Configuration d un Firewall IPCOP 1. Présentation : IPCOP est une distribution linux (Open Source), basée sur Linux From Scratch, destinée à assurer la sécurité d un réseau. C est un système d exploitation à part entière qui peut être installé sur un vieux PC (233 Mhz, 64 Mo RAM, 200 Mo Disque dur) pour faire office de FireWall très performant (pare feu) ou de serveur mandataire (Proxy), et personnalisable grâce à un système de plugins très simples à mettre en œuvre. IPCOP peut gère jusqu à 4 réseaux différents (classés par couleurs) Interface Rouge : Ce réseau correspond au réseau Internet (le réseau le plus dangereux.), l essence même d IPCOP est de protéger les autre réseau des attaques venues du réseau Rouge. Interface Verte : Correspond au réseau local protégé par IPCOP. Ce réseau à le droit d accès aux 3 autres réseaux (sauf paramétrage spéciaux : «URL Filter» qui limite l accès au Web, «BlockoutTrafic» pour gérer finement le trafic réseau.) Interface Orange (optionnelle) : Ce réseau est une sorte de DMZ (Demilitarized Zone = Zone Démilitarisée) qui permet de relier des serveurs mail ou serveurs Web au réseau Internet. Les ordinateurs de ce réseau ne peuvent pas accéder aux ordinateurs des interfaces Bleu et Verte sauf mise en place de règles explicites. Interface Bleu (optionnelle) C est une interface spécifique aux réseaux sans fil. Elle permet aux ordinateurs connectés d accéder au réseau rouge et Orange sans accéder au réseau Vert.
Dans ce tuto, je vous présente un paramétrage d IPCOP avec deux interfaces (rouge et vert) permettant de protéger un réseau simple (sans Wifi ni DMZ) des dangers d Internet. Voici un résumé de l installation :
2. Procédure d installation : Commencez par télécharger la dernière version sur le site http://ipcop.org ou sur le site http://sourceforge.net/projects/ipcop/ Une fois le fichier ISO téléchargé ~ 47 Mo, gravez le ou faite une live USB IPCOP. Une fois le gravé, bootez dessus sur le PC destiné à devenir Firewall IPCOP. Vous obtenez alors la page suivante : Appuyez sur ENTRER pour lancer l installation d IPCOP. Choisissez alors la langue d installation :
Validez la page de bienvenue : Puis choisissez la source d installation, dans notre cas lecteur CD-ROM
La procédure de détection du matériel et d installation des paquets commence alors :
Une fois l installation des paquets terminée, passons au premier paramétrage du pare feu. Si vous possédez une sauvegarde d IPCOP choisissez l emplacement sinon passez (comme
dans notre cas, passez cette étape. Sur la page suivante choisissez rechercher pour qu IPCOP détecte vos interfaces réseau
Le driver de la carte détectée s affiche alors. Cliquez sur OK pour valider le choix de ce drivers pour le réseau vert. Saisissez alors l adresse IP LAN que vous voulez donnez à votre Firewall IPCOP (IP qui correspondra à la passerelle de votre réseau Vert.
Un message de fin d installation apparaît alors. Retirez votre CD et validez OK pour continuer. Choisissez ensuite votre type de votre clavier
Ici choisissez votre fuseau Horaire. Donnez un nom à votre Firewall.
Choisissez un nom de domaine (groupe de travail) pour votre réseau, où saisissez le nom de domaine (groupe de travail) existant. Choisissez votre option de paramétrage pour l interface Rouge, comme nous paramétrons la protection d un accès ADSL nous allons désactiver l option RNIS (Numéris).
Pour finir de configurer les interfaces d IPCOP, choisissez «Type de configuration réseau» Dans notre cas, c est GREEN + RED.
Le système arrête et redémarre alors les interfaces réseaux. Choisissez maintenant «Affectation des pilotes et des cartes» pour affecter une carte réseau à l interface Rouge.
Choisissez OK pour lancer l outil de recherche des pilotes de carte réseau. Cliquez sur Rechercher pour lancer le recherche.
Une fois le pilote détecté, cliquez sur OK. Passons maintenant à la configuration de l adressage du réseau Rouge. Choisissez «Configuration de l adresse»
Choisissez alors l interface que vous souhaitez configurer (ici ROUGE). Dans notre cas, nous choisissons adressage IP statique avec comme IP : 192.168.1.2 (pour être dans le même plan d adressage que la Livebox qui est en 192.168.1.1).
Choisissez «Configuration du DNS de la passerelle» pour définir l adresse de la passerelle pour accéder à Internet ainsi que les serveurs DNS Favoris. Dans notre exemple, nous utilisons une Livebox Orange donc comme DNS nous mettons en primaire l adresse IP de la Livebox et en secondaire le serveur DNS Primaire de Orange. Comme Passerelle par défaut nous mettons l adresse IP LAN de la Livebox : 192.168.1.1
Choisissez maintenant Configuration du serveur DHCP (si vous voulez délivrer les Adresse IP automatiquement aux stations du réseau Vert) ou continuer si vous ne voulez pas de DHCP. Choisissez ici la plage d adresse de votre Pool DHCP. Dans mon cas j ai mis 192.168.0.100 à 192.168.0.150 avec comme passerelle (pour les machines du réseau Vert) 192.68.0.10 (adresse LAN de l IPCOP). Et comme DNS Primaire l adresse LAN de l IPCOP.
La configuration est alors finie il ne reste plus qu à choisir vos mots de passe pour les différent utilisateurs. Le mot de passe root (utilisateur suprême du mode console : shell) Choisissez le mot de passe de l utilisateur administrateur qui sert à s identifier via l interface Web.
Le gros du paramétrage est alors fini. Cliquez sur OK pour rebooter votre Firewall. Si vous avez un écran sur votre PC IPCOP, au redémarrage vous obtenez le menu de boot GRUB suivant : Laissez passez 5 secondes pour qu IPCOP se lance.
Une fois le cheminement du boot fini vous obtenez une belle fenêtre noir avec un prompt qui marque login : tapez root Puis comme password, tapez le mot de passe saisi précédemment pour obtenir l accès au shell : (nous reviendrons au shell plus tard pour l installation des addons) L installation à proprement parlé de vote IPCOP est terminée. 3. Prise en main : Pour accéder à l interface Web Tapez : https://192.168.10.1:445 User : admin Pass : le mot de passe défini précédemment. Vous obtenez alors la page suivante : Vous voyez ici 8 sections disponibles : Système : Cette section regroupe tous les utilitaires système : mise à jour, accès SSH, modification du mot de passe, sauvegarde etc. Etat : regroupant les résumé de l état système ainsi que des outils de surveillance graphique : services actifs, utilisation de mémoire, du processeur, du disque dur etc.
Réseau : Cette section n est utile que si vous avez connecté directement un modem à l interface rouge (en non un routeur/modem) dans ce cas elle vous permet de paramétrer directement le modem. Services : Vous retrouvez ici les options de paramétrages des différent services installé sur le pare feu. Bien sûr au plus vous ajoutez de plugins, au plus cette interface sera fournie. Par défaut vous y trouverez : serveur mandataire (serveur proxy), serveur DHCP, serveur DNS Dynamique, serveur de temps, fonction de lissage de trafic etc. Pare feu : voici la section dédiée au paramétrage fin du firewall : transfert de ports, accès externe, option du pare feu etc. RPVs : Cette section vous permet de créer un VPN (réseau privé virtuel) entre deux firewall IPCOP. Journaux : Configuration des journaux, Résumé des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux IDS si ce dernier est actif et Journaux Système. Addons : détection qui n apparaît qu après ajout du plugin MOD serveur (que nous verrons plus loin).
4. Paramétrage : A) Autoriser l accès SSH Passons maintenant au paramétrage avancé de votre pare feu : Allez dans le menu Système puis la section accès SSH : Ici cochez : Autorise le transfert IP Permettre l authentification par mot de passe Et permettre l authentification par clef publique Ces paramètres vont nous permettre d accéder à notre firewall depuis notre PC et d y transférer les fichiers nécessaires à l installation des plugins. B) Installation de plugins supplémentaires : Téléchargez et décompressez le logiciel WINSCP Portable (pas besoin d installer), vous pouvez le trouver à l adresse suivante : http://sourceforge.net/projects/winscppe/ Téléchargez également le logiciel Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Ce logiciel va vous permettre d ouvrir une session (shell) sur votre IPCOP depuis votre PC. Téléchargez ensuite les plugins que vous désirez ajouter, dans notre cas pour construire un firewall complet nous allons voir l installation et le paramétrage de : URL Filter, MOD Serveur, AdvProxy, P2PBlock et Adv Qos. Pour URL Filter nous avons besoin de : http://www.urlfilter.net/download.html ou le lien de téléchargement direct :http://www.urlfilter.net/download/ipcop-urlfilter- 1.9.1.tar.gz
Pour Addons Server tékécharger le fichier : http://firewalladdons.sourceforge.net/ et cliquez sur curent version Téléchargez une base de blacklist, de l université de Toulouse par exemple : * ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz ou juste quelques catégories : ftp://ftp.univ-tlse1.fr/blacklist/ Téléchargez P2PBlocker : Lien direct : http://thenetworld.vcsens.com/modules.php?op=modload&name=downloads&file=index&req=getit&l id=8 Ou allez voir sur le site : http://www.the-networld.tk/ AdvProxy est disponible dans la section Addons Server sinon téléchargeable à l adresse : http://www.advproxy.net/ Pour Block Out Trafic (est disponible dans la section Addons Server sinon téléchargeable à l adresse : http://blockouttraffic.de/files/blockouttraffic-2.3.2-gui-b3.tar.gz Une fois tous vos plugins téléchargés il vous faut les transférer sur votre IPCOP afin de les installer. Lancez WinSCP et connectez-vous en tant que root Là créez le répertoire /var/ipcop/plugin et copiez-y les différents fichiers téléchargés cidessus.
