Mise en place d`un pare-feu sous Gnu/Linux IPcop

Transcription

Office de la Formation Professionnelle et de la
Promotion de Travail
Institut Spécialisée de Gestion et d’Informatique
ISGIM
Mise en place d’un pare-feu sous
Gnu/Linux
IPcop
Présenté par:
Abderrahman
Encadré par:
Mme. ABARRO Kawtar
Mr. ERROUGUI Jawad
1
2014/2015
Module: conception de projet de fin d'année
Table des matières
INTRODUCTION .............................................................................................................. 7
PARTIE 1 PRESENTATION DE L’ENTERPRISE ...................................................... 8
I.
1. LIESTE SIGNALETIQUE DU GROUPE MANAGEM .................................................. 9
2. ORGANIGRAMME DU GROUPE MANAGEM ........................................................ 10
3. FILIALES DU GROUPE MANAGEM ..................................................................... 11
4. PRESENTATION DE LA COMPAGNIE DE TIFNOUT TIGHANIMINE ......................... 13
5. PRESENTATION DU SERVICE INFORMATIQUE AU SEIN DE LA CTT ....................... 15
II. PARTIE 2 PRESENTATION DU PROJET ............................................................... 16
1. DEFINITION : SYSTEME D’INFORMATION ............................................................ 17
A. SYSTEME D'INFORMATION ET FINALITE DE LA CHOSE . ........................................ 17
B. SYSTEME D'INFORMATION ET APPLICATION INFORMATIQUE .............................. 18
2. COMPOSITION D'UN SYSTEME D 'INFORMATION D'ENTREPRISE ........................... 18
A. COMPOSITION CLASSIQUE ................................................................................... 18
B. COMPOSITION ACTUELLE .................................................................................... 19
3. ÉVOLUTION DE LA COMPOSITION DU SYSTEME D 'INFORMATION ......................... 20
4. FIREWALL, UNE TECHNIQUE DE PROTECTION ..................................................... 21
A. POURQUOI UN PARE-FEU ? ................................................................................... 21
B. QU’EST-CE QU’UN PARE -FEU ? ............................................................................ 22
C. COMMENT FONCTIONNE UN FIREWALL(PARE -FEU) ? .......................................... 22
D. PROXY ................................................................................................................. 23
E. DMZ .................................................................................................................... 23
5. UN FIREWALL, ÇA PROTEGE CONTRE QUOI ? ...................................................... 23
6. LES DIFFERENTS TYPES DE FIREWALL ................................................................. 24
A. LES FIREWALL BRIDGE ........................................................................................ 24
B. LES FIREWALLS MATERIELS ................................................................................ 24
C. LES FIREWALLS LOGICIELS ................................................................................. 25
A) LES FIREWALLS PERSONNELS ..............................................................................
B) LES FIREWALLS PLUS
25
« SERIEUX » ....................................................................... 25
7. LISTE DES FIRWALL PAYANT ............................................................................... 28
8. LISTE DES FIREWALL OPEN SOURCE .................................................................... 28
9. MISE EN PLACE D ’UN FIREWALL LOGICIEL AVEC LA DISTRIBUTION IPCOP ........ 28
A. QU’EST -CE QUE IPCOP ? ................................................................................... 28
Elaboré par Abderrahman
2
ISGI Marrakech
B. CARACTERISTIQUES PRINCIPALE D'IPCOP .......................................................... 28
C. LES DIFFERENTES INTERFACES RESEAUX. ........................................................... 28
D. POSSIBILITE DE MISE EN PLACE D’IPCOP........................................................... 29
E. LISTE DE SERVICES OFFERTS PAR IPCOP ........................................................... 30
III. PARTIE 3 MISE EN PLACE UN INTRANET
SECURISER D ’ I PCOP
......................... 31
1. SCHEMA DE LA MAQUETTE DU PROJET ............................................................... 32
TACHE A REALISER ................................................................................................... 33
2. PRESENTATION DE WINDOWS SERVER 2008 R2 .................................................. 34
A. CONFIGURATION WINDOWS SERVER 2008 R2 ..................................................... 35
B. INSTALLER L ’ACTIVE DIRECTORY AVEC DCPROMO ........................................ 36
C. CREER DES « UTILISATEURS » ............................................................................. 36
3. PRESENTATION DU DNS (DOMAIN NAME SYSTEM) ............................................. 37
A. ROLE DU DNS ...................................................................................................... 37
B. INSTALLATION DU SERVEUR DNS ....................................................................... 38
C. CONFIGURATION DU SERVEUR DNS .................................................................... 38
D. AJOUT D’UNE MACHINE ....................................................................................... 39
4. PRESENTATION DU IIS.7 (INTERNET INFORMATION SERVICES) .......................... 40
A. INSTALLATION DU SERVICE IIS ........................................................................... 41
5. PRESENTATION : AUTORITE DE CERTIFICATION ................................................. 43
A. INSTALLATION AUTORITE DE CERTIFICATION .................................................... 44
B. DEPLOIEMENT DE CERTIFICATS .......................................................................... 45
C. DELIVRER LE CERTIFICAT ................................................................................... 61
D. RECUPERER LE CERTIFICAT ................................................................................ 48
E. TELECHARGER LE CERTIFICAT. .......................................................................... 49
F. ATTRIBUER LE CERTIFICAT A UN SITE WEB ......................................................... 50
G. ATTACHER LE CERTIFICAT AU SITE WEB ............................................................. 51
H. EXIGER UNE COMMUNICATION SECURISEE .......................................................... 52
I. FAIRE UN TEST ..................................................................................................... 53
6. INSTALLATION D ’IPCOP ....................................................................................... 70
7. PRESENTATION DES FONCTIONNALITES ............................................................... 82
B. GRAPHIQUES SYSTEME : ....................................................................................... 69
C. COURBES DE TRAFIC ............................................................................................ 70
D. CONNEXIONS ....................................................................................................... 71
3
ISGI Marrakech
E. JOURNAUX DU PARE -FEU ..................................................................................... 72
F. JOURNAUX DU SERVEUR MANDATAIRE ............................................................... 72
8.CONFIGURATION SERVEUR DHCP ........................................................................ 73
9. HOTES STATIQUES ............................................................................................... 74
10. SERVEUR DE TEMPS ............................................................................................. 74
11. SERVEUR MANDATAIRE (PROXY ) ......................................................................... 75
A. GESTION DU CONTROLE D ’ACCES ........................................................................ 77
B. LES RESTRICTIONS DE TEMPS .............................................................................. 77
C. LES LIMITES DE TRANSFERT ................................................................................ 77
D. REDUCTION DU TELECHARGEMENT ..................................................................... 78
12. CONFIGURATION DE L ’URL FILTER ..................................................................... 79
A. CATEGORIES DE BLOCAGE ................................................................................... 80
B. BLACKLISTS PERSONNALISEES ............................................................................ 80
C. WHITELISTES PERSONNALISEES .......................................................................... 81
D. LISTE D’EXPRESSIONS PERSONNALISEES ............................................................. 82
E. BLOQUER LES EXTENSIONS DE FICHIERS ............................................................. 83
F. CONTROLE D’ACCES BASE SUR LE TEMPS ............................................................ 84
G. PARAMETRE DES PAGES BLOQUEES ................................................................... 103
H. PARAMETRES AVANCES ..................................................................................... 101
I. AJOUT MASSIF DE BLACKLIST ........................................................................... 101
13. CONFIGURATION DE L ’AUTHENTIFICATION ....................................................... 102
14. BLOCKOUTTRAFFIC (BOT) ................................................................................ 89
A. CREER DES GROUPES D ’ORDINATEURS ................................................................ 89
B. BLOCAGE DES SERVICES . ..................................................................................... 91
C. TRAFIC EN SORTIR ............................................................................................... 92
D. ACCES IPCOP....................................................................................................... 93
E. TRANSPORTS DE PORT ......................................................................................... 93
F. ACCES E XTERNE IPCOP ...................................................................................... 93
CONCLUSION ............................................................................................................ 95
ANNEXES ................................................................................................................... 96
4
ISGI Marrakech
Dédicace
Je dédie ce travail
A mes chers parents, que nulle dédicace ne puisse exprimer ce
que je leur dois bienveillance leur affectation et leur soutien
Trésors de bonté, de générosité et de tendresse. Que dieu tout
puissant vous garde et vous procure santé bonheur et langue
vie.
A mes chères sœurs.
A toute a famille.
A tous mes amis.
5
ISGI Marrakech
Remerciements
J’adresse mes chaleurs remerciement à tous ceux qui m'ont contribué au succès de mon stage
et qui m'ont aidé lors de la rédaction de ce rapport.
J'adresse mes remerciements à mon encadreur, Mr. ERROUGUI Jawad, pour leur formation,
son aide ses conseils précieux, son encouragement et sa disponibilité dans ce projet.
Je remercie de même, ma tutrice de stage, Mme ABARRO Kawtar, Responsable SI site
CTT/Geumassa, pour son accueil, son encadrement pendant celui-ci et le partage de son
expertise au quotidien. Ainsi que Mr. EL AMRANI Abdelaziz, Responsable SI du site
Guemassa, de m’avoir accepté.
D'une façon plus générale, Je remercie toute l'équipe Système Informatique pour leur
accueil, leur esprit d'équipe et en particulier BAHITE Yassir, qui m'a beaucoup aidé à se
familiariser avec le matériel et les différentes techniques utilisées dans cette entreprise.
A tous un très grand merci.
6
ISGI Marrakech
Introduction
Dans le cadre de la nouvelle politique de l’OFPPT qui a pour objectif D’assurer une
meilleure formation pour les stagiaires, sous le système qui offre une adéquation entre la
formation et la réalisation du travail dans tous les intervalles professionnels, ceci n’est
possible qu’avec un système qui propose que l’approche par compétence soit l’un des
principaux organisateur de la formation.
Pour la réalisation de ce but, l’institut spécialisé de la gestion et informatique(ISGI)
demande à ces stagiaires de réaliser un rapport à la fin de stage dans le but de développer
leurs connaissances sur le domaine, et pour savoir les problèmes du travail et les prendre en
considération.
Ce rapport, présente un aperçu sur l’entreprise CTT/Geumassa, sa structure et ses
activités principales. Puis détaille l’étude du réseau de l’entreprise et l’identification des
liaisons optiques, ensuite présente le principale projet : Mise en place d’un pare-feu
« IPcoup » ; qui sera en deux parties, La premier partie va contenir une Présentation du
projet, et la deuxième sur La mise en place un intranet et la configuration d'IPcop.
7
ISGI Marrakech
I. PARTIE
PRESENTATION DE
L’ENTERPRISE
8
ISGI Marrakech
1. LISTE SIGNALETIQUE DU GROUPE MANAGEM
Raison sociale
MANAGEM
Nature
Société Anonyme
Président
Général
Directeur M. Abdelaziz ABARRO
Siège social
Twin center, Tour A, Angle boulevards Zerktouni et
AlMassira Alkhadra, BP : 5199 – CASABLANCA, MAROC
Téléphone
05 22 95 65 65
Fax
05 22 95 64 64
Effectif
~
2076 collaborateurs
Site web
http://www.managemgroup.com/
Métier
Exploitation Minière et Hydrométallurgie
Immatriculation
C.N.S.S.
Patente
I.F.
TVA
Filiales
MI, AGM, CMG, CTT, SAMINE, REMINEX, TECHSUB
: 1284281
: 35502445
: 01085047
: 851001
chiffre d’affaire
AU 1 ER
SEMESTRE 2013
9
ISGI Marrakech
2. Organigramme du groupe MANAGEM
Exploitation
Hydrométallurgie
CMG
Service
Reminex
CTT
CTT
Techsub
MINE
MANDATRADE
Ressources
Golden Gram
Gabon (REG)
La minière de
Kalukundi
SMI
AU MAROC
Soudan
A L’ETRANGER
Structure du groupe MANAGEM
10
ISGI Marrakech
3. Filiales du groupe MANAGEM
Société Métallurgique d’Imiter
Métaux précieux
SMI
Détenue à 74% par Managem. Créée en 1988 et située à
30 Km de Marrakech, CMG exploite le gisement
polymétallique de Hajjar. et produit depuis 1992 des
concentrés de zinc, de plomb et de cuivre.
CTT
REMINEX
Métaux de base de Fluorine
CTT
Compagnie de Tifnout Tighanimine
Hydrométallurgie
CMG
Service
Hydrométallurgie
Détenue à 70% par Managem, située à 280 Km au Sud –
Est d’Agadir.
Elle extrait de l’Or métal du gisement aurifère d’Iourirn
depuis 2001
Compagnie Minière des Guemassa
SAMINE
Service
Akka Gold Mining
Compagnie deTifnout Tighanimine
Industriels
Exploitation minière
AGM
Créée en 1969 et situé à 150 kilomètres à l'est
d'Ouarzazate SMI exploite le gisement métallique
d'argent d'Imiter. Elle produit des lingots d'argent métal
d'une pureté de 99.5%.
REMINEX est devenue le fer de lance de la
modernisation des
activités minières du groupe, elle est au cœur de tous les
projets d'exploration, de valorisation et d'ingénierie de
MANAGEM.
Détenue à 100% par Managem, implantée à 120 Km au
Sud de la ville d’Ouarzazate, l'une des plus anciennes
mines de MANAGEM. Sa longue expérience, débutée en
1930, lui permet aujourd'hui de bénéficier d'une
compétence reconnue dans la recherche, l'exploitation et
le traitement du cobalt primaire.
Société Anonyme d’Entreprises Minières
Détenue à 100% par Managem. Créée en 1974, Samine
exploite le gisement d'El Hammam situé à 80 kilomètres
de Meknès.
Elle se positionne parmi les premières entreprises
productrices de la fluorine dans le monde.
Gère cinq unités opérationnelles, dans deux filières :
- La filière Colbat destinée à la production de dérivés de
Colbat,
métal et ses dérivés ;
- La filière Zinc destinée à la production des dérivés de
Zinc
notamment l’oxyde de Zinc.
11
ISGI Marrakech
Centre ses activités sur les sondages et les travaux
souterrains.
MANDATRADE
Commercialisation
TECHSUB
MANATRADE AG, filiale de MANAGEM implantée en
Suisse, a
pour principale activité la commercialisation des produits
des
filiales du groupe.
La Minière de Kalukundi
Détenue à 75% par Managem.
MANAGEM a conclu le 6 janvier 2006 un partenariat
avec Costamin, société congolaise, détenant deux permis
à haut
potentiel en cobalt et cuivre en République
Démocratique du
Congo. Ce partenariat a donné naissance à la société « La
Minière de Kalukundi », LAMIKAL, Les permis de
Costamin lui ont été transférés contre l'engagement de
Managem à financer le programme de développement
jusqu'à
l'étude
de
faisabilité.
RESSOURCS
GOLDEN
GRAM
GABON
Métaux précieux
SAMAFO
Exploitation
minière
A l’international
LAMIKAL
MANAGEM détient une part minoritaire de l'ordre de
10% dans
le capital de la société de Ressources Minières
Canadienne SEMAFO qui est une compagnie aurifère
exerçant des activités
d'exploration, de développement et d'exploitation en
Afrique de l'Ouest.
MANAGEM a conclu, le 22 Juillet 2005, un accord de
partenariat avec la société minière canadienne
Ressources SEARCHGOLD Inc portant sur l'acquisition
à terme par MANAGEM d'une participation de 63% dans
la filiale gabonaide SEARCHGOLD qui détient 100% du
Projet aurifère de Bakoudou. Ce dernier, localisé au SudEst du Gabon, comprend une autorisation de prospection
d'une superficie de 2,300 km2 et un permis d'exploitation
d'une superficie de 24 km².
12
ISGI Marrakech
4. Présentation de La Compagnie de Tifnout Tighanimine
En 1928, un berger découvre à Bouazzer des pierres inconnues, au pouvoir raticide
étrange. Après identification de ces pierres par un naturaliste français comme étant un minerai
de cobalt oxydé, la mine de Bouazzer entre en activité. À partir de 1963, elle est gérée par la
société CTT, filiale de MANAGEM et spécialisée dans la production et la valorisation du
cobalt.
CTT est la filiale de MANAGEM qui gère son complexe Hydrométallurgie, qui est
devenu son deuxième grand métier. Situe dans la Région de Guemassa, à 35 km au sud-ouest
de Marrakech allant à Amizmiz, elle est le fruit des effort du centre de recherche REMINEX
(filiale recherche de MANAGEM) pour développer des processus de valorisation de cobalt,
du Cuivre…les activités démarrèrent avec l’installation d’une première unité l’hydro 1 (H1)
en 1996 de production de cobalt à partir des rejets de la mine de Bouazzer Au sud de
Ouarzazate. Suivra en 1999 l’implantation des unités de grillage (grillé Concentre de cobalt)
et l’hydro 2, deuxième unité de production de cobalt. En 2000 l’unité du cuivre sommital fut
implantée pour produire du sulfate de cuivre hydraté à partir d’extrait Hajjar (région de
Guemassa). En 2002 l’unité de production d’oxyde de zinc (la calamine) est faite leur
démarrage.
Aujourd’hui, grâce au savoir-faire de REMINEX, les déchets de l’exploitation du site
C.T.T à Bouazzer est valorisée. CTT Guemassa est la société en charge de la gestion de
l’ensemble des activités hydro métallurgiques du groupe. Elle gère plusieurs structures
opérationnelles, notamment :
13
ISGI Marrakech
Unité Oxyde Cobalt :
Première unité d’hydrométallurgie de MANAGEM, elle produit des cathodes de cobalt de
haute pureté, à partir des rejets de la mine de Bouazzer .ces cathodes trouves des applications
dans plusieurs dans plusieurs domaine .superalliages, batteries, pigment, chimie… Les étapes
du procède sont :
»
»
»
»
»
»
»
Lixiviation acide des haldes contenants 0,4% Co ;
Elimination de l’arsenic du minerai ;
Précipitation des hydroxydes de cobalt ;
Concentration du Cobalt à 10/12% ;
Séparation Cobalt / Nickel par extraction liquide ;
Electrolyse ;
Production de cobalt cathodes (99,8%).
Hydro II :
Ce complexe permet de traiter le concentré de cobalt de la mine de Bou Azzer pour le
transformer en cathode de haute pureté. Les étapes du procède sont :
»
»
»
»
»
»
Grillage du concentré de cobalt pour éliminer l’arsenic ;
Production de trioxyde d’arsenic pure.
Lixiviation acide ;
Extraction liquide ;
Electrolyse ;
Production de cathodes de cobalt (99,8% Co).
L’unité cuivre sommitale :
Produit depuis 2000, des cristaux de sulfate de cuivre à partir d’un minerai riche en cuivre
extrait de la mine de Hajjar, située sur le site de Guemassa. Elle produit de l’oxyde de zinc
suivant le procède suivant :
Préparation mécanique du minerai ;
» Lixiviation à l’acide sulfurique pour mettre le zinc en solution ;
» Deux étapes de purification ;
» Précipitation du zinc en deux zincs.
Suivant la demande du client (marché du caoutchouc) le produit peut être éventuellement
calciné.
L’unité calamine :
L’unité calamine, démarrée en 2002, à travers laquelle MANAGEM produit de l’oxyde de
zinc de très haute pureté à partir de concentrés riches en zinc acheminés depuis des carrières
situées dans la région d’Errachidia
14
ISGI Marrakech
5. Présentation du service informatique au sein de la CTT
J’ai eu l’occasion d’effectuer un stage au sein de la Compagnie Tifnout Tighanimine et
exactement en Service des systèmes d’information avec Melle. ABARRO Kawtar , au but
de mettre mes connaissances théoriques en pratique, d’avoir un esprit de travail collectif et de
savoir comment je peux les mettre en œuvre au milieu du travail.
Guemassa en général utilise une topologie en étoile dont le nœud central est la direction
générale à Casablanca (Datacenter), et chaque site représente un point central de petites
zones de son entourage.
CTT utilise une technique de virtualisation, Parmi les serveurs qui sont installé dans
Datacenter du site Geumassa en trouve le serveur de messagerie Mail Exchange 2013,
Serveur Reflexe 132, serveur Report 132 , AD21, serveur SEP21, robot de sauvegarde et le
serveur DHCP qui donne des adresses IP au client qui permet la simplification de
l'administration d'un réseau. Ce réseau fait partie du domaine GROUPE-MANAGEM.
Dans la partie passive le site CTT utilise le fibre optique «Multi-mode » pour les connexion
entre les directions « voir annexe 3 » , les usines et la sale système et d’armoires fibre optique,
câblage RJ 45 cat6, cat 5. Système de surveillance, des commentateurs, Système téléphonie
interne.
15
ISGI Marrakech
II. PARTIE
PRESENTATION DU PROJET
16
ISGI Marrakech
1. Définition : Système d’information
Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels,
personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de
diffuser de l’information sur un environnement donné.
L’utilisation de moyens informatiques, électroniques et la télécommunication permettent
d’automatiser et de dématérialiser les opérations telles que les procédures d’entreprise surtout
en matière logistique. Ils sont aujourd’hui largement utilisés en lieu et place des moyens
classiques tels que les formulaires sur papier et le téléphone et cette transformation est à
l’origine de la notion de système d´information.
A. Système d'information et finalité de la chose.
Le SI est né dans les domaines de l'informatique et des télécommunications, le concept de SI
s'applique maintenant à l'ensemble des organisations, privées ou publiques. Le terme système
d'information (ou SI) possède les significations suivantes :
un ensemble organisé de ressources (personnel, données, procédures, matériel, logiciel, …)
permettant d'acquérir, de stocker, de structurer et de communiquer des informations sous
forme de textes, images, sons, ou de données codées dans des organisations. Selon leur
finalité principale, on distingue des systèmes d'information supports d'opérations (traitement
de transaction, contrôle de processus industriels, supports d'opérations de bureau et de
communication) et des systèmes d'information supports de gestion (aide à la production de
rapports, aide à la décision…).
Un système ou sous-système d'équipements, d'informatique ou de télécommunication,
interconnectés dans le but de l'acquisition, du stockage, de la structuration, de la gestion, du
déplacement, du contrôle, de l'affichage, de l'échange (transmission ou réception) de données
sous forme de textes, d'images, de sons, et/ou, faisant intervenir du matériel et des logiciels.
Un SI est un réseau complexe de relations structurées où interviennent hommes, machines et
procédures qui a pour but d’engendrer des flux ordonnés d’informations pertinentes provenant
de différentes sources et destinées à servir de base aux décisions selon Hugues Angot.
Un SI est un ensemble d'éléments matériels ou immatériels (hommes, machines, méthodes,
règles) en interaction transformant en processus des éléments (les entrées) en d'autres
éléments (les sorties).
17
ISGI Marrakech
B. Système d'information et application informatique
On distingue généralement deux grandes catégories de systèmes, selon les types d'application
informatique:
Les systèmes de conception : fonctionnent selon des techniques temps réel ; les systèmes
d'information de gestion, qui emploient des techniques de gestion.
Du point de vue de la valeur financière du patrimoine informatique, les systèmes
d'information de gestion sont largement majoritaires.
Les langages informatiques employés diffèrent souvent selon chacune de ces catégories, et à
l'intérieur des catégories. Par exemple, les systèmes d'information de gestion emploient du
Cobol, du langage C, du C++, du Java, du Visual Basic.NET, du WinDev (WLangage), SQL,
etc.
Aujourd'hui, la généralisation des applications web rend possible une très forte
interopérabilité des systèmes, qui transcende ces catégories traditionnelles. Les langages de
balisage (HTML, XML, ...) s'imposent comme des standards. Ces langages sont souvent
associés à des frameworks. Le framework le plus communément employé est actuellement
RDF (Resource Description Framework). RDF s'appuie sur des normes d'interopérabilité et
l'utilisation massive de métadonnées, données élémentaires communes à toutes les ressources
et tous les systèmes quelles que soient leurs utilisations, qui facilitent les accès et les
échanges.
2. Composition d'un système d'information d'entreprise
A. Composition classique
Dans les œuvres des années 1980 - 1990, la composition « classique » des systèmes de
l'information d'une entreprise était comme une pyramide des systèmes d'information qui
reflétait la hiérarchie de l'entreprise.
Les systèmes qui traitent les transactions fondamentales (TPS) au fond de la pyramide, suivis
par les systèmes pour la gestion de l'information (MIS), et après les systèmes de soutien des
décisions (DSS) et se terminant par les systèmes d'information utilisés par la direction la plus
supérieure (EIS), au sommet.
Bien que le modèle pyramidal reste utile, un certain nombre de nouvelles technologies ont été
développées et certaines nouvelles catégories de systèmes d'information sont apparues et ne
correspondent plus aux différentes parties du modèle pyramidal.
18
ISGI Marrakech
B. Composition actuelle
Dans un système d'information d'une grande entreprise, on trouve :
 Un ERP - Enterprise Resource Planning (en français : PGI pour progiciel de gestion
intégré) qui intègre théoriquement tous les systèmes informatisés transactionnels dont les
modalités de fonctionnement sont désormais bien connues des informaticiens et des
hommes de l'Art de chaque métier. Les ERP permettant de soutenir le fonctionnement de
l'entreprise:
 des systèmes appelés autres dits les intégrés métiers, où les verticalistes qui sont des
progiciels métiers, et qui couvrent aussi bien le front-office, que le middle, puis le
back-office et qui ne sont pas de conception maison, mais ont été bâti par un éditeur
spécialisé sur un métier et dont les modes de fonctionnement logiciels correspondent
aux meilleurs pratiques constatées à un moment donné chez les plus performant dans
leur secteur d'excellence ;
 des systèmes restants appelés « spécifiques » (ou encore: non standards, de
conception «maison», développés sur mesure, que l'on ne trouve pas sur le marché..)
où l'on rencontrera davantage d'applications dans les domaines du calcul de coûts, de
la facturation, de l'aide à la production, ou de fonctions annexes.
 CRM - Customer Relationship Management (en français : GRC pour Gestion de la
relation client) : regroupe toutes les fonctions permettant d'intégrer les clients dans le
système d'information de l'entreprise.
19
ISGI Marrakech
3. Évolution de la composition du système
d'information
Le domaine des systèmes d'information et de communication a certes une forte composante
technologique et informatique. Mais c'est seulement un aspect de ce domaine qui est en fait
beaucoup plus vaste. Il s'agit de concevoir comment circule et est stockée l'information de
façon efficace et cohérente pour toutes les activités d'une entreprise, d'un réseau d'entreprises,
d'une administration publique, des relations entre entreprises, citoyens, gouvernements...
Le champ est vaste et concerne tous les domaines des activités humaines. Malgré cette
ampleur, ce domaine a son unité scientifique, construit autour de concepts, de constructions
abstraites et concrètes, de composants de méthodes notamment qui sont indépendantes des
activités concernées. Sans doute, un des maîtres mots de ce domaine des systèmes
d'information est-il celui de "modèle accompagné", ou "modélisation".
Par conséquent, dans les entreprises actuelles, le système d'information et de communication
tend à s'orienter vers des ensembles plus globaux, l'information traitée par l'humain étant une
connaissance à gérer.
Des économistes tels que Robert Solow ou Daniel Cohen ont montré que les systèmes
d'information ne généraient de gains de productivité que s'ils étaient accompagnés de
changements organisationnels. Le changement dans les organisations est donc indissociable
du logiciel. Cette nouvelle dimension impose à une science plutôt dure originellement de se
tourner vers les techniques d'amélioration continue comme le Lean. En complément du SI
classique, une ingénierie des connaissances (en anglais Knowledge Management) s'articule
autour des deux composantes suivantes, que l'on peut retrouver dans chaque domaine
d'activité de l'entreprise :
 La gestion de contenu (en anglais : content management), destinée à gérer les
informations brutes et à les transformer en connaissances ou données mieux
structurées ;
 La gestion des accès, c'est-à-dire la gestion des flux et des protocoles d'échange
dans les réseaux de (télé-)communications internes ou partagés avec les partenaires.
Autres composants possibles
D'autres composants peuvent être inclus dans un système d'information pour offrir des
caractéristiques techniques ou des fonctionnalités spécifiques :
Bases de données de l'entreprise
Contrôle d'accès
Système de paiement électronique
Système de sécurité (protection et chiffrement) …
20
ISGI Marrakech
4. Firewall, une technique de protection
A. Pourquoi un pare-feu ?
De nos jours, la plus part des entreprises possèdent de nombreux postes informatiques qui
sont en général reliés entre eux par un réseau local. Ce réseau permet d'échanger des données
entre les Divers collaborateurs internes à l'entreprise et ainsi de travailler en équipe sur des
projets communs.
La possibilité de travail collaboratif apportée par un réseau local constitue un premier
pas. L'étape suivante concerne le besoin d'ouverture du réseau local vers le monde extérieur,
c'est à dire internet. En effet, une entreprise n'est jamais complètement fermée sur ellemême. Il est par exemple nécessaire de pouvoir partager des informations avec les clients
de l'entreprise.
Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une porte ouverte
acteurs étrangers. Cette porte peut être utilisée pour des actions qui, si elles ne
contrôlées, peuvent nuire à l'entreprise (piratage de données, destruction,...). Les
pour effectuer de telles actions sont nombreux et variés: attaque visant le vol de
passe-temps, ...
à divers
sont pas
mobiles
données,
Pour parer à ces attaques, une architecture de réseau sécurisée est nécessaire.
L'architecture devant être mise en place doit comporter un composant essentiel qui
est le firewall. Cette outil a pour but de sécuriser au maximum le réseau local de
l'entreprise, de détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela
permet de rendre le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut
également permettre de restreindre l'accès interne vers l'extérieur. En effet, des
employés peuvent s'adonner à des activités que l'entreprise ne cautionne pas, comme par
exemple le partage de fichiers. En plaçant un firewall limitant ou interdisant l'accès à
ces services, l'entreprise Peut donc avoir un contrôle sur les activités se déroulant dans son
enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise.
Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser
le réseau de la façon pour laquelle il a été prévu. Tout ceci sans l'encombrer avec
des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce
réseau de données.
21
ISGI Marrakech
B. Qu’est-ce qu’un pare-feu ?
Un pare-feu est un logiciel ou un matériel permettant d’empêcher les pirates informatiques et
certains types de logiciels malveillants d’accéder à votre ordinateur via un réseau ou Internet.
Pour ce faire, il vérifie les informations provenant d’Internet ou d’un réseau, puis les bloque
ou les autorise à accéder à votre ordinateur.
Un pare-feu n’est pas la même chose qu’une application antivirus ou anti-programme
malveillant. Les pare-feu protègent contre les vers et les pirates informatiques, les
applications antivirus protègent contre les virus et les applications anti-programme
malveillant protègent contre les programmes malveillants. Vous avez besoin des trois. Vous
pouvez utiliser Windows Defender, le logiciel antivirus et anti-programme malveillant fourni
avec Windows 8, ou vous pouvez utiliser une autre application antivirus et anti-programme
malveillant.
Une seule application de pare-feu est nécessaire sur votre PC (en plus du pare-feu qui est
probablement intégré à votre routeur réseau). Avoir plusieurs applications de pare-feu sur
votre ordinateur peut entraîner des conflits et des problèmes.
C. Comment fonctionne un Firewall (pare-feu) ?
Comme son nom l’indique, le Firewall ou pare feu, a un rôle de protection entre votre réseau
informatique et le réseau extérieur. La finalité est de prévenir tout trafic anormal, voire des
tentatives d’intrusions d’ordinateurs externes.
Pour communiquer ensemble, deux ordinateurs utilisent des canaux de communication
appelés ports. Chacune de vos actions sur internet (et donc chaque action de votre PC vers un
autre PC) utilisent un port différent. Le Firewall a pour rôle d’autoriser ou d’interdire
l’utilisation de ces ports
Les composants d’un pare-feu
Routeur filtrant Le routeur filtrant transfère les paquets IP d’un réseau à un autre. Il utilise
essentiellement deux techniques pare-feu :
- Le filtrage des paquets IP.
- Le NAT (la translation d’adresse)
22
ISGI Marrakech
D. Proxy
Un proxy est une application qui sert d’intermédiaire entre un client et un serveur.
Le client envoie sa requête au proxy, et celui-ci la réémet en direction du serveur.
De même, la réponse du serveur est reçue par le proxy qui la retransmet au client.
Un proxy peut être configure pour filtrer les requêtes. Des logiciels proxys peuvent
posséder de la mémoire cache, RAM et disque, qui améliore les performances
d’accès des postes du réseau intérieur. Il y a essentiellement deux types de proxy :
Les proxys applicatifs, associes a certains protocoles (par exemple HTTP et FTP)
Les proxys transparents qui sont des intermédiaires pour tout type de protocole TCP
E. DMZ
Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau accessible à partir du
réseau extérieur et qui abrite les remparts. L’accès au réseau est contrôle par des routeurs
filtrant
5. Un Firewall, ça protège contre quoi ?
Fonction /
Menace
Filtrage des
paquets
Protection
du Firewall
?
Oui
Détection
d’intrusion
Oui
Filtrage de
contenu
Oui
Attaques
internes
Non
Virus
informatiques
Non
Commentaire
Le Firewall filtre les données, et prend l’initiative
d’autoriser ou bloquer chaque paquet.
Certains Firewalls permettent de signaler toute tentative
d’intrusion de l’extérieur, en plus de simplement la
bloquer.
Le Firewall peut gérer des règles pour autoriser ou
restreindre l’accès à certains sites, mots-clés, ou contenus
inappropriés.
Les utilisateurs à l’intérieur de votre réseau ne sont pas
par définition surveillés par le Firewall. La parade contre
ce type d’attaque consiste à allouer ou non des droits
d’accès sur telle ou telle partie de votre réseau, à tel ou tel
utilisateur.
Les Firewall peuvent éventuellement détecter les virus
sur le réseau. Cependant avec la nature changeante de ces
menaces, il est préférable d’acquérir un logiciel antivirus.
23
ISGI Marrakech
6. Les différents types de firewall
A. Les firewall bridge
Ces derniers sont relativement répandus. Ils agissent comme de vrais câbles réseau avec la
fonction de filtrage en plus, d'où leur appellation de firewall. Leurs interfaces ne possèdent
pas d'adresse Ip, et ne font que transférer les paquets d'une interface a une autre en leur
appliquant les règles prédéfinies. Cette absence est particulièrement utile, car cela signifie que
le firewall est indétectable pour un hacker lambda. En effet, quand une requête ARP est émise
sur le câble réseau, le firewall ne répondra jamais. Ses adresses Mac ne circuleront jamais sur
le réseau, et comme il ne fait que « transmettre » les paquets, il sera totalement invisible sur le
réseau. Cela rend impossible toute attaque dirigée directement contre le firewall, étant donné
qu'aucun paquet ne sera traité par ce dernier comme étant sa propre destination. Donc, la seule
façon de le contourner est de passer outre ses règles de drop. Toute attaque devra donc « faire
» avec ses règles, et essayer de les contourner. Ces firewalls se trouvent typiquement sur les
switchs.
Avantages : Impossible de l'éviter (les paquets passeront par ses interfaces) Peu
coûteux.
Inconvénients : Les fonctionnalités présentes sont très basiques (filtrage sur adresse
IP, port…
B. Les firewalls matériels
Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs
comme Cisco ou Nortel. Intégrés directement dans la machine, ils font office de « boite noire
», et ont une intégration parfaite avec le matériel. Leur configuration est souvent relativement
ardue, mais leur avantage est que leur interaction avec les autres fonctionnalités du routeur est
simplifiée de par leur présence sur le même équipement réseau. Souvent relativement peu
flexibles en terme de configuration, ils sont aussi peu vulnérables aux attaques, car présent
dans la « boite noire » qu'est le routeur. De plus, étant souvent très liés au matériel, l'accès à
leur code est assez difficile, et le constructeur a eu toute latitude pour produire des système de
codes « signés » afin d'authentifier le logiciel (système RSA ou assimilés).
Avantages
* Intégré au matériel réseau
Administration relativement simple
Bon niveau de sécurité
Inconvénients
Dépendant du constructeur pour les mises à jour
Souvent peu flexibles.
24
ISGI Marrakech
C. Les firewalls logiciels
Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en
plusieurs catégories :
a) Les firewalls personnels
Ils sont assez souvent commerciaux et ont pour but de sécuriser un ordinateur particulier, et
non pas un groupe d'ordinateurs. Souvent payants, ils peuvent être contraignants et quelque
fois très peu sécurisés. En effet, ils s'orientent plus vers la simplicité d'utilisation plutôt que
vers l'exhaustivité, afin de rester accessible à l'utilisateur final.
Avantages
Sécurité en bout de chaîne (le poste client)
Personnalisable assez facilement
Inconvénients
Facilement contournable
Difficiles à départager de par leur nombre énorme.
b) Les firewalls plus « sérieux »
Tournant généralement sous linux, car cet OS offre une sécurité réseau plus élevée et un
contrôle plus adéquat, ils ont généralement pour but d'avoir le même comportement que les
firewalls matériels des routeurs, à ceci près qu'ils sont configurables à la main. Le plus
courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute
fonctionnalité des firewalls de routeurs est potentiellement réalisable sur une telle plateforme.
Avantages
Personnalisables
Niveau de sécurité très bon
Inconvénients
Nécessite une administration système supplémentaire. Ces firewalls logiciels ont néanmoins
une grande faille : ils n'utilisent pas la couche bas réseau. Il suffit donc de passer outre le
noyau en ce qui concerne la récupération de ces paquets, en utilisant une librairie spéciale,
pour récupérer les paquets qui auraient été normalement « droppés » par le firewall.
Néanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des
modifications... chose qui induit déjà une intrusion dans le réseau, ou une prise de contrôle
physique de l'ordinateur, ce qui est déjà Synonyme d'inefficacité de la part du firewall.
25
ISGI Marrakech
7. Liste des firewall payant
Nom
Cisco PIX
Cisco ASA
5520
Description
Les avantages
Le PIX 501 pare-feu Cisco
peut être utile pour les petites
entreprises
qui
sont
particulièrement sensibles à la
sécurité du réseau. Le
dispositif combine un pare-feu
à base de matériel et d'un
commutateur
de
réseau
Ethernet.
Vous
pouvez
connecter
l'appareil à votre connexion
Internet haut débit, puis de
connecter
jusqu'à
quatre
ordinateurs
à
l'appareil.
prix 800€
Les Serveurs de Sécurité
Adaptatifs Cisco ASA 5500
combinent
les
meilleurs
services de VPN et de
sécurité, et
l’architecture
évolutive AIM (Adaptive
Identification and Mitigation),
pour constituer une solution de
sécurité spécifique. Conçue
comme l’élément principal de
la solution Self-Defending
Network de Cisco .
est un produit de sécurité de
type pare-feu basé sur
Microsoft Windows conçu
Microsoft
initialement pour présenter
Internet
(publier) sur Internet des
Security
serveurs Web et d’autres
and
Acceleration systèmes serveur de manière
Server (ISA sécurisée. Il fournit un
système pare-feu au niveau de
Server)
la couche « application »
gérant l’état des sessions
(mode dit Stateful), un service
d’accès VPN et l’accès
Internet pour les ordinateurs
clients dans un réseau
d’entreprise .

gain de temps pour la
mise en place.
 performances assez
bonnes.
 transparence aux
utilisateurs et aux
applications.
 coût généralement
faible.

Débit du firewall
Jusqu’à 650 Mbits/s
Débit de protection
simultanée
contre les menaces
(firewall + services IPS)
Jusqu’à 450 Mbits/s
avec l’AIP-SSM-20
Interfaces 4 ports
Gigabit Ethernet et 1
port Fast Ethernet
Interfaces virtuelles
(VLAN) 200
supporté un nombre
plus importants de
Protocoles réseau.
 le support multiréseau la configuration
intégrée des réseaux
virtuels.
 au niveau de la
couche« Application »le
support du protocole
H323
 l’intégration à Active
Directory

26
Les inconvénients
↓ Le pare-feu filtrant
n’est pas capable de
comprendre le
contexte du service
qu’il rend.
↓ Plus le nombre de
règles à appliquer
est grand, plus les
performances du
pare-feu diminuent.
seulement certains
modèles de
commutateurs
Ethernet de la
gamme EX de
Juniper peuvent être
configurés comme
des sous-parties d'un
unique commutateur
logiciel
prix 990,00€
↓ console MMC :est
sans doute l'une des
innovations les plus
brillantes
de
Microsoft.
Enfin,
une
interface
uniforme
pour
toutes les tâches
d'administration.
↓ Le serveur Web
n'a pas répondu
aux appels pendant
les attaques SYN.
Le pare-feu a dû
être
relancé.
Attaques DoS sans
effet.
ISGI Marrakech
8. Liste des firewalls Open source
SmoothWall Express version
3.0 est un pare-feu logiciel
libre GNU / Linux à sécurité
SmoothWall renforcée et téléchargeable
librement.
De par sa conception, il a des
« Open
exigences matérielles
source »
minimales et un
encombrement réduit. Il
devrait travailler avec presque
tout ordinateur Pentium avec
au moins 128Mo de RAM et
un disque dur d'une capacité
de 2 Go ou plus.
UFW
Endian
Open
source
Firewall
NuFW
« Open
source »
IPFire
« Open
source »
Ufw est un pare-feu ou
firewall permettant
« d’assurer » la sécurité d’un
réseau en définissant les types
de connexions autorisées ou
non. De plus en plus répandu
dans les systèmes Linux,
UFW est un pare-feu
relativement simple à mettre
en place et à configurer. Il est
d’ailleurs devenu le pare-feu
officiel de la distribution
généraliste Ubuntu
NuFW est une extension libre
de Netfilter, la couche parefeu du noyau Linux. C'est un
pare-feu de nouvelle
génération, qui intègre la
notion d'identité des
utilisateurs pour filtrer
lesflux.IP.
IPFire est une distribution
Linux basée sur Linux From
Scratch qui a pour fonction de
regrouper un Pare-Feu, un
Proxy, du Filtrage et
beaucoup d'addons. Dérivée a
la base de IPCop, cette
distribution est très simple
d'utilisation et
d'administration

 fournit une
interface pour la
sauvegarde et la
restauration de votre
configuration.
SmoothWall offre
un certain nombre de
fonctionnalités : la
gestion des serveurs
proxy, des
possibilités IDS, la
gestion des traces.

