Installation d`OCS Inventory
Transcription
Installation d`OCS Inventory
Installation d’OCS Inventory Guillaume Genteuil Période : 2014 ___________________________________________________________________ Contexte : L’entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure en réseau local, on souhaite maintenant mettre en place un pare-feu facile d’utilisation et de préférence gratuite. IpCop semble la solution la plus adapté pour pouvoir se protéger des menaces extérieur et profité d’une surveillance intégrale du réseau. Environnement Logiciels : IpCop SE : Linux (Open source) Matériel : Ordinateur fixe Utilisateurs Groupe d’élèves de BTS SIO Activités A.1.1.1 Analyse du cahier des charges d’un service à produire A.1.1.2 Etude de l’impact de l’intégration d’un service sur le système d’information A.1.2.3 Evaluation des risques liés à l’utilisation d’un service A.1.2.4 Détermination des tests nécessaires à la validation A.1.3.1 Test d’intégration et d’acceptation d’un service A.1.4.1 Participation à un projet A.3.1.1 Proposition d’une solution d’infrastructure A Paris, le 08/03/2014 Tâche Mise en place d’IpCop. Résultats / Production Etude du réseau mis en place Rôle Observé Etude des ressources pour la validation de l’installation Recenser les risques liés à un dysfonctionnement du service Recenser les tests d'acceptation nécessaires à la validation du service et les résultats attendus Tester le service Vécu Rendre compte de son activité Caractériser les éléments permettant d'assurer la qualité et la sécurité des services Vécu Vécu Signature du formateur : Vécu Vécu Vécu Installation d’IpCop Le pare-feu IpCop est une distribution gratuite Linux. Gratuit, simple d’utilisation avec interface web, il possède de plusieurs cordes à son arc. Installation : Tout d’abord télécharger IpCop sur le site officiel : http://www.ipcop.org/download.php Mais il possible de trouver une des versions antérieur du pare-feu sur le site de Source Forge : http://sourceforge.net/projects/ipcop/files/IPCop/ Pour ce qui est de l’installation, voici comment procédé : En premier lieu, sélectionné une langue Un message de bienvenu s’affiche. Si le bouton annuler est sélectionné, l’ordinateur redémarrera, à l’inverse le bouton « ok » permettra de poursuivre l’installation. Choisir ensuite “fr-latin1”, pour les clavier azerty français, AZERTY standard. Pour qu'IpCop se mettre à l'heure dès l'installation, il faut choisir le fuseau horaire correspondant. Pour la France, sélectionner “Europe/Paris“. Il est possible de modifier la date et l’heure, mais si le fuseau horaire est le bon, il n’y a pas besoin de le modifier Le programme d'installation scanne la configuration matérielle pour rechercher les supports d'installation disponibles. Il faut donc sélectionner le support souhaité et faire “Ok“ pour confirmer. Remarque : le support sélectionné sera formaté et partitionné. Indiqué ensuite le type de support choisi précédemment. Pour un disque dur, il faut le choisir puis patienter pour que le partitionnement se termine. Avec IPCOP, il est possible de sauvegarder les paramètres de configuration via l'interface web d'administration. Lors d'une réinstallation il est possible de restaurer cette sauvegarde pour ne pas avoir à reconfigurer tout un tas de paramètres. Dans le cas présent, il faut donc sélectionner “Passer“. Il y a une information important à retenir dans le message indiqué en fin d'installation, le port à utiliser pour accéder à l'interface web d'IPCOP, qui est un port non standard pour le HTTPS : 8443. Dans la version 1.4.20 d'IPCOP le port d'écoute était “445“, devenu dans la version 2.0.3 “8443“. Pour rappel, le port standard pour le protocole HTTPS est 443. La configuration Pour la configuration, il faut maintenant nommer la machine concerné Indiquer le nom du domaine L'interface ROUGE, c'est à dire l'interface côté internet, peut-être de plusieurs types. Pour attribuer une configuration statique à l'interface, il faut sélectionner “Statique” dans la liste en utilisant la barre d'espace pour cocher la case. L'assistant scanne à nouveau votre configuration matérielle pour détecter les cartes réseaux disponibles sur la machine. Il y a la possibilité de choisir 4 cartes au total et leur attribué chaque’ une une couleur. Rappel : GREEN : Réseau LAN, RED : Réseau WAN (internet), BLUE : Réseau Wifi, ORANGE : DMZ (Zone Démilitarisée). Une fois l'assignation terminée, faire “Continuer“. Il faut désormais indiquer la configuration réseau pour chacune des interfaces. Informations concernant l'interface GREEN : Informations concernant l'interface RED : Il faut maintenant indiquer les serveurs DNS (Primaire et secondaire) que doit utiliser l'IPCOP, et également, la passerelle par défaut pour sortir du réseau. Parmi les services qui composent IPCOP, on trouve le service DHCP, il est possible d’activer ou non à cette étape de la configuration. Il sera aussi possible d'accéder à nouveau à la configuration du serveur DHCP via l'interface web par la suite. Les 3 prochaines étapes concernent la définition des mots de passes, le premier mot de passe est celui pour l'utilisateur “root“, ensuite l'utilisateur “admin” qui permet l'accès à l'interface web, puis celui à utiliser pour les clés de cryptage de sauvegardes. Remarque concernant la commande "Setup" : Tout ce qui a été défini au-delà l’installation et du redémarrage de la machine, peut être modifié en tapant la commande « setup » dans le Shell. Mise en place d’un proxy sous IPCOP Un serveur proxy peut être « transparent » ou « non transparent » du point de vue de l’utilisateur. Le proxy sera « non transparent » c'est-à-dire que l’utilisateur devra préciser le proxy dans son navigateur pour pouvoir naviguer sur internet. Connectez-vous à l’interface web de la manière suivante : « https://IP.de.votre.IPCOP:8443 » Ensuite, allez dans « Services » puis « Serveur mandataire (proxy). En quelques clics, il est possible d’activer la fonction de serveur Proxy sous IPCOP, autrement dit, de démarrer le service Squid. Il suffit de cocher la case « Activé sur VERT » pour que les clients du LAN puissent l’utiliser, et ensuite, de cliquer sur « Enregistrer » plus bas dans la page. Le proxy passera « En fonction ». Configuration - Port serveur mandataire : Port sur lequel votre proxy « écoute ». C’est le port qu’il faudra indiquer dans le navigateur des clients. En général on trouve « 8080 » ou « 3128 ». - Langues des messages d’erreurs : Indiquez la langue dans laquelle doivent s’afficher les messages d’erreurs générés par Squid sur la page web des clients. - Affichage des messages d’erreurs : Indiquez la mise en page que vous voulez pour l’affichage des messages d’erreurs. C’est sensiblement équivalent. - Supprimer l’information de version : Si vous souhaitez supprimer l’information de la version de Squid dans les messages d’erreurs, cochez cette case. Exemple : « (Squid/3.1.19) ». - E-mail de l’administrateur du Cache : Afficher une adresse E-mail dans les messages d’erreurs. Je vous conseille d’activer les journaux (appelé également logs) pour que le serveur Proxy enregistre les URL des sites visités par les utilisateurs et ainsi avoir une traçabilité sur le serveur des pages web visitées. Pour se faire, il suffit de cocher la case « Journaux activés » et ensuite de cochez une des deux cases de gauche ou les deux. Selon le niveau d’enregistrement que vous souhaitez effectuer (plus ou moins complet/précis). Les « User-Agent », c’est le logiciel utilisé pour accéder au web donc un navigateur pour les utilisateurs faisant de la navigation. Ces deux zones indiquent les ports de destinations autorisés. Par défaut, les ports essentiels sont autorisés, comme le HTTP pour la navigation internet et le HTTPS pour la navigation HTTPS. Il est préférable de mettre les ports nécessaires explicitement plutôt que de mettre une page vide parce que là ça laisse le champ libre aux personnes souhaitant contourner le proxy. Par exemple, si vous souhaitez autoriser l’accès SSH il faut ajouter le port « 22 » à la liste. - La zone « Sous-réseaux permis » doit impérativement contenir l’adresse du sousréseau ou se situe vos clients pour qu’ils puissent utiliser le proxy. Il est possible d’indiquer plusieurs adresses de sous-réseau, ce qui peut être utile si vous avez plusieurs VLANs dans votre architecture et que tout le monde utilise le même serveur proxy. - Adresses IP non restreintes : indiquez les adresses IP auxquelles les règles de filtrage, de restrictions, ne s’appliquent pas. Ceci peut être utile pour les postes des membres du service informatique. - Adresses IP interdites : indiquez les adresses IP qui n’ont pas le droit d’utiliser le serveur proxy, même si la machine a une adresse faisant parti d’un sous-réseau autorisé. - Adresses MAC non restreintes : même principe que pour l’adresse IP mais en se basant sur l’adresse MAC c'est-à-dire l’adresse de la carte réseau. - Adresse MAC interdites : même principe que pour les adresses IP interdites mais en se basant sur l’adresse MAC cette fois-ci. IPCOP vous permet d’autoriser ou de refuser l’accès au proxy selon une plage horaire que vous définissez et pour chaque jour de la semaine. Par exemple, pour autoriser l’accès de 07h00 à 19h00 tous les jours sauf le weekend, on indiquera ceci : Libre à vous de placer vos restrictions de temps selon vos besoins, ou d’autoriser l’accès internet tout le temps si vous ne souhaitez pas restreindre l’accès de cette manière. Il est possible de limiter la bande passante globale pour tous le LAN ou pour par machine lors des téléchargements, tout en se basant sur un type de contenu spécial. Il est possible de filtrer selon le contenu de la page en utilisant le filtrage par type MIME dont la liste est disponible sur internet. Ca peut permettre d’accélérer la navigation si vous filtrez les images par exemple, mais ça peut aussi vous permettre d’empêcher vos utilisateurs de regarder des vidéos. Par exemple, pour ne pas afficher les images PNG, on utilise le type MIME « image/png ». Du coup, si après on va sur internet on ne voit plus les images : Toutefois, il est possible de ne pas appliquer ces filtres à certains domaines en les ajoutant dans la zone « Ne pas filtrer ces destinations ». Il est possible de dire au proxy d’autoriser l’accès uniquement certains navigateurs (Firefox, Internet Explorer etc.) ou certaines applications (Media Player, Apt-get,…) en utilisant ce filtre : Il faut indiquer au navigateur web ou à l’application que vous utilisez, le proxy à utiliser pour accéder à internet. Il suffit d’indiquer l’adresse IP de l’interface GREEN de votre serveur IPCOP et le port indiquez pour la configuration du proxy. - Internet Explorer : Outils > Options Internet > Connexion > Paramètres réseaux > Proxy - Mozilla Firefox : Outils > Options > Avancé > Réseau > Paramètres > Configuration manuelle du proxy.