Manuel d`Administration
Transcription
Manuel d`Administration
Manuel d'Administration Chris Clancey Harry Goldschmitt John Kastner Eric Oberlander Peter Walker Manuel d'Administration par Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, et Peter Walker Version française : Patrick Bernaud, Éric Boniface, Stéphane Chartier, Olivier Gey, Erwann Simon Publié le 20 septembre 2004 Copyright © 2002-2004 Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the license is included in the section entitled GNU Free Documentation License. Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.2 ou toute version ultérieure publiée par la Free Software Foundation ; sans Section Invariable ; sans Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copie de la présente Licence est incluse dans la section intitulée GNU Free Documentation License. Table des matières Avant-propos ........................................................................................................... vii Mentions légales ............................................................................................... vii Préface ............................................................................................................ vii 1. Introduction par le Chef de Projet ............................................................................... 1 Qu'est ce qu'IPCop ? ........................................................................................... 1 Aperçu des fonctionnalités ................................................................................... 1 Remerciements ................................................................................................... 2 2. Administration et Configuration .................................................................................. 5 Page d'accueil de l'interface d'administration .............................................................. 5 Pages de l'onglet Système .................................................................................... 7 Page Mises à jour ....................................................................................... 8 Page Mots de passe ..................................................................................... 9 Page Accès SSH ......................................................................................... 9 Page Interface Graphique ............................................................................ 13 Page Sauvegarde ....................................................................................... 15 Page Arrêter ............................................................................................. 17 Pages de l'onglet État ........................................................................................... 17 Page État du système ................................................................................... 18 Page État du réseau ..................................................................................... 20 Page Graphiques système .............................................................................. 21 Page Courbes de trafic ................................................................................. 22 Page Graphes du proxy ................................................................................ 23 Connexions ................................................................................................ 24 Pages de l'onglet Réseau .................................................................................... 24 Page Connexion ........................................................................................ 24 Page Chargement ...................................................................................... 27 Page Modem ............................................................................................ 28 Page Configuration alias externes ................................................................. 29 Pages de l'onglet Services ................................................................................... 29 Page Serveur mandataire (proxy) ................................................................. 30 Page Serveur DHCP .................................................................................. 31 Page DNS Dynamique ............................................................................... 38 Écran Hôtes statiques ................................................................................. 40 Page Serveur de temps ............................................................................... 42 Page Lissage du trafic (shaping) .................................................................. 43 Page Détection d'intrusion .......................................................................... 45 Pages de l'onglet Pare-feu ..................................................................................... 45 Quels sont les flux autorisés entre les différentes interfaces réseau d'IPCop ? ......... 46 Personnalisation par l'utilisateur ................................................................... 46 Page Transferts de ports ............................................................................. 47 Page Accès externes .................................................................................. 49 Page Accès à la DMZ ................................................................................ 50 Page Accès BLEU .................................................................................... 52 Page Options du firewall ............................................................................ 54 Pages de l'onglet RPVs ...................................................................................... 54 Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV) ....................... 54 Encadré Paramètres généraux ...................................................................... 54 Encadré Contrôle et statut de la connexion ..................................................... 55 Encadré Autorités de certification ................................................................. 57 Pages de l'onglet Journaux .................................................................................. 57 Introduction ................................................................................................ 57 Page Configuration des journaux .................................................................... 57 Page Résumé des journaux ......................................................................... 58 Page Journaux du serveur mandataire ............................................................ 59 Page Journaux du pare-feu .......................................................................... 60 iv Manuel d'Administration Page Journaux IDS .................................................................................... 61 Page Journaux système .............................................................................. 62 A. GNU Free Documentation License ............................................................................. 64 0. Preamble ........................................................................................................ 64 1. Applicability and Definitions ............................................................................. 64 2. Verbatim Copying ........................................................................................... 65 3. Copying In Quantity ........................................................................................ 65 4. Modifications .................................................................................................. 66 5. Combining Documents ..................................................................................... 67 6. Collections of Documents ................................................................................. 67 7. Aggregation With Independent Works ................................................................. 68 8. Translation ..................................................................................................... 68 9. Termination .................................................................................................... 68 10. Future Revisions of This License ...................................................................... 68 v Liste des illustrations 2.1. Accès SSH et clés d'hôte SSH ................................................................................. 2.2. Configuration de l'interface graphique ....................................................................... 2.3. Sauvegarde de la configuration ........................................................................... 2.4. Arrêt et planification des redémarrages ..................................................................... 2.5. Paramétrages PPP ................................................................................................. 2.6. Chargement des firmwares des modems .................................................................... 2.7. Paramétrage Modem .............................................................................................. 2.8. Paramétrages des alias externes ............................................................................... 2.9. Options additionnelles DHCP .................................................................................. 2.10. Ajout d'un nouveau bail fixe .................................................................................. 2.11. Liste des baux fixes ............................................................................................. 2.12. Baux dynamiques en cours .................................................................................... 2.13. Paramètres du DNS dynamique .............................................................................. 2.14. Écran d'ajout d'un nom d'hôte ................................................................................ 2.15. Liste des hôtes configurés ..................................................................................... 2.16. Paramétrage du serveur de temps ........................................................................... 2.17. Mise à jour manuelle de l'heure ............................................................................. 2.18. Configuration du lissage de trafic ........................................................................... 2.19. Configuration de la détection d'intrusion .................................................................. 2.20. Flux IP .............................................................................................................. 2.21. Paramétrage des transferts de ports ......................................................................... 2.22. Configuration des accès externes ............................................................................ 2.23. Paramétrage des accès depuis la DMZ ..................................................................... 2.24. Paramétrage de l'accès BLEU ................................................................................ 2.25. Options du pare-feu ............................................................................................. 2.26. Paramètres généraux du VPN ................................................................................ 2.27. Encadré de contrôle et de statut : vue initiale ............................................................ 2.28. Sélection du type de connexion VPN ...................................................................... 2.29. Saisie d'une connexion VPN Serveur-à-Réseau .......................................................... 2.30. Paramètres d'une connexion VPN Réseau-à-Réseau .................................................... 2.31. Paramètres pour l'authentification ........................................................................... 2.32. Autorités de certification : vue initiale ..................................................................... 2.33. Configuration des journaux ................................................................................... 2.34. Affichage du résumé des traces .............................................................................. 2.35. Affichage des traces du serveur mandataire .............................................................. 2.36. Affichage des traces du pare-feu ............................................................................ 2.37. Affichage des traces de l'IDS ................................................................................. 