Mise en place d`un pare-feu sous Gnu/Linux IPcop
Transcription
Mise en place d`un pare-feu sous Gnu/Linux IPcop
Office de la Formation Professionnelle et de la Promotion de Travail Institut Spécialisée de Gestion et d’Informatique ISGIM Mise en place d’un pare-feu sous Gnu/Linux IPcop Présenté par: Abderrahman Encadré par: Mme. ABARRO Kawtar Mr. ERROUGUI Jawad 1 2014/2015 Module: conception de projet de fin d'année Table des matières INTRODUCTION .............................................................................................................. 7 PARTIE 1 PRESENTATION DE L’ENTERPRISE ...................................................... 8 I. 1. LIESTE SIGNALETIQUE DU GROUPE MANAGEM .................................................. 9 2. ORGANIGRAMME DU GROUPE MANAGEM ........................................................ 10 3. FILIALES DU GROUPE MANAGEM ..................................................................... 11 4. PRESENTATION DE LA COMPAGNIE DE TIFNOUT TIGHANIMINE ......................... 13 5. PRESENTATION DU SERVICE INFORMATIQUE AU SEIN DE LA CTT ....................... 15 II. PARTIE 2 PRESENTATION DU PROJET ............................................................... 16 1. DEFINITION : SYSTEME D’INFORMATION ............................................................ 17 A. SYSTEME D'INFORMATION ET FINALITE DE LA CHOSE . ........................................ 17 B. SYSTEME D'INFORMATION ET APPLICATION INFORMATIQUE .............................. 18 2. COMPOSITION D'UN SYSTEME D 'INFORMATION D'ENTREPRISE ........................... 18 A. COMPOSITION CLASSIQUE ................................................................................... 18 B. COMPOSITION ACTUELLE .................................................................................... 19 3. ÉVOLUTION DE LA COMPOSITION DU SYSTEME D 'INFORMATION ......................... 20 4. FIREWALL, UNE TECHNIQUE DE PROTECTION ..................................................... 21 A. POURQUOI UN PARE-FEU ? ................................................................................... 21 B. QU’EST-CE QU’UN PARE -FEU ? ............................................................................ 22 C. COMMENT FONCTIONNE UN FIREWALL(PARE -FEU) ? .......................................... 22 D. PROXY ................................................................................................................. 23 E. DMZ .................................................................................................................... 23 5. UN FIREWALL, ÇA PROTEGE CONTRE QUOI ? ...................................................... 23 6. LES DIFFERENTS TYPES DE FIREWALL ................................................................. 24 A. LES FIREWALL BRIDGE ........................................................................................ 24 B. LES FIREWALLS MATERIELS ................................................................................ 24 C. LES FIREWALLS LOGICIELS ................................................................................. 25 A) LES FIREWALLS PERSONNELS .............................................................................. B) LES FIREWALLS PLUS 25 « SERIEUX » ....................................................................... 25 7. LISTE DES FIRWALL PAYANT ............................................................................... 28 8. LISTE DES FIREWALL OPEN SOURCE .................................................................... 28 9. MISE EN PLACE D ’UN FIREWALL LOGICIEL AVEC LA DISTRIBUTION IPCOP ........ 28 A. QU’EST -CE QUE IPCOP ? ................................................................................... 28 Elaboré par Abderrahman 2 ISGI Marrakech B. CARACTERISTIQUES PRINCIPALE D'IPCOP .......................................................... 28 C. LES DIFFERENTES INTERFACES RESEAUX. ........................................................... 28 D. POSSIBILITE DE MISE EN PLACE D’IPCOP........................................................... 29 E. LISTE DE SERVICES OFFERTS PAR IPCOP ........................................................... 30 III. PARTIE 3 MISE EN PLACE UN INTRANET SECURISER D ’ I PCOP ......................... 31 1. SCHEMA DE LA MAQUETTE DU PROJET ............................................................... 32 TACHE A REALISER ................................................................................................... 33 2. PRESENTATION DE WINDOWS SERVER 2008 R2 .................................................. 34 A. CONFIGURATION WINDOWS SERVER 2008 R2 ..................................................... 35 B. INSTALLER L ’ACTIVE DIRECTORY AVEC DCPROMO ........................................ 36 C. CREER DES « UTILISATEURS » ............................................................................. 36 3. PRESENTATION DU DNS (DOMAIN NAME SYSTEM) ............................................. 37 A. ROLE DU DNS ...................................................................................................... 37 B. INSTALLATION DU SERVEUR DNS ....................................................................... 38 C. CONFIGURATION DU SERVEUR DNS .................................................................... 38 D. AJOUT D’UNE MACHINE ....................................................................................... 39 4. PRESENTATION DU IIS.7 (INTERNET INFORMATION SERVICES) .......................... 40 A. INSTALLATION DU SERVICE IIS ........................................................................... 41 5. PRESENTATION : AUTORITE DE CERTIFICATION ................................................. 43 A. INSTALLATION AUTORITE DE CERTIFICATION .................................................... 44 B. DEPLOIEMENT DE CERTIFICATS .......................................................................... 45 C. DELIVRER LE CERTIFICAT ................................................................................... 61 D. RECUPERER LE CERTIFICAT ................................................................................ 48 E. TELECHARGER LE CERTIFICAT. .......................................................................... 49 F. ATTRIBUER LE CERTIFICAT A UN SITE WEB ......................................................... 50 G. ATTACHER LE CERTIFICAT AU SITE WEB ............................................................. 51 H. EXIGER UNE COMMUNICATION SECURISEE .......................................................... 52 I. FAIRE UN TEST ..................................................................................................... 53 6. INSTALLATION D ’IPCOP ....................................................................................... 70 7. PRESENTATION DES FONCTIONNALITES ............................................................... 82 B. GRAPHIQUES SYSTEME : ....................................................................................... 69 C. COURBES DE TRAFIC ............................................................................................ 70 D. CONNEXIONS ....................................................................................................... 71 Elaboré par Abderrahman 3 ISGI Marrakech E. JOURNAUX DU PARE -FEU ..................................................................................... 72 F. JOURNAUX DU SERVEUR MANDATAIRE ............................................................... 72 8.CONFIGURATION SERVEUR DHCP ........................................................................ 73 9. HOTES STATIQUES ............................................................................................... 74 10. SERVEUR DE TEMPS ............................................................................................. 74 11. SERVEUR MANDATAIRE (PROXY ) ......................................................................... 75 A. GESTION DU CONTROLE D ’ACCES ........................................................................ 77 B. LES RESTRICTIONS DE TEMPS .............................................................................. 77 C. LES LIMITES DE TRANSFERT ................................................................................ 77 D. REDUCTION DU TELECHARGEMENT ..................................................................... 78 12. CONFIGURATION DE L ’URL FILTER ..................................................................... 79 A. CATEGORIES DE BLOCAGE ................................................................................... 80 B. BLACKLISTS PERSONNALISEES ............................................................................ 80 C. WHITELISTES PERSONNALISEES .......................................................................... 81 D. LISTE D’EXPRESSIONS PERSONNALISEES ............................................................. 82 E. BLOQUER LES EXTENSIONS DE FICHIERS ............................................................. 83 F. CONTROLE D’ACCES BASE SUR LE TEMPS ............................................................ 84 G. PARAMETRE DES PAGES BLOQUEES ................................................................... 103 H. PARAMETRES AVANCES ..................................................................................... 101 I. AJOUT MASSIF DE BLACKLIST ........................................................................... 101 13. CONFIGURATION DE L ’AUTHENTIFICATION ....................................................... 102 14. BLOCKOUTTRAFFIC (BOT) ................................................................................ 89 A. CREER DES GROUPES D ’ORDINATEURS ................................................................ 89 B. BLOCAGE DES SERVICES . ..................................................................................... 91 C. TRAFIC EN SORTIR ............................................................................................... 92 D. ACCES IPCOP....................................................................................................... 93 E. TRANSPORTS DE PORT ......................................................................................... 93 F. ACCES E XTERNE IPCOP ...................................................................................... 93 CONCLUSION ............................................................................................................ 95 ANNEXES ................................................................................................................... 96 Elaboré par Abderrahman 4 ISGI Marrakech Dédicace Je dédie ce travail A mes chers parents, que nulle dédicace ne puisse exprimer ce que je leur dois bienveillance leur affectation et leur soutien Trésors de bonté, de générosité et de tendresse. Que dieu tout puissant vous garde et vous procure santé bonheur et langue vie. A mes chères sœurs. A toute a famille. A tous mes amis. Elaboré par Abderrahman 5 ISGI Marrakech Remerciements J’adresse mes chaleurs remerciement à tous ceux qui m'ont contribué au succès de mon stage et qui m'ont aidé lors de la rédaction de ce rapport. J'adresse mes remerciements à mon encadreur, Mr. ERROUGUI Jawad, pour leur formation, son aide ses conseils précieux, son encouragement et sa disponibilité dans ce projet. Je remercie de même, ma tutrice de stage, Mme ABARRO Kawtar, Responsable SI site CTT/Geumassa, pour son accueil, son encadrement pendant celui-ci et le partage de son expertise au quotidien. Ainsi que Mr. EL AMRANI Abdelaziz, Responsable SI du site Guemassa, de m’avoir accepté. D'une façon plus générale, Je remercie toute l'équipe Système Informatique pour leur accueil, leur esprit d'équipe et en particulier BAHITE Yassir, qui m'a beaucoup aidé à se familiariser avec le matériel et les différentes techniques utilisées dans cette entreprise. A tous un très grand merci. Elaboré par Abderrahman 6 ISGI Marrakech Introduction Dans le cadre de la nouvelle politique de l’OFPPT qui a pour objectif D’assurer une meilleure formation pour les stagiaires, sous le système qui offre une adéquation entre la formation et la réalisation du travail dans tous les intervalles professionnels, ceci n’est possible qu’avec un système qui propose que l’approche par compétence soit l’un des principaux organisateur de la formation. Pour la réalisation de ce but, l’institut spécialisé de la gestion et informatique(ISGI) demande à ces stagiaires de réaliser un rapport à la fin de stage dans le but de développer leurs connaissances sur le domaine, et pour savoir les problèmes du travail et les prendre en considération. Ce rapport, présente un aperçu sur l’entreprise CTT/Geumassa, sa structure et ses activités principales. Puis détaille l’étude du réseau de l’entreprise et l’identification des liaisons optiques, ensuite présente le principale projet : Mise en place d’un pare-feu « IPcoup » ; qui sera en deux parties, La premier partie va contenir une Présentation du projet, et la deuxième sur La mise en place un intranet et la configuration d'IPcop. Elaboré par Abderrahman 7 ISGI Marrakech I. PARTIE PRESENTATION DE L’ENTERPRISE Elaboré par Abderrahman 8 ISGI Marrakech 1. LISTE SIGNALETIQUE DU GROUPE MANAGEM Raison sociale MANAGEM Nature Société Anonyme Président Général Directeur M. Abdelaziz ABARRO Siège social Twin center, Tour A, Angle boulevards Zerktouni et AlMassira Alkhadra, BP : 5199 – CASABLANCA, MAROC Téléphone 05 22 95 65 65 Fax 05 22 95 64 64 Effectif ~ 2076 collaborateurs Site web http://www.managemgroup.com/ Métier Exploitation Minière et Hydrométallurgie Immatriculation C.N.S.S. Patente I.F. TVA Filiales MI, AGM, CMG, CTT, SAMINE, REMINEX, TECHSUB : 1284281 : 35502445 : 01085047 : 851001 chiffre d’affaire AU 1 ER SEMESTRE 2013 Elaboré par Abderrahman 9 ISGI Marrakech 2. Organigramme du groupe MANAGEM Exploitation Hydrométallurgie CMG Service Reminex CTT CTT Techsub MINE MANDATRADE Ressources Golden Gram Gabon (REG) La minière de Kalukundi SMI AU MAROC Soudan A L’ETRANGER Structure du groupe MANAGEM Elaboré par Abderrahman 10 ISGI Marrakech 3. Filiales du groupe MANAGEM Société Métallurgique d’Imiter Métaux précieux SMI Détenue à 74% par Managem. Créée en 1988 et située à 30 Km de Marrakech, CMG exploite le gisement polymétallique de Hajjar. et produit depuis 1992 des concentrés de zinc, de plomb et de cuivre. CTT REMINEX Elaboré par Abderrahman Métaux de base de Fluorine CTT Compagnie de Tifnout Tighanimine Hydrométallurgie CMG Service Hydrométallurgie Détenue à 70% par Managem, située à 280 Km au Sud – Est d’Agadir. Elle extrait de l’Or métal du gisement aurifère d’Iourirn depuis 2001 Compagnie Minière des Guemassa SAMINE Service Akka Gold Mining Compagnie deTifnout Tighanimine Industriels Exploitation minière AGM Créée en 1969 et situé à 150 kilomètres à l'est d'Ouarzazate SMI exploite le gisement métallique d'argent d'Imiter. Elle produit des lingots d'argent métal d'une pureté de 99.5%. REMINEX est devenue le fer de lance de la modernisation des activités minières du groupe, elle est au cœur de tous les projets d'exploration, de valorisation et d'ingénierie de MANAGEM. Détenue à 100% par Managem, implantée à 120 Km au Sud de la ville d’Ouarzazate, l'une des plus anciennes mines de MANAGEM. Sa longue expérience, débutée en 1930, lui permet aujourd'hui de bénéficier d'une compétence reconnue dans la recherche, l'exploitation et le traitement du cobalt primaire. Société Anonyme d’Entreprises Minières Détenue à 100% par Managem. Créée en 1974, Samine exploite le gisement d'El Hammam situé à 80 kilomètres de Meknès. Elle se positionne parmi les premières entreprises productrices de la fluorine dans le monde. Gère cinq unités opérationnelles, dans deux filières : - La filière Colbat destinée à la production de dérivés de Colbat, métal et ses dérivés ; - La filière Zinc destinée à la production des dérivés de Zinc notamment l’oxyde de Zinc. 11 ISGI Marrakech Centre ses activités sur les sondages et les travaux souterrains. MANDATRADE Commercialisation TECHSUB MANATRADE AG, filiale de MANAGEM implantée en Suisse, a pour principale activité la commercialisation des produits des filiales du groupe. La Minière de Kalukundi Détenue à 75% par Managem. MANAGEM a conclu le 6 janvier 2006 un partenariat avec Costamin, société congolaise, détenant deux permis à haut potentiel en cobalt et cuivre en République Démocratique du Congo. Ce partenariat a donné naissance à la société « La Minière de Kalukundi », LAMIKAL, Les permis de Costamin lui ont été transférés contre l'engagement de Managem à financer le programme de développement jusqu'à l'étude de faisabilité. RESSOURCS GOLDEN GRAM GABON Elaboré par Abderrahman Métaux précieux SAMAFO Exploitation minière A l’international LAMIKAL MANAGEM détient une part minoritaire de l'ordre de 10% dans le capital de la société de Ressources Minières Canadienne SEMAFO qui est une compagnie aurifère exerçant des activités d'exploration, de développement et d'exploitation en Afrique de l'Ouest. MANAGEM a conclu, le 22 Juillet 2005, un accord de partenariat avec la société minière canadienne Ressources SEARCHGOLD Inc portant sur l'acquisition à terme par MANAGEM d'une participation de 63% dans la filiale gabonaide SEARCHGOLD qui détient 100% du Projet aurifère de Bakoudou. Ce dernier, localisé au SudEst du Gabon, comprend une autorisation de prospection d'une superficie de 2,300 km2 et un permis d'exploitation d'une superficie de 24 km². 12 ISGI Marrakech 4. Présentation de La Compagnie de Tifnout Tighanimine En 1928, un berger découvre à Bouazzer des pierres inconnues, au pouvoir raticide étrange. Après identification de ces pierres par un naturaliste français comme étant un minerai de cobalt oxydé, la mine de Bouazzer entre en activité. À partir de 1963, elle est gérée par la société CTT, filiale de MANAGEM et spécialisée dans la production et la valorisation du cobalt. CTT est la filiale de MANAGEM qui gère son complexe Hydrométallurgie, qui est devenu son deuxième grand métier. Situe dans la Région de Guemassa, à 35 km au sud-ouest de Marrakech allant à Amizmiz, elle est le fruit des effort du centre de recherche REMINEX (filiale recherche de MANAGEM) pour développer des processus de valorisation de cobalt, du Cuivre…les activités démarrèrent avec l’installation d’une première unité l’hydro 1 (H1) en 1996 de production de cobalt à partir des rejets de la mine de Bouazzer Au sud de Ouarzazate. Suivra en 1999 l’implantation des unités de grillage (grillé Concentre de cobalt) et l’hydro 2, deuxième unité de production de cobalt. En 2000 l’unité du cuivre sommital fut implantée pour produire du sulfate de cuivre hydraté à partir d’extrait Hajjar (région de Guemassa). En 2002 l’unité de production d’oxyde de zinc (la calamine) est faite leur démarrage. Aujourd’hui, grâce au savoir-faire de REMINEX, les déchets de l’exploitation du site C.T.T à Bouazzer est valorisée. CTT Guemassa est la société en charge de la gestion de l’ensemble des activités hydro métallurgiques du groupe. Elle gère plusieurs structures opérationnelles, notamment : Elaboré par Abderrahman 13 ISGI Marrakech Unité Oxyde Cobalt : Première unité d’hydrométallurgie de MANAGEM, elle produit des cathodes de cobalt de haute pureté, à partir des rejets de la mine de Bouazzer .ces cathodes trouves des applications dans plusieurs dans plusieurs domaine .superalliages, batteries, pigment, chimie… Les étapes du procède sont : » » » » » » » Lixiviation acide des haldes contenants 0,4% Co ; Elimination de l’arsenic du minerai ; Précipitation des hydroxydes de cobalt ; Concentration du Cobalt à 10/12% ; Séparation Cobalt / Nickel par extraction liquide ; Electrolyse ; Production de cobalt cathodes (99,8%). Hydro II : Ce complexe permet de traiter le concentré de cobalt de la mine de Bou Azzer pour le transformer en cathode de haute pureté. Les étapes du procède sont : » » » » » » Grillage du concentré de cobalt pour éliminer l’arsenic ; Production de trioxyde d’arsenic pure. Lixiviation acide ; Extraction liquide ; Electrolyse ; Production de cathodes de cobalt (99,8% Co). L’unité cuivre sommitale : Produit depuis 2000, des cristaux de sulfate de cuivre à partir d’un minerai riche en cuivre extrait de la mine de Hajjar, située sur le site de Guemassa. Elle produit de l’oxyde de zinc suivant le procède suivant : Préparation mécanique du minerai ; » Lixiviation à l’acide sulfurique pour mettre le zinc en solution ; » Deux étapes de purification ; » Précipitation du zinc en deux zincs. Suivant la demande du client (marché du caoutchouc) le produit peut être éventuellement calciné. L’unité calamine : L’unité calamine, démarrée en 2002, à travers laquelle MANAGEM produit de l’oxyde de zinc de très haute pureté à partir de concentrés riches en zinc acheminés depuis des carrières situées dans la région d’Errachidia Elaboré par Abderrahman 14 ISGI Marrakech 5. Présentation du service informatique au sein de la CTT J’ai eu l’occasion d’effectuer un stage au sein de la Compagnie Tifnout Tighanimine et exactement en Service des systèmes d’information avec Melle. ABARRO Kawtar , au but de mettre mes connaissances théoriques en pratique, d’avoir un esprit de travail collectif et de savoir comment je peux les mettre en œuvre au milieu du travail. Guemassa en général utilise une topologie en étoile dont le nœud central est la direction générale à Casablanca (Datacenter), et chaque site représente un point central de petites zones de son entourage. CTT utilise une technique de virtualisation, Parmi les serveurs qui sont installé dans Datacenter du site Geumassa en trouve le serveur de messagerie Mail Exchange 2013, Serveur Reflexe 132, serveur Report 132 , AD21, serveur SEP21, robot de sauvegarde et le serveur DHCP qui donne des adresses IP au client qui permet la simplification de l'administration d'un réseau. Ce réseau fait partie du domaine GROUPE-MANAGEM. Dans la partie passive le site CTT utilise le fibre optique «Multi-mode » pour les connexion entre les directions « voir annexe 3 » , les usines et la sale système et d’armoires fibre optique, câblage RJ 45 cat6, cat 5. Système de surveillance, des commentateurs, Système téléphonie interne. Elaboré par Abderrahman 15 ISGI Marrakech II. PARTIE PRESENTATION DU PROJET Elaboré par Abderrahman 16 ISGI Marrakech 1. Définition : Système d’information Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné. L’utilisation de moyens informatiques, électroniques et la télécommunication permettent d’automatiser et de dématérialiser les opérations telles que les procédures d’entreprise surtout en matière logistique. Ils sont aujourd’hui largement utilisés en lieu et place des moyens classiques tels que les formulaires sur papier et le téléphone et cette transformation est à l’origine de la notion de système d´information. A. Système d'information et finalité de la chose. Le SI est né dans les domaines de l'informatique et des télécommunications, le concept de SI s'applique maintenant à l'ensemble des organisations, privées ou publiques. Le terme système d'information (ou SI) possède les significations suivantes : un ensemble organisé de ressources (personnel, données, procédures, matériel, logiciel, …) permettant d'acquérir, de stocker, de structurer et de communiquer des informations sous forme de textes, images, sons, ou de données codées dans des organisations. Selon leur finalité principale, on distingue des systèmes d'information supports d'opérations (traitement de transaction, contrôle de processus industriels, supports d'opérations de bureau et de communication) et des systèmes d'information supports de gestion (aide à la production de rapports, aide à la décision…). Un système ou sous-système d'équipements, d'informatique ou de télécommunication, interconnectés dans le but de l'acquisition, du stockage, de la structuration, de la gestion, du déplacement, du contrôle, de l'affichage, de l'échange (transmission ou réception) de données sous forme de textes, d'images, de sons, et/ou, faisant intervenir du matériel et des logiciels. Un SI est un réseau complexe de relations structurées où interviennent hommes, machines et procédures qui a pour but d’engendrer des flux ordonnés d’informations pertinentes provenant de différentes sources et destinées à servir de base aux décisions selon Hugues Angot. Un SI est un ensemble d'éléments matériels ou immatériels (hommes, machines, méthodes, règles) en interaction transformant en processus des éléments (les entrées) en d'autres éléments (les sorties). Elaboré par Abderrahman 17 ISGI Marrakech B. Système d'information et application informatique On distingue généralement deux grandes catégories de systèmes, selon les types d'application informatique: Les systèmes de conception : fonctionnent selon des techniques temps réel ; les systèmes d'information de gestion, qui emploient des techniques de gestion. Du point de vue de la valeur financière du patrimoine informatique, les systèmes d'information de gestion sont largement majoritaires. Les langages informatiques employés diffèrent souvent selon chacune de ces catégories, et à l'intérieur des catégories. Par exemple, les systèmes d'information de gestion emploient du Cobol, du langage C, du C++, du Java, du Visual Basic.NET, du WinDev (WLangage), SQL, etc. Aujourd'hui, la généralisation des applications web rend possible une très forte interopérabilité des systèmes, qui transcende ces catégories traditionnelles. Les langages de balisage (HTML, XML, ...) s'imposent comme des standards. Ces langages sont souvent associés à des frameworks. Le framework le plus communément employé est actuellement RDF (Resource Description Framework). RDF s'appuie sur des normes d'interopérabilité et l'utilisation massive de métadonnées, données élémentaires communes à toutes les ressources et tous les systèmes quelles que soient leurs utilisations, qui facilitent les accès et les échanges. 2. Composition d'un système d'information d'entreprise A. Composition classique Dans les œuvres des années 1980 - 1990, la composition « classique » des systèmes de l'information d'une entreprise était comme une pyramide des systèmes d'information qui reflétait la hiérarchie de l'entreprise. Les systèmes qui traitent les transactions fondamentales (TPS) au fond de la pyramide, suivis par les systèmes pour la gestion de l'information (MIS), et après les systèmes de soutien des décisions (DSS) et se terminant par les systèmes d'information utilisés par la direction la plus supérieure (EIS), au sommet. Bien que le modèle pyramidal reste utile, un certain nombre de nouvelles technologies ont été développées et certaines nouvelles catégories de systèmes d'information sont apparues et ne correspondent plus aux différentes parties du modèle pyramidal. Elaboré par Abderrahman 18 ISGI Marrakech B. Composition actuelle Dans un système d'information d'une grande entreprise, on trouve : Un ERP - Enterprise Resource Planning (en français : PGI pour progiciel de gestion intégré) qui intègre théoriquement tous les systèmes informatisés transactionnels dont les modalités de fonctionnement sont désormais bien connues des informaticiens et des hommes de l'Art de chaque métier. Les ERP permettant de soutenir le fonctionnement de l'entreprise: des systèmes appelés autres dits les intégrés métiers, où les verticalistes qui sont des progiciels métiers, et qui couvrent aussi bien le front-office, que le middle, puis le back-office et qui ne sont pas de conception maison, mais ont été bâti par un éditeur spécialisé sur un métier et dont les modes de fonctionnement logiciels correspondent aux meilleurs pratiques constatées à un moment donné chez les plus performant dans leur secteur d'excellence ; des systèmes restants appelés « spécifiques » (ou encore: non standards, de conception «maison», développés sur mesure, que l'on ne trouve pas sur le marché..) où l'on rencontrera davantage d'applications dans les domaines du calcul de coûts, de la facturation, de l'aide à la production, ou de fonctions annexes. CRM - Customer Relationship Management (en français : GRC pour Gestion de la relation client) : regroupe toutes les fonctions permettant d'intégrer les clients dans le système d'information de l'entreprise. Elaboré par Abderrahman 19 ISGI Marrakech 3. Évolution de la composition du système d'information Le domaine des systèmes d'information et de communication a certes une forte composante technologique et informatique. Mais c'est seulement un aspect de ce domaine qui est en fait beaucoup plus vaste. Il s'agit de concevoir comment circule et est stockée l'information de façon efficace et cohérente pour toutes les activités d'une entreprise, d'un réseau d'entreprises, d'une administration publique, des relations entre entreprises, citoyens, gouvernements... Le champ est vaste et concerne tous les domaines des activités humaines. Malgré cette ampleur, ce domaine a son unité scientifique, construit autour de concepts, de constructions abstraites et concrètes, de composants de méthodes notamment qui sont indépendantes des activités concernées. Sans doute, un des maîtres mots de ce domaine des systèmes d'information est-il celui de "modèle accompagné", ou "modélisation". Par conséquent, dans les entreprises actuelles, le système d'information et de communication tend à s'orienter vers des ensembles plus globaux, l'information traitée par l'humain étant une connaissance à gérer. Des économistes tels que Robert Solow ou Daniel Cohen ont montré que les systèmes d'information ne généraient de gains de productivité que s'ils étaient accompagnés de changements organisationnels. Le changement dans les organisations est donc indissociable du logiciel. Cette nouvelle dimension impose à une science plutôt dure originellement de se tourner vers les techniques d'amélioration continue comme le Lean. En complément du SI classique, une ingénierie des connaissances (en anglais Knowledge Management) s'articule autour des deux composantes suivantes, que l'on peut retrouver dans chaque domaine d'activité de l'entreprise : La gestion de contenu (en anglais : content management), destinée à gérer les informations brutes et à les transformer en connaissances ou données mieux structurées ; La gestion des accès, c'est-à-dire la gestion des flux et des protocoles d'échange dans les réseaux de (télé-)communications internes ou partagés avec les partenaires. Autres composants possibles D'autres composants peuvent être inclus dans un système d'information pour offrir des caractéristiques techniques ou des fonctionnalités spécifiques : Bases de données de l'entreprise Contrôle d'accès Système de paiement électronique Système de sécurité (protection et chiffrement) … Elaboré par Abderrahman 20 ISGI Marrakech 4. Firewall, une technique de protection A. Pourquoi un pare-feu ? De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données entre les Divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des projets communs. La possibilité de travail collaboratif apportée par un réseau local constitue un premier pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur, c'est à dire internet. En effet, une entreprise n'est jamais complètement fermée sur ellemême. Il est par exemple nécessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les pour effectuer de telles actions sont nombreux et variés: attaque visant le vol de passe-temps, ... à divers sont pas mobiles données, Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire. L'architecture devant être mise en place doit comporter un composant essentiel qui est le firewall. Cette outil a pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut également permettre de restreindre l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès à ces services, l'entreprise Peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. Elaboré par Abderrahman 21 ISGI Marrakech B. Qu’est-ce qu’un pare-feu ? Un pare-feu est un logiciel ou un matériel permettant d’empêcher les pirates informatiques et certains types de logiciels malveillants d’accéder à votre ordinateur via un réseau ou Internet. Pour ce faire, il vérifie les informations provenant d’Internet ou d’un réseau, puis les bloque ou les autorise à accéder à votre ordinateur. Un pare-feu n’est pas la même chose qu’une application antivirus ou anti-programme malveillant. Les pare-feu protègent contre les vers et les pirates informatiques, les applications antivirus protègent contre les virus et les applications anti-programme malveillant protègent contre les programmes malveillants. Vous avez besoin des trois. Vous pouvez utiliser Windows Defender, le logiciel antivirus et anti-programme malveillant fourni avec Windows 8, ou vous pouvez utiliser une autre application antivirus et anti-programme malveillant. Une seule application de pare-feu est nécessaire sur votre PC (en plus du pare-feu qui est probablement intégré à votre routeur réseau). Avoir plusieurs applications de pare-feu sur votre ordinateur peut entraîner des conflits et des problèmes. C. Comment fonctionne un Firewall (pare-feu) ? Comme son nom l’indique, le Firewall ou pare feu, a un rôle de protection entre votre réseau informatique et le réseau extérieur. La finalité est de prévenir tout trafic anormal, voire des tentatives d’intrusions d’ordinateurs externes. Pour communiquer ensemble, deux ordinateurs utilisent des canaux de communication appelés ports. Chacune de vos actions sur internet (et donc chaque action de votre PC vers un autre PC) utilisent un port différent. Le Firewall a pour rôle d’autoriser ou d’interdire l’utilisation de ces ports Les composants d’un pare-feu Routeur filtrant Le routeur filtrant transfère les paquets IP d’un réseau à un autre. Il utilise essentiellement deux techniques pare-feu : - Le filtrage des paquets IP. - Le NAT (la translation d’adresse) Elaboré par Abderrahman 22 ISGI Marrakech D. Proxy Un proxy est une application qui sert d’intermédiaire entre un client et un serveur. Le client envoie sa requête au proxy, et celui-ci la réémet en direction du serveur. De même, la réponse du serveur est reçue par le proxy qui la retransmet au client. Un proxy peut être configure pour filtrer les requêtes. Des logiciels proxys peuvent posséder de la mémoire cache, RAM et disque, qui améliore les performances d’accès des postes du réseau intérieur. Il y a essentiellement deux types de proxy : Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP) Les proxys transparents qui sont des intermédiaires pour tout type de protocole TCP E. DMZ Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau accessible à partir du réseau extérieur et qui abrite les remparts. L’accès au réseau est contrôle par des routeurs filtrant 5. Un Firewall, ça protège contre quoi ? Fonction / Menace Filtrage des paquets Protection du Firewall ? Oui Détection d’intrusion Oui Filtrage de contenu Oui Attaques internes Non Virus informatiques Non Elaboré par Abderrahman Commentaire Le Firewall filtre les données, et prend l’initiative d’autoriser ou bloquer chaque paquet. Certains Firewalls permettent de signaler toute tentative d’intrusion de l’extérieur, en plus de simplement la bloquer. Le Firewall peut gérer des règles pour autoriser ou restreindre l’accès à certains sites, mots-clés, ou contenus inappropriés. Les utilisateurs à l’intérieur de votre réseau ne sont pas par définition surveillés par le Firewall. La parade contre ce type d’attaque consiste à allouer ou non des droits d’accès sur telle ou telle partie de votre réseau, à tel ou tel utilisateur. Les Firewall peuvent éventuellement détecter les virus sur le réseau. Cependant avec la nature changeante de ces menaces, il est préférable d’acquérir un logiciel antivirus. 23 ISGI Marrakech 6. Les différents types de firewall A. Les firewall bridge Ces derniers sont relativement répandus. Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur appellation de firewall. Leurs interfaces ne possèdent pas d'adresse Ip, et ne font que transférer les paquets d'une interface a une autre en leur appliquant les règles prédéfinies. Cette absence est particulièrement utile, car cela signifie que le firewall est indétectable pour un hacker lambda. En effet, quand une requête ARP est émise sur le câble réseau, le firewall ne répondra jamais. Ses adresses Mac ne circuleront jamais sur le réseau, et comme il ne fait que « transmettre » les paquets, il sera totalement invisible sur le réseau. Cela rend impossible toute attaque dirigée directement contre le firewall, étant donné qu'aucun paquet ne sera traité par ce dernier comme étant sa propre destination. Donc, la seule façon de le contourner est de passer outre ses règles de drop. Toute attaque devra donc « faire » avec ses règles, et essayer de les contourner. Ces firewalls se trouvent typiquement sur les switchs. Avantages : Impossible de l'éviter (les paquets passeront par ses interfaces) Peu coûteux. Inconvénients : Les fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port… B. Les firewalls matériels Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou Nortel. Intégrés directement dans la machine, ils font office de « boite noire », et ont une intégration parfaite avec le matériel. Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau. Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnérables aux attaques, car présent dans la « boite noire » qu'est le routeur. De plus, étant souvent très liés au matériel, l'accès à leur code est assez difficile, et le constructeur a eu toute latitude pour produire des système de codes « signés » afin d'authentifier le logiciel (système RSA ou assimilés). Avantages * Intégré au matériel réseau Administration relativement simple Bon niveau de sécurité Inconvénients Dépendant du constructeur pour les mises à jour Souvent peu flexibles. Elaboré par Abderrahman 24 ISGI Marrakech C. Les firewalls logiciels Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en plusieurs catégories : a) Les firewalls personnels Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent être contraignants et quelque fois très peu sécurisés. En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que vers l'exhaustivité, afin de rester accessible à l'utilisateur final. Avantages Sécurité en bout de chaîne (le poste client) Personnalisable assez facilement Inconvénients Facilement contournable Difficiles à départager de par leur nombre énorme. b) Les firewalls plus « sérieux » Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un contrôle plus adéquat, ils ont généralement pour but d'avoir le même comportement que les firewalls matériels des routeurs, à ceci près qu'ils sont configurables à la main. Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute fonctionnalité des firewalls de routeurs est potentiellement réalisable sur une telle plateforme. Avantages Personnalisables Niveau de sécurité très bon Inconvénients Nécessite une administration système supplémentaire. Ces firewalls logiciels ont néanmoins une grande faille : ils n'utilisent pas la couche bas réseau. Il suffit donc de passer outre le noyau en ce qui concerne la récupération de ces paquets, en utilisant une librairie spéciale, pour récupérer les paquets qui auraient été normalement « droppés » par le firewall. Néanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose qui induit déjà une intrusion dans le réseau, ou une prise de contrôle physique de l'ordinateur, ce qui est déjà Synonyme d'inefficacité de la part du firewall. Elaboré par Abderrahman 25 ISGI Marrakech 7. Liste des firewall payant Nom Cisco PIX Cisco ASA 5520 Description Les avantages Le PIX 501 pare-feu Cisco peut être utile pour les petites entreprises qui sont particulièrement sensibles à la sécurité du réseau. Le dispositif combine un pare-feu à base de matériel et d'un commutateur de réseau Ethernet. Vous pouvez connecter l'appareil à votre connexion Internet haut débit, puis de connecter jusqu'à quatre ordinateurs à l'appareil. prix 800€ Les Serveurs de Sécurité Adaptatifs Cisco ASA 5500 combinent les meilleurs services de VPN et de sécurité, et l’architecture évolutive AIM (Adaptive Identification and Mitigation), pour constituer une solution de sécurité spécifique. Conçue comme l’élément principal de la solution Self-Defending Network de Cisco . est un produit de sécurité de type pare-feu basé sur Microsoft Windows conçu Microsoft initialement pour présenter Internet (publier) sur Internet des Security serveurs Web et d’autres and Acceleration systèmes serveur de manière Server (ISA sécurisée. Il fournit un système pare-feu au niveau de Server) la couche « application » gérant l’état des sessions (mode dit Stateful), un service d’accès VPN et l’accès Internet pour les ordinateurs clients dans un réseau d’entreprise . Elaboré par Abderrahman gain de temps pour la mise en place. performances assez bonnes. transparence aux utilisateurs et aux applications. coût généralement faible. Débit du firewall Jusqu’à 650 Mbits/s Débit de protection simultanée contre les menaces (firewall + services IPS) Jusqu’à 450 Mbits/s avec l’AIP-SSM-20 Interfaces 4 ports Gigabit Ethernet et 1 port Fast Ethernet Interfaces virtuelles (VLAN) 200 supporté un nombre plus importants de Protocoles réseau. le support multiréseau la configuration intégrée des réseaux virtuels. au niveau de la couche« Application »le support du protocole H323 l’intégration à Active Directory 26 Les inconvénients ↓ Le pare-feu filtrant n’est pas capable de comprendre le contexte du service qu’il rend. ↓ Plus le nombre de règles à appliquer est grand, plus les performances du pare-feu diminuent. seulement certains modèles de commutateurs Ethernet de la gamme EX de Juniper peuvent être configurés comme des sous-parties d'un unique commutateur logiciel prix 990,00€ ↓ console MMC :est sans doute l'une des innovations les plus brillantes de Microsoft. Enfin, une interface uniforme pour toutes les tâches d'administration. ↓ Le serveur Web n'a pas répondu aux appels pendant les attaques SYN. Le pare-feu a dû être relancé. Attaques DoS sans effet. ISGI Marrakech 8. Liste des firewalls Open source SmoothWall Express version 3.0 est un pare-feu logiciel libre GNU / Linux à sécurité SmoothWall renforcée et téléchargeable librement. De par sa conception, il a des « Open exigences matérielles source » minimales et un encombrement réduit. Il devrait travailler avec presque tout ordinateur Pentium avec au moins 128Mo de RAM et un disque dur d'une capacité de 2 Go ou plus. UFW Endian Open source Firewall NuFW « Open source » IPFire « Open source » Ufw est un pare-feu ou firewall permettant « d’assurer » la sécurité d’un réseau en définissant les types de connexions autorisées ou non. De plus en plus répandu dans les systèmes Linux, UFW est un pare-feu relativement simple à mettre en place et à configurer. Il est d’ailleurs devenu le pare-feu officiel de la distribution généraliste Ubuntu NuFW est une extension libre de Netfilter, la couche parefeu du noyau Linux. C'est un pare-feu de nouvelle génération, qui intègre la notion d'identité des utilisateurs pour filtrer lesflux.IP. IPFire est une distribution Linux basée sur Linux From Scratch qui a pour fonction de regrouper un Pare-Feu, un Proxy, du Filtrage et beaucoup d'addons. Dérivée a la base de IPCop, cette distribution est très simple d'utilisation et d'administration Elaboré par Abderrahman fournit une interface pour la sauvegarde et la restauration de votre configuration. SmoothWall offre un certain nombre de fonctionnalités : la gestion des serveurs proxy, des possibilités IDS, la gestion des traces. Port forwarding Outgoing Traffic : gère les règles du trafic sortant. Interzone Traffic : gère les règles du trafic entre les différentes zones . L'intégration avec la suite de modules EOLE proposés par le projet est gérée protéger les données administratives gratuit Analyse fonctions de surveillance du système et analyse des logs ↓ ne priorité élevée à la navigation web mais une priorité faible aux services gourmands comme FTP ↓ les possibilités de NAT sont assez limitées et ne concernent que le port forwarding. ↓ UPW offre de nombreuses possibilités et de service, sa prédisposition à une connexion internet apporte toutefois certaines restrictions si on envisage l’utilisation de ce firewall dans un contexte de bastion ↓ La version de NuAgent disponible gratuitement avant la fermeture de nufw.org ne fonctionnait pas bien avec Windows 7 . ↓IPFIRE est très orienté accès Internet et ne trouve sa place que dans de petits réseaux Qualité de service (QoS) 27 ISGI Marrakech 9. Mise en place d’un firewall logiciel avec la distribution IPCop A. Qu’est -ce que IPCOP ? IPCOP est un projet Open Source dont le but est d’obtenir une distribution GNU/Linux complètement dédiée à la sécurité et aux services essentiels d'un réseau. C’est une distribution linux faite pour protéger un réseau des menaces d’Internet et surveiller son fonctionnement. IPCOP est gratuit, il est téléchargeable sous forme d’un fichier image à graver sur cd. IPCOP est distribué sous la licence « GNU General Public License », ce qui signifie, en d’autres termes, que le logiciel en lui-même est distribuable gratuitement (cf.http://www.gnu.org/copyleft/gpl.html pour la licence complète). B. Caractéristiques principale d'IPcop Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement configurable. Une administration facile depuis un navigateur par l'intégration d'un serveur web. Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP de votre FAI. Un serveur DHCP vous permettant de configurer facilement les machines de votre réseau interne. Un serveur mandataire web (proxy) pour accélérer l'accès au web. Un système de détection d'intrusion pour identifier les attaques externes sur votre réseau. La possibilité de segmenter le réseau en un réseau VERT, sûr, protégé de l'Internet ; un réseau BLEU pour le réseau local Wifi ; et un réseau ORANGE, zone démilitarisée ou DMZ en partie protégée de l'Internet rassemblant nos serveurs publiquement accessibles. La possibilité de répartir la bande passante (trafic shaping) par exemple pour fixer une priorité plus élevée aux services interactifs tels que ssh ou Telnet, une priorité élevée à la navigation web mais une priorité faible aux services gourmands comme FTP. Un système entièrement compilé avec Pro Police pour prévenir des attaques de type corruption de pile sur toutes les applications. C. Les différentes interfaces réseaux. Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE. Interface réseau ROUGE Ce réseau correspond à l'Internet. Le but essentiel d'IPcop est la protection des autres réseaux (VERT, BLEU et ORANGE).Dans notre cas l'interface ROUGE et VERT sera utilisé afin de mener à bien le bon déroulement de notre projet. Elaboré par Abderrahman 28 ISGI Marrakech Interface réseau VERTE Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. Le projet se faisant à l'école tout se fera en local avec une machine dédier a IPCop possédant 2 cartes réseaux( une ROUGE et VERTE). Interface réseau BLEUE Ce réseau est optionnel (et ne sera pas utilisé dans notre cas) nous permet de regrouper les périphériques sans fil sur un réseau bien distinct. Interface réseau ORANGE Ce réseau est également optionnel et ne sera pas utilisé, nous permet d'isoler sur un réseau séparé les serveurs accessibles au public. Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possède comme passerelle l'adresse IP de la carte d'interface derrière laquelle elle se situe (par exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte). D. Possibilité de mise en place d’IPCOP IPCOP permet de fonctionner sous plusieurs configurations possibles : Partage d’une connexion Internet : IPCOP sert alors de passerelle entre Internet et le réseau interne. Partage d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert De passerelle et gère une DMZ (il faut donc 3 interfaces réseau). Les serveurs dans la DMZ doivent être en IP fixes, il suffit ensuite de configurer IPCOP pour qu’il route les demandes venant d’Internet vers les serveurs adaptés selon les ports. Partage d’une connexion Internet + DMZ + point d’accès wifi : IPCOP peut gérer des clients wifi, ils sont séparés du réseau interne. Dans la philosophie IPCOP, les zones sont schématisées par des couleurs : la zone RED représente internet. La zone ORANGE représente la DMZ. La zone BLEU représente les clients wifi (qui sont dans un réseau séparé). La zone GREEN représente le réseau interne. Elaboré par Abderrahman 29 ISGI Marrakech Le schéma ci-dessous représente la configuration par défaut du pare-feu de la passerelle, assavoir : Le réseau interne (le LAN) peut accéder à toutes les zones. La zone wifi peut accéder internet et à la DMZ. La zone DMZ pourra accéder à internet. Aucun accès depuis Internet Pour autoriser un accès à un serveur situé dans la DMZ (zone orange), il faudra le spécifier au travers de l’interface web d’IPCOP. E. Liste de services offerts par IPCOP Interface web pour l'administration et la configuration d’IPCOP en français Affichage de l'état du système et graphiques CPU/Mémoire/Disque/trafic sur période journalière/semaine/mois/année. Informations sur les connexions en cours. Serveur SSH pour accès distant sécurisé. Proxy HTTP/HTTPS. Serveur DHCP. Cache DNS. Renvoi de ports TCP/UDP/GRE. Support des DNS dynamiques. Système de détection d'intrusion (interne et externe). Support VPN pour relier des réseaux distants entre eux ou se connecter à distance avec un poste. Accès aux logs par interface web : du système, de la connexion vers Internet, du proxy, du firewall, de la détection des tentatives d'intrusion. Possibilité d'utiliser une DMZ avec gestion des accès… Elaboré par Abderrahman 30 ISGI Marrakech III. PARTIE Mise en place un intranet sécuriser d’un pare-feu « Ipcop » Elaboré par Abderrahman 31 ISGI Marrakech 1. Schéma de la Maquette du Projet Elaboré par Abderrahman 32 ISGI Marrakech Tache à réaliser: Mise en place un intranet sécuriser d’un pare-feu Installation Windows Server 2008 Installation CD Domaine : managemgoup.com Installation Serveur DNS Zone : managemgoup.com Installation IIS www.managemgroup.com Installer le service de certificat SOA Installation IPcop server Présentation des fonctionnalités configuration DHCP configuration proxy Configuration de l’UrlFilter Blacklists personnalisées Whitelistes personnalisées Liste d’expressions personnalisées Bloquer les extensions de fichier . Contrôle d’accès basé sur le temps Paramètre des pages bloquées Ajout massif de Blacklist Configuration de l’authentification BlockOutTraffic (BOT) créer des règles (ACL) Elaboré par Abderrahman 33 ISGI Marrakech 2. Présentation de Windows server 2008 R2 Microsoft Windows Server 2008 est un système d'exploitation de Microsoft orienté serveur. Il est le successeur de Windows Server 2003 sorti 5 ans plus tôt et le prédécesseur de Windows Server 2008 R2. Cette version a été officiellement présentée au public français (exclusivité mondiale) lors des TechDays 2008 qui se sont déroulés du 11 au 13 février 2008 à Paris. La sortie internationale du produit quant à elle a eu lieu le 27 février 2008. À l'instar de Windows Vista, Windows Server 2008 est basé sur le Kernel (noyau) Windows NT version 6.0. Ce produit a été connu sous le nom de code « Windows Server Longhorn » jusqu'au 16 mai 2007, où Bill Gates a annoncé son nom officiel (Windows Server 2008) lors de sa session keynote du WinHEC. La première version bêta officielle date du 27 juillet 2005 ; la seconde bêta a été annoncée et publiée le 23 mai 2006 lors du WinHEC 2006 et la troisième bêta a été rendue publique le 25 avril 2007. La version Release Candidate 0 (RC0) a été rendue disponible au public le 24 septembre 2007 et la version Release Candidate 1 (RC1) a été rendue disponible au public le 5 décembre 2007. La version RTM (Release to Manufacturing) de Windows Server 2008 est arrivée le 4 février 2008 avec l'annonce de la sortie officielle mondiale pour le 27 février 2008. Elaboré par Abderrahman 34 ISGI Marrakech A. configuration Windows server 2008 R2 Apres l’installation du serveur en passe à la configuration. Première configuration à effectuer, fixer une adresse IP fixe au serveur Deuxième configuration, modifier le nom du serveur. Elaboré par Abderrahman 35 ISGI Marrakech B. Installer l’Active Directory avec DCPROMO • Menu Démarrer > Exécuter « DCPROMO » • Nommer le domaine par ex : managemgroup.com » C. Créer des « Utilisateurs » Menu > Démarrer > Outils d’administration > Utilisateurs et ordinateurs Active Directory Faire un clic sur le nom du domaine. Menu > Action > Nouveau > Utilisateur … Renseignez les différents champs Elaboré par Abderrahman 36 ISGI Marrakech 3. Présentation du DNS (Domain Name System) Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. À la demande de la DARPA, Jon Postel et Paul Mockapetris ont conçu le « Domain Name System » en 1983 et en écrivirent la première réalisation. A. Rôle du DNS Les ordinateurs connectés à un réseau IP, comme Internet, possèdent une adresse IP. Ces adresses sont numériques afin d'être plus facilement traitées par une machine. En IPv4, elles sont représentées sous la forme xxx.xxx.xxx.xxx, où xxx est un nombre variant entre 0 et 255 (en système décimal) Pour faciliter l'accès aux systèmes qui disposent de ces adresses, un mécanisme a été mis en place pour permettre d'associer un nom à une adresse IP, plus simple à retenir, appelé nom de domaine. Résoudre un nom de domaine consiste à trouver l'adresse IP qui lui est associée. Les noms de domaines peuvent être également associés à d'autres informations que des adresses IP. Elaboré par Abderrahman 37 ISGI Marrakech B. Installation du Serveur DNS Nous allons commencer par installer ce "roles" sur notre serveur, ouvrez le "Server Manager" cliquez sur "Roles" puis sur "Add Roles" : Cochez ensuite "DNS Server" et cliquez sur "Next" Cliquez sur "Install". C. Configuration du Serveur DNS Déclarer le nom de votre domaine dans notre cas nous utiliserons "managemgroup.com". Nous allons maintenant configurer les adresses des sur lesquels notre serveur ira chercher les noms de site internet (exemple facebook.com) Elaboré par Abderrahman 38 ISGI Marrakech D. Ajout d’une machine Maintenant nous allons ajouter manuellement un nom de machine, faite un clic droit sur la partie droite comme sur l’image ci-dessous, puis cliquez sur "Nouvel Hôte (A ou AAAA). Entrez le nom de machine, puis son adresse IP sans oublier de cocher "Créer un pointeur d’enregistrement PTR associé. Nous allons essayer maintenant de faire une résolution de DNS pour savoir si notre serveur fonctionne Elaboré par Abderrahman 39 ISGI Marrakech 4. Présentation du IIS.7 (Internet Information Services) C’est quoi IIS.7 ? Internet Information Services (IIS7) est le rôle Web Server (IIS) dans Windows Server 2008. Un serveur Web est un programme basé sur le modèle client/serveur et le World Wide Web Hypertext Transfer Protocol ( HTTP). Un serveur Web fournit les fichiers qui constituent les pages Web aux clients Web. IIS supporte les protocoles HTTP, HTTPS, FTP, FTPS, SMT… Tout ordinateur sur Internet (ou dans un Intranet) qui contiens un site dispose d’un programme Web. Les deux plus gros joueurs des programmes Web sont Apache, et Microsoft Internet Information Server ( IIS ). Première version IIS 1.0 (Mai 1995) Elaboré par Abderrahman 40 ISGI Marrakech A. Installation du Service IIS Pour ajouter le rôle serveur web IIS: Menu démarrer -> Tout les programmes -> Outils d’administration -> Gestionnaire de Serveur Si on est pas connecté en tant qu’administrateur local, un message de sécurité va apparaitre dès l’ouverture du gestionnaire de serveur. Je coche le rôle Serveur Web (IIS) et je clique sur suivant. On peut choisir les différents services que l’on souhaite donner à notre serveur IIS. Un résumé de l’installation se présente, je vérifie et je clique sur installer. Une fois le serveur web installé, il est accessible sur http://locahost. Par défaut la racine du site se trouve dans C:\inetpub\wwwroot\ Désormais, je vais dans le menu démarrer, puis outils d’administration et enfin gestionnaire des services Internet (IIS). Enfin dans l’installation de IIS 7.0 nous allons ajouter un site d’exemple qu’il s’appellera www.managemgoup.com Pour cela j’ai glissé un site fait en html dans le dossier C://inetpub//wwwroot/managemgroup Mon site est dans un dossier appelé managemgroup Donc pour l’ajouter vous faite clic droit sur « Sites » ==> Ajouter un site. Puis, renseignez les champs: nom du site, lien physique du site, port… Elaboré par Abderrahman 41 ISGI Marrakech Glissé un site fait en html dans le dossier C:/inetpub/wwwroot/managemgroup Dans l'affichage Fonctionnalités du Gestionnaire des services Internet, double-cliquez sur Document par défaut . Dans le volet Action, cliquez sur Ajouter Dans la zone Nom, entrez le nom de fichier que vous souhaitez ajouter à la liste des documents par défaut, puis cliquez sur OK. Ce nom de fichier est ajouté en haut de la liste des documents par défaut. Afin de vérifier que votre installation c’est bien dérouler, ouvrez un navigateur Web, puis dans la barre tapez l’adresse: Elaboré par Abderrahman 42 ISGI Marrakech 5 Présentation : Autorité de certification En cryptographie, l'autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettre et maintenir : les certificats (CSR : Certificate Signing Request) les listes de révocation (CRL : Certificate Revocation List) L'autorité de certification (AC) opère elle-même ou peut déléguer l'hébergement de la clé privée du certificat à un opérateur de certification ou autorité de dépôt. L'AC contrôle et audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des Pratiques de Certification. L'AC est accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature numérique. Sur le plan technique, cette infrastructure de gestion des clés permet ainsi d'assurer que : Les données transmises n'ont pas été modifiées durant le transfert : intégrité par hachage des données. Les données proviennent bien de l'émetteur connu : utilisation de clés et répudiation Ces données peuvent être un numéro de carte bancaire, des informations personnelles ou identifiant caractéristique d'un ordinateur. Elaboré par Abderrahman 43 ISGI Marrakech A. Installation Autorité de certification Lancer l’assistant d’ajout des rôles, vous êtes sur la première page de l’assistant, vous n’avez rien à modifier sur cette fenêtre, cliquez sur suivant pour passer à la fenêtre suivante. Dans la fenêtre suivante vous sélectionnez le rôle à ajouter, vous activez la case à cocher Services de certificats Active Directory. Cliquez sur Suivant à deux reprises. Cocher Inscription de l’autorité de certification via le web. Dans la page Configurer la base de données de certificats, acceptez les valeurs par défaut ou spécifiez d’autres emplacements de stockage pour la base de données de certificats et son journal, puis cliquez sur Suivant. Vérifiez l’exactitude des informations sur la page Confirmer les options d’installation, après validation, cliquez sur Installer. Elaboré par Abderrahman 44 ISGI Marrakech B. Déploiement de certificats Maintenant que vous avez créé votre modèle, les utilisateurs peuvent faire la demande de certificats et en obtenir. Il existe plusieurs méthodes pour demander un certificat : - Via le Web - Via une console MMC - Via un GPO. Préparer une demande de certificat : Lancer le Gestionnaire des services Internet(IIS) et sélectionner le serveur web. Double-cliquer sur Certificats de serveur Cliquer sur Créer une demande de certificat. . Elaboré par Abderrahman 45 ISGI Marrakech Fournir les informations demandées puis cliquer sur Suivant Revenir à la fenêtre du navigateur, placez-vous dans la zone "Demande enregistrée" et faire "Coller". Elaboré par Abderrahman 46 ISGI Marrakech C. Délivrer le certificat Faire les étapes suivantes à partir du serveur de certificats (autorité de certification): Dans "Outils d'administrations", "Autorité de certification", entrez dans "Demandes en attentes" pour notre certificat. Vous devez y trouver un certificat en attente de traitement. Faites "Délivrer". Le certificat passe alors dans "Certificats délivrés". Elaboré par Abderrahman 47 ISGI Marrakech D. Récupérer le certificat Faire les étapes suivantes à partir du serveur de certificats (autorité de certification). A partir d'un navigateur du serveur tapez l'adresse: http://192.168.0.11/Certsrv Choisir "Afficher le statut d’une requête de certificat en attente. Cliquer sur le certificat pour voir le statut Elaboré par Abderrahman 48 ISGI Marrakech E. Télécharger le certificat. Il vous est alors proposé d'enregistrer le fichier certnew.cer Elaboré par Abderrahman 49 ISGI Marrakech F. Attribuer le certificat à un site web 1) Lancer le Gestionnaire des services Internet(IIS) et sélectionner le serveur web. 2) Double-cliquer sur Certificats de serveur et cliquer sur Terminer la demande de certificat.. Spécifier le fichier contenant la réponse de l’autorité de certification et un nom. Elaboré par Abderrahman 50 ISGI Marrakech G. Attacher le certificat au site web Une fois le types HTTPS/443 configuré, supprimez http/80 N.B : Pour réaliser ce TP j’ai utilisé le même serveur (192.168.233.143) en tant qu’autorité de certification et de serveur web. Elaboré par Abderrahman 51 ISGI Marrakech H. Exiger une communication sécurisée Sélectionnez le site web en https, puis double-cliquez sur Paramètres SSL. Elaboré par Abderrahman 52 ISGI Marrakech I. Faire un test Vérification du certificat serveur : Elaboré par Abderrahman 53 ISGI Marrakech 6 Installation d’Ipcop Vous pouvez télécharger IPCOP sur le site officiel, l’image ISO pèse 61 Mo, c’est donc rapide et léger. Ensuite, gravez l’image sur un CD puis booter dessus pour démarrer l’installation en appuyant sur “Entrée“. Choisissez la langue que vous souhaitez, le choix devrait se faire facilement. Elaboré par Abderrahman 54 ISGI Marrakech Choisissez clavier, AZERTY standard. Pour qu’IPCOP se mettre à l’heure dès l’installation, choisissez le fuseau horaire vous correspondant. Si vous habitez au Maroc, sélectionnez “GMT“ Elaboré par Abderrahman 55 ISGI Marrakech Vous pouvez modifier la date et l’heure mais logiquement si vous avez choisi le bon fuseau horaire, il n’y a pas besoin. Le programme d’installation scanne la configuration matérielle pour rechercher les supports d’installation disponibles. Sélectionnez le support que vous souhaitez et faites “Ok“. Faites à nouveau “Ok” lorsqu’on vous demande de confirmer. Remarque : le support sélectionné sera formaté et partitionné. Elaboré par Abderrahman 56 ISGI Marrakech Vous devez indiquer quel est le type du support que vous avez choisi précédemment, si c’est un disque dur, sélectionnez “Disque dur“. Au contraire si c’est une clé USB, une carte mémoire,… de la mémoire flash pour faire court, sélectionnez “Flash“. Dans mon cas c’est un disque dur, je choisis donc “Disque dur“. Ensuite patientez pendant le partitionnement du disque dur et de l’installation. Avec IPCOP, il est possible de sauvegarder les paramètres de configuration via l’interface web d’administration. Lors d’une réinstallation il est possible de restaurer cette sauvegarde pour ne pas avoir à reconfigurer tout un tas de paramètres. Dans le cas de ce tutoriel il n’y a pas eu de sauvegarde, sélectionnez donc “Passer“. Elaboré par Abderrahman 57 ISGI Marrakech Il y a une information important à retenir dans le message indiqué en fin d’installation, le port à utiliser pour accéder à l’interface web d’IPCOP, qui est un port non standard pour le HTTPS : 8443. Dans la version 1.4.20 d’IPCOP le port d’écoute était “445“, devenu dans la version 2.1.8 “8443“. Pour rappel, le port standard pour le protocole HTTPS est 443. Donnez un nom à la machine Elaboré par Abderrahman 58 ISGI Marrakech Indiquez le domaine s’il y en a un L’interface ROUGE, c’est à dire l’interface côté internet, peut-être de plusieurs types comme vous pouvez le voir dans la liste ci-dessous. Pour attribuer une configuration statique à l’interface, sélectionnez “Statique” dans la liste en utilisant la barre d’espace pour sélectionner. Elaboré par Abderrahman 59 ISGI Marrakech L’assistant scanne à nouveau votre configuration matérielle pour détecter les cartes réseaux disponibles sur votre machine. Vous devez sélectionner une carte réseau et lui assigner une couleur, vous pouvez utiliser jusqu’à 4 cartes réseaux selon ce que vous souhaitez faire. Petit rappel sur la signification des couleurs : GREEN : Réseau LAN, RED : Réseau WAN (internet), BLUE : Réseau Wifi, ORANGE : DMZ (Zone Démilitarisée). Pour ma part, je vais assigner “GREEN” à une carte, “ORANGE“ à une carte et “RED” à l’autre, pour avoir un côté “LAN“ et un côté “Internet“ et “DMZ“. IPCOP protégera les clients du LAN. Une fois l’assignation terminée, faites “Continuer“ Elaboré par Abderrahman 60 ISGI Marrakech Il faut désormais indiquer la configuration réseau pour chacune des interfaces auxquelles vous avez attribuées une couleur. Informations concernant l’interface GREEN : Informations concernant l’interface RED : Elaboré par Abderrahman 61 ISGI Marrakech Informations concernant l’interface ORANGE : Indiquez les serveurs DNS (Primaire et secondaire) que doit utiliser l’IPCOP, et également, la passerelle par défaut pour sortir du réseau. Elaboré par Abderrahman 62 ISGI Marrakech Parmi les services qui composent IPCOP, on trouve le service DHCP, que vous pouvez activer ou non à cette étape de la configuration. Faites “Ok” une fois que vous avez effectué votre choix. Il est possible d’accéder à nouveau à la configuration du serveur DHCP via l’interface web par la suite. Les 3 prochaines étapes concernent la définition des mots de passes, le premier mot de passe est celui pour l’utilisateur “root“, ensuite l’utilisateur “admin” qui permet l’accès à l’interface web, puis celui à utiliser pour les clés de cryptage de sauvegardes. Elaboré par Abderrahman 63 ISGI Marrakech Tapez un mot de passe pour le compte "admin" d'IPCop, puis touche Félicitation Elaboré par Abderrahman 64 ISGI Marrakech A. Accès à distance via un navigateur Internet Exécutez alors votre navigateur internet puis saisissez l’adresse IP GREEN de votre IPCOP dans la barre d’adresse du navigateur suivie de https://10.0.0.254:8443 comme ci-dessous Elaboré par Abderrahman 65 ISGI Marrakech 7 Présentation des fonctionnalités Onglet Système Tout ce qui concerne de près ou de loin le système en lui-même, c'est-à-dire la vérification et l'installation des mises à jour, la modification des mots de passes, les sauvegardes l'accès SSH Onglet Etat Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci: services actifs, utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de trafic et d’utilisation de la mémoire, connexions actuelles,… Onglet Réseau Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface rouge est composée d’un modem vous pouvez le configurer et gérer la connexion de celui-ci dans les menus de cet onglet. Il s'agit là de spécifier les paramètres de connexion ou d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de l'installation. Elaboré par Abderrahman 66 ISGI Marrakech Onglet Services Etant donné le nombre de services et d'options de configuration possibles pour ceuxci, plus de détails seront fourni dans un futur dossier. En revanche vous pouvez consulter un rapide de caritif de ces services dans notre précédent dossier consacré à la découverte et l'installation d'IPCop. Onglet Pare-feu Comme pour tout bon firewall qui se respecte, il est possible de désactiver le Ping et d’ouvrir des ports pour laisser passer des applications ou même de rediriger ceux-ci pour plus de précision (PAT pour Port Area Translation). Onglet RPVs Il est possible de créer des réseaux privés virtuels (plus connus sous le nom de VPN pour Virtual Private Network) pour relier les réseaux locaux de deux IPCop. Ce menu vous permettra de mettre ces réseaux en place et de contrôler leur état. Elaboré par Abderrahman 67 ISGI Marrakech Onglet Journaux Obtenir un suivi des évènements au travers de journaux (ou logs) est indispensable pour détecter la cause de problèmes, qu’il s’agisse du pare-feu, du noyau du système, ou encore des adresses bloquées par le filtreur d’url. SYSTEME C’est la première page qui s’affiche lorsque l’on tape l’adresse de l’interface web d’administration d'IPCop. Sur cette page il vous est possible de couper tout le trafic passant par IPCop via le bouton [Déconnexion] (la connexion s’établit de manière automatique lors du démarrage du serveur), mais également de consulter le temps de puis lequel la connexion est établie. D’autres informations relatives à l’interface rouge sont disponibles : nom d’hôte sur le réseau du FAI, date d’installation de la dernière mise à jour effectuée, également l’heure du serveur et le nombre d’utilisateurs connectés( à l’interface ou en SSH). Elaboré par Abderrahman 68 ISGI Marrakech B. Graphiques système: Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources matérielles (processeur, mémoire, swap et accès disque), mais permettent également d’identifier les pics de sollicitation des ressources par plage horaire. Les légendes des graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer sur le graphique d’un élément affiche les graphiques de cet élément avec d’autres unités temporelles (jour, semaine, mois, année) vous permettant ainsi d’obtenir une vue d’ensemble de l’utilisation. Elaboré par Abderrahman 69 ISGI Marrakech C. Courbes de trafic Les courbes de trafic représentent le niveau de sollicitation de la bande passante par rapport au temps, là aussi il s’agit d’identifier les pics d’utilisation et désaturations du trafic. Tout comme les graphiques systèmes, lorsque vous cliquez sur un graphique vous obtenez une vue dans une autre unité de temps. Elaboré par Abderrahman 70 ISGI Marrakech D. Connexions Il est possible de suivre en temps réel les communications établies entre IPCop et les éléments qui l’entourent. Le tableau des connexions vous permet de suivre celles-ci, les adresses ip et les ports utilisés y sont répertoriés ainsi que d‘autres informations(protocole, bail, zone, ack… Elaboré par Abderrahman 71 ISGI Marrakech E. Journaux du pare-feu Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont organisés par date, différentes informations relatives à la communication sont ensuite disponibles sous forme d’un tableau : F. Journaux du Serveur Mandataire Elaboré par Abderrahman 72 ISGI Marrakech 9. Configuration Serveur DHCP Le partage de la connexion Internet est toujours un peu délicat lorsque l'on débute, aussi on aimerait ne pas avoir à configurer à chaque fois un ordinateur que l'on veut ajouter sur notre réseau. Un serveur DHCP (Dynamic Host Configuration Protocol permet, comme son nom anglais l'indique, d'attribuer de façon Dynamique une configuration. Ce serveur va nous permettre d'attribuer automatique ment des adresses: • IP: pour chaque ordinateur à partir du moment où ils reconnecté physique mentaux réseau. • Passerelle (ou Gateway en Anglais) , un réseau local dispose d'une adresse IP privé (non accessible directement d'Interne ), pour pouvoir sortir de notre réseau local et accéder à un autre réseau (Internet par exemple) on utilise une passerelle, appeler aussi routeur. • Serveur DNS: un nom est plus facile à retenir qu'un numéro, en effet generation-nt.com est plus facile à retenir que 83.243.23.80. Le rôle d'un serveur DNS est ainsi de faire correspondre un nom de domaine( ou de machine) à une adresse IP. • Serveur NTP : les serveurs NTP ( Network Time Protocol ) permettent d' attribuer une même date et une même heure à l'ensemble d'un réseau, un service spécifique d'IPCop est consacré cela. • Serveur WINS : il s'agit d'un serveur de nom comme le DNS, mais spécifique à Windows. WINS signifie Windows Internet Naming Service. Il s'agit de l’implémentation Microsoft de NetBIOS Name Server, le" grand-père " du DNS et d' Active Directory. Elaboré par Abderrahman 73 ISGI Marrakech 10. Hôtes Statiques Il s'agit ici d'une espèce de serveur DNS simplifié. En effet, le menu " Hôtes Statiques " permet d'entrer manuellement des noms d'hôtes que l'on associera ensuite à des adresses IP. Bien entendu, il faut pour cela que les ordinateurs soient configurés avec une adresse IP fixe ou possèdent Une réservation d'adresse dans un serveur DHCP... Cette option permet de taper l'adresse d'un serveur web rapidement dans n'importe quel navigateur (un peu Comme les mots-clés associés aux marques-pages dans Firefox...). 11. Serveur de temps Un serveur de temps fournit une date et une heure à l'ensemble d'un réseau, permettant ainsi d'avoir les mêmes horaires sur toutes les machines. Pour information, le protocole utilisé pour réaliser cela est NTP pour Network Time Protocol(portUDP123)... Elaboré par Abderrahman 74 ISGI Marrakech 12. Serveur mandataire (proxy) Un serveur proxy est souvent une machine dédiée intercalée entre les ordinateurs d’un réseau et Internet( ou un Intranet, peu importe). Son rôle est d’aller chercher les pages pour les utilisateurs du dit réseau, et en plus de leur fournir les dites pages, de les stocker avec leurs contenus dans un cache afin que lors de la prochaine demande d’affichage de celles-ci, la bande passante Internet soit moins sollicitée. Etant donné que tout le trafic" web " transite par un serveur proxy, on pourra spécifier une limite de débit et même mettre en place quelques règles de filtrage. Il existe plusieurs façons de mettre en place un serveur proxy par rapport aux ordinateurs d'un réseau local, on peut, comme spécifier sur le schéma ci-dessus mettre le serveur Proxy " physiquement " entre les machines du réseau local et la zone web, ou configurer les postes du réseau pour que ceux-ci passent par le Proxy... Dans notre cas, on préfèrera la première possibilité, nous activerons donc le mode " transparent " permettant d' activer le serveur sans avoir à passer sur chaque poste du réseau pour que celui-ci utilise le serveur, on pourra par ailleurs activer les journaux de celui-ci pour un suivi quotidien. Pour y accéder, cliquer sur le menu Services, puis serveur mandataire (proxy). Elaboré par Abderrahman 75 ISGI Marrakech Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer! Pour le faire cocher la case: Activé sur VERT. Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des navigateurs web (paramétrage du proxy). Tout trafic passant par la passerelle IPCOP sera analysé par le proxy. Activons le aussi: en cocha tout simplement la case Mode transparent VERT. Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP: allez sous la section Configuration des journaux, activer les trois cases: Journaux activités, enregistrement des URL complètes … Cliquer sur le bouton Enregistrer et à partir d’un ordinateur sous contrôle d’IPCop ouvrons www.facebook.com ; http://winsxop.net/downlad/winscop514.zip et retournons sur IPCop, dans le menu Journaux cliquer sur Journaux du Serveur mandataire le résultat est plus parla il retrace clairement les sites visités par le client Elaboré par Abderrahman 76 ISGI Marrakech A. Gestion du contrôle d’accès La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permis pour utiliser IPCOP. Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites. Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple. Une adresse interdite, ne pourra pas accéder à internet ! B. Les restrictions de temps La section restrictions de temps, permet de définir les horaires d’accès au web Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée. C. Les limites de transfert La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des fichiers en réception et en émission. Elaboré par Abderrahman 77 ISGI Marrakech D. Réduction du téléchargement La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou par poste client. Dans cet exemple, le débit total ENTRANT est de 1024kBit/s max, et le débit par hôte soit 64Ko/s. Elaboré par Abderrahman 78 ISGI Marrakech 13. Configuration de l’UrlFilter Comme son nom l'indique, UrlFilter permet de filtrer les adresses Internet. Pour que ce service fonctionne, le serveur proxy doit être activé. Par ailleurs, si l'on compte utiliser AdvProxy avec, il est conseiller d' installer UrlFilter avant AdvProxy ! UrlFilter fonctionne selon deux principes : d'un côté nous avons une blacklist ( liste noire) de noms de domaines classés par thèmes, de l'autre, nous avons une blacklistet une whitelist de domaines personnalisés. La première peut être actualisée de façon automatique ( on pourra paramétrer la fréquence de mise à jour ), et la seconde est figée et une intervention est nécessaire pour la modifier... Pour cela il suffit de taper l’url suivant: https://@ ip ipcop :8443/cgi-bin/urlfilter.cgi Cocher l’options "Filter d’Url" sur activé comme le montre cette figure, puis cliquer sur "Enregistrer" juste en bas. Encore une chose, dans services, rendez-vous sur "serveur mandataire proxy" et ensuite tous en bas l’option "redirecteurs" devrait apparaître, cocher sur "active" puis cliquer sur Enregistrer. Elaboré par Abderrahman 79 ISGI Marrakech A. Catégories de blocage Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter d’autres catégories de blocage. B. Blacklists personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait bloqué par les blacklists par défaut. Un domaine est de la forme : Une URL sera de la forme : https://www.hespress.com https://www.youtube.com/whatch?=RIHffe34çz Ne pas oublier d’activer les blacklists personnalisées ! Elaboré par Abderrahman 80 ISGI Marrakech C. Whitelistes personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait autoriser par les Whitelistes par défaut. Un domaine est de la forme : Une URL sera de la forme : https://www.google.com https://www.facebook.com/abderrahmane.khair Ne pas oublier d’activer les Whitelistes personnalisées ! Elaboré par Abderrahman 81 ISGI Marrakech D. Liste d’expressions personnalisées Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant l’expression: /terrorisme Elaboré par Abderrahman 82 ISGI Marrakech E. Bloquer les extensions de fichiers Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…) compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…) Uniquement par le biais de la navigation http Elaboré par Abderrahman 83 ISGI Marrakech F. Contrôle d’accès basé sur le temps Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle qui doivent être bannies. Si vous cliquer sur le bouton de ‘Time based Access control’ vous arrivez à l’écran suivant : Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la journée (ici les postes du réseau 10.0.0.0/24 peuvent accéder à tous sites 24/24 7/7 Pour que le changement soit prise en compte, cliquer sur le bouton Restart Url filter (juste à haut) puis encore Enregistrer et redémarrer pour que tout soit parfait. Elaboré par Abderrahman 84 ISGI Marrakech G. Paramètre des pages bloquées Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être bloqué. H. Paramètres avancés Vous pouvez depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à saisir l’IP de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur bloquer l’accès aux sites pour cette (ou ces) adresse(s) IP Enfin c’est ici que vous activez les logs pour le filtreur d’URL. I. Ajout massif de Blacklist pour approfondir notre filtrage il est conseillé utilisé un Blacklist. on va installer les blacklist suivantes ftp://ftp.univtlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Pour uploader ces Blacklist, allez dans la section: Blacklist update, cliquer sur Parcourir pour sélectionner le fichier téléchargé puis cliquer sur le bouton Upload blacklist. La combinaison de ces deux blacklists nous permettra à faire un filtrage assez poussé comme le démontre cette figure: Elaboré par Abderrahman 85 ISGI Marrakech 14. Configuration de l’authentification Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet. Cependant pour activer cette fonction, plusieurs points sont à prendre en considération : - Le mode Proxy Transparent doit être désactivé. - Les postes clients doivent donc être configurés pour passer à travers le proxy Plusieurs méthodes d’authentification sont disponibles sous IPCOP. Dans le bas de la fenêtre de configuration du Proxy Avancé nous avons : Aucune: L’authentification est désactivée, aucun login/mot de passe n’est demandé. Locale: Cette méthode d’authentification est la préférée des petites structures, la gestion des utilisateurs et mot de passe est effectuée par IPCOP lui-même. identd: Cette méthode est particulièrement prisée pour les entreprise ou: • l’authentiquassions doit se faire de manière masquée • le proxy doit fonctionner en mode transparent • Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle authentification LDAP: Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille. Les utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de passe. Les informations sont alors vérifiées, par un serveur LDAP externe. Voici les types de serveurs LDAP que Proxy accepte: • Windows: Les utilisateurs doivent s’authentifier lorsqu’il accèdent au web, les informations d’identification sont vérifiée par une contrôleur de domaine externe tel que : • Windows NT 4.0 Server or Windows 2000/2003 Server • Samba 2.x / 3.x Server (running as Domain Controller) RADIUS: Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations d’identification sont vérifiées par serveur RADIUS externe : Dans notre cas nous allons utiliser l’authentification Locale. Nous devons donc dans notre cas désactiver le mode transparent, et cocher l’option « locale » puis cliquer sur le bouton Enregistrer. Active Directory (Windows 2008 and 2012 Server) • Novell eDirectory (NetWare 5.x und NetWare 6) • LDAP Version 2 and 3 (OpenLDAP) . Elaboré par Abderrahman 86 ISGI Marrakech Nous devons donc dans notre cas désactiver le mode transparent, et cocher l’option « locale ». Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des utilisateurs Elaboré par Abderrahman 87 ISGI Marrakech Une fois les utilisateurs crées, ils apparaissent comme ci-dessous : Maintenant passons à la configuration du navigateur client: Il s’agit de configurer la navigateur pour passer à travers le proxy : Pour Firefox 37.0.1 Cliquer sur Firefox/Options/Options dans la section Avancé sous l’Onglet Réseau cliquer sur Paramètres: Lors de l’ouverture du navigateur nous avons alors une fenêtre du type : Elaboré par Abderrahman 88 ISGI Marrakech 15. BlockOutTraffic (BOT) Par défaut IPCOP filtre tous les paquets entrant par le biais de sa fonction principale à savoir Pare-Feu. Or lors d’une utilisation en entreprise l’accès Internet de cette dernière est parfois utilisée à des fins peu scrupuleuses par certains utilisateurs. Jusqu'à maintenant IPCOP autorise la quasi-totalité des services en sortie, y compris le Peer 2Peer, les prises de main à distance, le ftp……. BlockOutTraffic permet de contrôler davantage ce qui sort de notre IPCOP. Dans notre Exemple nous allons voir les points suivants : • Créer les règles de base pour accéder au web • Autoriser certains services • Créer des groupes d’ordinateurs et leur affecter des règles différentes A. Créer des groupes d’ordinateurs Première règle à implémenter, bloquer tous les ports de: 1-65535. Nous sommes dans le menu PareFeu/Services. Elaboré par Abderrahman 89 ISGI Marrakech maintenant le moment d’identifier les deux groupes TRI , TDI, Imaginons que nous avons deux étudiants TIR dont l’IP est: 10.0.0.20 , 10.0.0.21 et les deux TDI voici leurs ip: 10.0.0.30, 10.0.0.31 groupons les dans deux boites: TRI et TDI, nous sommes dans le menu PareFeu/Regroupements d’Adresses. Dans la zone Nom du Regroupement d’Adresses tapez TDI , juste en bas cliquer sur le bouton d’option Adresse personnalisées, sélectionner notre 1er TDI 1 puis cliquer sur le bouton Ajouter. Pour la suite sélectionner simple le bouton d’option Nom du Regroupement d’Adresse où TDI apparaît dans la liste puis sélectionner le 2em TDI 2,. Avant de recommencer la même chose pour le département TRI. A la fin votre figure ressemblerait à celle-ci: Elaboré par Abderrahman 90 ISGI Marrakech B. Blocage des services. Menu Pare-Feu cliqué sur Règles du Pare-Feu. Dans la passe qui s’ouvre cliquer sur le bouton Trafic en sortie. Autorisons d’abord le service DNS pour la résolution du nom de domaine, dans la section: - Source: Interface par défaut: VERT, Réseau par défaut: Green Network - Destination: Interface par défaut: Rouge, Réseau par défaut: Any, Mais service cliquer sur le bouton d’option Services par défaut est sélectionner Domain(53) - Additionnel: Au niveau de l’Action de la règle sélectionner ACCEPTER Elaboré par Abderrahman 91 ISGI Marrakech Puis d’enregistrer. C. Trafic en sortir il est possible de créer une nouvelle règle permettant par exemple : L’accès aux services SSH, HTTPS, DNS, DHCP pour réseau 10.0.0.0/24 Le groupe TRI aura accès : FTP a l’hôte 192.168.0.10 Le groupe TDI, accès au service POP3 et SMPT Elaboré par Abderrahman 92 ISGI Marrakech D. Acces IPcop Autoriser seulement à l’adresse 10.0.0.10 a ouvrir une connexion SSH avec le serveur IPcopAutoriser seulement à l’adresse 10.0.0.10 a ouvrir une connexion Telnet avec le serveur IPcop E. Transports de port Mapper le port 80 au port 443 F. Accès Externe IPcop Bloquer les Accès Externe a destinateur serveur IPcop au port Telnet , SSh, FTP Elaboré par Abderrahman 93 ISGI Marrakech 16. Vérifier les ports ouverts sur le serveur IPcop voir l’adresse d’interface rouge d’IPcop 192.168.1.8 Je viens de scanner tous les ports d’interface rouge d’IPcop, avec la commande nmap 192.168.1.8 le résultat donne, aucun port ouvert. ping d’interface rouge d’IPcop 192.168.1.8 pour vérifier est ce que le pare-feu il bloque tour le Traffic entrant. Elaboré par Abderrahman 94 ISGI Marrakech Conclusion la mise en place d'un pare-feu IPcop permet donc de sécuriser au maximum le réseau d'entrepris, de détecter les tentatives d'instruction et d'y parer au mieux possible. Cela permet de rendre le réseau ouvert sur internet beaucoup plus sûr, également permettre de restreindre l'accès internet vers l'extérieur. En plaçant le pare-feu IPcop pour limitant ou interdisant l'accès à des services, l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. La possibilité d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil à la fois fiable et évolutif. Par ailleurs, la facilité d'installation des mises à jour et la non-nécessité de redémarrer est un plus non négligeable. Seul défaut : celles-ci ne s'effectuent pas de façon automatique et il faut donc les vérifier de temps en temps à l'aide de l'onglet. L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est plus nécessaire d'avoir un firewall d'installé sur chaque poste du réseau, le serveur se chargeant d'effectuer le filtrage en amont. . Contrainte que possède IPCop par rapport à des solutions physiques payantes qui prennent elles moins de place et qui possèdent parfois des règles de filtrage que l'ont peut un peu plus affiner, mais le prix de ce genre de solution ( surtout si elles gèrent le VPN ) n'a rien à voir avec celui d'un IPCop. Elaboré par Abderrahman 95 ISGI Marrakech Annexes Annexe 1 : plan de Mase du CTT: Annexe 2: Maquette du site Geumassa. Elaboré par Abderrahman 96 ISGI Marrakech Annexe 3 : Schémas synoptique de la fibre optique au sein de CTT Elaboré par Abderrahman 97 ISGI Marrakech Elaboré par Abderrahman 98 ISGI Marrakech