que vous travaillez avec un réseau de classe C : vos différents postes de travail ont tous une adresse IP ressemblant à x, votre masque de réseau (netmask) est réglé à et vous utilisez une interface de réseau eth0. Nous prenons également pour acquis que l adresse IP de votre passerelle est réglée à et que tous vos postes de travail peuvent «parler» à la passerelle (vous pouvez tester ceci avec la commande ping ou son équivalent, tout dépendant de l environnement que vous utilisez) Machine Linux Il y a (au moins) trois façons pour réaliser le tout sous Linux Configuration à la volée Voici probablement la façon la plus rapide de procéder. Toutefois, lorsque vous redémarrerez votre couche réseau ou votre système en entier, vous aurez perdu tous les changements de configuration! Si vous accédez à la passerelle à travers l interface de réseau eth0, tapez simplement la commande suivante (en tant qu utilisateur root) : route add default gw eth0 C est tout! Si la passerelle est configurée adéquatement et connectée à Internet, le monde entier est maintenant à votre portée grâce à votre navigateur préféré. 97

112 Chapitre 8. Configurer des clients de paserelle Configuration permanente et manuelle Nous devons éditer un fichier de configuration afin de maintenir la configuration globale de votre système à chaque fois que ce dernier est éteint puis réamorcer. Ce fichier s appelle /etc/sysconfig/network sur une machine Mandrake Linux (son nom peut être différent sur la vôtre). Ouvrez-le avec votre éditeur de texte habituel, et ajoutez les lignes suivantes : GATEWAYDEV="eth0" GATEWAY=" " Maintenant, relancez votre couche réseau avec la commande suivante : service network restart Configuration permanente et automatique Pour régler la configuration de façon automatique, vous n avez qu à entrer les bons paramètres avec l aide de l assistant de configuration. Référez-vous au chapitre Configuration des connexions Internet du Guide de démarrage. Lorsque vous configurez une connexion Internet à l intérieur d un réseau local, il vous est proposé, lors de la première étape, de configurer le réseau en mode manuel ou automatique (DHCP) : Figure 8-1. Nouvelle configuration du réseau local avec drakconnect Vous n avez qu à entrer les informations pertinentes. Si votre réseau local abrite un serveur bootp ou DHCP, cochez la boîte Attribution automatique de l adresse IP, et votre configuration sera réglée. Si votre machine possède une adresse IP fixe, entrez-la dans le premier champ après vous être assuré que le champ Attribution automatique de l adresse IP est bien désactivé. Ensuite, cliquez sur le bouton Suivant ->. 98

113 Chapitre 8. Configurer des clients de paserelle Figure 8-2. Régler la passerelle avec drakconnect Vous devez écrire les bonnes adresses IP pour la passerelle et le serveur DNS. Une fois fait, suivez les étapes de l assistant et redémarrez votre réseau lorsque proposé. Et c est tout. Votre réseau est correctement configuré et prêt à être utilisé. Maintenant, la configuration est permanente Machine Windows XP Dans cette section, nous prenons pour acquis que votre connexion de réseau est configurée. La capture d écran qui suit montre les trois étapes nécessaires pour obtenir le menu contextuel désiré. 99

114 Chapitre 8. Configurer des clients de paserelle Figure 8-3. Configuration de la passerelle sous Windows XP Voici les étapes à suivre pour passer d une fenêtre à l autre : 1. Sur le bureau, faites un clic droit sur l icône My network places, et sélectionnez Properties dans le menu contextuel ; 2. Dans la fenêtre Network Connections, faites la même chose avec la connexion liée au réseau où se trouve la passerelle ; 3. Dans le prochain menu, choisissez le champ Internet Protocol (TCP/IP) et cliquez sur le bouton Propriétés ; 4. Dans ce menu, vous pouvez sélectionner Obtenir une adresse IP automatiquement si votre réseau abrite un serveur DHCP. Ensuite, la passerelle devrait être configurée automatiquement. Sinon, choisissez Utiliser l adresse IP suivante et entrez les données pertinentes dans les champs appropriés Machine Windows 95 ou Windows 98 Figure 8-4. L icône de réseau sous Windows 95 Premièrement, allez dans le panneau de contrôle (Démarrer+Paramètres Panneau de contrôle) et trouvez l icône de réseau ci-haut. Double-cliquez dessus et un tableau de configuration réseau apparaîtra. 100

115 Chapitre 8. Configurer des clients de paserelle Figure 8-5. Le tableau de configuration réseau sous Windows 95 Dans la liste affichée, vous devriez trouver le protocole TCP/IP. Sinon, vous devrez vous référer à la documentation de votre système pour savoir comment l installer. S il l est déjà, sélectionnez-le et cliquez sur Propriétés. Figure 8-6. Le tableau de configuration TCP/IP sous Windows

116 Chapitre 8. Configurer des clients de paserelle À travers cette fenêtre, vous pourrez régler les paramètres TCP/IP. Votre administrateur système vous dira si vous avez une adresse IP statique ou si vous utilisez un DHCP (adresse IP automatique). Cliquez sur l onglet Passerelle (gateway). Figure 8-7. Le tableau de configuration de la passerelle sous Windows 95 Le reste est un jeu d enfants! Remplissez les champs vides avec l adresse IP de votre passerelle (dans notre exemple, ). Finalement, cliquez sur les boutons Ajouter et OK. Évidemment, vous devrez redémarrer votre machine. Une fois fait, vérifiez que vous pouvez rejoindre le reste du monde Internet Machine Windows NT ou Windows 2000 Pour configurer ces systèmes d exploitation, suivez ces étapes très simples : 1. Allez dans le menu Panneau de contrôle+réseau Protocole. 102

117 Chapitre 8. Configurer des clients de paserelle Figure 8-8. Le tableau de configuration de protocole sous Windows NT 2. Premièrement, sélectionnez le Protocole TCP/IP dans la liste de protocoles réseau. Ensuite, cliquez sur le bouton Propriétés, et choisissez la carte réseau connectée au réseau local (figure 8-9 ). Dans cet exemple, nous montrons une configuration faite avec un serveur DHCP activé sur le serveur MandrakeSecurity : l option Obtenir une adresse IP du serveur DHCP (Obtain an IP address from a DHCP server) est cochée. 103

118 Chapitre 8. Configurer des clients de paserelle Figure 8-9. La panneau de logiciel réseau sous Windows NT Si tel est votre cas, vous n avez qu à confirmer tous ces choix et redémarrer votre machine. Sinon, suivez les prochaines étapes. 3. Si vous ne possédez pas de serveur DHCP, vous devez régler les paramètres manuellement. Premièrement, cochez l option Spécifiez une adresse IP (figure 8-10). 104

119 Chapitre 8. Configurer des clients de paserelle Figure Le tableau de configuration TCP/IP sous Windows NT Choisissez l adapteur approprié : l adresse IP devrait déjà être la bonne. 4. Dans le champ Passerelle par défaut, écrivez (soit l adresse de la machine Linux partageant la connexion dans notre exemple). 5. Finalement, vous devez spécifier les serveurs DNS que vous utilisez dans l onglet DNS, tel que montré dans la figure

120 Chapitre 8. Configurer des clients de paserelle Figure Le tableau de configuration DNS sous Windows NT Vous devez également fournir le nom d hôte et le nom de domaine qui y est associé. Sauf si vous savez exactement ce que vous faites, procédez de façon très minutieuse lors des étapes qui suivent : laissez le champ Configuration automatique du DHCP vide, sauf si votre réseau abrite un serveur DHCP ; laissez également tous les champs Serveur WINS vides, sauf si vous possédez un ou plus d un serveur WINS ; ne cochez pas le champ Activez le transfert d IP (Enable IP Forwarding) sauf si votre machine NT est utilisée pour le routage et, encore une fois, que vous savez exactement ce que vous faites ; désactivez DNS for Windows Name Resolution et Activez le lookup LMHOSTS (Enable LMHOSTS lookup). Cliquez sur OK dans les menus contextuels qui apparaîtront et redémarrez votre ordinateur pour tester la configuration Machine DOS utilisant le paquetage NCSA Telnet Dans le répertoire qui abrite le paquetage NCSA, vous trouverez un fichier nommé config.tel. Éditez-le avec votre éditeur de texte préféré et ajoutez les lignes suivantes : name=default host=yourlinuxhostname hostip= gateway=1 106

121 Chapitre 8. Configurer des clients de paserelle Évidemment, écrivez le nom de votre machine Linux au lieu de yourlinuxhostname et changez l adresse de passerelle donnée dans notre exemple ( ). Maintenant, sauvegardez le fichier, essayez de faire un telnet sur votre machine Linux, puis sur une machine branchée à Internet Windows pour Workgroup 3.11 Le paquetage TCP/IP 32b devrait déjà être installé. Allez dans le menu Principal+Configuration Windows+Configuration réseau Pilotes et choisissez Microsoft TCP/IP b dans la section Pilotes réseau (Network Drivers), puis cliquez sur Réglage (Setup. Ensuite, la procédure est très similaire à celle décrite dans la section Windows NT Machine MacOS MacOS 8/9 Premièrement, vous devez ouvrir le panneau de contrôle TCP/IP tel qu illustré dans le menu Apple. Figure Accéder au panneau de contrôle TCP/IP 107

122 Chapitre 8. Configurer des clients de paserelle Avec la configuration automatique du DHCP Si vous configurez votre mur pare-feu pour qu il agisse en tant que serveur DHCP, suivez cette procédure à la lettre. Sinon, allez à la section suivante. Figure Configuration automatique de l accès à Internet pour MacOS Dans le menu contextuel qui apparaît, remplissez les champs comme indiqué plus bas : Connect via: Ethernet ; Configure : Using DHCP server (soit Utiliser un serveur DHCP ; DHCP Client ID (soit Identification du client DHCP) : Configuration manuelle Si votre réseau local n abrite pas de serveur DHCP, suivez la procédure ci-bas : 108

123 Chapitre 8. Configurer des clients de paserelle Figure Configuration manuelle de l accès à Internet pour MacOS Dans le menu contextuel, remplissez les champs tel qu expliqué : Connect via : Ethernet ; Configure : Manuellement ; Adresse IP : ; Masque de sous-réseau ( Subnet Mask : ; Adresse du routeur : ; Adresses des serveurs de noms de domaine : et ; Nom de domaine de recherche : myco.com. Les adresses des serveurs de noms de domaine peuvent être celles des DNS s internes ou celles des serveurs de votre fournisseur d accès à Internet MacTCP 1. Dans le Panneau de contrôle MacTCP, choisissez le pilote de réseau Ethernet (attention, ce n est pas EtherTalk) puis cliquez sur le bouton Encore... ( More... ). 2. Dans le champ Adresse de la passerelle, entrez l adresse de la machine Linux qui partage la connexion (dans notre exemple, ). 3. Cliquez sur OK pour sauvegarder les réglages. Peut-être aurez-vous à redémarrer votre système pour tester ces réglages. 109

124 Chapitre 8. Configurer des clients de paserelle 8.8. Machine OS/2 Warp Le protocole TCP/IP devrait déjà être installé. Sinon, installez-le. 1. Allez dans Programmes, puis TCP/IP (LAN), et Réglages TCP/IP. 2. Dans la rubrique Routing, choisissez Ajouter. Pour le Type, sélectionnez Défaut. 3. Remplissez le champ Adresse du routeur avec l adresse de la machine Linux qui partage la connexion Internet (dans notre exemple, ). 4. Maintenant, fermez le panneau de contrôle TCP/IP, répondez Oui à toutes les questions, et réamorcez votre machine afin de tester les réglages. 110

125 Chapitre 9. Surveillez le pare-feu Dans cette section, nous détaillerons les outils permettant de surveiller votre pare-feu : nous discuterons des graphiques résumant l utilisation de votre système et de votre réseau, ainsi que des fichiers journaux (logs files) de votre système L utilisation de votre système et de votre réseau L écran principal du groupe Surveillance (Monitoring) affiche le uptime (l étendue de temps depuis laquelle le système a été redémarré) ; le nombre d usagers connectés, ainsi que la charge moyenne depuis les dernières 1, 5 et 15 minutes Surveillance de l utilisation système Les deux graphiques de cette page affichent de l information au sujet de la charge de votre système. Ce sont de bons indicateurs des performances de votre système, démontrant sa charge réelle. Ils peuvent également fournir des arguments valables quant à la décision potentielle d actualiser les unités centrales et la quantité de RAM. 111

126 Chapitre 9. Surveillez le pare-feu avgload : représente l utilisation moyenne de l unité centrale pour les dernières 24 heures. L unité utilisée indique approximativement le nombre de processus tentant d accéder à l unité centrale simultanément. Une charge normale devrait se maintenir sous 2. Si la charge se situe entre 2 et 5, votre système est plutôt occupé. Au-deçà de 6, vous devriez considérer l actualisation de votre unité centrale (CPU). memusage : représente l utilisation de votre mémoire RAM principale (en mégaoctets). Des couleurs différentes sont utilisées pour donner de l information plus précise au sujet de la façon dont est utilisée cette mémoire (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la cache en jaune). Par défaut, un graphique quotidien est affiché. En cliquant sur à droite du graphique, vous obtiendrez les graphiques par jour, semaine, mois et année sur une seule page. Ceci peut être utile afin de planifier l utilisation système. Cliquez sur le bouton Arrière pour retourner au graphique quotidien. En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques Surveillance de la charge de l unité centrale (CPU) Vous trouverez sur cette page des graphiques démontrant l utilisation de l unité centrale, selon différentes échelles de temps. La charge moyenne de l unité centrale est représentée graphiquement par jour, par semaine, par mois et par année, le tout sur une page. L unité utilisée indique sommairement le nombre de processus tentant d accéder simultanément à l unité centrale. Les valeurs normales sont en-deçà de 2. Les valeurs au-deçà de 6 indiquent que vous devriez considérer l actualisation de votre unité centrale. Cliquez sur le bouton Rafraîchir pour actualiser les graphiques. Cliquez sur En cliquant sur pour retourner à la section Utilisation système. vous reviendrez à la page d accueil de MandrakeSecurity. 112

127 Chapitre 9. Surveillez le pare-feu Surveillance de l utilisation mémoire Sur cette page, vous trouverez des graphiques se rapportant à l utilisation de mémoire RAM, selon différentes échelles de temps. L utilisation de mémoire RAM (physique) est exprimée graphiquement par jour, semaine, mois et année, le tout sur une page. Des couleurs différentes sont employées pour donner de l information plus précise au sujet de la façon dont la mémoire est utilisée (utilisation de la RAM en noir, RAM libre en vert, Swap en rouge, et la cache en jaune). Cliquez sur le bouton Rafraîchir pour actualiser les graphiques. Cliquez sur En cliquant sur pour revenir à la section Utilisation système. vous reviendrez à la page d accueil de MandrakeSecurity. 113

128 Chapitre 9. Surveillez le pare-feu Surveillance du trafic réseau Les graphiques présentés ici vous informent au sujet du trafic réseau entrant/sortant sur vos interfaces. La première page montre le trafic pour toutes les interfaces durant la dernière heure (par défaut). Les unités utilisées seront ajustées selon le trafic sur chaque interface. Ainsi, vous pouvez obtenir des statistiques en octets/sec., koctets/sec., moctets/sec., etc. Au haut de la page se trouve une liste des échelles temporelles disponibles pour les graphiques : par heure, par jour, par semaine, par mois et par année. Pour changer cette échelle temporelle, cliquez sur le lien correspondant. Chaque graphique vous informe également au sujet du trafic entrant/sortant moyen et maximal sur vos interfaces réseau. Le trafic entrant est représenté en vert et le trafic sortant en gris foncé. En cliquant sur à la droite de chaque graphique (disponible seulement en mode Heure), vous arriverez sur une page montrant les statistiques de trafic pour chaque interface. En cliquant sur le bouton Rafraîchir, vous actualiserez les graphiques. Vous pourriez utilisez les graphiques susmentionnés pour planifier vos temps de connexion et votre bande passante, par exemple Fichiers journaux Les fichiers journaux sont de puissants outils d analyse de système et d évaluation des performances. Évidement, encore faut-il les consulter... Toutes les actions posées par votre pare-feu sont tracées dans les fichiers journaux, accessible sous l onglet Journaux. 114

129 Chapitre 9. Surveillez le pare-feu Journaux des messages système L item système permet de regarder les journaux système. La table affiche tous les messages système journalisés par cet outil, par exemple : mots de passe acceptés/refusés pour sshd, mises à jour NTP, mise en marche de scripts d entretien de système, etc. Les colonnes de la table représentent respectivement : la date et l heure, ainsi que le message qui a été généré pour chaque événement journalisé. Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes. 115

130 Chapitre 9. Surveillez le pare-feu Journaux d authentification L item d authentification permet de regarder les journaux d authentification de votre système reliés à la sécurité. La table décrit les événements journalisés concernant l authentification, comme les changements de mode de fichier pour les fichiers journaux, les services démarrant/s arrêtant, les tentatives de connexion sur la console et utilisant sshd qui ont échoué, etc. Les services typiques pour ces types de messages sont : msec : l outil de sécurité Mandrake ; sshd: «Secure shell daemon», soit démon de terminal sécuritaire ; xinetd : remplacement sécuritaire de inetd, le démon Internet ; Cliquez sur le bouton Rafraîchir pour obtenir les entrées les plus récentes. 116

131 Chapitre 9. Surveillez le pare-feu Journaux pare-feu L item pare-feu permet de regarder les journaux de filtrage de paquets pour votre pare-feu. Vous trouverez des rapports pour toutes les chaînes pare-feu. Les rapports peuvent être générés selon différents critères : tout et résolution de nom : affiche tous les détails au sujet des paquets, soit : le numéro de paquet, début, intervalle, protocole, IP source, nom d hôte et de port, IP de destination, nom d hôte et de port et les options de paquet. IP de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle et IP de destination. IP source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle et IP source. IP source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP source et IP de destination. avec port de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP source, IP de destination et port de destination. avec port source : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP et port source ainsi que l IP et le port de destination. avec port source et de destination : affiche seulement les détails suivants au sujet des paquets : numéro de paquet, début, intervalle, IP et port source, ainsi que l IP et le port de destination. avec les options TCP : affiche les mêmes détails que l option «tout et résolution de nom», sauf les noms d hôte source et de destination. En cliquant sur à la gauche de chacun des éléments susmentionnés, une fenêtre de sommaire des journaux du pare-feu correspondant à l item qui y est associé sera affiché. Par exemple : Generated Mon Apr 15 11:16:09 ART 2002 by root. 5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics. First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26. All entries where logged by the same host: "e500". 117

Administration de Parc Informatique TP08 : Installation de Linux Debian

Administration de Parc Informatique TP08 : Installation de Linux Debian Institut Galilée L2 Info S1 Année 2011 2012 1 Une machine virtuelle Administration de Parc Informatique TP08 : Installation de Linux Debian Le but du TP est d installer Linux (en l occurrence la distribution

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

Administration de Parc Informatique TP07 : Installation de Linux Debian

Administration de Parc Informatique TP07 : Installation de Linux Debian Institut Galilée L2 Info S1 Année 2012 2013 1 Une machine virtuelle Administration de Parc Informatique TP07 : Installation de Linux Debian Le but du TP est d installer Linux (en l occurrence la distribution

Plus en détail

À propos de cette page... 27. Recommandations pour le mot de passe... 26

À propos de cette page... 27. Recommandations pour le mot de passe... 26 Rebit 5 Help Table des matières Apprentissage... 1 Création du premier point de restauration... 1 Que fait le disque de sauvegarde Rebit 5?... 1 Fonctions de Rebit 5... 1 Création du premier point de restauration...

Plus en détail

Administration de Parc Informatique TP06 : Installation de Linux Debian

Administration de Parc Informatique TP06 : Installation de Linux Debian Institut Galilée L2 Info S1 Année 2013 2014 1 Une machine virtuelle Administration de Parc Informatique TP06 : Installation de Linux Debian Le but du TP est d installer Linux (en l occurrence la distribution

Plus en détail

Guide d installation de NewWayService 2

Guide d installation de NewWayService 2 Guide d installation de Copyright 2003 OroLogic Inc. http://www.orologic.com Table des matières I Table des matières Guide d installation de 2 Introduction 2 Installation de 2 Installation de sur un seul

Plus en détail

Guest PC. pour Mac OS X. Guide utilisateur. Version 1.6. Copyright 1996-2005 Lismore Software Systems, Ltd. Tous droits réservés.

Guest PC. pour Mac OS X. Guide utilisateur. Version 1.6. Copyright 1996-2005 Lismore Software Systems, Ltd. Tous droits réservés. Guest PC pour Mac OS X Version 1.6 Guide utilisateur Copyright 1996-2005 Lismore Software Systems, Ltd. Tous droits réservés. Table des matières À propos de Guest PC... 1 À propos de votre machine virtuelle...

Plus en détail

AOLbox. Partage de disque dur Guide d utilisation. Partage de disque dur Guide d utilisation 1

AOLbox. Partage de disque dur Guide d utilisation. Partage de disque dur Guide d utilisation 1 AOLbox Partage de disque dur Guide d utilisation Partage de disque dur Guide d utilisation 1 Sommaire 1. L AOLbox et le partage de disque dur... 3 1.1 Le partage de disque dur sans l AOLbox... 3 1.1.1

Plus en détail

MODULE 1. Installation de Fedora. Objectifs de ce module : Installer le système d exploitation Linux Fedora. Créer des partitions sur le disque dur.

MODULE 1. Installation de Fedora. Objectifs de ce module : Installer le système d exploitation Linux Fedora. Créer des partitions sur le disque dur. MODULE 1 Objectifs de ce module : Installer le système d exploitation Linux Fedora. Installation de Fedora Créer des partitions sur le disque dur. Préparer votre système pour une première utilisation.

Plus en détail

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs)

1. Présentation : IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs) Configuration d un Firewall IPCOP 1. Présentation : IPCOP est une distribution linux (Open Source), basée sur Linux From Scratch, destinée à assurer la sécurité d un réseau. C est un système d exploitation

Plus en détail

Administration de Parc Informatique TP 05 Installation de Linux Debian

Administration de Parc Informatique TP 05 Installation de Linux Debian Institut Galilée L2 info S1 Année 2008-2009 Administration de Parc Informatique TP 05 Installation de Linux Debian 1 Une machine virtuelle Sur les machines du Sercal, nous ne pouvons pas manipuler les

Plus en détail

MANUEL D INSTALLATION

MANUEL D INSTALLATION Data Processing Commission Fast Advanced Software for Table soccer - v 1.0 Logiciel de gestion de tournoi de football de table MANUEL D INSTALLATION INSTALLATION INFORMATIQUE DE LA TABLE DE MARQUE & CONFIGURATION

Plus en détail

AGASC / BUREAU INFORMATION JEUNESSE 06700 Saint Laurent du Var / Tel : 04.93.07.00.66 bij@agasc.fr. Installation «propre» de Windows XP

AGASC / BUREAU INFORMATION JEUNESSE 06700 Saint Laurent du Var / Tel : 04.93.07.00.66 bij@agasc.fr. Installation «propre» de Windows XP Installation «propre» de Windows XP Bien que la mise à jour soit possible, il est préférable d'installer Windows XP d une manière plus «propre» en partant d'un disque vierge. Ce choix se fonde sur le fait

Plus en détail

David.parize@wanadoo.fr Page 1

David.parize@wanadoo.fr Page 1 I. David.parize@wanadoo.fr Page 1 TABLE DES MATIERES I. Démarrage...3 II. Partitionnement...3 A. Partition primaire & étendue...3 B. Partition logique...3 C. Système de fichiers...4 III. Choix des paquetages...4

Plus en détail

Connected to the FP World

Connected to the FP World Connected to the FP World Guide d utilisateur 2 Guide d utilisateur mailcredit A propos du présent manuel Groupe cible Objet mailcredit.exe [Personnaliser] Le guide de l utilisateur mailcredit s adresse

Plus en détail

Guide de l interface utilisateur d Optymo

Guide de l interface utilisateur d Optymo Guide de l interface utilisateur d Optymo Notes de lecture : dans ce document, les textes soulignés font référence à des libellés des fenêtres ou aux libellés associés à des boutons d Optymo. Les textes

Plus en détail

Guide d installation

Guide d installation Simplement professionnel Guide d installation de l accès au Réseau santé social et à Internet www.lereseausantesocial.fr Version 5.04 pour Windows Compatible avec les logiciels de gestion de cabinet ayant

Plus en détail

Boot Camp Guide d installation et de configuration

Boot Camp Guide d installation et de configuration Boot Camp Guide d installation et de configuration Table des matières 3 Introduction 4 Configuration requise 5 Vue d ensemble de l installation 5 Étape 1 : Rechercher les mises à jour 5 Étape 2 : Préparer

Plus en détail

Numérisation. Copieur-imprimante WorkCentre C2424

Numérisation. Copieur-imprimante WorkCentre C2424 Numérisation Ce chapitre contient : «Numérisation de base», page 4-2 «Installation du pilote du scanner», page 4-4 «Réglage des options de numérisation», page 4-5 «Récupération des images», page 4-11 «Gestion

Plus en détail

DOCUMENT D ACCOMPAGNEMENT POUR L INSTALLATION DU LOGICIEL ESTIMACTION

DOCUMENT D ACCOMPAGNEMENT POUR L INSTALLATION DU LOGICIEL ESTIMACTION DOCUMENT D ACCOMPAGNEMENT POUR L INSTALLATION DU LOGICIEL ESTIMACTION EstimAction Nom d utilisateur : Mot de passe : Microsoft SQL Server Express Edition Adresse de la base de données : Nom d utilisateur

Plus en détail

4. INSTALLATION DE NŒUD - - - - - - - - - - - - - - - - - - - - - - - - - - 2. INSTALLATION D ARGUS SUR UN SEUL ORDINATEUR - - - - - - - -

4. INSTALLATION DE NŒUD - - - - - - - - - - - - - - - - - - - - - - - - - - 2. INSTALLATION D ARGUS SUR UN SEUL ORDINATEUR - - - - - - - - Guide de démarrage Table des matières 1. INSTALLATION D ARGUS 2007 - - - - - - - - - - - - - - - - - - - - - - - 2. INSTALLATION D ARGUS SUR UN SEUL ORDINATEUR - - - - - - - - 3. INSTALLATION D ARGUS EN

Plus en détail

GUIDE UTILISATEUR - LOGICIEL

GUIDE UTILISATEUR - LOGICIEL GUIDE UTILISATEUR - LOGICIEL Série RJ Le contenu de ce guide et les spécifications de ce produit peuvent être modifiés sans préavis. Brother se réserve le droit d apporter à tout moment et sans préavis

Plus en détail

AXIS Camera Station Guide d installation rapide

AXIS Camera Station Guide d installation rapide AXIS Camera Station Guide d installation rapide Copyright Axis Communications AB Avril 2005 Rev. 1.0 Référence 23793 1 Table des matières Informations importantes................................ 3 AXIS

Plus en détail

Installation de FRAMIGEST 1.3 et supe rieure.

Installation de FRAMIGEST 1.3 et supe rieure. Installation de FRAMIGEST 1.3 et supe rieure. Installation avec Serveur WINDOWS XP : utilisez le manuel spécifique à Windows XP Avant de commencer, vérifiez que la session Windows sous laquelle vous vous

Plus en détail

Installation classique de Windows XP. Phase texte de l installation :

Installation classique de Windows XP. Phase texte de l installation : Installation classique de Windows XP Voici les trois installations standard de Windows XP : A partir du CD-ROM de Windows XP : Ce type d installation nécessite que vous ayez un lecteur de CD-ROM sur votre

Plus en détail

Mini «How-TO» Installation

Mini «How-TO» Installation Mini «How-TO» Installation Pierre Couillard Septembre 2003 1. Guide d'installation : avertissement Ce mini-guide d'installation couvre seulement les étapes les plus courantes de l'installation. Si vous

Plus en détail

Boot Camp Guide d installation et de configuration

Boot Camp Guide d installation et de configuration Boot Camp Guide d installation et de configuration Table des matières 3 Introduction 4 Vue d ensemble de l installation 4 Étape 1 : Rechercher les mises à jour 4 Étape 2 : Préparer votre Mac pour Windows

Plus en détail

Service de connexion de machines sur l Internet M2Me_Connect Version 1.41 du logiciel NOTICE D'UTILISATION Document référence : 9016709-04

Service de connexion de machines sur l Internet M2Me_Connect Version 1.41 du logiciel NOTICE D'UTILISATION Document référence : 9016709-04 Service de connexion de machines sur l Internet M2Me_Connect Version 1.41 du logiciel NOTICE D'UTILISATION Document référence : 9016709-04 Le service M2Me_Connect est fourni par ETIC TELECOM 13 Chemin

Plus en détail

TechTool Protogo 4. 1- Manuel TechTool Protogo 4

TechTool Protogo 4. 1- Manuel TechTool Protogo 4 TechTool Protogo 4 1- Manuel TechTool Protogo 4 Notes légales 2008-2013 Micromat Incorporated. Tous droits réservés. 2008-2013 TRI-EDRE. Tous droits réservés pour la traduction française du logiciel et

Plus en détail

Guide de l administrateur DOC-OEMCS8-GA-FR-29/09/05

Guide de l administrateur DOC-OEMCS8-GA-FR-29/09/05 Guide de l administrateur DOC-OEMCS8-GA-FR-29/09/05 Les informations contenues dans le présent manuel de documentation ne sont pas contractuelles et peuvent faire l objet de modifications sans préavis.

Plus en détail

Comment démarrer rapidement sous Caldera

Comment démarrer rapidement sous Caldera Comment démarrer rapidement sous Caldera Installation 1 Installation du système 1 Installation du logiciel 2 Première utilisation de Caldera 4 Ouvrir le RIP 4 Obtenir la licence 4 Imprimer 5 C e guide

Plus en détail

Installation de Windows XP

Installation de Windows XP Windows XP Installation de Windows XP Auteur : Frédéric DIAZ I. Introduction : Lorsqu un disque dur est installé pour la première fois dans un PC, seul un formatage physique ( dit de bas niveau ) lui a

Plus en détail

Guide d utilisation. Clients Entreprises

Guide d utilisation. Clients Entreprises Guide d utilisation Application Internet 3G+ Bouygues Telecom Clients Particuliers et Professionnels Clients Entreprises Sommaire Chapitre 1 Guide d utilisation à l usage des clients particuliers et professionnels...

Plus en détail

Guide de l utilisateur Mikogo Version Mac

Guide de l utilisateur Mikogo Version Mac Guide de l utilisateur Mikogo Version Mac Table des matières Création d un compte utilisateur Téléchargement et installation Démarrer une session Joindre une session Fonctionnalités Liste des participants

Plus en détail

DWG Table Converter. Guide de l Utilisateur. RECSOFT Inc.

DWG Table Converter. Guide de l Utilisateur. RECSOFT Inc. RECSOFT Inc. DWG Table Converter Guide de l Utilisateur Ce logiciel et sa documentation sont sujets à un copyright et tous droits sont réservés par RECSOFT Inc. RECSOFT est une marque déposée de RECSOFT

Plus en détail

INITIATION AU SYSTEME D EXPLOITATION WINDOWS 2000

INITIATION AU SYSTEME D EXPLOITATION WINDOWS 2000 INITIATION AU SYSTEME D EXPLOITATION WINDOWS 2000 Introduction : Initiation à la Micro- Informatique 1. Matériel 2. Périphériques a) Le clavier b) La souris c) L écran d) L unité centrale e) L imprimante

Plus en détail

Comment configurer Kubuntu

Comment configurer Kubuntu Comment configurer Kubuntu Configuration du réseau... 1 Configurer votre système Linux sur le réseau...1 Vérifier manuellement l adresse IP...5 Connecter un lecteur réseau distant Windows/Mac grâce au

Plus en détail

Guide du plug-in BR-Docs pour Office

Guide du plug-in BR-Docs pour Office Guide du plug-in BR-Docs pour Office Version 0 FRE Table des matières 1 Guide du programme d installation 1 Installation de BR-Docs Plug-In for Office...2 Configuration matérielle et logicielle requise...5

Plus en détail

Manuel du client de bureau distant de KDE

Manuel du client de bureau distant de KDE Manuel du client de bureau distant de KDE Brad Hards Urs Wolfer Traduction française : Joëlle Cornavin Traduction française : Yann Neveu Relecture de la documentation française : Ludovic Grossard 2 Table

Plus en détail

GUIDE D INSTALLATION INTERNET haute vitesse

GUIDE D INSTALLATION INTERNET haute vitesse GUIDE D INSTALLATION INTERNET haute vitesse Modem routeur sans fil 2704R Version 2013-01 1 800 567-6353 Table des matières 1. Installation du modem routeur sans fil...4 1.1 Matériel fourni...4 1.2 Connexion

Plus en détail

CONDITIONS D UTILISATION VERSION NOMADE

CONDITIONS D UTILISATION VERSION NOMADE CONDITIONS D UTILISATION VERSION NOMADE Les Editions Francis Lefebvre déclarent détenir sur le produit et sa documentation technique la totalité des droits prévus par le Code de la propriété intellectuelle

Plus en détail

2015 Securexam Guide d utilisation

2015 Securexam Guide d utilisation 2015 Securexam Guide d utilisation Les désignations «Comptables professionnels agréés du Canada», «CPA Canada» et «CPA» sont des marques de commerce ou de certification des Comptables professionnels agréés

Plus en détail

Installation de GFI FAXmaker

Installation de GFI FAXmaker Installation de GFI FAXmaker Systèmes Requis Avant d installer FAXmaker, vérifiez que vous remplissez bien les conditions suivantes : Serveur FAX GFI FAXmaker : Serveur sous Windows 2000 ou 2003 avec au

Plus en détail

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier 1. Installation de Windows Server 2003 Standard Edition (pour le serveur)

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier 1. Installation de Windows Server 2003 Standard Edition (pour le serveur) Atelier 1 Préparation des machines virtuelles Installation de Windows Server 2003 Standard Edition (pour le serveur) Installation de Windows XP Professionnel (pour le client) Configuration du protocole

Plus en détail

Installation d'ipcop

Installation d'ipcop Installation d'ipcop 1. Présentation d IPCOP : Qu'est ce que IPCOP? IPCop est un projet Open Source basé sur une distribution Linux optimisée destinée à assurer la sécurité d un réseau (local ou internet)

Plus en détail

LD Paye pour Windows

LD Paye pour Windows LD Paye pour Windows Version 5 Installation du progiciel Installation des programmes Ce paragraphe et ceux qui suivent décrivent l ensemble des tâches d installation de LDPaye pour Windows relatives à

Plus en détail

GUIDE D'INSTALLATION. AXIS Camera Station

GUIDE D'INSTALLATION. AXIS Camera Station GUIDE D'INSTALLATION AXIS Camera Station A propos de ce guide Ce guide est destiné aux administrateurs et aux utilisateurs de AXIS Camera Station et est applicable pour la version 4.0 du logiciel et les

Plus en détail

Windows 8 module 8 Cours windows8 Dominique Bulté Sal e Informatique de Cappel e la Grande novembre 2013

Windows 8 module 8 Cours windows8 Dominique Bulté Sal e Informatique de Cappel e la Grande novembre 2013 Windows 8 module 8 22. Réparer son PC sous Windows 8 (1/3) : la fonction d'actualisation Votre machine montre quelques signes de faiblesse et ce, sans aucune raison? Des applications se ferment sans prévenir,

Plus en détail

GUIDE D INSTALLATION INTERNET haute vitesse

GUIDE D INSTALLATION INTERNET haute vitesse GUIDE D INSTALLATION INTERNET haute vitesse Modem routeur sans fil 2704R Version 2012-10 1 800-567-6353 Table des matières 1. Installation du modem routeur sans fil...4 1.1 Matériel fourni...4 1.2 Connexion

Plus en détail

Retrouver de vieux programmes et jouer sur VirtualBox

Retrouver de vieux programmes et jouer sur VirtualBox CHAPITRE 3 Retrouver de vieux programmes et jouer sur VirtualBox Ce chapitre présente des notions avancées de VirtualBox. Elles permettront de réaliser des configurations spécifiques pour évaluer des systèmes

Plus en détail

Guide de l utilisateur

Guide de l utilisateur Guide de l utilisateur Avertissement Les informations contenues dans ce manuel sont susceptibles de modification sans préavis. BeWAN systems ne peut être tenue pour responsable si une non-conformité partielle

Plus en détail

Activité : TP Durée : 6H00. Un PC d assemblage de marque NEC Un casque avec micro Une clé USB. Un CD de Windows XP professionnel

Activité : TP Durée : 6H00. Un PC d assemblage de marque NEC Un casque avec micro Une clé USB. Un CD de Windows XP professionnel Activité : TP Durée : 6H00 INSTALLATION ET CONFIGURATION D UN PC SOUS WINDOWS XP PROFESSIONNEL Moyens et ressources : Matériel et outillage : Cours, synthèses Logiciels Un PC d assemblage de marque NEC

Plus en détail

Configuration sans fil - Utilisation de l Assistant de configuration de la connexion sans fil pour Windows

Configuration sans fil - Utilisation de l Assistant de configuration de la connexion sans fil pour Windows Description du problème 100000039756 Configuration sans fil - Utilisation de l Assistant de configuration de la connexion sans fil pour Windows Description de la solution 200000050595 Choisissez une des

Plus en détail

Nota Bene module Professeur version 11. pour Windows 98 et supérieur. Manuel d utilisation. Edition du 18-04-06

Nota Bene module Professeur version 11. pour Windows 98 et supérieur. Manuel d utilisation. Edition du 18-04-06 Nota Bene module Professeur version 11 pour Windows 98 et supérieur Manuel d utilisation Edition du 18-04-06 Table des matières Chapitre 1 Nota Bene module Professeur...4 I. Installation de Nota Bene module

Plus en détail

Back-In-Time MANUEL D UTILISATION. Votre numéro de série :...

Back-In-Time MANUEL D UTILISATION. Votre numéro de série :... Back-In-Time MANUEL D UTILISATION Votre numéro de série :..................................... Droits d auteur Ce logiciel est Copyright 2008 TED et TRI-EDRE. Ce manuel et le logiciel qu il décrit sont

Plus en détail

Windows 7 - Dossiers et fichiers

Windows 7 - Dossiers et fichiers Windows 7 - Dossiers et fichiers Explorez votre PC : dossiers et fichiers Tous les fichiers nécessaires au fonctionnement de votre ordinateur, qu il s agisse de ceux de Windows, des logiciels installés

Plus en détail

NOTICE D INSTALLATION

NOTICE D INSTALLATION NOTICE D INSTALLATION Sommaire I. Prérequis d installation... 3 II. Lancement de l installation... 3 III. Choix de l installation... 4 A. Installation standard... 4 B. Installation Personnalisée... 6 1.

Plus en détail

WinZip 8.1 Guide de démarrage rapide

WinZip 8.1 Guide de démarrage rapide Guide de démarrage rapide WinZip 8.1 Guide de démarrage rapide Introduction À propos du Guide de démarrage rapide Ce guide explique certains termes de compression de fichiers, décrit certains réglages

Plus en détail

Sauvegarde des données d affaires de Bell Guide de démarrage. Vous effectuez le travail Nous le sauvegarderons. Automatiquement

Sauvegarde des données d affaires de Bell Guide de démarrage. Vous effectuez le travail Nous le sauvegarderons. Automatiquement Sauvegarde des données d affaires de Bell Guide de démarrage Vous effectuez le travail Nous le sauvegarderons. Automatiquement Guide De Démarrage Introduction...2 Configuration Minimale Requise...3 Étape

Plus en détail

Gestion du Serveur Web

Gestion du Serveur Web Gestion du Serveur Web Console de gestion du Serveur Web Une console de gestion est disponible dans l'outil de l'administrateur. Cette console de gestion vous permet de configurer les services JetClouding

Plus en détail

SMC Barricade Routers

SMC Barricade Routers SMC Barricade Routers Guide utilisateur SMC7004BR V1.0 Félicitations pour votre achat du Barricade TM de SMC. Le Barricade de SMC est un routeur à large bande conçu pour le partage en toute sécurité de

Plus en détail

Guide d installation UNIVERSALIS 2016

Guide d installation UNIVERSALIS 2016 Guide d installation UNIVERSALIS 2016 (Windows) Nous vous recommandons de lire ce document avant de commencer l installation d UNIVERSALIS 2016 sur Windows. Vous y trouverez la description de la procédure

Plus en détail

3.5. Choisir la connexion Wi-Fi

3.5. Choisir la connexion Wi-Fi Choisir la connexion Wi-Fi Chapitre 3 Configurer la connexion Internet Si vous êtes passé par le kit d installation de Wanadoo, votre connexion à Internet devrait être active. Néanmoins, quelques réglages

Plus en détail

Manuel d utilisation. InCD. ahead

Manuel d utilisation. InCD. ahead Manuel d utilisation InCD ahead Table des matières 1 À propos de InCD...1 1.1 InCD : de quoi s agit-il?...1 1.2 Conditions préliminaires pour utiliser InCD...1 1.3 Mise à jour...2 1.3.1 Conseils pour les

Plus en détail

Guide d installation UNIVERSALIS 2014

Guide d installation UNIVERSALIS 2014 Guide d installation UNIVERSALIS 2014 (Windows) Nous vous recommandons de lire ce document avant de commencer l installation d UNIVERSALIS 2014 sur Windows. Vous y trouverez la description de la procédure

Plus en détail

Nokia Internet Modem Guide de l utilisateur

Nokia Internet Modem Guide de l utilisateur Nokia Internet Modem Guide de l utilisateur 9216562 Édition 1 FR 1 2009 Nokia. Tous droits réservés. Nokia, Nokia Connecting People et le logo Nokia Original Accessories sont des marques commerciales ou

Plus en détail

Pour toute question ou remarque concernant cette marche à suivre ou la plate-forme elle-même, n hésitez pas à nous contacter.

Pour toute question ou remarque concernant cette marche à suivre ou la plate-forme elle-même, n hésitez pas à nous contacter. Marche à suivre pour utiliser la plate-forme Bienvenue sur la plate-forme éducative de Réseau postal et vente! L objectif du présent document est de vous faire découvrir la salle de classe virtuelle et

Plus en détail

Configuration et dépannage de PC

Configuration et dépannage de PC Configuration et dépannage de PC Sophie Lange Quatrième édition Windows XP, Windows Vista et Windows 7 Tsoft et Groupe Eyrolles, 2003, 2005, 2009, 2012, ISBN : 978-2-212-13421-6 Mise en réseau Partage

Plus en détail

Boot Camp Bêta 1.0.2 Guide d installation et de configuration

Boot Camp Bêta 1.0.2 Guide d installation et de configuration Boot Camp Bêta 1.0.2 Guide d installation et de configuration 1 Table des matières 4 Présentation 5 Étape 1 : mise à jour du logiciel système et du programme interne de votre ordinateur 6 Étape 2 : utilisation

Plus en détail

Tutoriel «KeePass Password Safe»

Tutoriel «KeePass Password Safe» Installer KeePass Tutoriel «KeePass Password Safe» 1.- Après téléchargement du programme à partir de «Atelier-informatique87310.fr», faire un double-clic sur Si la boîte de dialogue «Fichier ouvert - avertissement

Plus en détail

Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet

Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet V3.0 Accès poste nomade par client VPN Page1/29 SUIVI DES VERSIONS Version Date Etat Nom du rédacteur Commentaire

Plus en détail

Boot Camp Guide d installation et de configuration

Boot Camp Guide d installation et de configuration Boot Camp Guide d installation et de configuration Table des matières 3 Introduction 3 Configuration requise 4 Vue d ensemble de l installation 4 Étape 1 : Rechercher les mises à jour 4 Étape 2 : Préparer

Plus en détail

Cours 420-123-LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Cours 420-123-LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton Activer PAE/NX Laboratoire 02 Installation de Windows Server 2008 R2 Standard Edition Précision concernant les équipes de travail Afin de rationaliser les équipements disponibles au niveau du laboratoire, les équipes

Plus en détail

Installation d un Contrôleur de Domaine Windows Server 2003

Installation d un Contrôleur de Domaine Windows Server 2003 Windows Server 2003 Installation d un Contrôleur de Domaine Windows Server 2003 Auteur : Frédéric DIAZ I Introduction : Lorsqu un disque dur est installé pour la première fois dans un PC, seul un formatage

Plus en détail

Chapitre 1 Au cœur de Windows... 13. Chapitre 2 Améliorer le réseau... 53

Chapitre 1 Au cœur de Windows... 13. Chapitre 2 Améliorer le réseau... 53 Chapitre 1 Au cœur de Windows... 13 1.1 Les nouveautés... 16 1.2 La structure du Registre... 17 1.3 Éditer le Registre... 20 Simplifier l accès à l Éditeur du Registre... 23 Utiliser l Éditeur du Registre...

Plus en détail

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session 2003. Sécurité du réseau ACTION PROFESSIONNELLE N 4 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Sécurité du réseau Firewall : Mandrake MNF Compétences : C 21 C 22 C 23 C 26 C 34 Installer

Plus en détail

FileMaker Server 14. Guide de démarrage

FileMaker Server 14. Guide de démarrage FileMaker Server 14 Guide de démarrage 2007-2015 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker et FileMaker Go sont des marques

Plus en détail

SOMMAIRE. Installation & Gestion des licences Schémaplic. 1. Téléchargement des programmes d installation

SOMMAIRE. Installation & Gestion des licences Schémaplic. 1. Téléchargement des programmes d installation Vous venez d acquérir le logiciel Schémaplic et nous vous félicitons pour votre achat. Le présent document illustre les étapes d installation et d activation de votre logiciel Schémaplic dans ses différentes

Plus en détail

GUIDE D UTILISATION ADSL ASSISTANCE

GUIDE D UTILISATION ADSL ASSISTANCE GUIDE D UTILISATION ADSL ASSISTANCE Sommaire I. Vérifications à faire avant d entamer les étapes de diagnostic complexe II. Les étapes du diagnostic après les vérifications A. La synchronisation est KO

Plus en détail

AxCrypt : Logiciel de chiffrement pour Windows. Guide d installation rapide. Version 1.6.3. Mars 2007

AxCrypt : Logiciel de chiffrement pour Windows. Guide d installation rapide. Version 1.6.3. Mars 2007 AxCrypt : Logiciel de chiffrement pour Windows Guide d installation rapide Version 1.6.3 Mars 2007 Copyright 2004 Svante Seleborg, Axantum Software AB Ce document décrit l installation et la prise en main

Plus en détail

Première partie : PARAMETRAGE DU ROUTEUR

Première partie : PARAMETRAGE DU ROUTEUR 19/04/2006-v5 Serveurs HTTP et FTP avec un Routeur modem ADSL Olitec Voici les réglages pour utiliser un "Routeur modem ADSL Olitec" Olitec de gamme «SX200v1&v2&v3/SX500/WF200/WF500/WF400G-V2/CPL400-V1»

Plus en détail

Manuel d utilisation Systèmes d imagerie numérique Installation Table des matières Installation Réglage Windows NT Server... Windows 2000 Server...

Manuel d utilisation Systèmes d imagerie numérique Installation Table des matières Installation Réglage Windows NT Server... Windows 2000 Server... Manuel d utilisation (Réglage Panasonic Document Management System) Systèmes d imagerie numérique Modèle N DP-800E / 800P / 806P Installation Table des matières Installation Installation du pilote d imprimante

Plus en détail

Système Principal (hôte) 2008 Enterprise x64

Système Principal (hôte) 2008 Enterprise x64 Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée avec : Hyper-V 6.0 Manager Hyper-V Server (R1&R2) de Microsoft Hyper-V 6.0 Network Shutdown Module Système Principal

Plus en détail

Manuel d installation et d utilisation du logiciel GigaRunner

Manuel d installation et d utilisation du logiciel GigaRunner Manuel d installation et d utilisation du logiciel GigaRunner Manuel Version : V1.6 du 12 juillet 2011 Pour plus d informations, vous pouvez consulter notre site web : www.gigarunner.com Table des matières

Plus en détail

Démarrer et quitter... 13

Démarrer et quitter... 13 Démarrer et quitter... 13 Astuce 1 - Ouvrir, modifier, ajouter un élément dans le Registre... 14 Astuce 2 - Créer un point de restauration... 18 Astuce 3 - Rétablir un point de restauration... 21 Astuce

Plus en détail

Universalis 2013. Guide d installation. Sommaire

Universalis 2013. Guide d installation. Sommaire Guide d installation Universalis 2013 Nous vous recommandons de lire ce document avant de commencer l installation d UNIVERSALIS 2013 sur Windows. Vous y trouverez la description de la procédure d installation,

Plus en détail

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01 Logiciel de connexion sécurisée M2Me_Secure NOTICE D'UTILISATION Document référence : 9016809-01 Le logiciel M2Me_Secure est édité par ETIC TELECOMMUNICATIONS 13 Chemin du vieux chêne 38240 MEYLAN FRANCE

Plus en détail

Ce tutorial est un document pas à pas détaillé de la création et le déploiement d un domaine traitant sur :

Ce tutorial est un document pas à pas détaillé de la création et le déploiement d un domaine traitant sur : 1. Présentation 1.1.Introduction Ce tutorial est un document pas à pas détaillé de la création et le déploiement d un domaine traitant sur : Installation Active Directory. Configuration du DNS. Configuration

Plus en détail

Tropimed Guide d'installation

Tropimed Guide d'installation Tropimed Guide d'installation 1. A propos de ce guide... 2 2. Configurations matérielles et logicielles requises... 2 2.1 Configuration Windows... 2 2.2 Configuration MacOs... 2 2.3 Configuration requise

Plus en détail

Niveau 2. Atelier d'initiation à l'ordinateur et à Windows ... xfondation de la Bibliothèque Memphrémagog inc. Magog (Québec) J1X 2E7 Tél.

Niveau 2. Atelier d'initiation à l'ordinateur et à Windows ... xfondation de la Bibliothèque Memphrémagog inc. Magog (Québec) J1X 2E7 Tél. xfondation de la Bibliothèque Memphrémagog inc. Magog (Québec) J1X 2E7 Tél. : 843-1330. Atelier d'initiation à l'ordinateur et à Windows Niveau 2.......... JB 15 septembre 2008 ( Canevas original : Marcel

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

Travaux pratiques 06

Travaux pratiques 06 1 Avertissement Travaux pratiques 06 Nous allons essayer de faire communiquer une SuSE live eval et vos postes Windows. Le but de la manip est d'installer VNC sur la SuSE, alors que cela n'a pas été prévu.

Plus en détail

Boot Camp Bêta 1.1.2 Guide d installation et de configuration

Boot Camp Bêta 1.1.2 Guide d installation et de configuration Boot Camp Bêta 1.1.2 Guide d installation et de configuration 2 Table des matières 5 Présentation 6 Étape 1 : mise à jour du logiciel système et du programme interne de votre ordinateur 7 Étape 2 : utilisation

Plus en détail

Guide rapide d'installation SUSE Linux Enterprise Server 11 SP1

Guide rapide d'installation SUSE Linux Enterprise Server 11 SP1 Guide rapide d'installation SUSE Linux Enterprise Server 11 SP1 Guide rapide d'installation SUSE Linux Enterprise Server 11 SP1 NOVELL FICHE DÉMARRAGE RAPIDE Utilisez les procédures suivantes pour installer

Plus en détail

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/8.1 64 bits, Windows 2008 R2 et Windows 2012 64 bits

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/8.1 64 bits, Windows 2008 R2 et Windows 2012 64 bits WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/8.1 64 bits, Windows 2008 R2 et Windows 2012 64 bits Manuel d initiation du Planificateur 2 INTRODUCTION 5 CHAPITRE I : INSTALLATION

Plus en détail

Installation Guide Serveur d impression et de stockage multifonctions à 2 ports USB 2.0 haute vitesse Manuel de l utilisateur

Installation Guide Serveur d impression et de stockage multifonctions à 2 ports USB 2.0 haute vitesse Manuel de l utilisateur Installation Guide Serveur d impression et de stockage multifonctions à 2 ports USB 2.0 haute vitesse Manuel de l utilisateur GMFPSU22W6 PART NO. M0389F Introduction Merci d avoir acheté le serveur d

Plus en détail

http://cri.univ-lille1.fr Virtualisation de Windows dans Ubuntu Linux

http://cri.univ-lille1.fr Virtualisation de Windows dans Ubuntu Linux http://cri.univ-lille1.fr Virtualisation de Windows dans Ubuntu Linux Version 1.0 Septembre 2011 SOMMAIRE 1. Introduction 3 2. Installation du logiciel de virtualisation VirtualBox 4 3. Création d'une

Plus en détail

Manuel du Desktop Sharing

Manuel du Desktop Sharing Brad Hards Traduction française : Ludovic Grossard Traduction française : Damien Raude-Morvan Traduction française : Joseph Richard 2 Table des matières 1 Introduction 5 2 Le protocole de mémoire de trame

Plus en détail