Les réseaux des EPLEFPA. Guide «IpCop»

Les réseaux des EPLEFPA Guide «IpCop» Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010

2 Table des matières 1Schéma de principe...3 2A quoi sert IPCOP :...3 3Les Interfaces réseaux...4 3.1L'Interface réseau ROUGE...4 3.2L' Interface réseau VERTE...4 3.3L'Interface réseau BLEUE...4 3.4L'Interface réseau ORANGE...4 3.5Niveau relatif de sécurité sur les interfaces réseau d'ipcop...4 4Installation...5 4.1Préalable :...5 4.2Début de l'installation...6 4.3Paramétrage par l'interface Web...20 4.4Ajout des «add-on» nécessaires...21 4.5Paramétrage des «add-on»...26 1.Advanced Proxy...26 2.URL Filter...28 3.Block Out trafic (BOT)...32 4.OpenVPN (Zerina)...40

3 1 Schéma de principe 2 A quoi sert IPCOP : IPCop est une distribution Linux de sécurisation des réseaux locaux. Elle vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture de type PC. Elle offre la classique Zone démilitarisée (dmz)ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). IPCop peut également servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc...). Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée(zone bleue).

4 3 Les Interfaces réseaux Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE. (Voir le graph précedent) 3.1 L'Interface réseau ROUGE Ce réseau correspond à l'internet ou tout autre réseau considéré non sûr. Le but premier d'ipcop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. 3.2 L' Interface réseau VERTE Cette interface est reliée aux ordinateurs qu'ipcop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. 3.3 L'Interface réseau BLEUE Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d'oeilletons ( << pinholes >> ) volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. 3.4 L'Interface réseau ORANGE Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau Ethernet dans la machine IPCop. 3.5 Niveau relatif de sécurité sur les interfaces réseau d'ipcop Le modèle de sécurité mis en œuvre avec IPCop comporte un réseau totalement sûr (VERT). Les requêtes issues de ce réseau sont considérées comme légitimes et autorisées par IPCop (et ce qu'elles soient initiées par un utilisateur ou par une machine infectée par un virus, un cheval de Troie ou toute autre sorte de << malware >> ). IPCop 1.4.X supporte l'activation du système de détection des intrusions (IDS) sur chaque interface réseau de la configuration. Il est fortement recommandé de surveiller le journal des évènements de l'ids pour vos réseaux internes dans le but de vérifier qu'aucune des machines dont vous êtes responsable n'a de comportement étrange, comportement parfois signe d'une infection par un virus. Un classement des réseaux proposés par IPCop par ordre décroissant de niveau de confiance donne la suite cidessous : ROUGE ORANGE BLEU VERT

5 4 Installation 4.1 Préalable : Avoir préparé un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou 4 cartes réseau en fonction de la configuration choisie. Il est préférable de connecter directement les cartes à leur élément actif respectif. Il est rappelé que les différentes interface d'un FireWall ne doivent pas être connectées au même réseau physique ou alors uniquement sur des ports appartenant à des VLAN 802.1q différents. En règle générale, l'interface rouge est directement connecté au port LAN de votre routeur d'accès Internet, le port vert au switch de votre réseau local, le port orange à un switch (ou VLAN) dédié à votre DMZ et enfin l'interface bleue directement à votre switch ou VLAN dédié aux bornes WIFI. Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements. Relevez quelques paramètres clefs sur votre interface actuelle avant de vous lancez dans l'installation : vérifiez comment vous obtenez actuellement une adresse IP : adresse IP statique, par DHCP, par PPPOE ou par PPTP. si vous obtenez l'adresse par DHCP, vérifiez si votre système possède un nom d'hôte qu'il indique au serveur de votre FAI. récupérez les adresses des serveurs de noms que vous utilisez. Le serveur DHCP de votre FAI peut vous fournir automatiquement ces adresses ou vous pouvez avoir à les indiquer manuellement. relevez les éventuelles adresses par défaut de sous-domaine. Cela vous permet d'accéder à certains services tels que mail ou news sans taper le nom d'hôte complet. Voyez l'explication dans le paragraphe de configuration de DHCP. Après avoir téléchargé la dernière version stable sur le site sourceforge.net, gravez une image iso bootable.

4.2 Début de l'installation Booter sur le cd «Message indiquant la destruction de tout ce qui se trouve sur le disque dur» Entrer Choix des langues : Français ok 6

Message de bienvenue OK support en cd puis OK 7

8 La procédure de détection du matériel et d installation des paquets commence alors : Si le matériel lui plait alors la préparation du disque dur peut commencer : (création de fichier log) = long ne pas s inquiéter, laisser faire! Partitionnement (peut être long selon votre configuration matérielle)

Une fois l installation des paquets terminée, passons au premier paramétrage du pare feu. 9

10 Si vous possédez une sauvegarde d IPCOP choisissez l emplacement sinon «passer» (sélection avec espace puis tabulation pour descendre jusqu à OK et entrer). Etape de configuration réseau Recherche carte réseau pour l interface vert

il en propose une!! ok si elle correspond bien a celle que vous vouliez coté LAN. S il y a un souci avec le driver par rapport à votre carte vous pouvez obtenir cela Sinon la configuration continue Saisir de l IP et le masque de l Interface verte (la carte qui sera reliée à votre LAN), par exemple : 10.31.1.2 avec le masque en 255.255.255.0 11

retirer le cd Menu de «Configuration du clavier» Choisissez le bon clavier (généralement fr-latin1) Menu de «Fuseau horaire» puis le bon fuseau horaire. 12

13 Menu de «Nom d'hôte» Saisissez le nom d hôte de votre serveur : (exemple : ipcop) Si vous possédez un nom de domaine, indiquez-le ici. Si vous n'en possédez pas ou si vous ne souhaitez pas l'utiliser, vous pouvez très bien accepter la valeur par défaut, << localdomain >>. Si vous envisagez de mettre en place un VPN, vous pourrez préfixer << localdomain >> pour produire par exemple << x.localdomain >> et << y.localdomain >> Ce nom de domaine sera automatiquement utilisé comme << suffixe de nom de domaine >> du serveur DHCP. Menu de «Nom de domaine» Saisir le nom de domaine : (exemple : pedago)

14 Menu de «Configuration RNIS (ISDN)» Comme nous connectons notre interface rouge directement au routeur Internet, il faut désactiver RNIS Choisissez le bouton rouge ad hoc (tabulation) Menu de «Réseau / Type de configuration réseau» Maintenant il va être possible de choisir le type de configuration du FireWall (gestion de dmz, gestion de zone wifi en fonction de vos besoins que vous aurez préalablement déterminé : et donc du nombre de cartes réseau que vous avez inséré dans votre machine!

15 Dans notre exemple, nous choisissions une configuration à 3 cartes Ethernet, la Rouge vers le routeur Internet, la verte vers le LAN et l'orange vers un switch DMZ. Donc : configuration de type «green orange red» Menu de «Réseau / Affectation des pilotes et des cartes» Affectez les pilotes aux cartes en sélectionnant «rechercher» IpCop doit trouver une carte et vous demander son affectation

Si possible pensez à étiqueter les cartes physiquement : c'est parfois utile par la suite... Puis de même pour les autres affectations en utilisant la fonction de recherche automatique : Ainsi de suite pour toutes vos interfaces 16

17 Menu de «Réseau / Configuration de l'adresse» Ensuite il va falloir affecter une adresse IP a chaque carte par le menu «Configuration des adresses» : Interface par interface, en fonction du nombre de vos cartes, paramétrez les configurations IP : Normalement la Green à déjà été faite précédemment (celle coté LAN). Vous pouvez tout de même revoir sa configuration en la sélectionnant depuis la liste des interfaces. Si elles sont présentes, vous configurez ensuite la carte Orange avec une IP privée de la zone DMZ, puis la bleue avec une IP privée du réseau WIFI. Enfin, si votre réseau ROUGE est de type Ethernet (majorité des cas en établissement), vous devez indiquer la manière par laquelle l'interface obtient son adresse IP. Ceci dépend de votre FAI et du type de connexion.

18 L'adressage statique est utilisé lorsque votre FAI vous fournit une adresse IP fixe (Cette adresse IP public fixe est généralement délivrée sur votre demande auprès du FAI). Saisissez la dans le champ d'adresse IP de la boîte de dialogue. IpCop déterminera automatiquement le masque de réseau. Vous pourrez toujours modifier ce masque si nécessaire. C'est le cas généralement lorsque l'établissement est adhérent au réseau RENATER ou que vous avez formuler une demande spécifique à votre FAI. Attention: Votre réseau ROUGE doit posséder une adresse IP statique si vous envisagez d'utiliser la fonctionnalité d'aliasing proposée par IPCop. DHCP correspond au cas où votre FAI vous indique que vous devez utiliser un adressage automatique. La connexion nécessite alors d'indiquer un nom d'hôte à leur serveur DHCP. Ce n'est très probablement pas le nom d'hôte de votre IpCop. Vous pouvez éventuellement utiliser la première partie du nom de domaine pleinement qualifié que vous avez relevé lors de la récupération des paramètres réseaux. Si votre connexion se fait par PPPOE, votre FAI fournira toutes les informations nécessaires à la connexion de sorte que vous n'avez rien à spécifier de plus après avoir sélectionné cette méthode de connexion. Attention dans ce cas de figure la connexion se relance aux alentours de minuit pour changer d'ip. Si votre connexion se fait par PPTP, vous devez indiquer l'adresse IP du réseau ROUGE ainsi que le masque de réseau, tout comme dans le cas d'un adressage statique. Cette adresse est très fréquemment 10.0.0.150 avec le masque réseau 255.255.255.0. Si vous ne connaissez pas votre adresse IP: http://www.adresseip.com(depuis le reseau à tester!!!) si elle change toute les 24h c'est que vous n'êtes pas en statique!!!!! Quand vous en avez terminé, choisissez le bouton Ok pour revenir au Menu de configuration réseau. Si vous êtes connecté au réseau RENATER, vous êtes très probablement en adresse ip fixe. Sinon il y a de forte chance que vous soyez en PPPOE.

19 Menu de «Configuration DNS et Passerelle» DNS : Il s'agit généralement de ceux fournis par votre FAI Passerelle : C'est l'adresse IP de votre routeur d'accès à Internet Menu de «Configuration de DHCP» A activer si vous souhaitez utiliser l'ipcop pour ce service. Dans ce cas, vous devrez indiquer la plage IP pour les baux d adresses à délivrer Menu de «Mot de passe root» utilisé en console Menu de «Mot de passe admin» utilisé pour l'interface WEB Menu de «Mot de passe Backup» utilisé pour les opérations de sauvegarde Attention lors de la saisie des mots de passe le curseur ne bouge pas Notez bien vos différents mots de passe Installation terminée, cliquez sur OK pour rebooter

4.3 Paramétrage par l'interface Web La suite du paramétrage s'effectue depuis le navigateur Web d'un PC positionné sur le réseau. La connexion s'effectuera sur https://adresseip_verte_ipcop:445/ avec le compte admin Vous pouvez vérifier et éventuellement effectuer la mise à jour de votre serveur grâce au Menu de «Système / Mises à jour» Téléchargez la dernière mise à jour stable sur le site sourceforge.net sur votre PC Installez la grâce aux champs «transférer le fichier de mise à jour» prévu dans ce menu Menu de «Système / Accès ssh» Autoriser l'accès SSH et cochez toutes les croix 20

Menu de «Services / Serveur Mandataire (Poxy)» Activez le service Activez le mode transparent sur Green (éventuellement sur Blue) Passez le cache à 500 puis enregistrez 4.4 Ajout des «add-on» nécessaires Téléchargez depuis un PC les dernières versions stables depuis les liens du site sourceforge.net 21

22 Récupérez les fichiers «.tar.gz» des add-on suivants : BOT (BlockOutTraffic) http://www.blockouttraffic.de/ Advanced Proxy http://www.advproxy.net/ URL Filter http://www.urlfilter.net/ OpenVPN http://www.openvpn.eu/ (Attention : le lien de sourceforge.net n'est plus à jour) Décompressez ces archives dans des dossiers de votre pc à l aide de l'utilitaire WinRar qui gère les formats de fichier.tar et.tar.gz Téléchargez et installez le logiciel WinSCP sur votre PC (http://winscp.net/). Il vous permettra de transférer les add-on sur votre serveur IpCop grâce à une connexion sécurisée SSH Exécutez WinSCP en indiquant les paramétres de votre IpCop, par exemple : host name : 10.31.1.2 port : 222 root et mot de passe (Connexion en root obligatoire) Choisir «oui»

Interface avec coté gauche les dossiers de la station Windows et coté droit les dossiers de l IPCOP. Transférez les dossiers entiers des add-on dans le répertoire /tmp de votre IpCop 23

24 Attention lors de la décompression ou lors du transfert, il est possible que les droits sur les fichiers soient modifiés, ce qui pertuberait l'installation. Il faut donc modifier les droits à l aide du clic droit / propriétés Un système de cases à cocher permet de rétablir les droits en exécution (cochez les X) :

25 Ensuite c est en ligne de commande sur le serveur qu il va falloir décompresser ces archives dans les sous dossiers précédemment créés et lancer les installations de ces modules! Vous pouvez également vous connecter en mode console depuis votre PC en utilisant le logiciel «Putty» dont le paramétrage est le même que celui de WinSCP vu précédemment. Vous devez vous connecter sur le serveur avec le compte root Pour chaque add-on, vous devez vous positionner dans le répertoire où vous l'avez copié grâce à la commande cd, par exemple «cd /tmp/ipcop-advproxy», puis exécuter la commande d'installation en fonction de l'add-on, en général «./install» ou «./setup».

4.5 Paramétrage des «add-on» 1. Advanced Proxy En interface web, maintenant dans le menu «Services» vous devez avoir le menu «proxy avancé» Paramétrez le proxy. Interface Green et Blue en mode transparent si nécessaire : 26

27 Activez les logs Augmentez la Taille du cache en mémoire à 32 et sur le disque à 500 32 500 Vous pouvez choisir ensuite d'authentifier vos utilisateurs via un serveur LDAP, AD ou RADIUS. Attention, cette possibilité ne fonctionne pas avec le proxy en mode transparent. Sauver et redémarrer

28 2. URL Filter Idem pour de urlfilter : décompression préalable puis installation au travers de Putty ou en direct sur le serveur firewall. En interface web, dans le menu «Services» vous avez maintenant le sous menu «filtre d url»

29 Il faut d'abord activer le filtre d'url dans le menu «Services / Proxy avancé» Puis aller dans le menu «Services / Filtre d'url» pour le paramétrer. IpCop intègre le chargement et la mise à jour des «Black lists» tenues à jour par l Université de Toulouse. Effectuez le téléchargement, paramétrez la fréquence de mise à jour et sauvegardez vos paramètres :

Sélectionnez les listes de site dont vous souhaitez interdire l'accès. Attention, certaines sont très restrictives et bloque même l'accès à Google Vous pouvez également bloquer ou autoriser explicitement certains domaines ou sites 30

31 Et enfin procéder à des réglages avancés comme, définir des adresses privilégiées non filtrées (votre propre PC par exemple ), personnaliser le message d'erreur, activer certains champs des logs,. N'oubliez pas d'enregistrer vos paramètres

32 3. Block Out trafic (BOT) Pour Block out traffic : décompression préalable, transfert en faisant attention aux soucis de droits, puis installation! (attention./setup au lieu de./install précédemment avec les autres addons) En interface web, vous avez à présent dans le menu «Parefeu» les sous menu gérer le traffic sortant et configuration avancée du BOT»

33 Dans le menu «Parefeu / Gérer traffic sortant» choisir modifier Vous devez ensuite saisir l adresse mac du poste autorisé à administrer votre IpCop. Vous trouvez l adresse physique mac de windows avec la commande : ipconfig /all Ensuite indiquez le port 445, cochez les suivantes (idem ci-dessous), sélectionnez reject et enfin cliquez sur le bouton enregistrer Ensuite vous pourrez : activer bot

34 Par défaut, comme son nom l indique, BOT (Block Out Traffic) va tout bloquer!! Il s agit donc maintenant d ouvrir les ports nécessaires à nos utilisations dans les EPLEFPA. Les configurations peuvent êtres différentes en fonction de l'utilisation de ce firewall suivant qu'il protége un réseau pédagogique, un réseau administratif ou un mixte. Il faut désormais créer des règles «d acceptation de flux» de la carte verte (réseau LAN) vers la carte rouge (routeur Internet). Certains ports courants sont déjà présents dans BOT, et il suffira de les choisir dans une liste, d autres sont à créer en tant que service : Exemple d ouverture de port, le 510 pour notre messagerie first class (@educagri.fr) :

35 Pour se simplifier la vie, il sera possible ensuite de créer des groupements de services, et ensuite il suffira de faire une règle autorisant ce groupement de services à sortir de l interface verte vers l interface rouge. Par exemple tous les protocoles de messagerie, puis un autre regroupement pour toutes les applis administratives Ci-dessous les services que l on inclut dans ce groupement de services

36 Il suffit ensuite d'autoriser en une seule règle tout ce regroupement de services à sortir du «vert» vers le «rouge» ou vers «any».

Attention à bien cocher règle activée (et journaliser si vous le souhaitez) Elle apparaît ensuite dans liste des règles actuelles du serveur IpCop 37

Voici la liste des principaux services dont vous avez besoin dans le cadre d'un EPL. Vous pourrez les regrouper comme vu ci dessus avant de créer la règle les autorisant. Autre exemple avec un regroupement de services pour sortir sur Internet : 38

39 Exemple d'un regroupement de services pour les protocoles de messagerie : Exemple d'un groupement de services pour les applications administratives : Attention : le proxy transparent est activé. Il utilise le port 800. Il faut créer un service proxy en port 800 Puis une règle qui autorise ce service à sortir de l interface verte vers l ipcop Puis une autre règle qui autorise la sortie du service «domain» (déjà listé dans bot), lui aussi de l interface verte vers ipcop.

40 4. OpenVPN (Zerina) Pour Zerina (OpenVPN) : décompression préalable, transfert en faisant attention aux soucis de droits, puis installation par la commande./install. Le fichier d'installation de Zerina (install) doit être modifié avant d'être exécuté. En effet, l'add-on ZERINA contrôle la version d'ipcop mais sans être à jour... La solution était sur un forum, (http://forums.ixus.fr) : il faut modifier le script d'installation. Vous pouvez le faire en tant que root directement par la console unix du serveur ou par l'utilitaire WinSCP en faisant un click droit/editer sur le fichier install : On retourne sur WinSCP, on clique de droite sur le fichier «install» puis «Editer» ce qui ouvre une fenêtre d'édition. On descend à peine un peu, jusqu'à : Sur la ligne de test if de la version (la première ligne en sélection ici), vous remplacez la version exigée par l'installeur par celle que vous avez réellement installé (dans notre exemple 1.4..20). Attention si vous avez mis à jour la version 1.4.20 vers la 1.4.21, il faudra bien évidemment saisir la valeur 1.4.21 Enregistrez le fichier modifié et exécutez le.

41 Dans l'interface web, vous avez à présent dans le menu «RPVs» le sous menu «OpenVPN» qui va vous permettre de configurer votre serveur. La suite de la configuration du serveur et des ses clients est détaillée dans le guide «Les réseaux des EPLEFPA - Clients OpenVPN» au chapitre traitant d'ipcop.