 Port forwarding
 Outgoing Traffic :
gère les règles du
trafic sortant.
Interzone Traffic :
gère les règles du
trafic entre les
différentes zones
.
 L'intégration avec
la suite de modules
EOLE proposés par
le projet est gérée
protéger les
données
administratives
gratuit

Analyse fonctions
de surveillance du
système et analyse
des logs
↓ ne priorité élevée à
la navigation web
mais une priorité
faible aux services
gourmands comme
FTP
↓ les possibilités de
NAT sont assez
limitées et ne
concernent que le
port forwarding.
↓ UPW offre de
nombreuses
possibilités et de
service,
sa prédisposition à
une connexion
internet apporte
toutefois certaines
restrictions si on
envisage l’utilisation
de ce firewall dans
un contexte de
bastion
↓ La version de
NuAgent disponible
gratuitement avant la
fermeture de
nufw.org ne
fonctionnait pas bien
avec Windows 7 .
↓IPFIRE est très
orienté accès Internet
et ne trouve sa place
que dans de petits
réseaux
Qualité de service
(QoS)
27
ISGI Marrakech
9. Mise en place d’un firewall logiciel avec la distribution
IPCop
A. Qu’est -ce que IPCOP ?
IPCOP est un projet Open Source dont le but est d’obtenir une distribution GNU/Linux
complètement dédiée à la sécurité et aux services essentiels d'un réseau. C’est une distribution
linux faite pour protéger un réseau des menaces d’Internet et surveiller son fonctionnement.
IPCOP est gratuit, il est téléchargeable sous forme d’un fichier image à graver sur cd.
IPCOP est distribué sous la licence « GNU General Public License », ce qui signifie, en
d’autres termes, que le logiciel en lui-même est distribuable gratuitement
(cf.http://www.gnu.org/copyleft/gpl.html pour la licence complète).
B. Caractéristiques principale d'IPcop
Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement
configurable.
Une administration facile depuis un navigateur par l'intégration d'un serveur web.
Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP de votre
FAI.
Un serveur DHCP vous permettant de configurer facilement les machines de votre
réseau interne.
Un serveur mandataire web (proxy) pour accélérer l'accès au web.
Un système de détection d'intrusion pour identifier les attaques externes sur votre
réseau.
La possibilité de segmenter le réseau en un réseau VERT, sûr, protégé de l'Internet ; un réseau
BLEU pour le réseau local Wifi ; et un réseau ORANGE, zone démilitarisée ou DMZ en
partie protégée de l'Internet rassemblant nos serveurs publiquement accessibles.
La possibilité de répartir la bande passante (trafic shaping) par exemple pour fixer une priorité
plus élevée aux services interactifs tels que ssh ou Telnet, une priorité élevée à la navigation
web mais une priorité faible aux services gourmands comme FTP.
Un système entièrement compilé avec Pro Police pour prévenir des attaques de type
corruption de pile sur toutes les applications.
C. Les différentes interfaces réseaux.
Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE.
Interface réseau ROUGE
Ce réseau correspond à l'Internet. Le but essentiel d'IPcop est la protection des autres réseaux
(VERT, BLEU et ORANGE).Dans notre cas l'interface ROUGE et VERT sera utilisé afin de
mener à bien le bon déroulement de notre projet.
28
ISGI Marrakech
Interface réseau VERTE
Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale
d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop. Le
projet se faisant à l'école tout se fera en local avec une machine dédier a IPCop possédant 2
cartes réseaux( une ROUGE et VERTE).
Interface réseau BLEUE
Ce réseau est optionnel (et ne sera pas utilisé dans notre cas) nous permet de regrouper les
périphériques sans fil sur un réseau bien distinct.
Interface réseau ORANGE
Ce réseau est également optionnel et ne sera pas utilisé, nous permet d'isoler sur un réseau
séparé les serveurs accessibles au public.
Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les
interfaces de sortie (vert, bleu et orange). Il suffit pour cela que chaque machine possède
comme passerelle l'adresse IP de la carte d'interface derrière laquelle elle se situe (par
exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP de l'interface verte).
D. Possibilité de mise en place d’IPCOP
IPCOP permet de fonctionner sous plusieurs configurations possibles :



Partage d’une connexion Internet : IPCOP sert alors de passerelle entre Internet et le
réseau interne.
Partage d’une connexion Internet avec une DMZ (zone démilitarisée) : IPCOP sert De
passerelle et gère une DMZ (il faut donc 3 interfaces réseau). Les serveurs dans la
DMZ doivent être en IP fixes, il suffit ensuite de configurer IPCOP pour qu’il route
les demandes venant d’Internet vers les serveurs adaptés selon les ports.
Partage d’une connexion Internet + DMZ + point d’accès wifi : IPCOP peut gérer des
clients wifi, ils sont séparés du réseau interne.
Dans la philosophie IPCOP, les zones sont schématisées par des couleurs :

la zone RED représente internet.

La zone ORANGE représente la DMZ.

La zone BLEU représente les clients wifi (qui sont dans un réseau séparé).

La zone GREEN représente le réseau interne.
29
ISGI Marrakech
Le schéma ci-dessous représente la configuration par défaut du pare-feu de la passerelle,
assavoir :
Le réseau interne (le LAN) peut accéder à toutes les zones.
La zone wifi peut accéder internet et à la DMZ.
La zone DMZ pourra accéder à internet.
Aucun accès depuis Internet Pour autoriser un accès à un serveur situé dans la DMZ
(zone orange), il faudra le spécifier au travers de l’interface web d’IPCOP.
E. Liste de services offerts par IPCOP
Interface web pour l'administration et la configuration d’IPCOP en français
Affichage de l'état du système et graphiques CPU/Mémoire/Disque/trafic sur période
journalière/semaine/mois/année.
Informations sur les connexions en cours.
Serveur SSH pour accès distant sécurisé.
Proxy HTTP/HTTPS.
Serveur DHCP.
Cache DNS.
Renvoi de ports TCP/UDP/GRE.
Support des DNS dynamiques.
Système de détection d'intrusion (interne et externe).
Support VPN pour relier des réseaux distants entre eux ou se connecter à distance avec
un poste.
Accès aux logs par interface web : du système, de la connexion vers Internet, du
proxy, du firewall, de la détection des tentatives d'intrusion.
Possibilité d'utiliser une DMZ avec gestion des accès…
30
ISGI Marrakech
III. PARTIE
Mise en place un
intranet sécuriser d’un
pare-feu « Ipcop »
31
ISGI Marrakech
1. Schéma de la Maquette du Projet
32
ISGI Marrakech
Tache à réaliser: Mise en place un intranet sécuriser d’un pare-feu

Installation Windows Server 2008

Installation CD
Domaine : managemgoup.com

Installation Serveur DNS
Zone : managemgoup.com

Installation IIS
www.managemgroup.com

Installer le service de certificat SOA
Installation IPcop server

Présentation des fonctionnalités

configuration DHCP

configuration proxy

Configuration de l’UrlFilter
Blacklists personnalisées
Whitelistes personnalisées
Liste d’expressions personnalisées
Bloquer les extensions de fichier
.
Contrôle d’accès basé sur le temps
Paramètre des pages bloquées
Ajout massif de Blacklist


Configuration de l’authentification
BlockOutTraffic (BOT)
 créer des règles (ACL)
33
ISGI Marrakech
2. Présentation de Windows server 2008 R2
Microsoft Windows Server 2008 est un système d'exploitation de Microsoft orienté serveur.
Il est le successeur de Windows Server 2003 sorti 5 ans plus tôt et le prédécesseur de
Windows Server 2008 R2. Cette version a été officiellement présentée au public français
(exclusivité mondiale) lors des TechDays 2008 qui se sont déroulés du 11 au 13 février 2008
à Paris. La sortie internationale du produit quant à elle a eu lieu le 27 février 2008. À l'instar
de Windows Vista, Windows Server 2008 est basé sur le Kernel (noyau) Windows NT
version 6.0.
Ce produit a été connu sous le nom de code « Windows Server Longhorn » jusqu'au 16 mai
2007, où Bill Gates a annoncé son nom officiel (Windows Server 2008) lors de sa session
keynote du WinHEC.
La première version bêta officielle date du 27 juillet 2005 ; la seconde bêta a été annoncée et
publiée le 23 mai 2006 lors du WinHEC 2006 et la troisième bêta a été rendue publique le 25
avril 2007. La version Release Candidate 0 (RC0) a été rendue disponible au public le 24
septembre 2007 et la version Release Candidate 1 (RC1) a été rendue disponible au public le
5 décembre 2007. La version RTM (Release to Manufacturing) de Windows Server 2008 est
arrivée le 4 février 2008 avec l'annonce de la sortie officielle mondiale pour le 27 février
2008.
34
ISGI Marrakech
A. configuration Windows server 2008 R2
Apres l’installation du serveur en passe à la configuration.
Première configuration à effectuer, fixer une adresse IP fixe au serveur
Deuxième configuration, modifier le nom du serveur.
35
ISGI Marrakech
B. Installer l’Active Directory avec DCPROMO
• Menu Démarrer > Exécuter « DCPROMO »
• Nommer le domaine par ex : managemgroup.com »
C. Créer des « Utilisateurs »
Menu > Démarrer > Outils d’administration > Utilisateurs et ordinateurs Active Directory
Faire un clic sur le nom du domaine. Menu > Action > Nouveau > Utilisateur …
Renseignez les différents champs
36
ISGI Marrakech
3. Présentation du DNS (Domain Name System)
Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant
de traduire un nom de domaine en informations de plusieurs types qui y sont associées,
notamment en adresses IP de la machine portant ce nom. À la demande de la DARPA, Jon
Postel et Paul Mockapetris ont conçu le « Domain Name System » en 1983 et en écrivirent la
première réalisation.
A. Rôle du DNS
Les ordinateurs connectés à un réseau IP, comme Internet, possèdent une adresse IP. Ces
adresses sont numériques afin d'être plus facilement traitées par une machine. En IPv4, elles
sont représentées sous la forme xxx.xxx.xxx.xxx, où xxx est un nombre variant entre 0 et 255
(en système décimal)
Pour faciliter l'accès aux systèmes qui disposent de ces adresses, un mécanisme a été mis en
place pour permettre d'associer un nom à une adresse IP, plus simple à retenir, appelé nom de
domaine. Résoudre un nom de domaine consiste à trouver l'adresse IP qui lui est associée.
Les noms de domaines peuvent être également associés à d'autres informations que des
adresses IP.
37
ISGI Marrakech
B. Installation du Serveur DNS
Nous allons commencer par installer ce "roles" sur notre serveur, ouvrez le "Server Manager"
cliquez sur "Roles" puis sur "Add Roles" : Cochez ensuite "DNS Server" et cliquez sur "Next"
Cliquez sur "Install".
C. Configuration du Serveur DNS
Déclarer le nom de votre domaine dans notre cas nous utiliserons "managemgroup.com".
Nous allons maintenant configurer les adresses des sur lesquels notre serveur ira chercher les
noms de site internet (exemple facebook.com)
38
ISGI Marrakech
D. Ajout d’une machine
Maintenant nous allons ajouter manuellement un nom de machine, faite un clic droit sur la
partie droite comme sur l’image ci-dessous, puis cliquez sur "Nouvel Hôte (A ou AAAA).
Entrez le nom de machine, puis son adresse IP sans oublier de cocher "Créer un pointeur
d’enregistrement PTR associé.
Nous allons essayer maintenant de faire une résolution de DNS pour savoir si notre serveur
fonctionne
39
ISGI Marrakech
4. Présentation du IIS.7 (Internet Information Services)
C’est quoi IIS.7 ?
Internet Information Services (IIS7) est le rôle Web Server (IIS) dans Windows Server 2008.
Un serveur Web est un programme basé sur le modèle client/serveur et le World
Wide Web Hypertext Transfer Protocol ( HTTP).
Un serveur Web fournit les fichiers qui constituent les pages Web aux clients Web.
IIS supporte les protocoles HTTP, HTTPS, FTP, FTPS, SMT…
Tout ordinateur sur Internet (ou dans un Intranet) qui contiens un site dispose d’un
programme Web.
Les deux plus gros joueurs des programmes Web sont Apache, et Microsoft Internet
Information Server ( IIS ).
Première version IIS 1.0 (Mai 1995)
40
ISGI Marrakech
A. Installation du Service IIS
Pour ajouter le rôle serveur web IIS: Menu démarrer -> Tout les programmes -> Outils
d’administration -> Gestionnaire de Serveur Si on est pas connecté en tant qu’administrateur
local, un message de sécurité va apparaitre dès l’ouverture du gestionnaire de serveur.
Je coche le rôle Serveur Web (IIS) et je clique sur suivant. On peut choisir les différents
services que l’on souhaite donner à notre serveur IIS. Un résumé de l’installation se présente,
je vérifie et je clique sur installer. Une fois le serveur web installé, il est accessible sur
http://locahost. Par défaut la racine du site se trouve dans C:\inetpub\wwwroot\
Désormais, je vais dans le menu démarrer, puis outils d’administration et enfin
gestionnaire des services Internet (IIS).
Enfin dans l’installation de IIS 7.0 nous allons ajouter un site d’exemple qu’il s’appellera
www.managemgoup.com Pour cela j’ai glissé un site fait en html dans le dossier
C://inetpub//wwwroot/managemgroup Mon site est dans un dossier appelé managemgroup
Donc pour l’ajouter vous faite clic droit sur « Sites » ==> Ajouter un site. Puis, renseignez les
champs: nom du site, lien physique du site, port…
41
ISGI Marrakech
Glissé un site fait en html dans le dossier C:/inetpub/wwwroot/managemgroup
Dans l'affichage Fonctionnalités du Gestionnaire des services Internet, double-cliquez sur
Document par défaut . Dans le volet Action, cliquez sur Ajouter Dans la zone Nom, entrez
le nom de fichier que vous souhaitez ajouter à la liste des documents par défaut, puis cliquez
sur OK. Ce nom de fichier est ajouté en haut de la liste des documents par défaut.
Afin de vérifier que votre installation c’est bien dérouler, ouvrez un navigateur Web, puis
dans la barre tapez l’adresse:
42
ISGI Marrakech
5 Présentation : Autorité de certification
En cryptographie, l'autorité de certification (AC ou CA) a pour mission, après vérification
de l'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettre et
maintenir :
les certificats (CSR : Certificate Signing Request)
les listes de révocation (CRL : Certificate Revocation List)
L'autorité de certification (AC) opère elle-même ou peut déléguer l'hébergement de la clé
privée du certificat à un opérateur de certification ou autorité de dépôt. L'AC contrôle et
audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des
Pratiques de Certification.
L'AC est accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un
certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature
numérique. Sur le plan technique, cette infrastructure de gestion des clés permet ainsi
d'assurer que :
Les données transmises n'ont pas été modifiées durant le transfert : intégrité par
hachage des données.
Les données proviennent bien de l'émetteur connu : utilisation de clés et répudiation
Ces données peuvent être un numéro de carte bancaire, des informations personnelles
ou identifiant caractéristique d'un ordinateur.
43
ISGI Marrakech
A. Installation Autorité de certification
Lancer l’assistant d’ajout des rôles, vous êtes sur la première page de l’assistant, vous n’avez
rien à modifier sur cette fenêtre, cliquez sur suivant pour passer à la fenêtre suivante.
Dans la fenêtre suivante vous sélectionnez le rôle à ajouter, vous activez la case à cocher
Services de certificats Active Directory. Cliquez sur Suivant à deux reprises.
Cocher Inscription de l’autorité de certification via le web.
Dans la page Configurer la base de données de certificats, acceptez les valeurs par défaut ou
spécifiez d’autres emplacements de stockage pour la base de données de certificats et son
journal, puis cliquez sur Suivant.
Vérifiez l’exactitude des informations sur la page Confirmer les options d’installation, après
validation, cliquez sur Installer.
44
ISGI Marrakech
B. Déploiement de certificats
Maintenant que vous avez créé votre modèle, les utilisateurs peuvent faire la demande de
certificats et en obtenir. Il existe plusieurs méthodes pour demander un certificat : - Via le
Web - Via une console MMC - Via un GPO.
Préparer une demande de certificat :


Lancer le Gestionnaire des services Internet(IIS) et sélectionner le serveur web.
Double-cliquer sur Certificats de serveur
Cliquer sur Créer une demande de certificat.
.
45
ISGI Marrakech
Fournir les informations demandées puis cliquer sur Suivant
Revenir à la fenêtre du navigateur, placez-vous dans la zone "Demande enregistrée" et faire
"Coller".
46
ISGI Marrakech
C. Délivrer le certificat
Faire les étapes suivantes à partir du serveur de certificats (autorité de certification):
Dans "Outils d'administrations", "Autorité de certification", entrez dans "Demandes en
attentes" pour notre certificat. Vous devez y trouver un certificat en attente de
traitement. Faites "Délivrer".
Le certificat passe alors dans "Certificats délivrés".
47
ISGI Marrakech
D. Récupérer le certificat
Faire les étapes suivantes à partir du serveur de certificats (autorité de certification).
A partir d'un navigateur du serveur tapez l'adresse: http://192.168.0.11/Certsrv Choisir
"Afficher le statut d’une requête de certificat en attente.
Cliquer sur le certificat pour voir le statut
48
ISGI Marrakech
E. Télécharger le certificat.
Il vous est alors proposé d'enregistrer le fichier certnew.cer
49
ISGI Marrakech
F. Attribuer le certificat à un site web
1) Lancer le Gestionnaire des services Internet(IIS) et sélectionner le serveur web.
2) Double-cliquer sur Certificats de serveur et cliquer sur Terminer la demande de
certificat..
Spécifier le fichier contenant la réponse de l’autorité de certification et un nom.
50
ISGI Marrakech
G. Attacher le certificat au site web
Une fois le types HTTPS/443 configuré, supprimez http/80
N.B : Pour réaliser ce TP j’ai utilisé le même serveur (192.168.233.143) en tant qu’autorité
de certification et de serveur web.
51
ISGI Marrakech
H. Exiger une communication sécurisée
Sélectionnez le site web en https, puis double-cliquez sur Paramètres SSL.
52
ISGI Marrakech
I. Faire un test
Vérification du certificat serveur :
53
ISGI Marrakech
6 Installation d’Ipcop
Vous pouvez télécharger IPCOP sur le site officiel, l’image ISO pèse 61 Mo, c’est donc
rapide et léger. Ensuite, gravez l’image sur un CD puis booter dessus pour démarrer
l’installation en appuyant sur “Entrée“.
Choisissez la langue que vous souhaitez, le choix devrait se faire facilement.
54
ISGI Marrakech
Choisissez clavier, AZERTY standard.
Pour qu’IPCOP se mettre à l’heure dès l’installation, choisissez le fuseau horaire vous
correspondant. Si vous habitez au Maroc, sélectionnez “GMT“
55
ISGI Marrakech
Vous pouvez modifier la date et l’heure mais logiquement si vous avez choisi le bon fuseau
horaire, il n’y a pas besoin.
Le programme d’installation scanne la configuration matérielle pour rechercher les supports
d’installation disponibles. Sélectionnez le support que vous souhaitez et faites “Ok“. Faites à
nouveau “Ok” lorsqu’on vous demande de confirmer.
Remarque : le support sélectionné sera formaté et partitionné.
56
ISGI Marrakech
Vous devez indiquer quel est le type du support que vous avez choisi précédemment, si c’est
un disque dur, sélectionnez “Disque dur“. Au contraire si c’est une clé USB, une carte
mémoire,… de la mémoire flash pour faire court, sélectionnez “Flash“.
Dans mon cas c’est un disque dur, je choisis donc “Disque dur“. Ensuite patientez pendant le
partitionnement du disque dur et de l’installation.
Avec IPCOP, il est possible de sauvegarder les paramètres de configuration via l’interface
web d’administration. Lors d’une réinstallation il est possible de restaurer cette sauvegarde
pour ne pas avoir à reconfigurer tout un tas de paramètres. Dans le cas de ce tutoriel il n’y a
pas eu de sauvegarde, sélectionnez donc “Passer“.
57
ISGI Marrakech
Il y a une information important à retenir dans le message indiqué en fin d’installation, le port
à utiliser pour accéder à l’interface web d’IPCOP, qui est un port non standard pour le HTTPS
: 8443.
Dans la version 1.4.20 d’IPCOP le port d’écoute était “445“, devenu dans la version 2.1.8
“8443“. Pour rappel, le port standard pour le protocole HTTPS est 443.
Donnez un nom à la machine
58
ISGI Marrakech
Indiquez le domaine s’il y en a un
L’interface ROUGE, c’est à dire l’interface côté internet, peut-être de plusieurs types comme
vous pouvez le voir dans la liste ci-dessous. Pour attribuer une configuration statique à
l’interface, sélectionnez “Statique” dans la liste en utilisant la barre d’espace pour
sélectionner.
59
ISGI Marrakech
L’assistant scanne à nouveau votre configuration matérielle pour détecter les cartes réseaux
disponibles sur votre machine. Vous devez sélectionner une carte réseau et lui assigner une
couleur, vous pouvez utiliser jusqu’à 4 cartes réseaux selon ce que vous souhaitez faire.
Petit rappel sur la signification des couleurs :
GREEN : Réseau LAN,
RED : Réseau WAN (internet),
BLUE : Réseau Wifi,
ORANGE : DMZ (Zone Démilitarisée).
Pour ma part, je vais assigner “GREEN” à une carte, “ORANGE“ à une carte et “RED” à
l’autre, pour avoir un côté “LAN“ et un côté “Internet“ et “DMZ“. IPCOP protégera les
clients du LAN. Une fois l’assignation terminée, faites “Continuer“
60
ISGI Marrakech
Il faut désormais indiquer la configuration réseau pour chacune des interfaces auxquelles vous
avez attribuées une couleur.
Informations concernant l’interface GREEN :
Informations concernant l’interface RED :
61
ISGI Marrakech
Informations concernant l’interface ORANGE :
Indiquez les serveurs DNS (Primaire et secondaire) que doit utiliser l’IPCOP, et également, la
passerelle par défaut pour sortir du réseau.
62
ISGI Marrakech
Parmi les services qui composent IPCOP, on trouve le service DHCP, que vous pouvez
activer ou non à cette étape de la configuration. Faites “Ok” une fois que vous avez effectué
votre choix. Il est possible d’accéder à nouveau à la configuration du serveur DHCP via
l’interface web par la suite.
Les 3 prochaines étapes concernent la définition des mots de passes, le premier mot de passe
est celui pour l’utilisateur “root“, ensuite l’utilisateur “admin” qui permet l’accès à
l’interface web, puis celui à utiliser pour les clés de cryptage de sauvegardes.
63
ISGI Marrakech
Tapez un mot de passe pour le compte "admin" d'IPCop, puis touche
Félicitation 
64
ISGI Marrakech
A. Accès à distance via un navigateur Internet
Exécutez alors votre navigateur internet puis saisissez l’adresse IP GREEN
de votre IPCOP dans la barre d’adresse du navigateur suivie de
https://10.0.0.254:8443 comme ci-dessous
65
ISGI Marrakech
7
Présentation des fonctionnalités
Onglet Système
Tout ce qui concerne de près ou de loin le système en lui-même, c'est-à-dire la vérification et
l'installation des mises à jour, la modification des mots de passes, les sauvegardes l'accès SSH
Onglet Etat
Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci: services actifs,
utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de
trafic et d’utilisation de la mémoire, connexions actuelles,…
Onglet Réseau
Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface
rouge est composée d’un modem vous pouvez le configurer et gérer la connexion de
celui-ci dans les menus de cet onglet. Il s'agit là de spécifier les paramètres de connexion ou
d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de l'installation.
66
ISGI Marrakech
Onglet Services
Etant donné le nombre de services et d'options de configuration possibles pour ceuxci, plus de détails seront fourni dans un futur dossier. En revanche vous pouvez consulter un
rapide de caritif de ces services dans notre précédent dossier consacré à la découverte et
l'installation d'IPCop.
Onglet Pare-feu
Comme pour tout bon firewall qui se respecte, il est possible de désactiver le Ping et d’ouvrir
des ports pour laisser passer des applications ou même de rediriger ceux-ci pour
plus de précision (PAT pour Port Area Translation).
Onglet RPVs
Il est possible de créer des réseaux privés virtuels (plus connus sous le nom de VPN pour
Virtual Private Network) pour relier les réseaux locaux de deux IPCop. Ce menu
vous permettra de mettre ces réseaux en place et de contrôler leur état.
67
ISGI Marrakech
Onglet Journaux
Obtenir un suivi des évènements au travers de journaux (ou logs) est indispensable pour
détecter la cause de problèmes, qu’il s’agisse du pare-feu, du noyau du système, ou
encore des adresses bloquées par le filtreur d’url.
SYSTEME
C’est la première page qui s’affiche lorsque l’on tape l’adresse de l’interface web
d’administration d'IPCop. Sur cette page il vous est possible de couper tout le trafic passant
par IPCop via le bouton [Déconnexion] (la connexion s’établit de manière automatique
lors du démarrage du serveur), mais également de consulter le temps de puis lequel la
connexion est établie. D’autres informations relatives à l’interface rouge sont disponibles
: nom d’hôte sur le réseau du FAI, date d’installation de la dernière mise à jour
effectuée, également l’heure du serveur et le nombre d’utilisateurs connectés( à
l’interface ou en SSH).
68
ISGI Marrakech
B. Graphiques système:
Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources
matérielles (processeur, mémoire, swap et accès disque), mais permettent également
d’identifier les pics de sollicitation des ressources par plage horaire. Les légendes des
graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer
sur le graphique d’un élément affiche les graphiques de cet élément avec
d’autres unités temporelles (jour, semaine, mois, année) vous permettant ainsi d’obtenir
une vue d’ensemble de l’utilisation.
69
ISGI Marrakech
C. Courbes de trafic
Les courbes de trafic représentent le niveau de sollicitation de la bande
passante par rapport au temps, là aussi il s’agit d’identifier les pics d’utilisation et
désaturations du trafic. Tout comme les graphiques systèmes, lorsque vous cliquez sur un
graphique vous obtenez une vue dans une autre unité de temps.
70
ISGI Marrakech
D. Connexions
Il est possible de suivre en temps réel les communications établies entre IPCop
et les éléments qui l’entourent. Le tableau des connexions vous permet de suivre
celles-ci, les adresses ip et les ports utilisés y sont répertoriés ainsi que d‘autres
informations(protocole, bail, zone, ack…
71
ISGI Marrakech
E. Journaux du pare-feu
Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont
organisés par date, différentes informations relatives à la communication sont ensuite
disponibles sous forme d’un tableau :
F. Journaux du Serveur Mandataire
72
ISGI Marrakech
9. Configuration Serveur DHCP
Le partage de la connexion Internet est toujours un peu délicat lorsque l'on débute, aussi on
aimerait ne pas avoir à configurer à chaque fois un ordinateur que l'on veut ajouter sur notre
réseau. Un serveur DHCP (Dynamic Host Configuration Protocol permet, comme son nom
anglais l'indique, d'attribuer de façon Dynamique une configuration. Ce serveur va nous
permettre d'attribuer automatique ment des adresses:
• IP: pour chaque ordinateur à partir du moment où ils reconnecté physique mentaux réseau.
• Passerelle (ou Gateway en Anglais) , un réseau local dispose d'une adresse IP privé (non
accessible directement d'Interne ), pour pouvoir sortir de notre réseau local et accéder à un
autre réseau (Internet par exemple) on utilise une passerelle, appeler aussi routeur.
• Serveur DNS: un nom est plus facile à retenir qu'un numéro, en effet generation-nt.com est
plus facile à retenir que 83.243.23.80. Le rôle d'un serveur DNS est ainsi de faire
correspondre un nom de domaine( ou de machine) à une adresse IP.
• Serveur NTP : les serveurs NTP ( Network Time Protocol ) permettent d' attribuer une
même date et une même heure à l'ensemble d'un réseau, un service spécifique d'IPCop est
consacré cela.
• Serveur WINS : il s'agit d'un serveur de nom comme le DNS, mais spécifique à
Windows. WINS signifie Windows Internet Naming Service. Il s'agit de l’implémentation
Microsoft de NetBIOS Name Server, le" grand-père " du DNS et d' Active Directory.
73
ISGI Marrakech
10. Hôtes Statiques
Il s'agit ici d'une espèce de serveur DNS simplifié. En effet, le menu " Hôtes
Statiques " permet d'entrer manuellement des noms d'hôtes que l'on associera ensuite à des
adresses IP.
Bien entendu, il faut pour cela que les ordinateurs soient configurés avec une adresse
IP fixe ou possèdent Une réservation d'adresse dans un serveur DHCP...
Cette option permet de taper l'adresse d'un serveur web rapidement dans n'importe quel
navigateur (un peu Comme les mots-clés associés aux marques-pages dans Firefox...).
11. Serveur de temps
Un serveur de temps fournit une date et une heure à l'ensemble d'un réseau, permettant
ainsi d'avoir les mêmes horaires sur toutes les machines. Pour information, le protocole
utilisé pour réaliser cela est NTP pour Network Time Protocol(portUDP123)...
74
ISGI Marrakech
12. Serveur mandataire (proxy)
Un serveur proxy est souvent une machine dédiée intercalée entre les ordinateurs d’un réseau
et Internet( ou un Intranet, peu importe). Son rôle est d’aller chercher les pages pour les
utilisateurs du dit réseau, et en plus de leur fournir les dites pages, de les stocker avec leurs
contenus dans un cache afin que lors de la prochaine demande d’affichage de celles-ci, la
bande passante Internet soit moins sollicitée.
Etant donné que tout le trafic" web " transite par un serveur proxy, on pourra spécifier une
limite de débit et même mettre en place quelques règles de filtrage.
Il existe plusieurs façons de mettre en place un serveur proxy par rapport aux ordinateurs
d'un réseau local, on peut, comme spécifier sur le schéma ci-dessus mettre le
serveur Proxy " physiquement " entre les machines du réseau local et la zone web,
ou configurer les postes du réseau pour que ceux-ci passent par le Proxy...
Dans notre cas, on préfèrera la première possibilité, nous activerons donc le mode "
transparent " permettant d' activer le serveur sans avoir à passer sur chaque poste du
réseau pour que celui-ci utilise le serveur, on pourra par ailleurs activer les journaux
de celui-ci pour un suivi quotidien.
Pour y accéder, cliquer sur le menu Services, puis serveur mandataire (proxy).
75
ISGI Marrakech
Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer! Pour le faire
cocher la case: Activé sur VERT.
Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des
navigateurs web (paramétrage du proxy). Tout trafic passant par la passerelle IPCOP sera analysé par
le proxy. Activons le aussi: en cocha tout simplement la case Mode transparent VERT.
Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP: allez sous la section
Configuration des journaux, activer les trois cases: Journaux activités, enregistrement des URL
complètes …
Cliquer sur le bouton Enregistrer et à partir d’un ordinateur sous contrôle d’IPCop ouvrons
www.facebook.com ; http://winsxop.net/downlad/winscop514.zip et retournons sur IPCop,
dans le menu Journaux cliquer sur Journaux du Serveur mandataire le résultat est plus
parla il retrace clairement les sites visités par le client
76
ISGI Marrakech
A. Gestion du contrôle d’accès
La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permis pour
utiliser IPCOP.
Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites.
Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple.
Une adresse interdite, ne pourra pas accéder à internet !
B. Les restrictions de temps
La section restrictions de temps, permet de définir les horaires d’accès au web
Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.
C. Les limites de transfert
La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des fichiers en
réception et en émission.
77
ISGI Marrakech
D. Réduction du téléchargement
La section réduction du téléchargement, permet d’allouer de la bande passante globale
et/ou par poste client.
Dans cet exemple, le débit total ENTRANT est de 1024kBit/s max, et le débit par hôte soit
64Ko/s.
78
ISGI Marrakech
13. Configuration de l’UrlFilter
Comme son nom l'indique, UrlFilter permet de filtrer les adresses Internet. Pour que ce
service fonctionne, le serveur proxy doit être activé. Par ailleurs, si l'on compte utiliser
AdvProxy avec, il est conseiller d' installer
UrlFilter avant AdvProxy ! UrlFilter fonctionne selon deux principes : d'un côté
nous avons une blacklist ( liste noire) de noms de domaines classés par thèmes, de
l'autre, nous avons une blacklistet une whitelist de domaines personnalisés. La première peut
être actualisée de façon automatique ( on pourra paramétrer la fréquence de mise à jour ),
et la seconde est figée et une intervention est nécessaire pour la modifier...
Pour cela il suffit de taper l’url suivant: https://@ ip ipcop :8443/cgi-bin/urlfilter.cgi
Cocher l’options "Filter d’Url" sur activé comme le montre cette figure, puis cliquer sur
"Enregistrer" juste en bas. Encore une chose, dans services, rendez-vous sur "serveur
mandataire proxy" et ensuite tous en bas l’option "redirecteurs" devrait apparaître, cocher sur
"active" puis cliquer sur Enregistrer.
79
ISGI Marrakech
A. Catégories de blocage
Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer
simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter
d’autres catégories de blocage.
B. Blacklists personnalisées
Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait
bloqué par les blacklists par défaut.
Un domaine est de la forme :
Une URL sera de la forme :
https://www.hespress.com
https://www.youtube.com/whatch?=RIHffe34çz
Ne pas oublier d’activer les blacklists personnalisées !
80
ISGI Marrakech
C. Whitelistes personnalisées
Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait
autoriser par les Whitelistes par défaut.
Un domaine est de la forme :
Une URL sera de la forme :
https://www.google.com
https://www.facebook.com/abderrahmane.khair
Ne pas oublier d’activer les Whitelistes personnalisées !
81
ISGI Marrakech
D. Liste d’expressions personnalisées
Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans
une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de
bloquer toutes les URL contenant l’expression: /terrorisme
82
ISGI Marrakech
E. Bloquer les extensions de fichiers
Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…)
compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…)
Uniquement par le biais de la navigation http
83
ISGI Marrakech
F. Contrôle d’accès basé sur le temps
Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle
qui doivent être bannies. Si vous cliquer sur le bouton de ‘Time based Access control’ vous
arrivez à l’écran suivant :
Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la
journée (ici les postes du réseau 10.0.0.0/24 peuvent accéder à tous sites 24/24 7/7 Pour que
le changement soit prise en compte, cliquer sur le bouton Restart Url filter (juste à haut) puis
encore Enregistrer et redémarrer pour que tout soit parfait.
84
ISGI Marrakech
G. Paramètre des pages bloquées
Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être bloqué.
H. Paramètres avancés
Vous pouvez depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à saisir l’IP
de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur bloquer
l’accès aux sites pour cette (ou ces) adresse(s) IP Enfin c’est ici que vous activez les logs pour
le filtreur d’URL.
I.
Ajout massif de Blacklist
pour approfondir notre filtrage il est conseillé utilisé un Blacklist. on va installer les blacklist
suivantes
ftp://ftp.univtlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz
Pour uploader ces Blacklist, allez dans la section: Blacklist update, cliquer sur Parcourir
pour sélectionner le fichier téléchargé puis cliquer sur le bouton Upload blacklist. La
combinaison de ces deux blacklists nous permettra à faire un filtrage assez poussé comme le
démontre cette figure:
85
ISGI Marrakech
14. Configuration de l’authentification
Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet.
Cependant pour activer cette fonction, plusieurs points sont à prendre en considération :
- Le mode Proxy Transparent doit être désactivé.
- Les postes clients doivent donc être configurés pour passer à travers le proxy
Plusieurs méthodes d’authentification sont disponibles sous IPCOP. Dans le bas de la fenêtre
de configuration du Proxy Avancé nous avons :
Aucune: L’authentification est désactivée, aucun login/mot de passe n’est demandé.
Locale: Cette méthode d’authentification est la préférée des petites structures, la gestion
des utilisateurs et mot de passe est effectuée par IPCOP lui-même.
identd: Cette méthode est particulièrement prisée pour les entreprise ou:
• l’authentiquassions doit se faire de manière masquée
• le proxy doit fonctionner en mode transparent
• Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle
authentification
LDAP: Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille. Les
utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de
passe. Les informations sont alors vérifiées, par un serveur LDAP externe. Voici les types de
serveurs LDAP que Proxy accepte:
• Windows: Les utilisateurs doivent s’authentifier lorsqu’il accèdent au web, les
informations
d’identification sont vérifiée par une contrôleur de domaine externe tel que :
• Windows NT 4.0 Server or Windows 2000/2003 Server
• Samba 2.x / 3.x Server (running as Domain Controller)
RADIUS: Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations
d’identification sont vérifiées par serveur RADIUS externe :
Dans notre cas nous allons utiliser l’authentification Locale. Nous devons donc dans notre cas
désactiver le mode transparent, et cocher l’option « locale » puis cliquer sur le bouton Enregistrer.
Active Directory (Windows 2008 and 2012 Server)
• Novell eDirectory (NetWare 5.x und NetWare 6)
• LDAP Version 2 and 3 (OpenLDAP) .
86
ISGI Marrakech
Nous devons donc dans notre cas désactiver le mode transparent, et cocher l’option « locale ».
Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des
utilisateurs
87
ISGI Marrakech
Une fois les utilisateurs crées, ils apparaissent comme ci-dessous :
Maintenant passons à la configuration du navigateur client: Il s’agit de configurer la
navigateur pour passer à travers le proxy :
Pour Firefox 37.0.1 Cliquer sur Firefox/Options/Options dans la section Avancé sous l’Onglet
Réseau cliquer sur Paramètres:
Lors de l’ouverture du navigateur nous avons alors une fenêtre du type :
88
ISGI Marrakech
15. BlockOutTraffic (BOT)
Par défaut IPCOP filtre tous les paquets entrant par le biais de sa fonction principale à savoir
Pare-Feu.
Or lors d’une utilisation en entreprise l’accès Internet de cette dernière est parfois utilisée à
des fins peu scrupuleuses par certains utilisateurs.
Jusqu'à maintenant IPCOP autorise la quasi-totalité des services en sortie, y compris le Peer
2Peer, les prises de main à distance, le ftp…….
BlockOutTraffic permet de contrôler davantage ce qui sort de notre IPCOP. Dans notre
Exemple nous allons voir les points suivants :
• Créer les règles de base pour accéder au web
• Autoriser certains services
• Créer des groupes d’ordinateurs et leur affecter des règles différentes
A. Créer des groupes d’ordinateurs
Première règle à implémenter, bloquer tous les ports de: 1-65535. Nous sommes dans le menu PareFeu/Services.
89
ISGI Marrakech
maintenant le moment d’identifier les deux groupes TRI , TDI, Imaginons que nous avons
deux étudiants TIR dont l’IP est: 10.0.0.20 , 10.0.0.21 et les deux TDI voici leurs ip:
10.0.0.30, 10.0.0.31
groupons les dans deux boites: TRI et TDI, nous sommes dans le menu PareFeu/Regroupements d’Adresses. Dans la zone Nom du Regroupement d’Adresses tapez TDI ,
juste en bas cliquer sur le bouton d’option Adresse personnalisées, sélectionner notre 1er TDI
1 puis cliquer sur le bouton Ajouter. Pour la suite sélectionner simple le bouton d’option Nom
du Regroupement d’Adresse où TDI apparaît dans la liste puis sélectionner le 2em TDI 2,.
Avant de recommencer la même chose pour le département TRI. A la fin votre figure
ressemblerait à celle-ci:
90
ISGI Marrakech
B. Blocage des services.
Menu Pare-Feu cliqué sur Règles du Pare-Feu. Dans la passe qui s’ouvre cliquer sur le
bouton Trafic en sortie.
Autorisons d’abord le service DNS pour la résolution du nom de domaine, dans la section:
- Source: Interface par défaut: VERT, Réseau par défaut: Green Network
- Destination: Interface par défaut: Rouge, Réseau par défaut: Any, Mais service cliquer sur
le bouton d’option Services par défaut est sélectionner Domain(53)
- Additionnel: Au niveau de l’Action de la règle sélectionner ACCEPTER
91
ISGI Marrakech
Puis d’enregistrer.
C. Trafic en sortir
il est possible de créer une nouvelle règle permettant par exemple :
L’accès aux services SSH, HTTPS, DNS, DHCP pour réseau 10.0.0.0/24
Le groupe TRI aura accès : FTP a l’hôte 192.168.0.10
Le groupe TDI, accès au service POP3 et SMPT
92
ISGI Marrakech
D. Acces IPcop
Autoriser seulement à l’adresse 10.0.0.10 a ouvrir une connexion SSH avec le serveur IPcopAutoriser
seulement à l’adresse 10.0.0.10 a ouvrir une connexion Telnet avec le serveur IPcop
E. Transports de port
Mapper le port 80 au port 443
F. Accès Externe IPcop
Bloquer les Accès Externe a destinateur serveur IPcop au port Telnet , SSh, FTP
93
ISGI Marrakech
16. Vérifier les ports ouverts sur le serveur IPcop
voir l’adresse d’interface rouge d’IPcop 192.168.1.8
Je viens de scanner tous les ports d’interface rouge d’IPcop, avec la commande nmap
192.168.1.8
le résultat donne, aucun port ouvert.
ping d’interface rouge d’IPcop 192.168.1.8 pour vérifier est ce que le pare-feu il bloque tour
le Traffic entrant.
94
ISGI Marrakech
Conclusion
la mise en place d'un pare-feu IPcop permet donc de sécuriser au maximum le
réseau d'entrepris, de détecter les tentatives d'instruction et d'y parer au mieux
possible. Cela permet de rendre le réseau ouvert sur internet beaucoup plus sûr,
également permettre de restreindre l'accès internet vers l'extérieur.
En plaçant le pare-feu IPcop pour limitant ou interdisant l'accès à des services,
l'entreprise peut donc avoir un contrôle sur les activités se déroulant dans son
enceinte.
La possibilité d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un
outil à la fois fiable et évolutif. Par ailleurs, la facilité d'installation des mises à
jour et la non-nécessité de redémarrer est un plus non négligeable. Seul défaut :
celles-ci ne s'effectuent pas de façon automatique et il faut donc les vérifier de
temps en temps à l'aide de l'onglet.
L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est
plus nécessaire d'avoir un firewall d'installé sur chaque poste du réseau, le
serveur se chargeant d'effectuer le filtrage en amont. . Contrainte que possède
IPCop par rapport à des solutions physiques payantes qui prennent elles moins
de place et qui possèdent parfois des règles de filtrage que l'ont peut un peu plus
affiner, mais le prix de ce genre de solution ( surtout si elles gèrent le VPN ) n'a
rien à voir avec celui d'un IPCop.
95
ISGI Marrakech
Annexes
Annexe 1 : plan de Mase du CTT:
Annexe 2: Maquette du site Geumassa.
96
ISGI Marrakech
Annexe 3 : Schémas synoptique de la fibre optique au
sein de CTT
97
ISGI Marrakech
98
ISGI Marrakech

Mise en place d`un pare-feu sous Gnu/Linux IPcop

Transcription

Documents pareils

ID de l`insertion: 832 Nom de la société : Riad Malika Description de

EXPERIENCE PROFESSIONNELLE INFORMATIONS COMPLEMENTAIRES

fiche de reservation d`hotel - United Cities and Local Governments

Stage de tennis jeune senior TCE

Mon carnet de voyage Voyage Ã Marrakech

samanah country club

Maroc àpd pp

Forum: Hôtels

OOPS - Les Sens de Marrakech

PARE-FEU : « IPCOP »