Une fois ces fichiers transférés, ouvrez une session PuTTY : Connectez vous de nouveau en root : Là déplacez-vous dans le répertoire plugin : Cd /var/ipcop/plugin Décompressez le plugin URL FIlter tar zxvf ipcop-urlfilter-1.9.1.tar.gz Lancez ensuite le script d installation du plugin : cd ipcop-urlfilter./install L installation d URL Filter est alors terminée Enfin pour l installation d Addons Server : Cd /var/ipcop/plugin tar zxvf addons-2.3-cli-2.tar.gz cd addons
./setup i Rebootez alors votre système shutdown r now NB : Pour désinstaller un plugin exécutez /var/ipcop/plugin/nom_du_plugin/uninstall ou /var/ipcop/plugin/setup u C) Paramétrages des Services : Une fois l IPCOP redémarré (un petit son retentira), rendez-vous sur l interface Web : https://192.168.10.1:445 Paramétrage du proxy et d URL Filter : Là allez dans l onglet service section serveur mandataire (Proxy) : Cochez les cases : Activer sur Green Mode transparent sur Green Et enfin Filtre d URL Enregistrez les modifications. Allez dans l onglet services section Filtrage URL et descendez jusqu à l encadrement «Mise à jour de la blacklist»
Là cliquez sur parcourir et allez chercher le fichier téléchargé précédemment : blacklist.tar.gz que vous avez téléchargé précédemment. Une fois le fichier sélectionné, cliquez sur chargez blacklist. Vous obtenez alors la liste des catégories suivantes (en haut de la page de config d URL Filter) : Cochez les catégories que vous souhaitez bloquer
Personnalisez maintenant le message d avertissement qui va s afficher lors du blocage : Pour enregistrer et activer de suite ces modifications, cliquez sur enregistrer et redémarrer (pour redémarrer le service proxy) NB : on remarquera qu il est également possible de personnaliser cette page en insérant une image de fond. Ce qui vous donne lors de l accès à un site de la blacklist l avertissement suivant : Dans ce cas deux possibilités : 1. Le site est vraiment Interdit et le client ne doit pas le visiter? Ne rien faire 2. Le site est n est pas à considérer comme interdit et là il suffit de l ajouter dans les Whitelistes personnalisées section services/filtrage URL (un site par ligne sous la forme : free.fr par exemple, c est-à-dire sans http ni www).
Activez la mise à jour automatique de vos blacklists, ça vous permet de ne pas avoir à le faire manuellement : NB : Il est possible d éditer les blacklists, de sauvegarder les paramètres de mise à jour des blacklists et même de sauvegarder votre configuration d URL Filter. Paramétrage de la détection d intrusion : Activons maintenant le détection d intrusion d IPCOP (le système utilisé est le système Open Source Snort). Pour pouvoir l utiliser il faut commencer par s inscrire en ligne sur le sitehttp://www.snort.org Une fois inscrit, connectez-vous, cliquez sur «user preferences» puis en bas de la page sur «get oink code» enfin copiez votre code «Oink»
dans la page de configuration de Snort d IPCOP. Enregistrez et appliquez alors les modifications, si tout se passe bien l état du service doit devenir vert! d) Pare Feu Transfert de Port Cette option se trouve dans l onglet pare feu / Transfert de port Ce panneau sert, comme son nom l indique, à transférer un port vers une adresse IP du réseau interne (Green), utile pour UltraVNC, Téléphonie IP, serveur FTP, Freeplayer. Bref tous les logiciels ayant besoin d un accès direct à Internet Dans l exemple ci-dessus je montre comment rediriger le port TCP 5900 (pour Ultra VNC)
vers l IP 192.168.10.20 depuis toutes les IP WAN. Accès externes Nous pouvons ici ouvrir les ports 445 et 222 pour autoriser l accès à la page de configuration Web ainsi que l accès SSH depuis le réseau extérieur (Internet rouge). E) Addons (après installation du plugin) : Cet onglet vous permet d ajouter des plugins sans passer par le mode console. Pratique en effet pour les newbies du monde linux mais ne regroupe toutefois pas tous les
meilleurs plugins disponibles! A installer tout de même. f) Etat du système : Cet n est là qu à titre indicatif, en effet aucune modification n est possible ici. Vous pouvez ici vérifier quel services sont actifs, l espace disque disponible, la mémoire utilisée, les modules chargés etc. G) Journaux Pour en finir avec ce tuto nous allons aborder une notion très importante pour un firewall : les journaux ou logs. En effet, ces retours d informations permettent d analyser quels sont les attaques, quand ontelles lieu voire même d arriver à identifier leur origine, le simple fait de cliquer sur l adresse IP soupçonnée lance un Who is.
A noter qu il possible de paramétrer les logs dans l onglet journaux/configuration des journaux en les classant (ordre chronologique ou alphabétique), en fixant le nombre de lignes conservée, ou en précisant la durée de conservation des logs, etc.