IPCop - le gardien de votre réseau

Modérateur: Modérateurs et Modératrices

IPCop - le gardien de votre réseau

Messagede Tesgaz » 21 Déc 2007, 20:14

Bonjour tout le monde,

suite à la demande d'un internaute sur la mise en place d'un proxy dans l'entreprise ou il travaille, je lui ai parlé d'Ipcop
http://assiste.forum.free.fr/viewtopic.php?t=19279

Aujourd'hui grace à nos modems "box", il devient de plus en plus fréquents de voir plusieurs pcs au sein d'une même habitation,
la sécurité devient vite un casse tête, car il faut mettre à jour chacun des pcs, c'est identique dans des petites PME

C'est pourquoi aujourd'hui il parait important de parler de ce sujet sur le site d'Assiste qui est un site de sécurité à part entière
Une autre manière d'appréhender la sécurité de votre réseau local

Dés lors se pose une question, comment mettre en place la sécurité en utilisant le moins de ressources possible ?
c'est à partir d'ici que l'on peut protéger l'ensemble de son réseau par l'intermédiaire d'un pare-feu matériel

un pare-feu matériel, c'est une tour avec un système d'exploitation uniquement adapté à la sécurité, ni + ni -
Il existe un système d'exploitation parfaitement adapté à sécuriser votre réseau complet, c'est Ipcop
http://www.ipcop.org/

Il en existe d'autre, mais aujourd'hui, je m'arrête sur celui-ci

IPCop est une distribution Linux faisant office de pare-feu et bien plus encore,
Conçu à partir de Linux From Scratch, il est très sécurisé des le départ, la dernière version à ce jour 1.4.18 utilise un noyau 2.4.34
durci avec SSP Stack Smashing Protector et libsafe
L'image iso pour l'installer ne dépasse pas les 50Mo.
Cette installation peut se faire sur un ancien PC à partir de 200Mh/z disposant au minimum de 2 cartes réseau et d'un disque d'au moins de 1Go avec 64Mo de mémoire vive

Il est bien évident que si vous disposez d'un matériel plus récent, vous pourrez augmenter les fonctionnalités de votre IPCop

Je ne vais pas entrer dans les détails de l'installation, de la configuration ou de la maintenance, car il existe de nombreux tuto sur le
sujet que je vous mettrais en lien au fur et à mesure

Ce post est juste là pour vous faire connaître cet outil très pratique que j'utilise depuis un an, et vous donner quelques conseils avant
de sauter le pas de l'installation et de son utilisation, quelques liens pratiques qui vous permettrons de trouver presque tout sur les fonctionnalités d'IPCop

Mais IPCop que sait-il faire ?
Les fonctionnalités d'IPCop sont nombreuses, je vais essayer de vous donner une liste non exhaustive, car l'ajout des addons permet
d'agrandir le champ d'action de la sécurité de votre réseau
- pare-feu (gestion du trafic entrant et sortant)
- proxy avec cache, en mode normal ou en mode transparent
- détection d'intrusion IDS, analyse de protocole, dépassements de buffers, scans, attaque CGI, etc (Snort)
- création de réseau virtuel (VPN)
- gestion des connexions Wifi
- gestion d'une DMZ
- planification des taches
- serveur DHCP, serveur de temps, serveur Web, serveur SSH (avec accès distant)
- journaux de log du noyau et des attaques, etcInformations sur les connexions actives
- Configuration des connexions Modem
- Cache DNS
- Edition du fichier host
- Lissage de trafic
- Renvoi de ports TCP/UDP/GRE avec gestion de plage
- Contrôle d’accès aux services externes
- Support des DNS dynamiques


Avec les addons:
- règles personnelles du trafic sortant ou entrant en fonction des divers postes du réseau
- filtrage des sites interdits, des horaires, des jours, etc, pour chaque pc du réseau
- scan des mails sur pop et smtp, entrant et sortant pour antivirus
- antispam
- antivirus
- gestion du trafic HTTP, FTP,
- gestion des pubs avec privoxy
- gestion de la bande passante QoS
- gestion ou interdiction des logiciels de partage, P2P, msn, ftp, etc..
- vérification du trafic, statistique, foldinghome
- serveur de mise à jour windows pour l'ensemble des pcs
- serveur Samba

voila, cela donne une bonne base des facultés d'IPCop



Au niveau du matériel

Si vous avez déjà du matériel en état de fonctionnement, un PII ou un PIII feront parfaitement l'affaire,
Si vous envisagez d'optimiser la sécurité de votre réseau, il devient préférable de trouver un pc d'environ 800Mh/z et 256Mo de Ram
car certaines fonctionnalités sont gourmande en ressource
Si possible, essayez de trouver une alimentation silencieuse puisque le pc va tourner presque en permanence !
idem pour la ventilation du processeur et du disque dur!
Pour les cartes réseau, il est préférable de ne pas avoir des cartes identiques, afin de les identifier plus facilement
Pour la carte graphique, aucune importance, puisqu'à la fin de l'installation, nous la supprimerons et la désactiverons dans le BIOS
ainsi que le clavier, la souris, le lecteur de CD, éventuellement le lecteur de disquette

En fait, plus votre réseau est étendu, plus vous aurez besoin de ressource



Au niveau de l'installation

La durée de l'installation prend une vingtaine de minute, si vous suivez bien les divers tutos, l'installation est relativement simple
quelques connaissances sur le réseau ou sous Linux ne sont pas indispensables, mais permettent d'appréhender l'installation plus facilement
divers tutos d'installation et de configuration:
http://www.ipcop.org/1.4.0/fr/install/html/
http://ipcop.org/1.4.0/fr/install/html/ ... media.html
http://forum.rue-montgallet.com/ruemont ... 1419_1.htm
http://www.pcinpact.com/forum/index.php ... 78177&st=0
http://www.generation-nt.com/firewall-i ... 818-1.html
http://www.howtoforge.com/perfect_linux ... l_ipcop_p2

Une fois installé, vous pouvez débrancher votre lecteur de CD, aller dans le BIOS et désactiver la carte graphique, le clavier, la souris, éventuellement le lecteur de disquette
ensuite démontez votre carte graphique, elle ne sert plus à rien, puisque la configuration se fait directement par l'intermédiaire d'un navigateur d'un pc de votre réseau.
Une fois ces actions accomplies, redémarrez votre machine, la configuration va pouvoir commencer

Configuration d'IPCop
La configuration d'IPCop se fait par l'intermédiaire de votre navigateur internet, en fonction de votre modem, de votre réseau
vous aurez diverses options à configurer, pour acceder à cette interface, il suffit de taper l'adresse IP de votre IPCop en https:
exemple : https://192.168.3.1:445
l'interface est constitué de divers onglets qui permettent les divers réglages et options

Image


tuto sur la configuration
http://www.supinfo-projects.com/fr/2005 ... op_2005/3/
http://nilz.free.fr/wordpress/?p=70
http://www.chbcp.net/~pat/ipcop/admin/html/index.html

une fois configurer correctement, vous devriez avoir accès à Internet, si ce n'est pas le cas, c'est qu'il manque un paramètre :roll:

Les principaux Addons
Les addons sont des fonctionnalités supplémentaires pour Ipcop, il en existe de nombreuses, voici un site qui répertorie les principales
http://www.worm-fr.com/wiki/linux/Ipcop/AddOn

Certains Addons ne sont pas officiels, il faut dans ce cas utiliser des outils pour les installer dans votre IPCop
Afin d'installer et de configurer ces nouvelles fonctionnalités, il faut quelques outils : (en fonction du système d'exploitation)
winscp, putty, un gestionnaire de ftp, voici un lien qui vous donne les diverses alternatives
http://ww2.wiki.sidsolutions.net:8888/i ... edirect=no



Ceux qui sont ou paraissent indispensables en fonction du degré de sécurité que vous souhaitez mettre sur votre réseau :
Squidguard : permet de gérer les listes noires et blanches des sites, de mettre des horaires en fonction de l'utilisation ou des utilisateurs
Le tuto : http://franck78.ath.cx/squidGuard-doc/f ... rd-fr.html

Copfilter : permet de verifier les mails entrants et sortants sur le reseau local, antivirus, spam, il permet également de gérer les pubs avec privoxy, de filtrer le traffic http ou ftp, un véritable couteau suisse de la sécurité
Le tuto : www.lindowstech.com/traduction_copfilter.doc
http://members.inode.at/m.madlener/copfilter/README.pdf

BlockOutTraffic : gestion avancée du pare-feu, règles personalisées
le tuto : http://blockouttraffic.de/index_fr.php

P2pBlock : Comme son nom l'indique, il permet de gérer l'autorisation ou l'interdiction du P2P
tuto : http://www.worm-fr.com/wiki/linux/Ipcop/P2pBlock

QoS : gestion des débits avec priorité sur les flux entrants et sortants en fonctions des interfaces réseau
tuto en pdf : http://www.worm-fr.com/wiki/linux/uploads/Ipcop/QoS.pdf

une liste complète d'outils que l'on peut ajouter à IPCop pour travailler directement sur IPCop en passant par Putty
en voici quelques-uns que vous pouvez installer
wget -> pour télécharger les addons directement
joe -> pour éditer les fichiers
mc -> l'explorateur
pour les télécharger : http://www.ipadd.de/binary.html

IPCop est un système complet à part entière pour la sécurité d'un réseau, il est difficile d'en faire le tour en quelques lignes,
j'espère néanmoins que ce post vous donnera une idée du sujet ainsi que la possibilité de l'installer chez vous
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Le matériel

Messagede Tesgaz » 30 Déc 2007, 12:00

Le choix du matériel

Pour installer IPCop, il vous faut un PC
le choix est souvent l'ancienne tour que vous utilisiez il y a quelques mois encore
ou un copain qui souhaite se débarasser de sa vieille tour
un bon vieux PIII fera souvent l'affaire
Si vous n'avez pas de tour, une petite ballade dans les brocantes ou dans les magasins style "cash express"
on trouve ce matos pour à peine 50 €

En fait le matériel dépend surtout de 3 paramètres :
- l'argent que vous ne voulez pas dépenser
- la sécurité que vous souhaitez mettre en place
- le réseau que vous devrez gérer
Il est clair que l'objectif de cet article sur IPCop s'adressent principalement à un réseau local personnel ou éventuellement une petite PME



Le minimum pour une configuration cohérente pour un petit réseau local (2 à 5 pc)
- 400Mh/z
- 256 Mo de Ram
- disque dur 1 Go (10 Go pour le confort "silence")
- 2 cartes réseau , c'est le minimum (de marque différentes si possible)

Les autres accessoires à ne pas négliger : (pour votre confort)
Le silence :
Effectivement, votre ipcop sera sollicité en permanence dans votre réseau local, il n'est pas rare d'avoir son IPCop qui tourne 24h sur 24h pendant des semaines, dans la journée si on y fait pas attention, c'est normal, mais la nuit, les moindres bruits sont atroces pour vos oreilles
- le boitier d'alimentation silencieux
- un ventilateur du processeur silencieux
(si votre disque dur gratte un peu, on pourra le rendre silencieux grace à la commande : hdparm*)

Pour le reste, aucune importance puisque la carte graphique, le lecteur de CD ou de disquette seront ou désactivés, ou supprimés de la tour une fois l'installation terminée


Mon ancien IPCop
Voici un exemple d'une configuration machine opérationnelle
un pc qui a 7 ou 8 ans, totalement épuré du superflu, qui fonctionne toujours

Image

- Processeur : Pentium III
- 450 MHz
- 192 Mo de RAM
- Disque dur : 4Go
- 2 cartes réseau
matériel de récupération : coût global : 0€

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Nouvelle machine IPCop
en prévision d'étendre le réseau avec un serveur

- Processeur Pentium 4
- 2 Gh/z
- 512 Mo de RAM
- disque dur 40 Go
- 3 cartes réseau (1 incorporée sur la CM)

Image

matériel de récupération + achat de 2 cartes réseau d'occasion : coût global : 14€

Comme vous pouvez le constater IPCop ne va pas vous ruiner :Mouaaarrrrffffffff:

*hdparm
http://fr.wikipedia.org/wiki/Hdparm
Cette commande permet de modifier les valeurs du disque dur
#hdparm -I /dev/hda
donne les informations du disque dur, vous devriez trouver une ligne comme celle-ci:
Recommanded acoustic management value: 192, current value: 192
donc, on sait que la valeur silencieuse pour un DD, c'est :128
passons la commande pour rendre le DD silencieux : hdparm -M 128 /dev/hda

Voilà, on a fait le tour de la question du matériel pour une configuration simple d'un réseau local
Il en sera autrement si vous souhaitez sécuriser une cinquantaine de PCs, avec du wifi et gérer 2 serveurs :roll:

la suite, l'installation ...
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X


Retourner vers Linux (toutes distributions) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités