Rapport De Stage : Firewall par simo hachchadi

May 9, 2017 | Author: Simo Hachchadi | Category: N/A
Share Embed Donate


Short Description

Rapport De Stage : Firewall par simo hachchadi , firewall , pare feu , sécurité informatique , ofppt , ist...

Description

RAPPORT DE STAGE

PROJET : FIREWALL Réalisé par : HACHCHADI Mohammed Encadré par : MOUMEN Yassine

2013/2014

Dédicace Tout d’abord et avant d’annoncer le 1er mot de mon rapport, J’aimerais Que ce travail présente mes respects

:

A MES PARENTS : Grâce à vos tendres encouragements et vos grands sacrifices, vous avez pu créer le climat affectueux propice à la poursuite de mes études. Aucune dédicace ne saurait exprimer mes respects, mes considérations et mes profonds sentiments pour vous.

A MES FORMATEURS : Votre générosité et votre soutient m’oblige à vous prendre en considération sur ce dédicace.

A TOUTES MES AMIES : Trouvez ici le témoignage d’une fidélité et amitié infinies.

2 Réalisé par : HACHCHADI Mohammed

Remerciement Le succès et la réussite de mon stage n’auraient pas été possibles, sans la participation effective de certaines personnes, qui ont assuré mon encadrement durant toute la période de formation alternance prévue dans mon cursus scolaire. A cet effet, je remercie, en premier lieu, Mr BEGDOURI Mohammed le directeur Administratif et financier, qui ont eus l’amabilité de nous autoriser à effectuer notre stage au sein de cette Division. Pour mon encadrant :

Mr MOUMEN Yassine

Et mes collègues : Zakaria, Said, Abdelhak, Mohcine, Karim.. Que je remercie pour les conseils précieux qu’ils m’ont procurés tout au long de mon apprentissage. Je tiens à associer à ces remerciements tous les employés de Cabinet Begdouri que je ne serais nommé individuellement pour leurs coopérations et leurs gentillesses, qu’ils trouvent ci l’expression de ma reconnaissance. Je tiens également à adresser nos vifs remerciements à mon formateur Mr Jamal Ben Rahal à qui je n’oublierai jamais l’enseignement précieux qu’il m’a prodigué, et je le remercie aussi pour la sympathie qu’il témoigne à mon égard. 3 Réalisé par : HACHCHADI Mohammed

Avant-Propos - Les stages professionnels jouent un rôle capital dans la formation des stagiaires des Instituts de Formation Professionnels, ils sont le trait entre la théorie et la pratique.

- A cet effet, l’Institut de Formation organise chaque année des stages pratiques en faveur des stagiaires au sein des établissements publiques ou privés pour améliorer le rendement de la formation à l’institut.

- Afin d’atteindre cet objectif, j’ai eu l’occasion d’avoir un stage au sien du Cabinet Begdouri d’une période de Cinquante jours allant du 02 Févier au 27 Mars 2014.

- J’espère que ce rapport sera apprécié par tous mes dirigeants, mes enseignants et vous tiendrez au courant de toutes les étapes de ce stage et activité de l’office.

4 Réalisé par : HACHCHADI Mohammed

Introduction De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire Internet. En effet, une entreprise n'est jamais complètement fermée sur elle-même. Il est par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte à divers acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les mobiles pour effectuer de telles actions sont nombreux et variés : attaque visant le vol de données, passetemps, ...

5 Réalisé par : HACHCHADI Mohammed

Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall. Cet outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr.

De plus, il peut également permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte.

Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données.

6 Réalisé par : HACHCHADI Mohammed

Partie I : Présentation de cabinet Begdouri

7 Réalisé par : HACHCHADI Mohammed

1) Présentation de Cabinet BEGDOURI MOYENS MATERIELS ET TECHNIQUES DU CABINET Le cabinet occupe un local de 164m² au cinquième étage de l'immeuble N°10, sise à rue American au quartier de l'Océan. Le Cabinet Begdouri est doté d'une configuration opérationnelle au niveau informatique qui lui permet de mener à bien les missions qui lui confiées. Ainsi la configuration matérielle est constituée de quinze unités de travail : un serveur, trois stations de travail, sept PC de bureau et quatre PC portables. Le cabinet dispose aussi de deux imprimantes A4 laser noir et blanc, d'une imprimante A4 laser couleur, de deux traceurs A0 couleur, d’une imprimante photocopieurs A4 et a3 laser noir et blanc, d'une imprimante photocopieuse A4 et A3 laser couleur et d'une imprimante scanner photocopieur A0. Par ailleurs, le cabinet a "également la capacité de mobiliser de manière instantanée, si nécessaire. Des moyens beaucoup plus importants compte tenu des relations denses et solides que le cabinet a pu tisser avec en nombre important de professionnels et de prestataires de services liés à son champ d'activité. Le cabinet dispose aussi de trois voitures de services qui sont à la disposition du personnel pour tous les déplacements sur chantier et visites sur le terrain.

MOYENS HUMAINS DU CABINET Grâce à l'expérience professionnelle du Chef de Cabinet aussi dans le secteur public que dans le secteur privé, le cabinet dispose d'un réseau relationnel avec des spécialistes-experts dans dévies domaines liés à l'Architecture, à l'Urbanisme, à l'environnement et à l'Aménagement du Territoire. De ce fait, le Cabinet aux capacités de mobiliser - selon les besoins les profile de haut niveau. 8 Réalisé par : HACHCHADI Mohammed

L'équipe permanente du cabinet d'architecture Begdouri est constituée de : 1 - -> Architecte-Urbaniste-Diplôme d-Architecte d.p.l.g : (juin 1980) Diplôme des Etudes Approfondies (DEA) en Urbanisme (juin 1981) 1 --> Architecte-Diplôme de l'ENA (Octobre 2006) 1--> Géographe Urbaniste doctorant en urbanisme 1--> Informaticien Diplômé des Etudes Supérieures en Management(ESIG) 1--> Economiste -Licence en sciences économiques (Juliet 2000) 1--> Secrétaire de Direction 1--> Technicien projeteur spécialisé en Architecture(2005) 1--> Technicien spécialisé en Urbanisme(2006) 1--> Technicien métreur(2007) 3--> Technicien dessinateurs(2010) 1--> Technicien infographiste(2007) D'autres ressources humaines sont associées sans faire partie de l'agence tels des architectes, économistes, ingénieurs, démographes, juristes, sociologues et géographes au travaillent, selon la demande, comme consultants. Par ailleurs, le Cabinet est ouvert aux étudiants-chercheurs des Institutions de formation supérieure telles l'Ecole Nationales d'Architecture, l'Institut National d'Aménagement et d'Urbanisme, la Faculté des Lettres (Département géographie), ainsi que d'autres institutions d'enseignement supérieur au Maroc et à l'étranger

9 Réalisé par : HACHCHADI Mohammed

2) Organigramme de Cabinet BEGDOURI

3) Présentation de DSI Au sein d'une entreprise, le DSI, directeur du service informatique, est responsable des infrastructures informatiques et télécom. Le rôle du DSI est de coordonner une équipe (service informatique) dont l'objectif est de mettre en place et assurer la maintenance des outils technologiques de l'entreprise. Si sa fonction était à forte consonance technique il y a encore quelques années, le DSI endosse aujourd'hui une responsabilité toujours plus fonctionnelle. Autrement dit, il est là pour assurer la mise en adéquations des outils informatiques avec les objectifs stratégiques globaux de l'entreprise. Ainsi, la connaissance du métier de l'entreprise tend à prévaloir sur la connaissance informatique. 10 Réalisé par : HACHCHADI Mohammed

MISSIONS  Développer, exploiter et maintenir l’infrastructure réseaux et télécoms de l’entreprise ;  Piloter les projets d’infrastructure réseaux et télécoms ;  Gérer la sécurité du système d’information ;  Administrer et assurer la maintenance de la plateforme serveurs (matériels et systèmes d’exploitation) ;  Sécuriser l’infrastructure technique ; ATTRIBUTIONS 1- Maintenir à niveau l’infrastructure réseaux et télécoms ; 2- Acquérir les moyens techniques et les prestations de services afférentes à l’infrastructure technique réseaux et télécoms ; 3- Mettre en place les normes et les procédures d’exploitation de l’infrastructure technique réseaux et télécoms ; 4- Elaborer, mettre en œuvre et veiller à l’application de la politique de sécurité du système d’information ; 5- Etudier les besoins de l’entreprise en termes de solutions réseaux et télécoms ; 6- Encadrer et supporter les entités de l’entreprise ; 7- Suivre les accords avec les acteurs télécoms ; 8- Assurer la veille technologie ; 9- Dimensionner et gérer la capacité de l’infrastructure réseaux et télécoms ; 10- Etudier les besoins des entités de l’entreprise en termes de moyens réseaux et télécoms ; 11- Anticiper les besoins et proposer des plans d’évolution ; 12- Acquérir les solutions réseaux et télécoms ; 13- Piloter les déploiements de l’infrastructure ; 14- Elaborer les tableaux de bords des indicateurs de performance de l’infrastructure ; 15- Gérer les contrats de services avec les prestataires ; 16- Suivre les accords s avec les partenaires télécoms ; 17- Fournir un support aux projets de l’entreprise intégrants le volet réseaux et télécoms ; 11 Réalisé par : HACHCHADI Mohammed

Partie II : Présentation du projet

12 Réalisé par : HACHCHADI Mohammed

13 Réalisé par : HACHCHADI Mohammed

I.

Introduction sur les firewalls

Un pare-feu (Firewall) est un système qui filtre les échanges réseaux. Il y a essentiellement deux types de filtrages : -Les pare-feu qui isolent deux réseaux. Leur rôle essentiel est de restreindre les accès provenant de l’extérieur (par exemple d’internet vers votre LAN). Ils peuvent aussi interdire des échanges issus de l’intérieur (de LAN vers Internet). -Les pare-feu qui isolent les applications du réseau. Ces pare-feu sont locaux à un poste de travail ou à un serveur. Ils interdisent soit des connexions provenant du réseau soit des échanges issus des applications locales.

1. L’implémentation des pare-feu Il est possible de distinguer les techniques pare-feu d’après la couche réseau où elles sont implémentées. - La couche réseau. Par exemple le code pare-feu des routeurs filtrants est implémenté au niveau du pilote IP. - La couche transport. Par exemple, la technologie SOCKS s’appuie sur la couche transport. Elle permet de filtrer de manière transparente tout transfert TCP. -La couche applicative. Ici, le filtrage est effectué soit directement par l’application réseau (le serveur) ou par une application intermédiaire (un wrapper). Par exemple les directives Allow ou Deny du serveur Web Apache limite les échanges à certains clients.

2. Les composants d’un pare-feu Routeur filtrant Le routeur filtrant transfère les paquets IP d’un réseau à un autre. Il utilise essentiellement deux techniques pare-feu : - Le filtrage des paquets IP. - Le NAT (la translation d’adresse) 14 Réalisé par : HACHCHADI Mohammed

Proxy

Un proxy est une application qui sert d’intermédiaire entre un client et un serveur. Le client envoie sa requête au proxy, et celui-ci la réémet en direction du serveur. De même, la réponse du serveur est reçue par le proxy qui la retransmet au client. Un proxy peut être configure pour filtrer les requêtes. Des logiciels proxys peuvent posséder de la mémoire cache, RAM et disque, qui améliore les performances d’accès des postes du réseau intérieur. Il y a essentiellement deux types de proxy : - Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP) - Les proxys transparents qui sont des intermédiaires pour tout type de protocole TCP. La technologie SOCKS est de ce type.

Rempart

Un rempart (Bastion Host) est un ordinateur accessible de l’extérieur, cote Internet, et qui est donc vulnérable aux attaques. Il doit être plus particulièrement protégé. Les remparts abritent les logiciels Proxy et les services.

DMZ

Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau accessible à partir du réseau extérieur et qui abrite les remparts. L’accès au réseau est contrôle par des routeurs filtrant.

3. Les logiciels linux de type pare-feu iptables : cette commande configure le code Netfilter inclus dans le pilote IP du noyau linux. Ce code permet de créer des pare-feu isolant deux réseaux ou isolant les applications locales du réseau.

15 Réalisé par : HACHCHADI Mohammed

tcpd, wrap : cette commande ou cette bibliothèque implémente un pare-feu applicatif qui peut filtrer les connexions réseaux pour la plupart des services réseaux. dante : ce logiciel implémente un serveur compatible SOCKS. Squid : ce logiciel peut isoler deux réseaux s’il est installe sur un serveur ayant accès à ces réseaux.

4. Les distributions linux de type pare-feu La configuration de Netfilter est puissante mais complexe. Tous les administrateurs n’ont pas forcement les compétences réseaux pour élaborer un ensemble cohérent de règles Iptables. Il existe plusieurs produits proposant une vision plus simple. Ce sont eux qui vont générer de manière transparente les règles Iptables. L’utilisateur, lui se contente d’interdire ou d’autoriser tel out tel service et mettre en place ou non le NAT. Les paquets proviennent non pas de la carte eth0 ou ppp0 mais plutôt du réseau «gentil » (vert) ou « méchant » (rouge).Concrètement, il effectue ses paramétrages soit via des fichiers de configuration soit par une interface graphique. Devil-Linux : Fonctionne complètement à partir d’un CD-Rom. La configuration peut être stockée sur une clé USB. Floppyfw : Routeur filtrant base sur debian. Smooth Wall : Pare-feu à base de noyau 2.6 ipCop : Pare-feu pour le particulier ou l’entreprise, basé sur Smooth Wall.

16 Réalisé par : HACHCHADI Mohammed

II.

Iptables : théorie et implémentation

Le système Netfilter/iptables implémente un routeur filtrant. Il peut donc servir comme pare-feu pour isoler deux réseaux grâce au filtrage des paquets et au NAT. Il peut être utilisé également comme pare-feu local. Dans ce cas, il protège les applications serveurs du réseau ou bien limite les connexions internes à certains sites. L’absence de pare-feu local est considérée comme une des failles majeures d’un système. Netfilter est le code inclus dans le pilote réseau des noyaux Linux 2.4 et 2.6. La commande iptables configure Netfilter.

1- Les concepts de tables, chaines et règles a) Les chaines et les règles Une chaine est composée d’une pile de règles. Chaque règle d’une chaine est composée de deux parties : un critère et une politique. Le critère précise les cas d’application. La politique elle, précise l’action accomplie. Exemple : la chaine INPUT est composée des règles qui filtrent les paquets destinés aux processus locaux. Une des règles peut avoir comme critère la provenance du paquet, par exemple, le serveur DNS et comme politique l’acceptation du paquet. Si un paquet provient du serveur DNS il est accepté, il sera donc transmis à l’application locale qui l’attend. Si le critère ne s’applique pas au paquet, on examine la règle suivante de la chaine. L’ordre des règles est donc primordial. Si aucune règle ne s’applique, on exécute la politique associée à la chaine. Dans le cas de la chaine INPUT, cette politique pourrait être par exemple de rejeter le paquet.

17 Réalisé par : HACHCHADI Mohammed

b) Les politiques des règles de filtrage Les politiques natives : Les politiques spécifient ce que l’on fait d’un paquet : - ACCEPT on laisse passer le paquet. - DROP le paquet est abandonné. - QUEUE le paquet est transféré dans l’espace utilisateur (si le noyau le permet). - RETURN la politique finale de la règle s’applique sans exploiter les règles suivantes. Les politiques rajoutées : Iptables peut utiliser des modules qui offrent un certain nombre d’extensions spécifiant notamment de nouvelles cibles. Voici les cibles rajoutées par les extensions standards : - LOG le paquet est écrit dans le journal de bord (les logfiles) - REJECT le paquet est abandonné comme DROP, mais un message d’erreur ICMP est envoyé à la source du paquet.

c) Les tables Les chaines gérées par Netfilter sont en fait incluses dans des entités plus vastes appelées « tables ». Chaque table correspond aux différentes possibilités d’iptables : - La table filter filtre les paquets IP. Elle est constituée des chaines INPUT, OUTPUT et FORWARD. - La table nat effectue le NAT et de manière plus globale elle permet de rediriger des paquets. Elle est constituée des chaines PREROUTING, OUTPUT et POSTROUTING. - La table mangle peut modifier certains champs des paquets IP, par exemple leur priorité. Elle est constituée des chaines PREROUTING et OUTPUT.

18 Réalisé par : HACHCHADI Mohammed

d) Les différentes chaines prédéfinies INPUT : les paquets destinés aux processus locaux passent par la chaine INPUT. OUTPUT : les paquets réseaux issus des processus locaux passent par la chaine OUTPUT. FORWARD : les paquets en transit provenant d’un réseau et destinés à un autre réseau passent par la chaine FORWARD. PREROUTING : la chaine PREROUTING peut modifier un paquet dès qu’il entre dans le système avant qu’il soit routé. POSTROUTING : la chaine POSTROUTING peut modifier un paquet juste avant sa sortie du système après être passé par le module de routage.

e) Les chaines utilisateur Souvent, un ensemble de règles sont identiques d’une chaine à l’autre. Pour simplifier la maintenance, il est possible de créer des chaines utilisateurs. Ces chaines, dont le nom est à la discrétion de l’administrateur, se compose comme de véritables sous programmes de règles .Elles peuvent être appelées à partir de plusieurs chaines prédéfinies, typiquement INPUT et FORWARD.

2- Exemples d’utilisation des commandes iptables Nous disposons de deux machines linux pour faire les tests : une machine sera le pare-feu et l’autre sera la machine autorisée pour certains services et l’attaquant en même temps. Nous allons configurer notre firewall en ligne de commande de la manière suivante : - On bloque tous le trafic entrant par défaut. - On autorise au cas par cas : le trafic appartenant ou lié à des connexions déjà établies et le trafic à destinations des serveurs (web, ssh, etc.) que nous souhaitons mettre à disposition. 19 Réalisé par : HACHCHADI Mohammed

Nous allons saisir toutes les commandes dans un script Shell ensuite l’exécuter.

Lister les règles courantes : iptables –L

Remarque : la première commande (iptables – L) : elle liste les règles pare-feu de la tables filter.

Supprimer les règles prédéfinies par les commandes suivantes : [root@localhost root]# iptables –F [root@localhost root]# iptables –X

20 Réalisé par : HACHCHADI Mohammed

Exemple de script automatisé pour la mise en place d’un firewall local #!/bin/bash #Nom du script /etc/init.d/parefeu_local #date de creation le 2 mars 2014 #auteur hachchadi #configuration parefeu local pour un serveur linux # #chkconfig: 2345 08 92 #description : parefeu local pour un serveur linux case "$1" in start) echo "demarre le parefeu" iptables –X iptables –F iptables -A INPUT -i lo -j ACCEPT;iptables -A OUPUT -o lo -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP ;; stop) echo "arrete le parefeu" iptables –X iptables –F iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT ;; status) iptables –L esac #FIN DU SCRIPT

On pourra démarrer le script après l’avoir rendu exécutable par la commande : #/etc/init.d/parefeu_local start 21 Réalisé par : HACHCHADI Mohammed

III.

Mise en place d’un firewall logiciel avec la distribution IPCop

1- Qu’est -ce que IPCOP ? IPCOP est un projet Open Source dont le but est d’obtenir une distribution GNU/Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. C’est une distribution linux faite pour protéger un réseau des menaces d’Internet et surveiller son fonctionnement. IPCOP est gratuit, il est téléchargeable sous forme d’un fichier image à graver sur cd. IPCOP est distribué sous la licence « GNU General Public License », ce qui signifie, en d’autres termes, que le logiciel en lui-même est distribuable gratuitement (cf.http://www.gnu.org/copyleft/gpl.html pour la licence complète).

2- Possibilité de mise en place d’IPCOP IPCOP permet de fonctionner sous plusieurs configurations possibles :  Partage d’une connexion Internet : IPCOP sert alors de passerelle entre Internet et le réseau interne.  Partage d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert de passerelle et gère une DMZ (il faut donc 3 interfaces réseau). Les serveurs dans la DMZ doivent être en ip fixes, il suffit ensuite de configurer IPCOP pour qu’il route les demandes venant d’Internet vers les serveurs adaptés selon les ports.  Partage d’une connexion Internet + DMZ + point d’accès wifi : IPCOP peut gérer des clients wifi, ils sont séparés du réseau interne. Dans la philosophie IPCOP, les zones sont schématisées par des couleurs : - La zone RED représente internet. - La zone ORANGE représente la DMZ. 22 Réalisé par : HACHCHADI Mohammed

- La zone BLEU représente les clients wifi (qui sont dans un réseau séparé). - La zone GREEN représente le réseau interne. Le schéma ci-dessous représente la configuration par défaut du pare-feu de la passerelle, à savoir : - Le réseau interne (le LAN) peut accéder à toutes les zones. - La zone wifi peut accéder internet et à la DMZ. - La zone DMZ pourra accéder à internet. - Aucun accès depuis Internet Pour autoriser un accès à un serveur situé dans la DMZ (zone orange), il faudra le spécifier au travers de l’interface web d’IPCOP.

Accès autorisés par défaut.

23 Réalisé par : HACHCHADI Mohammed

3- Liste de services offerts par IPCOP Voici la liste des services offerts par IPCOP : - Interface web pour l'administration et la configuration d’IPCOP en français. - Affichage de l'état du système et graphiques CPU/Mémoire/Disque/trafic sur période journalière/semaine/mois/année. - Informations sur les connexions en cours. - Serveur SSH pour accès distant sécurisé. - Proxy HTTP/HTTPS. - Serveur DHCP.- Cache DNS. - Renvoi de ports TCP/UDP/GRE. - Support des DNS dynamiques. - Système de détection d'intrusion (interne et externe). - Support VPN pour relier des réseaux distants entre eux ou se connecter à distance avec un poste. - Accès aux logs par interface web : du système, de la connexion vers Internet, du proxy, du firewall, de la détection des tentatives d'intrusion. - Mise à jour d'IPCOP par l'interface web. - Sauvegarde de la configuration du système sur disquette. - Synchronisation sur serveur de temps, peut servir le temps aux machines internes. - Arrêt/Redémarrage à distance. - Support des modems RTC/RNIS. - Support de la quasi-totalité des modems ADSL USB et PCI (Voir la liste du matériel compatible dans la section documentation de www.IPCOP.org). - Possibilité d'utiliser une DMZ avec gestion des accès. - Possibilité de sécuriser un réseau sans fil. 24 Réalisé par : HACHCHADI Mohammed

4- Configuration minimale requise : Ce système d'exploitation à part entière fonctionne sur une machine dédiée, et utilise très peu de ressources systèmes : - un ordinateur PC équipé de 64 Mo de mémoire vive et d'un processeur à 233 MHz suffit - 300 Mo d'espace disque - Carte graphique compatible VGA pour l'installation - De deux à 4 interfaces réseau Ethernet - Connexion Internet (Modem, Câble, ISDN, ADSL,...) - Un lecteur CD-Rom pour l’installation. Pour l’utilisation de tous les services, en particulier pour le serveur mandataire (proxy web / cache DNS), il faut mieux prévoir un processeur type pentium 200, 64 Mo de ram, et 500Mo de disque dur. Lors de l’installation d’IPCOP, le disque dur de l’ordinateur est complètement utilisé, qu’il soit petit ou gros. Il faut donc une machine avec un seul disque (un deuxième disque dur serait inutile et inutilisable car IPCOP ne sert qu’à faire passerelle et rien d’autre, et il n’utilise qu’un seul disque dur).

25 Réalisé par : HACHCHADI Mohammed

IV.

Installation d’IPCOP :

1- Où trouver IPCOP ? IPCOP est disponible en téléchargement dans la section download du site www.ipcop.org. IPCOP est disponible sous forme de fichier source à compiler et sous forme d’une image à graver sur un cd. Pour installer IPCOP, le plus simple est de télécharger l’image de sa version la plus récente puis de la graver sur un CD avec un logiciel adapté (nero ou easy cd creator par exemple).Le cd, une fois gravé, est un cd bootable.

2- Installation 1. D’abord, pensez à vérifier qu’il n’y a pas d’information à sauvegarder sur le disque car IPCOP va tout effacer. 2. Ensuite, régler le bios de l’ordinateur pour qu’il boot sur le cd. 3. Insérer le cd et démarrer, l’écran suivant devrait apparaître :

26 Réalisé par : HACHCHADI Mohammed

4. Appuyer sur entrée pour démarrer l’installation. 5. Ensuite, il faut simplement suivre les instructions, la chose consiste en choisir le langage pour l’installation : Il faut donc se placer sur « Français » et appuyer sur la touche entrée

6. Le programme d’installation vous souhaite la bienvenue, appuyer sur entrée. 7. Le programme vous demande la source pour l’installation, choisissez le lecteur cd-rom.

8. Confirmer ensuite que le CD-Rom se trouve dans le lecteur en appuyant sur entrée. 27 Réalisé par : HACHCHADI Mohammed

9. On en vient au formatage du disque, appuyer sur entrée pour commencer (cela prend quelques minutes).

10. Le programme d’installation permet de rétablir une configuration d’IPCOP qui a été sauvegardé sur disquette, pour reproduire les réglages effectués (dans le cas d’une réinstallation par exemple). Dans le cas où vous n’avez pas de disquette, déplacer vous sur le bouton « Passer » grâce à la touche de tabulation et appuyer sur entrée.

28 Réalisé par : HACHCHADI Mohammed

11. Il s’agit maintenant de trouver les drivers adapté à la carte réseau qui sera sur la zone verte (coté réseau interne). Si la carte réseau est dans la liste du matériel compatible fourni sur www.ipcop.org , les pilotes devraient être automatiquement trouvés en appuyant sur la touche« recherche ». Si le matériel n’est pas détecté, il y a possibilité de lui attribuer des pilotes manuellement avec la touche « sélectionner ».

12. Ensuite, il faut configurer cette carte réseau, on entre donc l’adresse ip de la passerelle vu du réseau interne étant (on est dans la zone « verte »).

29 Réalisé par : HACHCHADI Mohammed

13. Le programme d’installation vous demande maintenant de retirer le cd, obéissez et appuyer sur entrée pour continuer l’installation.

14. Choisissez le type de clavier : « fr » pour un clavier français. 15. Sélectionnez ensuite le fuseau horaire auquel vous appartenez, soit Afrique/Dakar pour notre cas. 16. Ensuite, entrez un nom pour la passerelle (ex : « ipcopTdsi »). Ainsi qu’un nom de domaine à la fenêtre qui suit.

30 Réalisé par : HACHCHADI Mohammed

Ainsi qu’un nom de domaine à la fenêtre qui suit.

17. Le programme propose maintenant de configurer la connexion RNIS, dans le cas où vous en n’avez pas, choisissez directement l’option « Désactiver RNIS (ISDN) ». 18. On arrive maintenant à une étape importante : la configuration du réseau. Le menu suivant apparaît :

31 Réalisé par : HACHCHADI Mohammed

19. Allez dans « Type de configuration réseau » pour choisir l’architecture du réseau. Voici les possibilités proposées :

Nous avons choisi l’architecture qui nous convient : GREEN + ORANGE + RED 20. Ensuite, il s’agit d’attribuer des pilotes aux cartes réseau qui n’en ont pas (la carte sur la zone verte étant déjà configurée) en allant dans « Affectation des pilotes et des cartes ».

32 Réalisé par : HACHCHADI Mohammed

Choisissez OK pour configurer les pilotes. Les captures d’écrans suivants sont un exemple avec une architecture « GREEN + ORANGE+ RED», On voit qu’il faut attribuer un pilote à la deuxième carte réseau (de la zone orange) :

Ensuite il faudra faire de même pour la carte RED et si tout se passe bien nous aurons l’écran suivant :

33 Réalisé par : HACHCHADI Mohammed

21. Toutes les cartes réseau ayant un pilote, il s’agit maintenant de leur attribuer une adresse IP. L’adresse IP de la zone verte étant déjà configurée. Allez dans « Configuration de l’adresse » pour attribuer une adresse IP à toutes les autres cartes réseau.

34 Réalisé par : HACHCHADI Mohammed

Configuration de la zone Orange (dmz)

Zone Internet (Rouge) Attribuez un adresse IP à chaque zone puis aller sur « continuer » quand vous avez fini.

35 Réalisé par : HACHCHADI Mohammed

Remarque :

Si votre zone rouge est un carte réseau (donc pas un modem), il est possible de configurer pour cette zone seulement en client DHCP (de manière à ce que ce soit le routeur par exemple qui transmette l’adresse IP et les DNS). 22. Pour finir avec ce menu, allez dans « Configuration du DNS et de la Passerelle » pour choisir un DNS et une passerelle par défaut. Il est peut probable que vous ayez besoin de configurer ces informations manuellement : Dans le cas d’une zone rouge avec modem, ces infos sont envoyé par le FAI (rien à configurer).Dans le cas d’une interface rouge connectée à un routeur : ou la passerelle est client dhcp du routeur (et là, rien à configurer), ou vous avez donné une adresse IP statique à l’interface rouge (et dans ce cas, il faut renseigner les DNS et la passerelle manuellement). 23. Enfin, la dernière étape est d’entrer un mot de passe pour l’administrateur du poste (« root ») et un pour l’administration distante (au travers du site web soit l’utilisateur («admin»).

Mot de passe de root : Begdouri

36 Réalisé par : HACHCHADI Mohammed

Mot de passe de l’utilisateur admin : cabegdouri

Mot de passe de la clé de cryptage des sauvegardes : hachchadiBeg 24. Pour finir, le programme redémarre l’ordinateur, IPCOP est installé.

37 Réalisé par : HACHCHADI Mohammed

25. Ecran de démarrage et connexion en ligne de commande

38 Réalisé par : HACHCHADI Mohammed

Connexion en ligne de commande avec root

Commande ifconfig pour vérifier la configuration réseau des interfaces.

39 Réalisé par : HACHCHADI Mohammed

V.

Administration d’IPCOP

1- Accès à l’interface d’administration d’IPCOP L’accès à l’interface d’administration se fait du réseau interne étant grâce à n’importe quel navigateur web récent à l’adresse suivant: https://:445.

40 Réalisé par : HACHCHADI Mohammed

2- Présentation de l’interface : L’interface web est composée de 7 menus déroulant que nous allons détailler en commençant par le menu « système ».Nous allons présenter les principales fonctions de chaque page de ce site web.

3- Menu Système Le menu système contient des sections pour configurer IPCOP, et l’interface web : Section Accueil : C’est la première page affiché lorsqu’on accède à l’interface d’IPCOP. Cette page permet principalement de connecter/de connecter la passerelle d’Internet. Section Mise à jour : permet de savoir si une mise à jour est disponible. Si une mise à jour est disponible, il suffit de la télécharger et de la transférer à IPCOP grâce à cette même section.

41 Réalisé par : HACHCHADI Mohammed

Section Mot de passe : permet de changer le mot de passe de l’utilisateur ‘admin’ (qui est l’administrateur d’IPCOP) et le mot de passe de l’utilisateur ‘Dial’ (utilisateur qui simplement le droit de connecter/déconnecter Internet dans le cas d’une connexion par modem. Section Accès SSH : permet d’activer ou de désactiver le serveur SSH sur la passerelle. Le serveur SSH peut être utile pour faire des choses qu’on ne peut pas faire directement sur le site web d’IPCOP (ex : changer une l’adresse IP d’une interface). Section Interface graphique : permet de choisir la langue des pages web et d’activer/désactiver les menu déroulant pour les navigateurs non compatibles avec JavaScript. Section Sauvegarde : permet de sauvegarder ou de restaurer sa configuration d’IPCOP. Il est aussi possible d’effectuer une sauvegarde sur disquette pour restaurer cette configuration lors d’une réinstallation complète d’IPCOP. Section Arrêter : permet d’arrêter et de redémarrer la passerelle. Section Crédits : pour contacter les auteurs d’IPCOP.

4- Menu Etat On trouve dans ce menu des informations sur l’état du système : Section Etat du système : permet de connaître l’état de tous les services ainsi que l’utilisation de la mémoire et disque. Section Etat du réseau : permet de visualiser l’adresse ip des interfaces réseau, de voir les clients dhcp et les tables de routages. Section Graphiques système : permet de visualiser sous forme de graphique l’utilisation du processeur, de la mémoire et du disque dur sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année. Section Courbes de trafics : permet de visualiser sous forme de courbes le trafic sur chaque interface (sur chaque zone) sur les dernières 24 heures, le dernier mois, la dernière semaine, le dernier mois ou la dernière année. 42 Réalisé par : HACHCHADI Mohammed

Section Graphes du proxy : donne des graphiques sur l’utilisation du serveur mandataires. Section Connexion : permet de visualiser le connections en cours sur la passerelle.

5- Menu Réseau Ce menu est dédié à la configuration du modem RTC ou ADSL (si vous avez un routeur, ce menu n’est pas utile) : Section Connexion : permet de rentrer les paramètres de connexion fournie par le FAI, il est possible d’avoir plusieurs profils de connexion (dans le ou vous avez plusieurs abonnements par exemple, si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de « repli »). Section Chargement : permet de télécharger les drivers pour faire fonctionner certains modems. Section Modem : permet de modifier les commandes pour les modems RTC.

6- Menu Services C’est ici qu’on configure tous les services de la passerelle : Section Serveur Mandataire (proxy) : permet de configurer le serveur mandataire (qui correspond au proxy web et au cache dns). Section Serveur dhcp : permet de configurer le service dhcp de la zone verte (et bleue si il y en a une). Section DNS Dynamique : permet de mettre en place un client pour mettre à jour un DNS dynamique (type dyndns.org, no-ip.com, …). Section Hôtes statiques : permet d’ajouter des hôtes avec ip statiques. 43 Réalisé par : HACHCHADI Mohammed

Section Serveur de temps : permet à la passerelle d’être un client NTP d’un part et d’être un serveur NTP pour le réseau interne d’autre part (attention : le serveur NTP met quelques heures avant de fonctionner). Section Lissage de trafic : permet de limiter les débits montant et descendant des clients qui vont sur internet. On peut aussi, donner des priorités différentes selon les services pour faire de la qualité de service. Section Détection d’intrusion : permet d’activer ou de désactiver les sondes de détection d’intrusion sur toutes les zones.

7- Menu Pare-feu Ce menu permet de configurer le pare-feu : Section Transferts de port : permet de définir des règles de transfert de port pour donner accès des services d’internet étant sur le réseau interne ou sur la DMZ si il y en a une. Section Accès Externes : permet d’ouvrir des ports pour accéder à la passerelle d’Internet. Section Accès à la DMZ : (menu qui existe si la zone orange existe) permet d’ouvrir des accès direct entre la DMZ et le réseau interne.

8- Menu RPVs On crée ici les Réseaux Privés Virtuel (ou Virtual Private Network en anglais) : Section RPVs : permet de créer des vpn (réseau à réseau, ou postes à réseau).

44 Réalisé par : HACHCHADI Mohammed

9- Menu Journaux Ce menu permet d’accéder à tous les journaux générés par IPCOP et ses services : Section Configuration des journaux : permet de choisir si les journaux doivent être affichés dans l’ordre chronologique et chronologique inverse. On peut aussi choisir d’envoyer les journaux sur un serveur syslog et changer le niveau de verbosité. Section Résumé des journaux : cour résumé des journaux du serveur mandataire, du système, du serveur sshd et de l’utilisation du disque. Section Journaux du serveur mandataires : permet de visualiser les journaux du proxy web (la section existe seulement si la journalisation a été activée). Section Journaux du pare-feu : permet de visualiser les journaux d’accès au pare-feu. Section Journaux IDS : permet de visualiser les tentatives d’intrusion détectée par les sondes du détecteur d’intrusion. Section Journaux système : permet de visualiser les journaux systèmes (systems, dns, dhcp, ssh, ntp, …)

10-

Utilitaire setup

L’interface graphique ne permet pas de tout faire, en particulier changer l’adresse IP d’une carte réseau ou changer de type de passerelle. L’utilitaire setup permet de :  Configurer le type de clavier (fr, us, …).  Changer de fuseau horaire.  Modifier le nom de la passerelle.  Modifier le nom de domaine.  Modifier la configuration réseau de la passerelle. L’utilitaire setup permet par exemple de passer d’un réseau GREEN + RED à GREEN + RED + ORANGE par exemple sans réinstaller le parefeu. 45 Réalisé par : HACHCHADI Mohammed

Pour accéder à l’utilitaire setup, il faut se connecter à la passerelle au travers de ssh attention : le port d’écoute du serveur ssh intégré à ipcop est le 222 et non 22 ailleurs), s’identifier en tant que root et taper « setup ». C’est un menu graphique très simple à utiliser :

Utilitaire setup d’IpCop

46 Réalisé par : HACHCHADI Mohammed

VI.

Paramétrage :

1- Autoriser l’accès SSH SSH permet de se connecter de manière sécurisée sur une machine Linux à distance. On va autoriser SSH sur le pare-feu IpCop pour transférer des fichiers par exemple. Allez dans le menu Système puis la section accès SSH

Ici cochez :-

Accès SSHAutorise le transfert TCP Permettre l’authentification par mot de passe Permettre l’authentification par clé publique

Ces paramètres vont nous permettre d’accéder à notre firewall depuis notre PC et d’y transférer les fichiers nécessaires à l’installation des plugins.

47 Réalisé par : HACHCHADI Mohammed

2- Mise en place d’addons L’ajout d’addons ou de plugins permet d’étendre les fonctions d’IPCOP. Il existe des dizaines de plugins pour IPCOP, mais pour ne pas remettre la sécurité de cette passerelle en cause, il ne faut utiliser que les plugins officiels d’IPCOP. Seul les plugins officiels ont été contrôlés par l’équipe d’IPCOP, ils sont référencés dans la section « Addons » du site www.ipcop.org.Voici deux addons officiels qui permettent les fonctions du proxy web 2.1- Advanced proxy Cet addon permet d’ajouter les fonctionnalités suivantes au proxy d’IPCOP :  Authentification des utilisateurs par rapport à un annuaire LDAP, Active Directory, par rapport aux utilisateurs locaux ou à un serveur Radius.  Contrôle d’accès selon l’adresse IP ou Mac des clients.  Autoriser l’accès à internet sur certaines plages horaires seulement. Pour installer Advanced Proxy, il faut : 1) Télécharger l’archive Advanced Proxy sur le site www.advproxy.net 2) Placer l’archive dans le répertoire /tmp de la passerelle en utilisant l’utilitaire WinSCP (cf.www.winscp.net, WinSCP permet de transférer des fichiers au travers de ssh).

48 Réalisé par : HACHCHADI Mohammed

3) Décompresser l’archive en se connectant sur la passerelle au travers de ssh (utiliser le client Putty par exemple, il est gratuit, en tapant la commande suivante : root@ipcopTdsi:/tmp # tar -xzvf ipcop-advproxy-2.1.2.tar.gz

49 Réalisé par : HACHCHADI Mohammed

Login : root Mot de passe : Begdouri

50 Réalisé par : HACHCHADI Mohammed

4) Installer Advanced Proxy en tapant dans le répertoire /tmp/ipcop-advproxy : ./install

Pour désinstaller Advanced Proxy, il faut exécuter : ./tmp/ipcop-advproxy/uninstall Rappel : Le serveur SSH installé sur IPCOP doit être activé sur l’interface web pour fonctionner. De plus, ce serveur SSH écoute sur le port 222 (et pas 22).Une fois installé, la page de configuration du proxy est étendue avec les options citées ci-dessus. 2.2- url filter Url filter permet de mettre en place du filtrage d’url comme son nom l’indique. Cet utilitaire permet d’interdire aux utilisateurs de visiter des sites web dont l’url (exemple d’url www.msn.com) contient des termes à référence pornographique, violent… Url filter peut aussi filtrer les « popups » publicitaires. 51 Réalisé par : HACHCHADI Mohammed

Pour installer Url filter, il faut : 1) Télécharger l’archive urlfilter sur le site www.urlfilter.net . 2) Placer l’archive dans le répertoire /tmp de la passerelle en utilisant l’utilitaire WinSCP. 3) Décompresser l’archive en se connectant sur la passerelle au travers de ssh en tapant la commande suivante : tar -xzf ipcopurlfilter-1.9.1.tar.gz 4) Installer url filter en se plaçant dans /tmp/ ipcop-urlfilter et en tapant : ./install

Pour désinstaller url filter, il faut exécuter : ./tmp/ipcop-urlfilter/uninstall Une fois installé, le menu service contient une nouvelle section « filtrage d’url » qui permet de configurer le filtrage d’url. 52 Réalisé par : HACHCHADI Mohammed

2.3- Exemple de configuration du pare-feu Accès à la zone DMZ

Transfert de ports

53 Réalisé par : HACHCHADI Mohammed

Pour conclure, Je tiens à signaler que l’élaboration de ce projet ma permis d’acquérir beaucoup d’expériences au niveau du contacte avec le milieu professionnel. Car, j’ai certainement appris des compétences techniques et j’ai amélioré les connaissances théoriques et pratiques notamment en réseaux informatiques. Pendant ce stage, J’ai admis un certain nombre de qualités permettant de s’intégrer dans le marcher d’emploi tout en faisant la distinction entre la formation théorique et la réalité professionnelle. En effectuant ce stage, J’ai acquis certaines attitudes que je n'avais pas avant, que j'en cite: La confiance en soi Le respect de l'horaire du travail Le respect du métier Le respect des supérieurs et collègues La rapidité d’exécution de travail A la fin, j’avoue que je suis personnellement très satisfait de ce stage au sein de cabinet begdouri.

54 Réalisé par : HACHCHADI Mohammed

http://www.ipcop.org http://fr.wikipedia.org/wiki/Netfilter http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-linux-article-24818-1.html http://fr.wikipedia.org/wiki/Firewall

55 Réalisé par : HACHCHADI Mohammed

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF