Mise en œuvre d`un pare

Mise en œuvre d'un
pare-feu :
IPCop
MISE EN OEUVRE D'UN PARE-FEU IPCop
1/ Installation :
Nous disposons :
d'une machine physique, équipée de 3 cartes réseaux : c'est le minimum requis pour
notre contexte,
d'une iso IPCop v2.1.8 gravée sur CD.
Booter sur le CD pour lancer l'installation
L'installation commence :
1.
2.
3.
4.
5.
sélectionner la langue,
choisir le type de clavier
sélectionner le fuseau horaire
régler l'heure et la date
sélectionner le disque sur lequel IPCop sera installé
Lors de l'installation sur disque dur, l'assistant demande “disque dur” ou “flash”
confirmer le disque dur
Une fois l'installation terminée, il faut configurer les interfaces réseaux.
2/Configuration des différentes interfaces réseau:
Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE :
Interface rouge :
Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr.
Le but premier d'IPCop est de protéger les autres réseaux et les ordinateurs qui leurs sont
rattachés du trafic provenant de ce réseau ROUGE.
Interface Verte :
Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale
d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.
Interface orange :
Ce réseau optionnel vous permet d'isoler sur un réseau séparé, vos serveurs accessibles au
public, c'est-à-dire votre DMZ. Les ordinateurs reliés à ce réseau ne peuvent accéder au
réseaux VERT ou BLEU. Cette interface utilise une carte réseau Ethernet dans la machine
IPCop.
Interface bleue :
Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau
séparé. Les ordinateurs de ce réseau ne peuvent accéder au réseau VERT sauf par le biais
d’œilletons volontairement établis, ou par le biais d’un VPN. Cette interface utilise une carte
réseau Ethernet dans la machine IPCop.
Pour notre contexte Booktic, nous n'utiliserons pas de réseau bleu.
Sélectionner une carte et cliquer sur "sélectionner":
pour lui attribuer la couleur verte (réseau local) par exemple puis cliquer sur "Assigner":
Refaire la même opération pour les autres cartes. pour arriver à la fenêtre suivante :
Pour rappel , dans notre contexte Booktic :
interface rouge => accès vers l'extérieur
interface verte => accès au réseau local
interface orange => DMZ
3/ Adressage des différentes interfaces :
Pour chaque réseau, il suffit de renseigner les champs avec les bonnes informations :
IP de cette interface dans le réseau
Masque du réseau
IP du serveur DNS
passerelle par défaut
On répète l'opération pour chacune des interfaces.
4/ Configuration des différents mots de passe :
Pour finir la configuration, l'assistant demande de renseigner plusieurs mots de passe :
root ⇒ accès en ligne de commande pour l'utilisateur root
admin ⇒ accès via un navigateur web pour l'administrateur
backup ⇒ protection de la clé de cryptage des sauvegardes
dial ⇒ autorisation d'utiliser les boutons Connecter et Déconnecter sur la page d’accueil
d'IPCop pour l'utilisateur Dial
5/ Ajout de route dans IPCop :
Pour pouvoir donner accès à internet aux sous-réseaux, il faut qu'IPCop connaisse la route
pour joindre le réseau distant.
En ligne de commande, authentifié en tant que root, tapez :
# root@ipcop:~ # vi /etc/rc.d/rc.event.local
insérer les lignes suivantes :
valider en tapant “:wq!”
Pour que les règles soient appliquées, il faut redémarrer IPCop, tapez “ reboot “
6/ Rédaction des règles de filtrage :
Prenons l'exemple du trafic http et https.
Nous paramétrons IPCop pour que toutes les requêtes Web passent par le Proxy. On se
connecte à l'interface de gestion d'IPECop (interface LAN, verte) en tapant dans la barre du
navigateur l'URL : http://172.16.255.1:8443
login : admin
password : Ligfy!
Nous allons créer plusieurs règles de pare-feu de trafic en sortie :
- trafic http et https autorisé pour le Proxy
- trafic http et https interdit pour le vlan 10 (vlan data)et pour le vlan 50
(vlan WiFi)
Cliquer sur Pare-feu, puis "règles du pare-feu".
Cliquer sur "Trafic en sortie" et compléter les champs suivants :
Interface par défaut : VERT
Format d'adresse : IP Adresse Source : 172.16.15.5 (IP du Proxy)
Port source utilisé : 80
Destination :
Trafic en sortie
Interface par défaut : ROUGE
Réseau par défaut : Any
Service utilisé : http
Additionnel :
Règle activée : case à cocher
Action de la règle : ACCEPTER
Remarque : permet de préciser ce que fait la règle
Enfin, cliquer sur suivant :
Enfin cliquer sur "Enregistrer". On crée une règle à l'identique pour le trafic https du Proxy.
Il faut encore interdire les trafics http et https pour le vlan 10 (data) et le vlan 50 (wifi).
Cliquer sur "trafic en sortie" et créer un règle comme ci-dessous :
Cliquer sur enregistrer et reproduire la même règle pour le trafic https.
Il ne reste plus qu'à recopier ces 2 règles pour le vlan 50 en changeant simplement l'IP
réseau source , à savoir 172.17.16.0/24 (notre vlan 50).
On teste avec un
http://www.google.fr
navigateur
que
le
blocage
est
effectif
en
tapant
l'URL
Il ne reste plus qu'à configurer les navigateurs web des hôtes du réseau pour que le
trafic Web soit redirigé vers le Proxy.