2.38. Affichage des traces système ................................................................................. vi 10 14 17 26 27 28 29 34 36 37 38 39 41 41 42 43 44 45 46 48 50 51 53 54 54 55 55 55 56 56 57 58 58 60 61 62 63 Avant-propos Mentions légales IPCop est sous Copyright du IPCop Linux Group. IPCop Linux est couvert par la GNU General Public License. Pour plus d'informations, consultez le site web d'IPCop. [http://www.ipcop.org] Vous avez le droit de copier tout ou partie de ce document du moment que cette déclaration de copyright accompagne la copie. Les informations contenues dans ce document sont susceptibles de changer d'une version à l'autre. Tout a été fait pour que le contenu de ce document soit exact et à jour. Cependant l'absence d'erreur ne peut être garantie. De ce fait, IPCop décline toute garantie explicite ou implicite quant aux éventuelles erreurs contenues dans ce manuel et aux dégâts qu'elles pourraient entraîner sur la disponibilité ou la performance du produit. L'usage dans ce document de noms dans un sens général, de noms d'entreprises, de noms de marques, etc ne signifie pas que leur usage est « libre » selon les termes de la législation sur les marques et qu'ils peuvent être utilisés par tous. Tous les noms de marques sont utilisés sans garantie de libre utilisation et peuvent être des marques enregistrées. En règle générale, IPCop se conforme à la notation adoptée par le fabricant. Les autres produits mentionnés peuvent être des marques enregistrées par leurs fabricants respectifs. Première Édition - 29 décembre 2001 Rédacteur - Charles Williams. Je souhaite remercier toutes les personnes qui ont vérifiées et corrigées ce document, à savoir : Harry Goldschmitt, Mark Wormgoor, Eric S. Johansson et le reste du groupe IPCop Linux. Seconde Édition - 10 janvier 2003 Rédacteurs - Chris Clancey, James Brice, Harry Goldschmitt, and Rebecca Ward. Troisième Édition - 25 avril 2003 Rédacteurs - Chris Clancey, Harry Goldschmitt, and Rebecca Ward. Quatrième Édition - 25 septembre 2004 Rédacteurs - Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander and Peter Walker. Préface Bonjour. Au nom de notre Chef de Projet, Jack Beglinger, l'équipe de Documentation vous souhaite la bienvenue dans ce Manuel d'Administration d'IPCop. Nous profitons d'ailleurs de ce document pour vous remercier d'évaluer notre pare-feu et nous espérons qu'il satisfait à vos besoins. L'équipe veut également remercier, pour sa présence et sa précieuse assistance aux utilisateurs novices ou expérimentés, la communauté bâtie autour d'IPCop Linux. Nous souhaitons enfin remercier l'équipe SmoothWall pour avoir fait naître cette communauté. Que vous soyez un utilisateur convaincu mettant à jour son installation ou bien un nouvel utilisateur préparant sa première installation, nous espérons que vous trouverez dans ces pages tout ce qui vous est nécessaire pour prendre en main votre nouvel IPCop. Si, pour une raison ou pour une autre, quelque chose n'est pas traité ici et que vous estimez qu'il le devrait, prenez contact avec nous pour nous le faire savoir. Nous aimons avoir un retour de nos utilisateurs (en réalité, certains parmi nous sont seuls, assis derrière leur écran à longueur de journées : un petit message ne peut que leur faire plaisir) et vii Avant-propos nous ferons de notre mieux pour vous satisfaire. Vous pouvez maintenant vous relaxer et profiter pleinement de l'Internet sans souci. Voici tout de même quelques pistes pour celles et ceux qui ne souhaitent pas prendre le temps de lire ce manuel et sont trop impatients de pouvoir utiliser leur IPCop. La première version d'IPCop était en fait une version intermédiaire pour nous permettre d'identifier les problèmes de la distribution IPCop Linux. Nous en sommes maintenant à la troisième publication réelle. S'il vous arrivait de découvrir un problème, commencez par vérifier qu'il n'est pas traité dans la Foire Aux Questions d'IPCop. Nous faisons notre possible pour maintenir à jour cette FAQ à chaque nouveau problème détecté et résolu (que cela soit en le contournant temporairement ou en apportant une solution définitive). Si votre problème ne trouve pas sa réponse dans la FAQ, il est toujours possible de nous rejoindre sur IRC (serveur : irc.openprojects.net canal: #ipcop), d'appeler à l'aide sur une des listes de diffusion du projet ou bien encore de contacter directement le groupe IPCop Linux pour assistance. Comprenez bien que vous obtiendrez plus rapidement une réponse avec les trois premières méthodes. En effet, le délai de réponse d'une requête envoyée directement au groupe IPCop Linux est proportionnel à la charge du développement assuré par l'équipe. Vous pourrez trouver de plus amples informations, des réponses aux questions fréquemment posées, les adresses des listes de diffusion et les coordonnées complètes pour contacter le groupe IPCop Linux sur notre site web : Site Web IPCop. [http://www.ipcop.org] viii Chapitre 1. Introduction par le Chef de Projet Bienvenue et merci d'évaluer ou d'utiliser IPCop. Qu'est ce qu'IPCop ? Eh oui, qu'est ce que c'est qu'IPCop ? 1. IPCop est un pare-feu et il le restera. 2. IPCop est une distribution Linux spécialisée, complète, adaptée et prête à protéger vos réseaux informatiques. Elle est pour cela distribuée sous les termes de la GNU General Public License [http://www.gnu.org/licenses/gpl.html] : son code source peut être téléchargé, évalué et même modifié. Elle peut être entièrement recompilée par vos soins pour servir au mieux vos besoins personnels ou répondre à des impératifs de sécurité particuliers. 3. IPCop est une communauté dont les membres s'entraident avec le souci de toujours faire progresser le projet. Il peut s'agir d'expliquer à des débutants les bases des réseaux informatiques ou d'aider à la personnalisation d'IPCop pour des besoins spécifiques tels que la téléphonie par Internet (VoIP) et l'implantation d'IPCop en entreprise. La réponse correcte à cette question piège est donc : les trois à la fois. Motivations : IPCop a été créé en réponse à plusieurs besoins. Le premier d'entre eux était le besoin d'une protection sûre et efficace de nos réseaux qu'ils soient personnels ou d'entreprises. Lorsque le projet IPCop a été lancé en octobre 2001, il existait déjà d'autres pare-feu. Mais l'équipe IPCop d'alors a considéré qu'ils ne satisfaisaient pas à deux autres des besoins précédents : GPL et le sens de la communauté. Le groupe fondateur d'IPCop a alors décidé de partir du code de base d'un pare-feu sous GPL et de faire les choses différemment. L'objectif était de remanier ce code pour se mettre à l'écoute des attentes de sa communauté d'utilisateurs. Parmi ces attentes se trouvaient celle de laisser à chaque utilisateur la possibilité de créer son propre IPCop, celle de proposer et d'ajouter des améliorations et celle d'apprendre grâce au travail des autres. C'est grâce à ces objectifs clairs, en étudiant l'existant et en écoutant ses utilisateurs qu'IPCop a pu progresser et progresse toujours. Cette communauté permet à IPCop de mûrir et IPCop l'aide à progresser. Aujourd'hui, après près de deux ans et demi, la première révision majeure d'IPCop est publiée. Avec elle, nombre de fonctionnalités intéressantes ont été ajoutées : le support de quatre réseaux, la détection d'intrusion sur tous les réseaux et une nouvelle interface encore plus pratique n'en sont que quelques exemples. Encore une fois, soyez les bienvenus dans IPCop ! Jack Beglinger Chef du Projet IPCop Aperçu des fonctionnalités • filtrage réseau par IPTable ; • support des disques IDE, SCSI et CF (Disk on Chip) ; 1 Introduction par le Chef de Projet • possibilité d'organisation du parc en quatre réseaux : • VERT — Réseau interne de confiance ; • BLEU — Réseau sans-fil, confiance limitée (peut également être utilisé en deuxième réseau VERT) ; • ORANGE — Zone délimitarisée (DMZ) pour les serveurs accessibles depuis l'extérieur ; • RED — Réseau de connexion à l'Internet par : • modem RTC • ISDN • carte d'interface réseau connectée à : • un modem DSL, • un modem-câble. • USB connecté (avec les pilotes matériels appropriés) à : • un modem DSL, • un modem-câble. • support de plusieurs « réelles » adresses IP sur le réseau ROUGE dans une configuration à IP statique ; • client DHCP sur le réseau ROUGE pour obtenir l'adresse IP du FAI, avec en plus la gestion du DNS dynamique au changement d'IP ; • serveur DHCP sur les réseaux VERT et BLEU pour simplifier la mise en place et la maintenance des réseaux ; • client NTP pour le réglage automatique de l'heure de la machine IPCop et serveur NTP pour les machines des réseaux VERT et BLEU ; • sonde de détection d'intrusions sur TOUS les réseaux (ROUGE, ORANGE, BLEU et VERT) ; • Réseau Privé Virtuel (RPV ou VPN) pour interconnecter plusieurs sites distants dans un unique grand réseau logique ; • serveur mandataire Web et DNS pour diminuer les temps de connexion et simplifier la gestion du réseau ; • administration de la machine, après installation, par une interface web sécurisée permettant : • l'affichage des performances du processeur, de la mémoire et des disques ainsi que le trafic réseau par des graphiques ; • la visualisation des journaux d'évènement et l'archivage automatique de ces derniers ; • le choix entre plusieurs langues. • utilisation possible de matériel dépassé : 386 ou mieux. La version 1.4 a été testée avec succès sur un 486sx25 disposant de 12Mo de RAM et 273Mo de disque dur. Il s'agissait de la plus ancienne et la plus modeste des machines disponibles au moment du test. L'installation a été faite par le réseau. Cette configuration s'est avérée tout à fait correcte pour une connexion par modem-câble à 3Mb/s. Remerciements IPCop est tout à la fois un projet collaboratif et un projet reposant sur des composants existants de grande qualité. Ces remerciements sont adressés à nombre de personnes ayant aidé directement ou indirectement, ainsi qu'à tous ceux, anonymes, qui ont permis le développement du projet mais dont le nombre nous empêche de les lister ici. À ces derniers, j'adresse personnellement tous mes remerciements et mes excuses pour l'absence de leur nom. 2 Introduction par le Chef de Projet Pour tout le reste, merci… Une liste plus complète et à jour est consultable directement sur la page Système#Crédits de votre IPCop. Équipe principale • Mark Wormgoor — Développeur Principal. • Alan Hourihane — Développeur SMP & SCSI. • Gilles Espinasse —. • Harry Goldschmitt — Chef de l'Équipe de Documentation. • Eric Oberlander — Développeur & Coordinateur Traductions. Développeurs. Mark Wormgoor, Alan Hourihane, Eric S. Johansson, Darren Critchley, Robert Kerr, Gilles Espinasse, Steve Bootes, Graham Smith, Robert Wood, Eric Oberlander, Tim Butterfield et David Kilpatrick. Équipe de documentation. Harry Goldschmitt, Chris Clancey, John Kastner, Eric Oberlander, Peter Walker. Équipes de traduction. • Portugais brésilien : Edson-Empresa, Claudio Corrêa Porto, Adilson Oliveira, Mauricio Andrade, Wladimir Nunes. • Chinois (simplifié) : Vince Chu, Yuan-Chen Cheng, Sohoguard. • Chinois (traditionnel) : Ronald Ng. • Tchèque : Petr Dvoracek, Jakub Moc. • Danois : Michael Rasmussen. • Hollandais : Gerard Zwart, Berdt van der Lingen, Tony Vroon, Mark Wormgoor, Maikel Punie. • Finois : Kai Käpölä. • Français : Bertrand Sarthre, Michel Janssens, Erwann Simon, Patrick Bernaud, Marc Faid'herbe, Eric Legigan, Eric Berthomier, Stéphane Le Bourdon, Stéphane Thirion, Jan M. Dziewulski,spoutnik, Eric Darriak, Eric Boniface, Franck Bourdonnec. • Allemand : Dirk Loss, Ludwig Steininger, Helmet, Markus, Michael Knappe, Michael Linke, Richard Hartmann, Ufuk Altinkaynak, Gerhard Abrahams, Benjamin Kohberg, Samuel Wiktor. • Grec : Spyros Tsiolis, A. Papageorgiou, G. Xrysostomou. • Hongrois : Ádám Makovecz, Ferenc Mányi-Szabó. • Italien : Fabio Gava, Antonio Stano, Marco Spreafico. • Latino Spanish : Fernando Diaz. • Lituanien: Aurimas Fi#eras. • Norvégien : Morten Grendal, Alexander Dawson, Mounir S. Chermiti, Runar Skraastad, Alf-Ivar Holm. • Persan (farsi) : Ali Tajik, A T Khalilian. • Polonais : Jack Korzeniowski, Piotr, Andrzej Zolnierowicz, Remi Schleicher. 3 Introduction par le Chef de Projet • Portugais : Luis Santos, Renato Kenji Kano, Mark Peter, Wladimir Nunes, Daniela Cattarossi. • Roumain : Viorel Melinte. • Russe/ukrainien : Vladimir Grichina, Vitaly Tarasov. • Slovaque : Milo# Mráz, Drlik Zbynek. • Slovène : Miha Martinec, Grega Varl. • Somalien : Mohamed Musa Ali. • Espagnol : Curtis Anderson, Diego Lombardia, Mark Peter, QuiQue Soriano, David Cabrera Lozano, Jose Sanchez, Santiago Cassina, Marcelo Zunino, Alfredo Matignon, Juan Janczuk. • Suédois : Anders Sahlman, Christer Jonson. • Thaï : Touchie. • Turc : Ismail Murat Dilek, Emre Sumengen. • Vietnamien : Le Dinh Long. Autres projets et sociétés : Traverse Technologies — Improved Dual ISDN and DOV support, Linux from Scratch (LFS) — base de code pour IPCop 1.4, FreeSwan et OpenFreeSwan — IPSec et logiciel de VPN, Smoothwall — origine et source d'inspiration du projet, … ainsi que d'autres trop nombreux pour les citer tous. 4 Chapitre 2. Administration et Configuration Page d'accueil de l'interface d'administration Pour accéder à l'interface d'administration d'IPCop, il suffit d'ouvrir un navigateur et d'entrer en adresse soit l'adresse IP de l'interface VERTE, soit le nom d'hôte du serveur IPCop, le tout suivi du numéro de port 445 (https/secure) ou 81 (redirigé automatiquement vers 445) : https://ipcop:445 ou https:// 192.168.10.1:445 ou http://ipcop:81 ou http://192.168.10.1:81. Remarque : abandon de l'écoute sur le port 81 en HTTP À compter de la version 1.4.0 d'IPCop, les connexions HTTP au port 81 sont automatiquement redirigées sur le port 445 en HTTPS. Au moment de la conception d'IPCop, il y a de cela quelques années, seule une poignée de navigateurs supportait le protocole HTTPS. Le port 81 était utilisé par tous les autres. La plupart a maintenant disparu ou s'est adaptée. La transmission en clair des mots de passe de votre IPCop étant par nature risqué, il a été décidé d'abandonner les connexions HTTP. Pour les utilisateurs habitués au port 81, les connexions sur ce port sont automatiquement redirigées sur HTTPS. Si vous utilisez encore un navigateur ne supportant pas HTTPS, pensez à le mettre à jour ou à le remplacer. Modification du numéro de port pour HTTPS Dans certaines situations, il est nécessaire de changer le numéro de port servant aux connexions sécurisées. Il s'agit d'éviter un conflit avec le port 445 utilisé par les Directory Services (SMB sur TCP/IP) des versions récentes de Windows. Certains FAI bloquent systématiquement ce port 445 pour raison de sécurité, c'est à dire pour empêcher la propagation de virus. Un utilitaire en ligne de commande du nom de setreservedports a été introduit avec la version d'IPCop 1.4.8. Il permet de modifier le port sécurisé d'écoute de l'interface d'administration. $ /usr/local/bin/setreservedports 5445 Même si le port numéro 5445 est suggéré dans l'exemple précédent, n'importe quel numéro de port entre 445 et 65565 convient tout aussi bien. S'il vous arrivait d'oublier le numéro de ce port, vous pouvez toujours utiliser le protocole non sécurisé HTTP et le port 81 : votre requête est alors automatiquement redirigée. La page d'accueil de l'interface d'administration de votre IPCop apparaît dans votre navigateur. Vous pouvez d'ores et déjà explorer les différentes options et les informations disponibles par le biais de cette 5 Administration et Configuration interface. Vous trouverez ci-dessous la liste des options principales de configuration/administration. Lorsque vous vous sentirez suffisamment à l'aise avec le système, continuez avec les sections suivantes de ce manuel. Les pages web d'administration d'IPCop sont accessibles par des onglets en haut de l'écran : • Système : Configuration du système et fonctions associées à IPCop. • Etat : Présentation détaillée de l'état de plusieurs éléments de votre serveur IPCop. • Réseau : Configuration/Administration de vos paramètres de connexion. • Services : Configuration/Administration de nombreux services optionnels de votre serveur IPCop. • Pare-feu : Configuration/Administration de la fonction pare-feu de votre serveur IPCop. • RPVs : Configuration/Administration de votre éventuel Réseau Privé Virtuel. • Journaux : Consultation de tous les journaux d'évènements générés par votre serveur IPCop (parefeu, sonde de détection d'intrusion, etc). Cette page d'accueil est une des nombreuses pages qui diffère selon la configuration d'IPCop. Par exemple, si votre connexion est de type Ethernet par l'interface ROUGE, la page d'accueil affiche seulement le nom de la connexion courante. En revanche, si votre connexion à l'Internet est de type PPP et en admettant que la configuration de la connexion est correcte, trois boutons viennent compléter l'affichage précédent. Note Aucune connexion n'est affichée tant que vous n'avez pas fini de paramétrer votre serveur IPCop. 6 Administration et Configuration Le nom de domaine pleinement qualifié de la machine IPCop apparaît dans le coin supérieur gauche de la zone d'informations de connexion. Boutons de gestion de la connexion • Connexion - Lance une tentative de connexion à l'Internet. • Déconnexion - Termine une connexion à l'Internet. • Rafraîchir - Réactualise les informations données par la page d'accueil. En plus des boutons décrits ci-dessus, le nom du « Profil actuel » utilisé pour la connexion est affiché. Il est suivi d'une ligne donnant l'état actuel de la connexion. Ces états sont les suivants : • Inactif - Pas de connexion à l'Internet et aucune tentative en cours. • Connexion en cours... - Tentative de connexion à l'Internet en cours. • Connecté - Actuellement connecté à l'Internet. Si une connexion à l'Internet est en cours, l'état est complété par un message utilisant le motif suivant : • Connecté ( #d #h #m #s) • d=nombre de jours de connexion • h=nombre d'heures de connexion • m=nombre de minutes de connexion • s=nombre de secondes de connexion Au dessous de ce bloc d'information sur le profil courant et l'état de la connexion se trouve une ligne du genre : 7:07pm up 1 day, 7:21, 0 users, load average: 0.03, 0.01, 0.00 Cette ligne représente la sortie de la commande Linux uptime. Elle affiche l'heure courante, le nombre de jours/heures/minutes depuis le dernier redémarrage et le nombre d'utilisateurs connectés sur le serveur IPCop. Les derniers nombres représentent la charge moyenne de la machine. Enfin, cette page peut vous informer sur la disponibilité de mises à jour pour votre IPCop. IPCop dispose de deux utilisteurs web en plus de l'utilisateur root sur la console. Le premier se nomme admin. Grâce à cet identifiant, vous avez accès à tous les écrans de l'interface d'administration. L'autre identifiant, nommé dial, n'est autorisé qu'à utiliser les boutons Connexion et Déconnexion. Par défaut, l'utilisateur dial est désactivé ; pour l'activer vous devez lui assigner un mot passe. La consultation des écrans d'accueil et d'information ne nécessitent pas d'authentification. Pour tous les autres, le mot de passe de l'utilisateur admin est requis. Pages de l'onglet Système Cet ensemble de pages est conçu pour vous aider à administrer et contrôler votre serveur IPCop. Pour y accéder, sélectionnez l'onglet Système dans la partie supérieure de l'écran. Vous avez alors le choix entre : • Accueil — pour retourner à la page d'accueil ; • Mises à jour — pour rechercher et appliquer des correctifs à votre IPCop ; 7 Administration et Configuration • Mots de passe — pour changer le mot de passe de l'utilisateur admin, et éventuellement en assigner un à l'utilisateur dial ; • Accès SSH — pour activer et configurer l'accès sécurisé à votre IPCop par SSH ; • Interface Graphique — pour activer ou désactiver l'utilisation de Javascript par l'interface d'administration et en changer le langage ; • Sauvegarde — pour sauvegarder les paramètres de configuration de votre IPCop, soit dans un fichier, soit sur une disquette. Ces paramètres peuvent aussi être restaurés depuis cette page ; • Arrêter — pour arrêter ou redémarrer votre IPCop ; • Crédits — pour afficher la liste des nombreux volontaires et autres projets qui font d'IPCop ce qu'il est. Page Mises à jour Cette page est composée de trois encadrés : 1. le premier affiche le niveau de mise à jour de la machine ; 2. le second informe de l'éventuelle disponibilité de correctifs ; 3. le dernier permet d'appliquer un correctif fourni. IPCop vérifie automatiquement la disponibilité de correctifs lors de chacune de vos connexions à l'Internet. Vous pouvez également lancer manuellement cette vérification en cliquant le bouton Rafraîchir la liste des mises à jour. Pour chaque mise à jour disponible, une courte description accompagnée d'un lien « Info » vers plus de détails s'affiche dans ce cadre. Suivez ce lien. Il vous 8 Administration et Configuration conduit vers une page donnant toutes les informations importantes concernant ce correctif avec un nouveau lien pour le télécharger. En le téléchargeant, il se retrouve sauvegardé sur la machine faisant tourner le navigateur, et non sur la machine IPCop. Il est ainsi nécessaire de transférer le correctif vers la machine IPCop. Pour cela, rendez-vous sur la page Mises à jour, utilisez le bouton Parcourir... pour rechercher et sélectionner le correctif dans l'arborescence de la machine cliente avant de cliquer sur le bouton Upload pour appliquer le correctif à votre serveur IPCop. Note Le navigateur Web Opera ne gère pas correctement les transferts : son utilisation devrait donc être évitée pour ce qui est de l'application des correctifs de votre serveur IPCop. Note Seules les mises à jour IPCop officielles peuvent être installées sur votre serveur IPCop. Certaines peuvent provoquer automatiquement un redémarrage de la machine, lisez donc très attentivement la totalité de la description de chaque correctif avant de l'appliquer. Page Mots de passe La page Mots de passe vous permet de changer les mots de passe des utilisateurs admin et dial si vous le jugez nécessaire. Tapez deux fois le nouveau mot de passe pour l'utilisateur concerné et cliquez sur le bouton Enregistrer. L'utilisateur dial est activé par l'assignation d'un mot de passe à son identifiant. Cet utilisateur particulier est autorisé à se servir des boutons de la page Accueil de l'interface d'administration d'IPCop. Il ne peut en revanche ni modifier, ni consulter les autres pages. Servez-vous de cet utilisateur si vous possédez une connexion de type modem et que vous souhaitez autoriser vos utilisateurs à initier les connexions à l'Internet sans posséder pour autant les droits de l'utilisateur admin. Page Accès SSH Cette page vous permet d'autoriser ou d'interdire l'accès distant à votre machine IPCop par SSH. En cochant la première des cases, vous rendez possible l'accès distant par SSH. Plusieurs autres options sont à votre disposition. L'accès SSH est désactivé par défaut et nous vous recommandons de ne l'activer que lorsque vous en avez besoin et de le désactiver par la suite. 9 Administration et Configuration Figure 2.1. Accès SSH et clés d'hôte SSH Tout comme le HTTP et le HTTPS de votre machine IPCop utilisent respectivement les ports nonstandard 81 et 445, le port attaché à SSH pour IPCop est le 222. Si vous vous servez d'une application graphique pour l'accès à votre machine IPCop, pensez à spécifier le port 222 dans les options de connexion. Si vous utilisez les commandes ssh, scp ou sftp et ce bien qu'elles soient proches, la syntaxe pour indiquer le port est différente. En admettant que votre machine IPCop possède l'adresse IP 192.168.254.1, les commandes s'écrivent : SSH $ ssh -p 222 [email protected] SCP $ scp -P 222 some/file [email protected]: SFTP $ sftp -o port=222 [email protected] Reportez-vous aux pages de manuel sur votre machine cliente pour une explication complète de ces commandes. SSH Depuis cette page, les options SSH suivantes sont disponibles : Activé: En cochant cette case, vous activez SSH. À moins de mettre en place un accès externe, le servive n'est utilisable que depuis le réseau VERT. Lorsque SSH est activé, toute personne ayant connaissance du mot de passe root d'IPCop peut s'introduire sur votre pare-feu et y obtenir une ligne de commande. Support du protocole SSH version 1 (requis uniquement pour les clients anciens) En cochant cette case, les connexions de clients SSH version 1 sont autorisées. L'activation de cette fonctionnalité est fortement déconseillée. Il existe plusieurs vulnérabilités connues avec SSH version 1. Son utilisation doit se limiter à un accès temporaire et seulement si vous disposez de clients version 1 sans possibilité de mise à jour en version 2. La plupart 10 Administration et Configuration des clients SSH, pour ne pas dire tous, supporte la version 2. Aussi pensez à mettre à jour vos clients. Autorise le transfert TCP Le fait de cocher cette case vous permet de créer des tunnels SSH chiffrés entre des machines protégées par le pare-feu et des utilisateurs extérieurs. Pourquoi utiliser cela alors qu'IPCop propose déjà un VPN ? Imaginez. Vous êtes sur la route et quelque chose va mal sur l'un de vos serveurs. Vous n'avez pas mis en place une connexion VPN nomade. Si vous connaissez le mot de passe de votre IPCop vous pouvez utiliser le transfert de port pour traverser votre pare-feu IPCop et accèder au serveur en question qui se trouve sur l'un des réseaux protégés. Les paragraphes suivants expliquent comment faire cela en admettant qu'un serveur telnet tourne sur la machine interne d'adresse IP 10.0.0.20. L'hypothèse d'un système Linux comme machine distante est également faite. La commande putty sous Windows propose les mêmes fonctionnalités mais vous y accédez par des boîtes de dialogue. Il est probable que vous ayez déjà effectué l'une des premières étapes. 1. activez ou faites activer l'accès externe par le port 445, le port de HTTPS ; 2. utilisez les pages d'administration d'IPCop pour autoriser l'accès SSH, le transfert TCP et l'accès externe par le port 222 ; 3. créez un tunnel SSH entre la machine nomade et la machine interne tournant un démon SSH par la commande : $ ssh -p 222 -N -f -L 12345:10.0.0.20:23 root@ipcop -p 222 IPCop écoute les requêtes SSH sur le port 222, pas le port standard 22. -N Cette option, conjointement à -f, demande à SSH de se placer en tâche de fond sans se terminer. Si vous utilisez cette option, vous devrez vous rappeler de tuer le processus SSH pour le terminer. Vous pouvez aussi ajouter sleep 100 à la fin de la ligne de commande et supprimer l'option N. Dans ce dernier 11 Administration et Configuration cas, le SSH invoqué par la commande ssh se terminera après 100 secondes sans que ni la session telnet, ni le tunnel ne se ferment. -f Cette option permet de lancer SSH en tâche de fond. -L Ceci indique à SSH de monter un tunnel en transfert de port dont les paramètres sont donnés à la suite. 12345 Il s'agit du port local à utiliser pour le tunnel vers le service distant. Il doit être supérieur à 1024 sans quoi vous devrez être root pour l'utiliser. 10.0.0.20 Ceci est l'adresse VERTE du serveur distant. 23 Il s'agit du port distant à utiliser. Cette valeur de port correspond au service telnet. [email protected] Et pour finir, ce paramètre indique que vous allez utiliser votre parefeu IPCop comme agent de transfert de port. Vous devez disposer d'un identifiant pour vous logguer et seul l'identifiant root est disponible sur IPCop. Le mot de passe correspondant à cet utilisateur vous sera demandé. 4. Enfin, identifiez-vous auprès du service telnet distant en utilisant le tunnel. 12 Administration et Configuration $ telnet localhost 12345 localhost est le nom de la machine que vous utilisez. L'adresse loopback 127.0.0.1 correspond à localhost. 