Installation d`OCS Inventory

Installation d’OCS Inventory
Guillaume Genteuil
Période : 2014
___________________________________________________________________
Contexte :
L’entreprise Diamond Info localisé en Martinique possède une cinquantaine de
salariés.
Basé sur une infrastructure en réseau local, on souhaite maintenant mettre en
place un pare-feu facile d’utilisation et de préférence gratuite. IpCop semble la
solution la plus adapté pour pouvoir se protéger des menaces extérieur et profité
d’une surveillance intégrale du réseau.
Environnement

Logiciels : IpCop

SE : Linux (Open
source)

Matériel :
Ordinateur fixe
Utilisateurs
Groupe d’élèves de BTS
SIO
Activités
A.1.1.1 Analyse du cahier des charges d’un service à
produire
A.1.1.2 Etude de l’impact de l’intégration d’un
service sur le système d’information
A.1.2.3 Evaluation des risques liés à l’utilisation d’un
service
A.1.2.4 Détermination des tests nécessaires à la
validation
A.1.3.1 Test d’intégration et d’acceptation d’un
service
A.1.4.1 Participation à un projet
A.3.1.1 Proposition d’une solution d’infrastructure
A Paris, le 08/03/2014
Tâche
Mise en place d’IpCop.
Résultats / Production
Etude du réseau mis en place
Rôle
Observé
Etude des ressources pour la validation
de l’installation
Recenser les risques liés à un
dysfonctionnement du service
Recenser les tests d'acceptation
nécessaires à la validation du service et
les résultats attendus
Tester le service
Vécu
Rendre compte de son activité
Caractériser les éléments permettant
d'assurer la qualité et la sécurité des
services
Vécu
Vécu
Signature du formateur :
Vécu
Vécu
Vécu
Installation d’IpCop
Le pare-feu IpCop est une distribution gratuite Linux.
Gratuit, simple d’utilisation avec interface web, il possède de plusieurs cordes à
son arc.
Installation :
Tout d’abord télécharger IpCop sur le site officiel :
http://www.ipcop.org/download.php
Mais il possible de trouver une des versions antérieur du pare-feu sur le site de
Source Forge :
http://sourceforge.net/projects/ipcop/files/IPCop/
Pour ce qui est de l’installation, voici comment procédé :
En premier lieu, sélectionné une langue
Un message de bienvenu s’affiche. Si le bouton annuler est sélectionné,
l’ordinateur redémarrera, à l’inverse le bouton « ok » permettra de poursuivre
l’installation.
Choisir ensuite “fr-latin1”, pour les clavier azerty français, AZERTY standard.
Pour qu'IpCop se mettre à l'heure dès l'installation, il faut choisir le fuseau horaire
correspondant. Pour la France, sélectionner “Europe/Paris“.
Il est possible de modifier la date et l’heure, mais si le fuseau horaire est le bon, il
n’y a pas besoin de le modifier
Le programme d'installation scanne la configuration matérielle pour rechercher les
supports d'installation disponibles. Il faut donc sélectionner le support souhaité et
faire “Ok“ pour confirmer.
Remarque : le support sélectionné sera formaté et partitionné.
Indiqué ensuite le type de support choisi précédemment. Pour un disque dur, il
faut le choisir puis patienter pour que le partitionnement se termine.
Avec IPCOP, il est possible de sauvegarder les paramètres de configuration via
l'interface web d'administration.
Lors d'une réinstallation il est possible de restaurer cette sauvegarde pour ne pas
avoir à reconfigurer tout un tas de paramètres.
Dans le cas présent, il faut donc sélectionner “Passer“.
Il y a une information important à retenir dans le message indiqué en fin
d'installation, le port à utiliser pour accéder à l'interface web d'IPCOP, qui est un
port non standard pour le HTTPS : 8443.
Dans la version 1.4.20 d'IPCOP le port d'écoute était “445“, devenu dans la version
2.0.3 “8443“.
Pour rappel, le port standard pour le protocole HTTPS est 443.
La configuration
Pour la configuration, il faut maintenant nommer la machine concerné
Indiquer le nom du domaine
L'interface ROUGE, c'est à dire l'interface côté internet, peut-être de plusieurs
types.
Pour attribuer une configuration statique à l'interface, il faut sélectionner
“Statique” dans la liste en utilisant la barre d'espace pour cocher la case.
L'assistant scanne à nouveau votre configuration matérielle pour détecter les cartes
réseaux disponibles sur la machine.
Il y a la possibilité de choisir 4 cartes au total et leur attribué chaque’ une une
couleur.
Rappel :
GREEN : Réseau LAN,
RED : Réseau WAN (internet),
BLUE : Réseau Wifi,
ORANGE : DMZ (Zone Démilitarisée).
Une fois l'assignation terminée, faire “Continuer“.
Il faut désormais indiquer la configuration réseau pour chacune des interfaces.
Informations concernant l'interface GREEN :
Informations concernant l'interface RED :
Il faut maintenant indiquer les serveurs DNS (Primaire et secondaire) que doit
utiliser l'IPCOP, et également, la passerelle par défaut pour sortir du réseau.
Parmi les services qui composent IPCOP, on trouve le service DHCP, il est possible
d’activer ou non à cette étape de la configuration.
Il sera aussi possible d'accéder à nouveau à la configuration du serveur DHCP via
l'interface web par la suite.
Les 3 prochaines étapes concernent la définition des mots de passes, le premier
mot de passe est celui pour l'utilisateur “root“, ensuite l'utilisateur “admin” qui
permet l'accès à l'interface web, puis celui à utiliser pour les clés de cryptage de
sauvegardes.
Remarque concernant la commande "Setup" :
Tout ce qui a été défini au-delà l’installation et du redémarrage de la machine,
peut être modifié en tapant la commande « setup » dans le Shell.
Mise en place d’un proxy sous IPCOP
Un serveur proxy peut être « transparent » ou « non transparent » du point de vue
de l’utilisateur. Le proxy sera « non transparent » c'est-à-dire que l’utilisateur
devra préciser le proxy dans son navigateur pour pouvoir naviguer sur internet.
Connectez-vous à l’interface web de la manière suivante :
« https://IP.de.votre.IPCOP:8443 »
Ensuite, allez dans « Services » puis « Serveur mandataire (proxy).
En quelques clics, il est possible d’activer la fonction de serveur Proxy sous IPCOP,
autrement dit, de démarrer le service Squid.
Il suffit de cocher la case « Activé sur VERT » pour que les clients du LAN puissent
l’utiliser, et ensuite, de cliquer sur « Enregistrer » plus bas dans la page. Le proxy
passera « En fonction ».
Configuration
- Port serveur mandataire : Port sur lequel votre proxy « écoute ». C’est le port
qu’il faudra indiquer dans le navigateur des clients. En général on trouve « 8080 »
ou « 3128 ».
- Langues des messages d’erreurs : Indiquez la langue dans laquelle doivent
s’afficher les messages d’erreurs générés par Squid sur la page web des clients.
- Affichage des messages d’erreurs : Indiquez la mise en page que vous voulez pour
l’affichage des messages d’erreurs. C’est sensiblement équivalent.
- Supprimer l’information de version : Si vous souhaitez supprimer l’information de
la version de Squid dans les messages d’erreurs, cochez cette case. Exemple : «
(Squid/3.1.19) ».
- E-mail de l’administrateur du Cache : Afficher une adresse E-mail dans les
messages d’erreurs.
Je vous conseille d’activer les journaux (appelé également logs) pour que le serveur
Proxy enregistre les URL des sites visités par les utilisateurs et ainsi avoir une
traçabilité sur le serveur des pages web visitées.
Pour se faire, il suffit de cocher la case « Journaux activés » et ensuite de cochez
une des deux cases de gauche ou les deux. Selon le niveau d’enregistrement que vous
souhaitez effectuer (plus ou moins complet/précis).
Les « User-Agent », c’est le logiciel utilisé pour accéder au web donc un navigateur
pour les utilisateurs faisant de la navigation.
Ces deux zones indiquent les ports de destinations autorisés. Par défaut, les ports
essentiels sont autorisés, comme le HTTP pour la navigation internet et le HTTPS
pour la navigation HTTPS.
Il est préférable de mettre les ports nécessaires explicitement plutôt que de mettre
une page vide parce que là ça laisse le champ libre aux personnes souhaitant
contourner le proxy.
Par exemple, si vous souhaitez autoriser l’accès SSH il faut ajouter le port « 22 » à
la liste.
- La zone « Sous-réseaux permis » doit impérativement contenir l’adresse du sousréseau ou se situe vos clients pour qu’ils puissent utiliser le proxy. Il est possible
d’indiquer plusieurs adresses de sous-réseau, ce qui peut être utile si vous avez
plusieurs VLANs dans votre architecture et que tout le monde utilise le même serveur
proxy.
- Adresses IP non restreintes : indiquez les adresses IP auxquelles les règles de
filtrage, de restrictions, ne s’appliquent pas. Ceci peut être utile pour les postes des
membres du service informatique.
- Adresses IP interdites : indiquez les adresses IP qui n’ont pas le droit d’utiliser le
serveur proxy, même si la machine a une adresse faisant parti d’un sous-réseau
autorisé.
- Adresses MAC non restreintes : même principe que pour l’adresse IP mais en se
basant sur l’adresse MAC c'est-à-dire l’adresse de la carte réseau.
- Adresse MAC interdites : même principe que pour les adresses IP interdites mais
en se basant sur l’adresse MAC cette fois-ci.
IPCOP vous permet d’autoriser ou de refuser l’accès au proxy selon une plage horaire
que vous définissez et pour chaque jour de la semaine.
Par exemple, pour autoriser l’accès de 07h00 à 19h00 tous les jours sauf le weekend, on indiquera ceci :
Libre à vous de placer vos restrictions de temps selon vos besoins, ou d’autoriser
l’accès internet tout le temps si vous ne souhaitez pas restreindre l’accès de cette
manière.
Il est possible de limiter la bande passante globale pour tous le LAN ou pour par
machine lors des téléchargements, tout en se basant sur un type de contenu
spécial.
Il est possible de filtrer selon le contenu de la page en utilisant le filtrage par type
MIME dont la liste est disponible sur internet. Ca peut permettre d’accélérer la
navigation si vous filtrez les images par exemple, mais ça peut aussi vous
permettre d’empêcher vos utilisateurs de regarder des vidéos.
Par exemple, pour ne pas afficher les images PNG, on utilise le type MIME
« image/png ». Du coup, si après on va sur internet on ne voit plus les images :
Toutefois, il est possible de ne pas appliquer ces filtres à certains domaines en les
ajoutant dans la zone « Ne pas filtrer ces destinations ».
Il est possible de dire au proxy d’autoriser l’accès uniquement certains navigateurs
(Firefox, Internet Explorer etc.) ou certaines applications (Media Player, Apt-get,…)
en utilisant ce filtre :
Il faut indiquer au navigateur web ou à l’application que vous utilisez, le proxy à
utiliser pour accéder à internet. Il suffit d’indiquer l’adresse IP de l’interface
GREEN de votre serveur IPCOP et le port indiquez pour la configuration du proxy.
- Internet Explorer : Outils > Options Internet > Connexion > Paramètres réseaux >
Proxy
- Mozilla Firefox : Outils > Options > Avancé > Réseau > Paramètres > Configuration
manuelle du proxy.