12345 est le port local du tunnel spécifié lors de sa création. Un tutoriel (en anglais) sur le transfert de port pour SSH est disponible chez Dev Shed [http://www.devshed.com/c/a/ Administration/Secure-Tunnelling-with-SSH/]. Permettre l'authentification par mot de passe Cette option permet d'autoriser les utilisateurs à s'identifier sur le serveur IPCop en utilisant le mot de passe root. Si vous décidez de ne pas autoriser cela, commencez par configurer vos fichiers de clefs SSH et vérifiez attentivement que vous parvenez à vous identifiez avec ces clefs. Permettre l'authentification par clef publique En cochant cette case, SSH peut utiliser l'authentification par clef publique. Il s'agit de la méthode recommandée pour sécuriser votre IPCop vis-à-vis de l'accès SSH. Cet article (en anglais) [http://open.itworld.com/4917/ LWD010410sshtips/page_1.html] discute de l'utilisation de SSH-keygen pour générer des clefs RSA et de la façon de les utiliser. Clés d'hôtes SSH Cet encadré liste les empreintes des clefs d'hôtes utilisées par le SSH d'IPCop. Elles permettent de vérifier que la session est bien ouverte depuis la bonne machine. À la première ouverture de session depuis une machine, l'une des ces empreintes est affichée par SSH. Il vous appartient alors de vérifier que l'empreinte affichée par SSH correspond bien à l'une des clefs affichées ici. Page Interface Graphique Cette page permet de contrôler le fonctionnement et l'apparence des pages d'administration d'IPCop. Après chaque modification il est nécessaire de presser le bouton Enregistrer. Pour réinitialiser la configuration de l'interface graphique dans son état d'origine, utilisez le bouton Restaurer les paramètres par défaut puis pressez le bouton Enregistrer. 13 Administration et Configuration Figure 2.2. Configuration de l'interface graphique Affichage Autoriser le javascript: Les pages Web d'administration de la version 1.4.0 utilisent largement Javascript pour en améliorer l'apparence et l'ergonomie. Cependant, certains navigateurs ne fonctionnent pas toujours correctement avec Javascript. Si cette case n'est pas cochée, les menus déroulants de l'interface sont désactivés et les éléments qu'ils contiennent normalement sont placés horizontalement en haut de chaque page. Afficher le nom de la machine dans la barre de titre: En cochant cette case, le nom d'hôte de la machine IPCop est affiché en haut de chaque page. Si vous êtes chargé de la maintenance de plusieurs machines IPCop, cela vous permet à tout moment d'identifier la machine dont l'interface s'affiche dans le navigateur. Rafraîchissement automatique de la page d'accueil Par défaut la page d'accueil est mise à jour lorsque IPCop se connecte à l'Internet. Un clic sur le bouton Rafraîchir recharge cette page avec la durée de connexion mise à jour. En activant cette option, la page d'accueil est automatiquement rafraîchie toutes les 30 secondes de sorte que la durée de connexion affichée est régulièrement mise à jour. De même si la connexion est inactive, le message « En attente de connexion à la demande » apparaît. Choisissez la langue que vous souhaitez voir IPCop utiliser: Cette liste déroulante vous permet de spécifier, parmi les 34 langues disponibles, la langue utilisée par les pages d'administration d'IPCop. Vous avez aussi la possibilité de sélectionner cette langue durant l'installation. Cependant, il peut ne pas être disponible à l'installation. L'équipe de traduction d'IPCop espère en ajouter de nouveaux grâce à l'appui de volontaires. L'ajout d'une nouvelle langue se fait lors d'une mise à jour classique du système. 14 Administration et Configuration Évidemment, vous pouvez vouloir traduire par vous-même IPCop dans une autre langue. Pour ce faire, nous vous serions gré de commencer par contacter le Coordinateur des Traductions d'IPCop, Eric Oberlander à l'adresse e-mail <[email protected]>. Il se peut qu'une traduction soit déjà en cours pour cette langue. Reportez-vous au document IPCop How To Translate (en anglais) [http://www.ipcop.org/ modules.php?op=modload&name=phpWiki&file=index&pagename=HowToTra pour de plus amples informations. Bips d'avertissement Bips de connexion/déconnexion Par défaut, votre machine IPCop émet un signal sonore lors d'une connexion et le même signal doublé lors d'une déconnexion. Pour un fonctionnement silencieux, décochez cette case. Cette option ne concerne pas les mélodies de démarrage et d'arrêt de la machine. Page Sauvegarde Version 1.4.11 La page Sauvegarde a subi une refonte complète. Parmi les changements introduits se trouvent : • la sauvegarde sur clé USB. • pour des raisons de sécurité, l'abandon des sauvegardes non chiffrées. • l'exportation de la clé de sauvegarde backup.key. La clé est protégée à l'aide du mot de passe de l'utilisateur « backup » pour la réinstallation et le fichier de clé inclut désormais le nom d'hôte. • l'ajout du nom d'hôte et de la date de sauvegarde dans le fichier backup.dat. Avant de réinstaller, effacez cette date du nom du fichier de sauvegarde à utiliser. Un champ vous permet d'ajouter un commentaire à chaque sauvegarde. Ce commentaire sera restauré au chargement de la sauvegarde. • l'amélioration de la sauvegarde sur disquette. La taille réelle de la sauvegarde est indiquée. De même le processus vérifie que la taille de la sauvegarde ne dépasse pas la capacité du support. Enfin il affiche les erreurs rencontrées parmi lesquelles l'absence de disquette dans le lecteur ou une disquette défectueuse. Sauvegarde de la configuration sur disquette La partie haute de cet encadré de la page Sauvegarde vous permet d'effectuer une sauvegarde de votre configuration sur disquette. La seule façon de restaurer une telle configuration consiste à réinstaller votre IPCop depuis un CD-ROM ou depuis un serveur HTTP/FTP. Vous aurez très tôt dans le processus d'installation la possibilité de fournir cette disquette. Les paramètres de configuration seront récupérés et l'installation se terminera. 15 Administration et Configuration Insérez une disquette dans le lecteur de la machine IPCop et cliquez sur le bouton Sauvegarde sur disquette. Les paramètres de la configuration courante sont copiés sur la disquette. Le processus s'assure du bon déroulement de l'écriture. Information Tous les messages d'erreur et les différentes informations générées lors de l'opération de création de la sauvegarde sont affichés dans la partie basse de l'encadré. Sauvegarde dans des fichiers Le reste de l'encadré vous permet de créer plusieurs jeux de sauvegardes et de sélectionner un support sur lequel transférer les fichiers ainsi créés. Le support par défaut est le disque dur de la machine IPCop mais d'autres supports amovibles tels que les clés USB sont reconnus. Pour des raisons de sécurité, les sauvegardes créées à partir de la page Sauvegarde sont chiffrées avec le mot de passe de l'utilisateur « backup ». Saississez ce mot de passe dans le champ Mot de passe de la sauvegarde et cliquez sur le bouton Exporter la clé de sauvegarde pour récupérer la clé de sauvegarde. Cette clé est nécessaire pour installer depuis une clé USB ou encore pour restaurer une configuration suite à une panne de disque dur. Pendant la procédure d'installation d'IPCop, elle vous est demandée pour restaurer une configuration depuis une sauvegarde. Mot de passe de la sauvegarde Vous devez indiquer dans ce nouveau champ le mot de passe de l'utilisateur « backup ». Avec une installation récente, vous avez déjà spécifié ce mot de passe. En revanche si l'installation est plus ancienne et progressivement mise à jour, vous devrez relancer le programme setup pour initialiser ce mot de passe. Pour ce faire, ouvrez une session super utilisateur sur votre machine IPCop soit directement depuis la console, soit par le réseau en SSH sur le port 222. Lancez le programme de configuration en tapant setup sur la ligne de commande. Sélectionnez Mot de passe 'backup' dans la liste et tapez le nouveau mot de passe. Celui-ci doit comporter au minimum 6 caractères. Quittez le programme et terminez la session. Récupérer la clé de sauvegarde Pour obtenir la clé de sauvegarde : 1. Initialisez le mot de passe de l'utilisateur « backup ». 2. Saisissez ce mot de passe dans le champ Mot de passe de la sauvegarde de la page Sauvegarde. En cliquant sur le bouton Exporter la clé de sauvegarde, la clé est exportée dans un fichier dont vous avez à choisir l'emplacement où l'enregistrer. 3. Créez et exportez le fichier d'extension .dat (il n'est pas nécessaire d'entrer le mot de passe « backup » pour cela). Vous avez maintenant en votre possession tout le nécessaire pour installer et paramétrer à l'identique un nouveau système à partir d'une clé USB ou d'un serveur HTTP/FTP. 4. Transférez le fichier d'extension .dat, après avoir supprimer l'horodatage dans son nom, ainsi que le fichier de clé sur le support d'installation (clé USB ou serveur HTTP/FTP). La restauration de la configuration ainsi sauvegardée est automatique à l'installation à condition de fournir le mot de passe « backup » et le nom d'hôte correspondant aux données chiffrées dans le fichier .dat. 16 Administration et Configuration Page Arrêter Cette page permet soit d'Arrêter soit de Redémarrer le serveur IPCop. Cliquez sur le bouton correspondant à l'action souhaitée et voilà. Il est aussi possible de planifier un redémarrage ou un arrêt à une certaine heure par la mise en place d'un « cronjob ». Figure 2.4. Arrêt et planification des redémarrages Arrêt Utilisez l'un des boutons Redémarrer ou Arrêter pour immédiatement redémarrer ou arrêter votre serveur IPCop. Programmation des redémarrages d'IPCop La possibilité de programmer les arrêts et redémarrages a été introduite avec la version 1.4.10. Un « cronjob » est ajouté au crontab de l'utilisateur root. Pour un redémarrage régulier une fois par jour, sélectionnez l'heure depuis le menu déroulant et cochez le ou les jours de semaine souhaités. Sélectionnez ensuite l'action souhaitée (Redémarrer ou Arrêter) avant de presser le bouton Enregistrer. Enfin pour supprimer un redémarrage ou un arrêt programmé, décochez toutes les cases et pressez le bouton Enregistrer. Pages de l'onglet État Cet ensemble de pages vous donne des informations et des statistiques quant au fonctionnement de votre serveur IPCop. Pour y accéder, sélectionnez l'onglet État dans la partie supérieure de l'écran. Les pages suivantes sont disponibles : • État du système • État du réseau 17 Administration et Configuration • Graphiques système • Courbes de trafic • Graphes du proxy • Connexions Page État du système Cette page rassemble un certain nombre de données utiles à l'évalutation de l'état actuel de votre serveur IPCop au travers des encadrés suivants :. Services Services - Affiche les services actuellement en fonctionnement. Mémoire Mémoire - Renseigne sur le niveau d'utilisation de la mémoire et de la partition d'échange (swap) de votre serveur IPCop. Utilisation du disque Utilisation du disque - Informe de l'organisation en partitions du disque dur de votre machine IPCop et du niveau de remplissage de chacune. 18 Administration et Configuration Durée de fonctionnement et utilisateurs Durée de fonctionnement et utilisateurs - Affiche la sortie de la commande uptime et liste les utilisateurs actuellement connectés à votre IPCop. Modules chargés Modules chargés - Donne une liste des modules chargés et en cours d'utilisation par le noyau GNU/ Linux. Version du noyau Version du noyau - Informe sur le noyau IPCop lui même. 19 Administration et Configuration Page État du réseau En cours de rédaction... Interfaces Cet encadré affiche des informations sur toutes les interfaces réseau de votre machine IPCop. Y compris les interfaces de type PPP, IPSec, Loopback, etc. Contenu en cours de vérification... Baux DHCP en cours Si le service DHCP est actif, cet ancadré reprend le contenu du fichier /var/state/dhcp/ dhcpd.leases. Tous les baux actifs concédés par le serveur DHCP d'IPCop sont listés. Pour chaque entrée, la date d'expiration du bail est affichée de même que le nom de la machine si ce dernier est connu. 20 Administration et Configuration Les baux ayant expirés sont rayées. Note Cette page n'est visible que si le service DHCP a été activé. Voyez la section sur le serveur DHCP pour plus de détails. Entrées de la table de routage En cours de rédaction... Entrées dans la table ARP En cours de rédaction... Page Graphiques système En cliquant sur l'un des quatre graphiques (utilisation CPU, mémoire, swap et accès disque) de cette page, vous avez la possibilité de visualiser le relevé de la grandeur sur l'espace d'un jour, une semaine, un mois et une année. 21 Administration et Configuration Page Courbes de trafic Cette page affiche un relevé des trafics traversant votre serveur IPCop. Une courbe est disponible pour chaque interface réseau de votre IPCop (VERT, ROUGE, BLEU, ORANGE). Elle représente le relevé du trafic entrant et sortant pour cette interface. En cliquant sur une courbe, vous obtenez une nouvelle page présentant le même relevé mais sur l'espace d'un jour, d'une semaine, d'un mois et d'une année. Note Lors du développement de la version 1.4.0, il a été mis en évidence que l'outil rrdtool, utilisé pour créer les graphiques, n'était pas capable de gérer les caractères spéciaux ce qui s'avère être gênant pour les langages dépendant du jeu de caractères UTF-8. C'est pourquoi, en attendant de trouver une solution, les textes sur les graphiques ne sont pas traduits. Les courbes de trafic ne s'affichent pas Ces courbes sont générées par un script lancé toutes les cinq minutes grâce à une tâche cron. Si elles ne s'affichent pas, vérifiez que l'heure de la machine est correcte et recherchez dans la section cron des journaux systèmes les traces du fonctionnement du script. Si vous n'en trouvez pas, essayez de relancer le programme fcron en ouvrant une session super utilisateur et en exécutant la commande « fcrontab -z ». Ou bien encore lancez manuellement le script makegraphs pour voir si il ne génère pas de message d'erreur. Pour cela, ouvrez une session super utilisateur et exécutez « makegraphs » depuis la ligne de commande. 22 Administration et Configuration Page Graphes du proxy Cette page affiche le trafic via le serveur proxy ou serveur mandataire Web d'IPCop. La première section donne la date et l'heure de création du graphique. Suivent le nombre de lignes analysées, la durée de l'analyse et la vitesse d'analyse (en ligne par seconde). Enfin, les dates et heures de début et de fin du graphique ainsi que le domaine (taille totale du graphique) sont indiqués. Ce graphique vous permet de contrôler le bon dimensionnement du serveur mandataire au regard de la charge à tenir. Note Les journaux d'évènements doivent être activés sur la page d'administration du serveur mandataire sans quoi les graphiques ne seront pas générés. 23 Administration et Configuration Connexions IPCop utilise les fonctionnalités de Netfilter ou d'IPTables pour créer un pare-feu à état (stateful firewall). Ce type de pare-feu conserve une trace des connexions pour lesquelles des machines des réseaux VERT, BLEU et ORANGE sont en jeu. Il utilise pour cela à la fois les adresses IP source et destination des flux, les numéros de ports de même que l'état de la connexion elle-même. Dès lors qu'une connexion mettant en jeu des machines protégées a été établie, seuls sont autorisés à traverser le pare-feu IPCop les paquets TCP/IP cohérents avec l'état actuel de cette connexion . L'encadré Suivi des connexions IPTables donne une liste des connexions connues d'IPTables en entrée et en sortie de votre IPCop. Chaque connexion fait l'objet d'une entrée dans cette liste. L'interface à laquelle appartient chacune des extrémités est représentée par un code de couleur fonction de son emplacement sur le réseau La légende de ce codage est rappelée en haut de la page. En cliquant sur une adresse IP de cette liste, vous lancez une recherche DNS inverse. Pages de l'onglet Réseau Page Connexion Cette page se compose de cinq encadrés distincts qui ne vous seront utiles que si vous accédez à l'Internet par un modem analogique, un dispositif RNIS ou une connexion DSL. Notez que vous ne pouvez pas choisir ou modifier un profil lorsqu'une connexion est active ou en cours d'établissement. Avant de vous servir de cette page, vérifiez l'état de connexion de votre IPCop en vous rendant sur la page d'accueil de l'interface d'administration. Si cette page affiche Connecté ou En cours de connexion, vous devez commencez par cliquer sur le bouton Déconnexion avant de revenir sur la page précédente. Après avoir paramètré ou sélectionné un profil, retournez sur cette page d'accueil et utilisez le bouton Connexion pour rétablir une connexion à l'Internet. Profils. Cet encadré vous permet de nommer et ajouter de nouveaux profils de connexion (dans la limite de cinq), de supprimer un profil ou bien encore de modifier les paramètres d'un profil particulier. Sélectionnez un profil à créer ou à modifier dans la liste déroulante. Complétez ou modifiez les paramètres pour ce profil à l'aide des autres encadrés de cette page (voir ci-dessous) avant de cliquer sur le bouton Enregistrer. Pour indiquer le profil par défaut, c'est à dire le profil qui sera utilisé lors des futures connexions à l'Internet, choisissez-le dans la liste déroulante et cliquez le bouton Sélectionner en bas de page. Le bouton Restaurer permet quant à lui de rétablir les paramètres sauvegardés d'un profil. Connexion. Cet encadré vous permet de : 1. sélectioner l'Interface appropriée à votre connexion à Internet. Pour un modem analogique ou une carte ISDN, choississez le port de communication adapté (COM1 - COM4). Pour les connexions de type DSL, l'interface doit être de type PPPoE. 24 Administration et Configuration 2. choisir le Débit des données de l'ordinateur au modem. Ce paramètre fixe la vitesse de transfert entre votre machine IPCop et le périphérique de connexion. Avec des systèmes ou des modems un peu anciens, il peut être nécessaire de spécifier un débit assez faible pour garantir une communication fiable entre l'ordinateur et le modem. 3. entrer le Numéro de téléphone fourni par votre fournisseur d'accès. Avec une connexion de type PPPoE, ce champ sera vraisemblablement laissé vide. 4. choisir ou non de laisser le Haut-parleur du modem actif. Vous pourrez entendre la négociation de la connexion entre votre machine et votre fournisseur d'accès si vous cochez cette case, ce qui peut vous aider à diagnostiquer un éventuel problème. Cette option n'est utile que si vous posséder une connexion à l'Internet par modem analogique. 5. choisir le Mode d'appel. Utilisez l'appel par tonalité sauf si votre ligne téléphonique ne reconnaît qu'une numérotation par impulsion. Cette dernière est sensiblement plus lente que la numérotation par tonalité. 6. indiquer le Nombre maximum d'essais avant l'abandon de la tentative. Ceci correspond au nombre de fois qu'IPCop essaiera de se connecter à l'Internet après une première tentative restée vaine. 7. spécifier la Durée maximale d'inactivité. Cette valeur permet à IPCop de décider que faire de votre connexion à l'Internet lorsque rien n'est ni envoyé ni reçu. Dans un tel cas, IPCop attendra cette durée avant de clore la connexion automatiquement. En fixant ce champ à 0, vous empêchez IPCop de fermer la connexion de lui-même. 8. demander une connexion Persistante pour faire en sorte qu'IPCop maintienne une connexion même en l'absence d'activité sur le lien. Dans ce mode, IPCop essayera de se reconnecter chaque fois que la connexion est coupée, quelle qu'en soit la raison. Soyez prudent avec cette option : si vous payez votre abonnement au temps de connexion, vous souhaiterez très probablement la laisser inactive. En revanche avec une connexion à temps illimité (souvent appelée "flatrate"), elle vous servira à maintenir active votre connexion. Notez que même en mode persistant, IPCop cessera toute tentative dès lors que leur nombre atteint la valeur du champ nombre maximum d'essais. Auquel cas il est nécessaire d'utiliser le bouton Connexion de la page d'accueil de l'interface d'administration. 9. demander une Connexion sur demande. Après avoir choisi ce mode de connexion vous devez utiliser une dernière fois le bouton Connexion de la page d'accueil de l'interface d'administration avant qu'IPCop s'en charge pour vous dès lors qu'il détectera une activité. Ce mode n'est pas disponible pour les connexions de type PPPoE. 10.faire en sorte qu'IPCop établisse une Connexion sur requête DNS c'est à dire lorsqu'il reçoit une reguête de résolution de nom. Il s'agit le plus souvent du comportement espéré par l'utilisateur. 11.permettre à IPCop de lancer automatiquement une connexion après un redémarrage si le mode Connexion à la demande n'a pas été activé. Et même dans le cas contraire, il peut être intéressant d'utiliser cette option. Elle permet en effet, avec l'ensemble des éléments de configuration, de placer le système IPCop dans le mode d'attente d'une connexion à la demande à chaque démarrage ou redémarrage de la machine. 12.faire en sorte que votre modem émette un retour chariot pour signaler à votre FAI une fin de transmission. Si tel est le cas, laissez cochée la case Un retour chariot (CR) est requis par le FAI. Sinon vous pouvez décocher cette case. Par défaut elle est cochée. Configuration avancée PPPoE - si le mode de connexion est PPPoE ou ADSL USB, vous trouverez, dans cet encadré, des éléments spécifiques de configuration. Parmi ceux-ci deux paramètres, le nom du service et le nom du concentrateur qui peuvent être nécessaires à votre FAI. Laissez vide ces champs si votre FAI n'en a pas besoin ou s'il ne vous les a pas communiqué. Avec une connexion USB ADSL, votre FAI doit vous transmettre deux valeurs, VPI et VCI, que vous devez entrer dans les champs correspondants. Authentification . Les champs Nom d'utilisateur et Mot de passe vous permettent de saisir les identifiants fournis par votre fournisseur d'accès lors de l'abonnement. Il existe plusieurs techniques 25 Administration et Configuration d'authentification auprès d'un FAI préalable à une connexion. Les plus communes sont les méthodes par PAP et CHAP. Sélectionnez celle que votre FAI utilise. Si il utilise un script de connexion, choississez plutôt script d'identification standard dans la liste. Pour les résidents du Royaume-Uni qui ont pour FAI Demon Internet, un script spécial a été écrit. L'option autre script d'identification est réservée aux personnes dont le FAI a des besoins particuliers. Si tel est votre cas, vous devrez vous identifier sur la machine IPCop et créer un fichier dans /etc/ppp. Son nom doit être reporté dans le champ nom du script. Ce fichier doit contenir des paires sur le format 'attend envoie' avec le caractère de tabulation en séparateur. Dans ce fichier, les chaînes USERNAME et PASSWORD sont remplacées respectivement par le nom d'utilisateur et le mot de passe. Vous pouvez prendre le fichier demonloginscript du répertoire /etc/ppp en exemple et le modifier pour vos besoins. DNS . Choisissez Automatique si votre FAI supporte la configuration automatique des serveurs DNS, ce qui est fréquemment le cas aujourd'hui. Sinon vous devrez sélectionner Manuel et indiquer les adresses des serveurs DNS primaire et DNS secondaire dans champs à droite. Ces adresses vous ont été communiquées par votre FAI. Figure 2.5. Paramétrages PPP 26 Administration et Configuration Page Chargement Vous devez utiliser cette page pour transférer des pilotes matériels ou firmwares sur votre IPCop. Ces firmwares sont nécessaires au support par IPCop de certains modems. Figure 2.6. Chargement des firmwares des modems Télécharger Speedtouch USB pilote matériel . Cet encadré vous permet de transférer sur votre IPCop le fichier mgmt.o nécessaire aux modems USB Speedtouch. Le modem ne fonctionnera pas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez le bouton Chargement KQD6_3.012 pour transférer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ADSL USB pour vous connecter à l'Internet. Télécharger ECI ADSL Synch.bin pilote matériel . Cet encadré vous permet de transférer sur votre IPCop le fichier synch.bin nécessaire aux modems ECI ADSL. Le modem ne fonctionnera pas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez sur le bouton Transférer synch.bin pour transférer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ECI ADSL pour vous connecter à l'Internet. Télécharger Fritz!DSL pilote matériel . Cet encadré vous permet de transférer sur votre IPCop le fichier fcdsl.o nécessaire aux modems Fritz!DSL. Le modem ne fonctionnera pas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez sur le bouton Transférer fcdsl.o pour transférer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem Fritz!DSL pour vous connecter à l'Internet. 27 Administration et Configuration Page Modem Configuration du Modem . Cet encadré ne vous est utile que si vous utilisez un modem analogique pour vous connecter à l'Internet. Les valeurs par défaut de ces champs conviennent pour la plupart des modems analogiques. Cependant, si vous rencontrez des problèmes de connexion, comparez ces valeurs à celles indiquées dans le manuel utilisateur de votre modem. Aucun de ces champs n'est obligatoire. Initialisation - Ce champ est pré-rempli avec la chaîne standard d'initialisation des modems compatibles Hayes. S'il s'avère que votre modem exige un paramétrage particulier, modifiez cette chaîne. Déconnexion - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes provoquant la déconnexion. Cependant, si votre modem utilise une autre chaîne, éditez ce champ. Haut parleur activé - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes provoquant l'activation du haut-parleur. Si votre modem utilise une autre chaîne, éditez ce champ. Haut parleur désactivé - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes désactivant le haut-parleur. Si votre modem utilise une autre chaîne, éditez ce champ. Appel par tonalité - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes de numérotation par tonalité. Si votre modem et votre ligne téléphonique le permettent mais que vous rencontrez des problèmes à la connexion, assurez-vous de la compatibilité de cette chaîne avec votre modem. Appel par impulsion - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes de numérotation par impulsion. Typiquement, vous n'avez pas à la modifier mais si votre ligne téléphonique ne supporte pas la numérotation par tonalité, assurez-vous de la compatibilité de cette chaîne avec votre modem. Le seul champ de cet encadré qui ne peut être laissé vide est le champ Durée maximale pour l'établissement de la connexion qui est exprimé en secondes. Sa valeur indique la durée pendant laquelle IPCop doit maintenir sa tentative de connexion. Une fois ce délai écoulé, IPCop abandonne cette tentative avant d'en relancer une nouvelle. La valeur par défaut convient dans la plupart des cas. Mais si vous remarquez que la connexion est perdue en plein milieu de la phase de négociation (activez le haut-parleur du modem pour entendre cette négociation), essayez d'augmenter légèrement cette durée jusqu'à ce que la connexion s'établisse sans problème. Figure 2.7. Paramétrage Modem 28 Administration et Configuration Page Configuration alias externes Note Cette page n'apparaît que si votre interface ROUGE est configurée en adresse IP fixe. Dans certains cas, votre FAI peut vous fournir une plage d'adresses IP pour votre réseau. Si vous avez plusieurs adresses IP , seulement, alors vous pouvez connecter plusieurs stations de travail à Internet, vous n'aurez plus besoin des adresses supplémentaires. IPCop devrait se connecter directement à votre modem ou à Internet. D'une autre manière, si vous fournissez un serveur sur l'un de vos ordinateurs internes vous avez besoin d'utiliser de multiples alias sur votre interface RED. Pour utiliser éfficacement ceci, vous devez modifier en conséquence la table de routage d'IPCop à la main. Figure 2.8. Paramétrages des alias externes Ajouter un nouvel alias. partie en cours de rédaction... Une fois les champs renseignés, cochez la case Activé avant d'appuyer sur le bouton Ajouter. Le nouvel alias est alors pris en compte et se retrouve ajouté à la liste des alias enregistrés qui est affichée dans l'encadré suivant. Alias actuels . Cet encadré fournit une liste des alias enregistrés. Pour supprimer l'un d'eux, cliquez sur l'icône représentant une « poubelle » associé à cet alias. Pour éditer, utilisez plutôt l'icône représentant un « crayon ». Pour activer un alias, cochez la case de l'entrée correspondante dans cette liste. L'alias est désactivé lorsque la case est vide. Pages de l'onglet Services En plus de fournir les services de base d'un pare-feu, IPCop propose un certain nombre d'autres fonctionnalités souvent utiles à un petit réseau. Elles sont facilement administrables depuis les pages accessibles par l'onglet État, pages décrites par la suite. IPCop permet ainsi d'ajouter à votre réseau : 29 Administration et Configuration • un serveur proxy (serveur mandataire Web) • un serveur DHCP • la gestion de DNS dynamique • la possibilité d'éditer les hôtes (serveur DNS local) • un serveur de temps • une fonction de lissage du trafic • un système de détection d'intrusion (IDS). Pour un réseau plus important, ces services seront probablement fournis par une infrastructure dédiée. Par conséquent il vous faudra désactiver les services équivalents proposés par IPCop. Page Serveur mandataire (proxy) Un proxy ou serveur mandataire Web est un programme qui effectue les requêtes de pages Web à la place des machines de votre Intranet. Il sauvegarde les pages récupérées, de sorte que si plusieurs machines demandent la même page, un seul accès à Internet est nécessaire. Si votre organisation utilise fréquemment les mêmes sites, il vous permet d'économiser les accès à Internet. Normalement, vous devez configurer les navigateurs Web des machines de votre réseau pour accéder à l'Internet via le proxy. En lieu et place du couple nom/adresse du proxy, vous devez mettre celui de votre IPCop. Vous devez aussi reporter dans la configuration de vos machines clientes le numéro de port indiqué dans le champ Port serveur mandataire de cet encadré. Ce faisant, il reste possible de passer outre le proxy. Mais vous pouvez aussi faire le fonctionner en mode « transparent » : aucune configuration au niveau des navigateurs n'est nécessaire et le pare-feu redirige automatiquement tout le trafic du port 80 - le port HTTP standard - vers le proxy. 30 Administration et Configuration Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseau BLEU (Wifi). Cochez simplement la case correspondante. Si vous décidez d'activer le serveur proxy, les accès Web peuvent être tracés en cochant la case Journaux activés. Les accès réalisés via le proxy sont alors consultables sur la page Journaux du serveur mandataire accessible depuis l'onglet Journaux. Si votre Fournisseur d'Accès Internet (FAI) impose l'utilisation de son serveur proxy, spécifiez son nom et son numéro de port dans les champs relatifs au serveur mandataire distant. Pour les cas où une identification est nécessaire, vous pouvez indiquez votre nom d'utilisateur et votre mot de passe respectivement dans les champs Nom d'utilisateur du serveur mandataire distant et Mot de passe du serveur mandataire distant. Squid ne reconnaît que les méthodes standards de requête HTTP. Les méthodes inconnues sont bloquées à moins d'être présentes dans la liste extension_methods. Vous pouvez indiquer ici pas moins de 20 méthodes additionnelles. Par exemple, subversion [http://subversion.tigris.org/] fait usage de méthodes non standards normalement bloquées par Squid. Pour permettre à subversion de traverser le serveur mandataire transparent d'IPCop, vous devez ajouter REPORT, MKACTIVITY, CHECKOUT et MERGE à cette liste extension_methods. Gestion du Cache. Dans cette section, vous sélectionnez la quantité d'espace disque allouée au cache des pages Web. Vous avez également la possibilité d'indiquer les tailles minimale et maximale des objets à mettre en cache. La première est en générale égale à 0. La seconde est par défaut fixée à 4096ko. Pour des raisons de confidentialité, le proxy ne met pas en cache les pages reçues via https ou celles nécessitant une authentification par nom d'utilisateur et mot de passe transmis dans l'URL. Limites de transfert. Le proxy Web peut aussi servir à contrôler les accès Web de vos utilisateurs. Le seul élément de contrôle disponible depuis l'interface d'administration est la taille maximum des données reçues ou envoyées sur le Web. Vous pouvez utiliser ces valeurs pour empêcher vos utilisateurs de télécharger de gros fichiers et ainsi trop consommer de bande passante. La valeur par défaut pour ces champs est 0 et signifie qu'il n'y a pas de restriction sur la taille des tranferts. Pour sauvegarder les changements de configuration, appuyez sur le bouton Enregistrer. Il est possible à tout moment de vider le contenu du cache en utilisant le bouton Vider le cache. Avertissement Le cache du proxy peut occuper beaucoup d'espace sur votre disque. La taille minimale de disque indiquée dans la documentation d'IPCop ne tient pas compte de l'espace alloué à ce cache. Plus le cache est gros, plus le proxy aura besoin de mémoire pour gérer ce cache. Ainsi si vous avez une machine disposant de peu de mémoire, ne définissez pas un cache proxy trop important. Page Serveur DHCP DHCP (Protocole de configuration dynamique des serveurs) vous permet de contrôler la configuration réseau de toutes vos machines depuis votre serveur IPCop. Dès qu'une machine se connecte à votre réseau, elle reçoit une adresse IP valide et ses configurations DNS et WINS sont établies automatiquement. Pour cela, il faut que chaque machine soit configurée pour interroger un serveur DHCP et obtenir ainsi sa configuration réseau. 31 Administration et Configuration Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseau BLEU (Wifi). Cochez simplement la case correspondante. Pour une explication détaillée sur le DHCP, vous pouvez lire l'article (en anglais) sur Linux Magazine : « Network Nirvana - How to make Network Configuration as easy as DHCP » [http://www.linuxmag.com/2000-04/networknirvana_01.html]. Paramètres du serveur DHCP Les paramètres DHCP suivants peuvent être configurés depuis la page Web : Activé Cochez cette case pour activer le serveur DHCP sur cette interface. Adresse IP/Masque réseau L'adresse IP et le masque réseau de l'interface à laquelle cette configuration doit s'appliquer sont rappelés ici pour référence. Adresse de départ (optionnelle) Vous pouvez spécifier la plage d'adresses IP que le serveur pourra attribuer aux machines qui en font la demande Le comportement par défaut est la gestion de l'ensemble des adresses du réseau par le serveur DHCP. Si vous avez des machines sur votre réseau qui n'utilisent pas le DHCP et qui ont des adresses mises à la main, vous devez faire en sorte que la plage d'adresses gérées par DHCP ne rentre pas en conflit avec ces adresses. Vous devez aussi vous assurer que les adresses associées à des baux fixes (voir plus loin) ne sont pas comprises dans cette plage. 32 Administration et Configuration Adresse de fin (optionnelle) Ce champ définit l'adresse de fin de la plage d'adresses discutée précédemment. Note Pour permettre au serveur DHCP d'attribuer des baux d'adresses fixes mais pas de dynamiques, laissez les deux champs Adresse de départ et Adresse de fin vides. Par contre si vous indiquez une adresse de départ vous devrez indiquer une adresse de fin et vice versa. Base IP utilisée pour création des bail fixes (optionnelle) La possibilité d'ajouter des baux fixes depuis la liste des baux dynamiques a été introduite avec la version 1.4.12. Vous pouvez indiquer une adresse IP à utiliser comme adresse de base pour les nouveaux baux fixes. Durée du bail par défaut Ce champ peut garder sa valeur par défaut sauf si vous avez besoin d'indiquer une autre valeur. Il correspond à la durée pendant laquelle une attribution d'adresse IP est valide. Avant que son bail n'arrive à terme, une machine en demande le renouvellement en indiquant son adresse actuelle. Si des éléments de configuration DHCP ont été modifiés depuis l'obtention du dernier bail, ils sont propagés à la machine cliente. En règle générale, les baux sont renouvellés par le serveur. Durée maximale du bail Vous pouvez laisser la valeur par défaut, sauf si votre configuration nécessite un réglage particulier. Cette valeur correspond à la durée pendant laquelle le serveur DHCP honore les requêtes de renouvellement des clients pour leur adresse IP courante. Passé ce délai, les adresses IP des clients sont changées par le serveur. Si la plage d'adresses IP dynamiques a changé, le serveur fournit une adresse IP dans cette nouvelle plage. Suffixe de nom de domaine (optionnel) Le suffixe ne doit pas commencer par un point. Indiquez dans ce champ le nom du domaine que le serveur DHCP doit transmettre aux clients. Si une recherche d'un nom de machine échoue, le client essayera de nouveau en rajoutant ce nom de domaine au nom d'origine. Certains serveurs DHCP de fournisseurs Internet (FAI) ajoutent automatiquement leur nom de domaine par défaut, de sorte qu'il est possible de taper « www » comme adresse de page d'accueil dans le navigateur Web. Bien que « www » ne soit pas un nom pleinement qualifié, votre ordinateur rajoutera le nom de domaine fourni par votre FAI (en fait par son serveur DHCP) en suffixe, créant ainsi un nom pleinement qualifié (FQDN). Si vous voulez que vos utilisateurs continuent à utiliser la notation simple « www », reportez dans ce champ le suffixe de domaine de votre FAI. Autoriser les clients bootp Cochez cette case pour permettre aux clients BOOTP d'obtenir un bail sur cette interface réseau. Par défaut le serveur DHCP d'IPCop ignore les paquets de requête du Bootstrap Protocol (BOOTP). DNS Primaire Le service DHCP va indiquer aux machines clientes quel est le serveur DNS principal. Comme IPCop inclut un proxy DNS, 33 Administration et Configuration vous voudrez probablement laisser ce champ à sa valeur par défaut : le serveur primaire DNS du réseau est votre serveur IPCop. Si vous possédez votre propre serveur DNS, vous pouvez indiquer son adresse ici. DNS Secondaire (optionnel) Vous pouvez aussi founir l'adresse d'un serveur DNS secondaire utilisé en cas d'indisponibilité du serveur primaire. Il peut s'agir d'un autre serveur local ou d'un serveur chez votre FAI. NTP primaire (optionnel) Si vous faîtes de votre IPCop un serveur NTP ou si vous voulez communiquer à chaque client l'adresse d'un autre serveur NTP, indiquez son adresse IP dans ce champ. Le serveur DHCP se charge alors de la transmettre à toutes les machines clientes. NTP secondaire (optionnel) Si vous avez l'adresse d'un second serveur NTP, indiquez-la ici. Le serveur DHCP se charge alors de la transmettre à toutes les machines clientes. WINS primaire (optionnel) Si vous possédez un réseau Windows avec un serveur de nom Windows (serveur WINS) primaire, vous pouvez indiquer son adresse IP dans ce champ. Elle est alors communiquée par le serveur DHCP à tous les clients lors de l'obtention de leur configuration réseau. WINS secondaire (optionnel) Si votre réseau dispose d'un serveur WINS secondaire, vous pouvez indique son adresse IP dans ce champ. Elle est alors communiquée par le serveur DHCP à tous les clients lors de l'obtention de leur configuration réseau. Les changements deviennent effectifs après l'appui sur le bouton Enregistrer. Liste des options DHCP Cet encadré vous permet de spécifier des paramètres additionnels à distribuer au réseau par le serveur DHCP. Cette fonctionnalité a été ajoutée avec la version 1.4.6. Figure 2.9. Options additionnelles DHCP Les champs de cet encadré permettant l'ajout de paramètres additionnels à la configuration de base du serveur DHCP sont : Nom de l'option Vous indiquez ici le nom de l'option DHCP ici, par exemple : smtp-server ou tcp-keepalive-interval. 34 Administration et Configuration Valeur La valeur à assigner à l'option dont vous venez d'indiquer le nom. Suivant l'option, il peut s'agir d'une chaîne de caractères, d'un entier, d'une adresse IP ou d'un drapeau d'activation/ désactivation. Les formats suivants sont disponibles : boolean, integer 8, integer 16, integer 32, signed integer 8, signed integer 16, signed integer 32, unsigned integer 8, unsigned integer 16, unsigned integer 32, ip-address, text, string, array of ip-address. Par ailleurs la version 1.4.12 a introduit les formats supplémentaires suivant : array of integer 8, array of integer 16, array of integer 32, array of signed integer 8, array of signed integer 16, array of signed integer 32, array of unsigned integer 8, array of unsigned integer 16, array of unsigned integer 32. Portée de l'option (optionnel) Par défaut une option possède une portée globale. Vous pouvez réduire sa portée effective en cochant une ou plusieurs des cases voisines, auquel cas l'option ne s'appliquera qu'aux interfaces dont la case est cochée. Activé En cochant cette case vous autorisez le serveur DHCP à prendre en compte l'option. Dans le cas contraire, l'option n'est que sauvegardées dans la configuration d'IPCop sans être répercutée dans celle du serveur DHCP. Ajouter Ce bouton permet d'ajouter l'option à la configuration du service. Syntaxe Cliquez sur ce bouton pour afficher une liste des options et des valeurs permises. Note Par exemple, pour ajouter l'option « ldap-server » (code 95) à la liste, commencez par ajouter une option DHCP de nom ldap-server et de valeur code 95=string (une espace entre « code » et « 95 », pas d'espace ni avant ni après le signe « = »). Vous avez ainsi créé une nouvelle option avec pour Nom de l'option ldap-server, pour Valeur code 95=string et pour Portée de l'option Définition d'option. Vous pouvez maintenant ajouter l'option « ldap-server », comme vous l'auriez fait avec n'importe laquelle des options DHCP d'origine, avec le nom : ldap-server et la valeur : "ldap://some.server/dc=foo,dc=bar". Baux fixes Si vous possédez des machines que vous souhaitez gérer de manière centraliser tout en leur attribuant une adresse IP fixe, vous pouvez indiquer à votre serveur DHCP de leur assigner une adresse IP constante. Chaque machine est alors identifiée auprès du serveur DHCP par l'adresse MAC de sa carte réseau. Ceci est différent d'une gestion manuelle de la configuration réseau de la machine puisque cette dernière continue à contacter le serveur DHCP pour obtenir son adresse et tous les paramètres que vous avez renseignés précédemment. 35 Administration et Configuration Figure 2.10. Ajout d'un nouveau bail fixe Vous pouvez indiquer les paramètres suivant pour des adresses IP fixes : Adresse MAC les six octets de l'adresse MAC identifiant la machine à configurer. Les octets sont séparés par le signe deux point ':'. Avertissement Le format de l'adresse MAC est xx:xx:xx:xx:xx:xx et non xx-xx-xx-xx-xx-xx comme certaines machines l'indiquent. Un exemple correct : 00:e5:b0:00:02:d2. Il est possible d'assigner plus d'un bail d'adresse IP fixe à une même machine pour autant que les adresses IP soient sur des sous-réseaux différents. Les adresses dupliquées sont mises en évidence par des lignes en caractères gras dans le tableau. Adresse IP l'adresse IP à donner par le serveur DHCP à la machine identifiée par l'adresse MAC ci-dessus. Ne pas utiliser une adresse IP de la plage d'adresses dynamiques. Il est possible d'indiquer une adresse IP n'appartenant pas au réseau local. Dans ce cas l'adresse IP concernée est affichée dans la table sur fond orange. Remarque (optionnel) une ligne de commentaire libre sur la machine bénéficiaire de l'adresse (ce champ a été introduit avec la version 1.4.4 d'IPCop). next-server (optionnel) l'adresse du serveur à contacter pour les éventuels clients dits légers utilisant un fichier de démarrage. filename (optionnel) le nom du fichier de démarrage pour cette machine. root-path (optionnel) le chemin complet vers le fichier précédent sur le serveur si il n'est pas dans le répertoire par défaut. 36 Administration et Configuration Activé cochée, elle indique que le serveur DHCP se charge de la gestion de ce bail. Dans le cas contraire, le bail est sauvegardé mais n'est pas géré par le serveur. Réservations DHCP fixes Les réservation d'IP fixes gérées par le serveur DHCP sont listées dans la partie inférieure de cet encadré. Ce même encadré permet en outre d'éditer, d'activer/désactiver ou bien encore de supprimer chaque réservation. Il est possible de trier cette liste des baux fixes en cliquant sur les en-têtes de colonne Adresse MAC ou Adresse IP. Un second clic sur un même en-tête inverse le critère de classement. Figure 2.11. Liste des baux fixes Pour éditer une réservation, cliquez sur son icône représentant un crayon. Ses paramètres se retrouvent affichés dans l'encadré Modifier un bail existant au dessus et l'entrée correspondante dans la liste est surlignée en jaune. Utilisez le bouton Mise à jour pour enregistrer les éventuelles modifications. En cliquant sur l'icône représentant une poubelle, vous supprimez la réservation correspondante. Baux dynamiques en cours Si le serveur DHCP est actif, cette section affiche les détails des baux dynamiques concédés par le serveur qui se trouvent listés dans le fichier /var/state/dhcp/dhcpd.leases. L'adresse IP, l'adresse MAC, le nom de machine (si disponible) et la date d'expiration pour chaque enregistrement sont présentés. Les entrées sont classées par adresse IP. Il est possible de trier cette liste des baux dynamiques en cliquant sur l'un des quatre en-têtes de colonne soulignés. Un second clic sur un même en-tête inverse le critère de classement. Au besoin, il est facile d'effectuer un copier/coller d'une adresse MAC de cet encadré vers celui permettant de définir un bail d'IP fixe. 37 Administration et Configuration Figure 2.12. Baux dynamiques en cours Depuis la version 1.4.12, il est possible d'ajouter des baux fixes directement depuis la liste des baux dynamiques. En relation avec le champ Base IP utilisée pour création des bail fixes, vous pouvez cocher une ou plusieurs des cases de la liste avant de cliquer sur le bouton Créer les réservations pour ajouter rapidement les machines concernées à la liste de celles bénéficiant d'un bail fixe. Les baux ayant expirés sont « rayés ». Messages d'erreur Une fois le bouton Ajouter cliqué, un message peut apparaître en haut de la page si une erreur a été détectée lors de l'analyse des paramètres de configuration. Page DNS Dynamique Le DNS dynamique (DYNDNS) vous permet de rendre votre serveur accessible par Internet même si vous ne disposez pas d'une adresse IP fixe. Pour ce faire, vous devez enregistrer un sous-domaine chez l'un des nombreux fournisseurs de service DYNDNS. Ensuite, dès lors qu'IPCop se connecte à l'Internet et se voit assigner une adresse IP par le FAI, il en informe le service de DYNDNS. Lorsqu'une machine cliente demande à accéder à votre serveur, la demande de résolution du nom est prise en charge par le serveur DYNDNS qui renvoie votre dernière adresse IP connue. Le client a désormais la possibilité de contacter directement votre serveur (sous réserve que votre configuration l'autorise). IPCop peut se charger de la mise à jour de vos informations en effectuant automatiquement les mises à jour nécessaires auprès de différents services de DYNDNS. 38 Administration et Configuration Figure 2.13. Paramètres du DNS dynamique Ajouter un hôte Les élements suivants sont demandés lors de l'ajout d'un hôte : Service Sélectionnez dans la liste déroulante le nom du fournisseur de service DNS dynamique. Vous devez déjà posséder un compte chez ce fournisseur. Derrière un serveur mandataire (proxy) Cette case doit être cochée si vous utilisez le service no-ip.com et si votre IPCop se trouve derrière un serveur mandataire. Pour tous les autres services, l'état de cette case est ignoré. Activer les jokers En activant les jokers, vous faites pointer tous vos sousdomaines vers la même adresse IP que votre nom d'hôte (par exemple, en cochant la case, www.ipcop.dyndns.org pointera vers la même adresse IP que ipcop.dyndns.org). L'état de cette case n'est pas pris en compte par le service no-ip.com dans la mesure où celui-ci ne permet cette activation que depuis son site web. Nom d'hôte Indiquez dans ce champ le nom d'hôte enregistré auprès du fournisseur de DYNDNS. Domaine Indiquez dans ce champ le nom de domaine enregistré auprès du fournisseur de DYNDNS. 39 Administration et Configuration Nom d'utilisateur Indiquez dans ce champ le nom d'utilisateur l'identification auprès du fournisseur de DYNDNS. pour Mot de passe Indiquez le mot de passe correspondant au nom d'utilisateur précédent. Activé IPCop n'enverra pas automatiquement les informations au serveur DYNDNS si cette case n'est pas cochée. Le contenu des champs précédents sera conservé pour vous permettre de réactiver la mise à jour automatique de DYNDNS sans avoir à remplir de nouveau ce formulaire. Hôtes actuels Cet encadré donne une liste des entrées de DNS dynamique déjà connues. Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détails de l'entrée concernée se retrouvent affichés dans le formulaire précédent. Effectuez alors vos modifications et cliquez sur le bouton Ajouter en fin de formulaire. Il est possible d'activer ou de désactiver, depuis la liste, sans avoir à les éditer, les options Derrière un serveur mandataire (proxy), Activer les jokers et Activer de chaque entrée. Forcer la mise à jour Vous pouvez demander à forcer le rafraîchissement des informations en pressant le bouton Forcer la mise à jour. Pour autant, il est recommandé de ne mettre à jour les informations que lors de changements d'adresse IP : les fournisseurs de service de DNS dynamique apprécient très moyennement les mises à jour inutiles. Dès lors qu'une entrée a été activée, à chaque changement d'adresse IP de votre IPCop, une demande de mise à jour est automatiquement lancée. Écran Hôtes statiques Le serveur mandataire DNS d'IPCop met en cache les informations DNS en provenance de l'Internet. En plus de cela, il vous laisse spécifier des hôtes dont vous souhaitez gérer vous-même les paramètres. Il peut s'agir de machines locales ou bien de machines distantes pour lesquelles vous voulez fixer la résolution des adresses. 40 Administration et Configuration Figure 2.14. Écran d'ajout d'un nom d'hôte Configuration Les éléments suivants peuvent être renseignés par l'interface web : Adresse IP de la machine Indiquez dans ce champ l'adresse IP. Nom d'hôte Utilisez ce champ pour spécifier le nom d'hôte de la machine. Nom de domaine (optionnel) Si la machine en question se trouve dans un autre domaine, remplissez ce champ avec le nom de domaine. Activé Cochez cette case pour activer l'entrée. L'entrée est sauvegardée lorsque vous pressez le bouton Ajouter. Hôtes actuels Cet encadré présente une liste des entrées DNS locales connues d'IPCop. Il est possible de trier cette liste en cliquant sur l'un des trois en-têtes de colonne soulignés. Un second clic sur un même en-tête inverse le critère de classement. Figure 2.15. Liste des hôtes configurés Pour activer ou désactiver une entrée, cliquez sur l'icône représentant une case à cocher dans la colonne Action de celle-ci. L'icône change en une case vide lorsque l'entrée est désactivée. Cliquez dessus pour la réactiver. Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détails de l'entrée en question se retrouvent affichés dans le formulaire précédent. Effectuez alors vos modifications et cliquez sur le bouton Mise à jour du formulaire. Pour supprimer une entrée, cliquez sur l'icône représentant une poubelle en bout de ligne. 41 Administration et Configuration Page Serveur de temps Vous pouvez faire en sorte que votre IPCop récupère automatiquement l'heure et la date depuis un serveur de temps précis accessible par l'Internet. Votre IPCop peut également servir de référence de temps pour les machines de votre réseau. Figure 2.16. Paramétrage du serveur de temps Pour configurer ce service, assurez-vous que la case Activé est cochée et indiquez le nom complet du serveur de temps à utiliser dans le champ NTP primaire. Vous avez aussi la possibilité de spécifier un serveur NTP alternatif en remplissant de la même façon le champ NTP secondaire. Pour des raisons d'efficacité, nous vous recommandons de synchroniser votre IPCop avec les serveurs de temps éventuellement mis à disposition par votre fournisseur d'accès. Si ce dernier n'en propose pas, voyez le projet www.pool.ntp.org [http://www.pool.ntp.org/] dont l'objet est justement « de permettre à des millions de clients, grâce à un cluster virtuel de serveurs, d'accéder à un service NTP simple et fiable sans charger les gros serveurs de temps populaires ». Pour un horodatage précis, pensez à indiquer votre pays dans l'adresse du serveur (par exemple 0.us.pool.ntp.org) au lieu d'utiliser la zone globale (0.pool.ntp.org) comme expliqué sur leur site. Pour faire d'IPCop une référence de temps pour les autres machines de vos réseaux, cochez la case Fournir l'heure au réseau local. Vous pouvez choisir de mettre à jour régulièrement l'heure de votre machine IPCop, chaque heure par exemple. Cette page vous permet aussi de le faire à la demande en cliquant simplement sur le bouton Mise à jour. Pour sauvegarder vos choix, utilisez le bouton Enregistrer. Note Le service de serveur de temps d'IPCop fait usage de la commande ntpdate pour une mise à jour périodique de l'heure plutôt que du serveur ntpd qui, lui, corrige l'heure de la machine en continu. De ce fait, il n'est pas obligatoire de laisser connecter votre IPCop en permanence à l'Internet, en risquant toutefois qu'il puisse se désynchroniser et dériver légèrement. 42 Administration et Configuration Compenser une dérive systématique de l'horloge de la machine IPCop S'il s'avère que l'heure de votre machine IPCop est avancée ou reculée d'une durée significative lors des resynchronisations avec un autre serveur NTP, vous pouvez spécifier un facteur de correction dans le fichier /etc/ntp/drift pour compenser cette dérive. La sortie de la commande ntpdate vous permet de déterminer cette valeur. Depuis la page Journaux système, dans la section NTP, recherchez une ligne du genre : 10:40:00 ntpdate step time server 192.168.1.1 offset 3.371245 sec En divisant l'écart de temps par le temps écoulé depuis la dernière mise à jour et en multipliant par un million, vous obtenez la valeur (en parties par millions) à placer dans le fichier /etc/ ntp/drift. En reprenant les données du message d'exemple ci-dessus, cela donne : (3.37 ÷ 86400 × 1000000) = 39.004 où 3,37 est l'écart quotidien et 86400 le nombre de secondes dans un jour. Changez la valeur dans le fichier de dérive avec la commande suivante (exécutée en tant que root) : $ echo 39.004 > /etc/ntp/drift Figure 2.17. Mise à jour manuelle de l'heure Si vous ne souhaitez pas utiliser un serveur de temps comme référence, vous pouvez entrer l'heure et la date courantes dans les champs de l'encadré représenté ci-dessus avant de cliquer sur le bouton Mise à jour immédiate. Avertissement Si vous avancez sensiblement l'heure de la machine, le serveur fcron en charge de l'exécution des tâches cron normales peut sembler arrêté alors qu'il attend de rattraper le temps. Si tel est le cas, essayez la commande fcrontab -z depuis un terminal pour réinitialiser le serveur fcron. Page Lissage du trafic (shaping) Le lissage de trafic vous permet d'assigner des priorités aux flux IP traversant votre pare-feu. IPCop fait appel pour cela à WonderShaper. Ce logiciel a été conçu pour minimiser la latence au ping et garantir que les services interactifs tels que SSH restent fluides même sous forte charge, par exemple pendant un gros téléchargement. 43 Administration et Configuration Figure 2.18. Configuration du lissage de trafic Nombreux sont les fournisseurs d'accès à caractériser leurs offres par vitesses de transfert plutôt que par latences. Pour maximiser ces vitesses de transfert, ils configurent leurs équipements pour grouper vos flux dans des queues. Lorsque des flux interactifs sont introduits dans ces grandes queues, leurs latences augmentent considérablement puisque les paquets ACK doivent patienter un certain temps avant de vous arriver. IPCop sait gérer ce phénomène et vous laisse assigner des priorités à vos flux. Pour cela, ils doivent être groupés en trois catégories de priorités différentes : Haute, Moyenne et Basse. Le trafic ping est toujours attaché au groupe de plus haute priorité — pour vous permettre de connaître la vitesse de votre connexion lors de gros téléchargement. Pour mettre en place le lissage de trafic par IPCop : 1. servez-vous de quelques sites rapides bien connus pour estimer vos vitesses de transfert montant et de transfert descendant. Remplissez les champs correspondant dans l'encradé Configuration ; 2. activez le lissage de trafic en cochant la case Activé ; 3. identifiez quels services sont utilisés derrière votre pare-feu ; 4. classez ces services en trois groupes de priorités croissantes. Par exemple : 5. a. le trafic interactif, tel que les sessions SSH (port 22) et les services de voix sur IP (VOIP) ont leur place dans le groupe à priorité élevée. b. la navigation classique sur le web (port 80) et les flux de communication (streaming audio et vidéo) se placent dans le groupe à priorité moyenne. c. les trafics de masse, genre échanges de fichiers par P2P, se placent dans le groupe ayant une priorité basse. créez la liste de services et de priorités depuis l'encadré Ajout du service de cette page. 44 Administration et Configuration Les services pris en exemple ci-dessus ne servent qu'à montrer le potentiel d'IPCop pour ce qui est du lissage du trafic. Vous serez très vraisemblablement amené à adapter le contenu des groupes puisque la nature des flux dépend de votre utilisation. Page Détection d'intrusion IPCop intègre un puissant système de détection d'intrusion nommé Snort. Il analyse le contenu des paquets reçus par le pare-feu et recherche les signes d'activités malveillantes. Figure 2.19. Configuration de la détection d'intrusion IPCop peut se charger de contrôler les paquets réseau sur les interfaces VERTE, BLEUE, ORANGE et RED. Pour ce faire, cochez les cases correspondantes avant de cliquer sur le bouton Enregistrer. Mise à jour des règles Snort Si vous souhaitez utilisez les règles « Sourcefire VRT Certified », suivez les instructions décrites sur le site de Snort [http://www.snort.org/] pour obtenir un « Oink Code ». Avant votre première tentative de récupération de règles, sélectionnez le bouton radio approprié, si nécessaire indiquez votre « Oink Code » et cliquez sur le bouton Enregistrer. Au fur et à mesure de l'apparition de nouvelles attaques, les règles dont Snort se sert pour identifier ces activités sont mises à jour. Pour en récupérer la dernière version, cliquez sur le bouton Télécharger de nouvelles règles. Pages de l'onglet Pare-feu Les pages regroupées sous l'onglet Pare-feu donnent accès aux fonctions principales de votre IPCop. Elle permettent en effet de contrôler les flux traversant votre pare-feu. 45 Administration et Configuration Il s'agit des pages : • de transferts de ports ; • d'accès externes pour la configuration d'accès de maintenance de votre IPCop depuis l'extérieur ; • des accès à la DMZ ; • des accès au réseau BLEU permettant de connecter un point d'accès sans-fil à IPCop. • des options du pare-feu. Quels sont les flux autorisés entre les différentes interfaces réseau d'IPCop ? La figure suivante résume le paramètrage par défaut d'IPCop pour ce qui est des flux réseau. Elle précise également les systèmes permettant d'ouvrir ou de contrôler ces flux. Figure 2.20. Flux IP Personnalisation par l'utilisateur Avec la version 1.4 est apparu un fichier destiné aux utilisateurs voulant modifier par eux-mêmes les règles du pare-feu. Il s'agit du fichier /etc/rc.d/rc.firewall.local. 46 Administration et Configuration Ce fichier est appelé par un autre fichier, /etc/rc.d/rc.firewall, lors du démarrage d'IPCop. Il est par ailleurs possible de le lancer manuellement avec la ligne de commande suivante : $ /etc/rc.d/rc.firewall.local {start|stop|reload} Note L'option reload a été ajoutée avec la version 1.4.2 puis modifiée avec la version 1.4.6. Ces changements n'ont cependant pas été inclus dans les mises à jour officielles correspondantes, ceci pour ne pas effacer les éventuelles modifications apportées par l'utilisateur. Depuis la version 1.3, plusieurs chaînes - au sens IPTables - sont à la disposition de l'utilisateur pour l'adaptation du pare-feu à des besoins particuliers : CUSTOMINPUT, CUSTOMOUTPUT et CUSTOMFORWARD. Enfin le fichier /etc/rc.d/rc.local, introduit également avec la version 1.3, permet à l'utilisateur de lancer ses propres commandes au démarrage de la machine. Il peut par exemple s'agir de la configuration d'un modem interne. Aucun de ces fichiers n'est modifié lors des mises à jour officielles. Ils font par ailleurs partie des fichiers inclus dans les sauvegardes de configuration. Page Transferts de ports Cette page vous permet de configurer des transferts de ports sur votre IPCop. Cette opération est totalement facultative, ne tenez pas compte de cette section que si vous avez besoin d'un tel dispositif. Aperçu du transfert de port Un pare-feu a pour fonction de stopper les connexions initiées depuis l'extérieur du réseau qu'il protège. Néanmoins, il arrive que cette fonction soit trop stricte. C'est le cas par exemple si vous possédez un serveur Web : toutes les requêtes à ce serveur émanant de l'extérieur se verraient refusées. Seules les requêtes provenant de vos propres machines (internes) seraient honorées. Ce qui signifie que seuls les utilisateurs du réseau interne pourraient consulter le serveur ce qui n'est évidemment pas le comportement espéré. En effet, vous voulez la plupart du temps que les personnes extérieures aient elles aussi la possibilité de consulter votre site. C'est là que le transfert de port intervient. Le transfert de port est le service qui autorise un accès limité au réseau local depuis l'extérieur. Lorsque vous mettez en place un serveur, vous pouvez choisir sur quels ports le mettre en « écoute ». La procédure dépend du logiciel. Reportez-vous à la documentation l'accompagnant pour connaître cette procédure. Dès lors que cette configuration des ports est faite, vous êtes prêt à paramètrer votre IPCop. Sur la page des transferts de ports, le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqué dans la documentation du serveur, il est fort probable qu'il s'agisse de TCP. Certains serveurs de jeux ou de discussion utilisent cependant l'UDP. Le champ Port source est utilisé pour spécifier le port auquel les personnes extérieures se connecteront. Le plus souvent, ce champ prend pour valeur le numéro du port standard du service (80 pour les serveurs Web, 20 pour les serveurs ftp, 25 pour des serveurs de courrier, etc.....). Il est possible d'indiquer une plage de ports à transférer plutôt qu'un seul. Pour ce faire, servez-vous du caractère « : » entre deux numéros de port, en commençant par le plus petit numéro. Le champ Adresse IP de destination représente l'adresse IP interne de votre serveur (votre serveur Web peut par exemple avoir l'adresse 192.168.0.3). Le champ Port destination doit être renseigné avec le numéro de port sur lequel le serveur est en écoute sur la machine interne. Il s'agit du numéro de port discuté précédemment lors de la configuration du serveur. 47 Administration et Configuration Enfin la liste déroulante Alias IP permet de sélectionner à quelle adresse IP ROUGE cette règle doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vous n'en avez qu'une, choisissez l'entrée DEFAULT IP. Transfert de port et accès externe L'interface de gestion des transferts de ports a été réécrite à l'occasion de la version 1.3.0. Elle est sensiblement différente de celle des versions antérieures. Notez toutefois que les numéros de ports utilisés pour un service particulier n'ont pas changé. La page des accès externes n'a AUCUNE incidence sur les réseaux VERT et ORANGE. Elle permet seulement d'ouvrir à l'extérieur des ports de votre machine IPCop mais pas vos réseaux VERT ou ORANGE. Comment ouvre-t-on un accès externe alors ? Cette ouverture est combinée au transfert de port. La page de configuration des transferts de ports propose un champ nommé Adresse IP source ou réseau (vide pour "Tout") à cet effet. Si ce champ est laissé vide, le transfert de port est ouvert à TOUTES les adresses de l'Internet. Autrement, vous pouvez l'utiliser pour spécifier une adresse unique ou une adresse de réseau et n'autoriser ainsi l'accès que depuis une machine ou un réseau particulier. Figure 2.21. Paramétrage des transferts de ports Vous pouvez avoir plus d'une seule adresse externe - après avoir créé votre le transfert de port, celle-ci apparaîtra dans la liste. Si vous souhaitez ajouter une adresse externe supplémentaire, cliquez sur l'icône représentant un « crayon rouge » et un signe « plus » de l'entrée correspondante. Les détails de cette entrée se retrouvent affichés dans le premier encadré pour vous permettre d'entrer une adresse IP externe ou un réseau. À la validation de ces informations vous verrez apparaître une nouvelle entrée dans l'encadré listant les transferts de port. Plusieurs autres choses sont à noter : 48 Administration et Configuration • le protocole GRE est supporté ; • le caractère « * » est un joker pour la définition des plages de ports. Par exemple : • « * » crée une plage couvrant tous les ports ; • « 85-* » crée une plage allant du port 85 au port 65535 ; • « *-500 » crée une plage allant du port 1 au port 500. Les caractères « : » et « - » sont les caractères valides de séparation de ports dans la définition d'une plage. Notez que le caractère « - » sera changé en « : » même s'il apparaît bien comme « - » à l'écran. Vous n'avez qu'à entrer le premier port source, le port destination sera rempli pour vous automatiquement. Un enregistrement peut être édité en cliquant sur l'icône représentant un « crayon jaune » en bout de ligne. Tant que vous ne cliquez pas sur le bouton Mise à jour, aucun changement n'est pris en compte. Lors de l'édition d'un enregistrement, la ligne correspondante est surlignée en jaune. Pour supprimer un enregistrement, cliquez sur l'icône qui lui est associée représentant une « poubelle ». Les plages de ports ne peuvent pas se chevaucher. Un port individuel ne peut pas être placé en plein milieu d'une plage, par exemple si vous avez déjà configuré la plage 2000-3000 et que vous essayez de transférer le port 2500, une erreur sera signalée. Vous ne pouvez pas transférer un même port vers plusieurs machines. Sur l'adresse principale (DEFAULT IP) certains ports sont réservés à IPCop pour son bon fonctionnement. Il s'agit des ports 67, 68, 81, 222, et 445. Lors de l'édition d'un transfert de port, une case à cocher nommée Supprimer l'accès externe pour TOUS apparaît. Il s'agit d'une manière simple et rapide d'ouvrir un port à TOUTES les adresses d'Internet pour tester ou pour toute autre raison. Cette fonctionnalité a été ajoutée à la demande d'un utilisateur. Si vous avez un transfert de port avec de multiples accès externes, quand vous supprimez ces accès externes, le port devient ouvert à TOUTES les adresses, prenez-y garde. Il existe un raccourci permettant d'activer/désactiver un transfert de port ou un accès externe : cochez/ décochez la case « Activé » de l'entrée concernée. Lorsqu'une règle est désactivée, la case est décochée. Cliquez alors dessus pour la réactiver. Remarque : lorsque vous désactivez un transfert de port, tous les accès externes associés sont désactivés. De même lorsque vous activez un transfert de port, tous les accès externes associés sont activés. Page Accès externes Cette page vous permet de paramétrer les accès externes pour votre machine IPCop. Cette opération est totalement facultative, ne tenez compte de cette section que si vous envisagez d'utiliser cette fonctionnalité. 49 Administration et Configuration Figure 2.22. Configuration des accès externes Depuis la version 1.3.0, l'accès externe ne sert à contrôler que les seuls accès à votre machine IPCop. Il n'a aucun effet sur les accès aux réseaux VERT, BLEU ou ORANGE. Ceci est désormais géré par le transfert de port décrit précédemment. Si vous souhaitez administrer votre IPCop à distance, vous devez autoriser l'accès externe au port 445, https en TCP. Vous pouvez également autoriser l'accès au port 222, ssh en TCP si l'accès SSH est activé. Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours d'édition doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqué dans la documentation du serveur, alors il s'agit très probablement de TCP. Le champ Adresse IP source ou réseau est utilisé pour spécifier l'adresse de la machine à qui l'accès au pare-feu est autorisé. Ce champ peut être laissé vide, l'accès est alors donné à n'importe quelle machine. Bien que dangereux cela peut s'avérer utile si vous envisagez d'administrer votre machine de n'importe où dans le monde. Pour autant, si vous arrivez à limiter le nombre d'adresses IP depuis lesquelles vous voulez pouvoir administrer votre IPCop, vous pouvez les indiquer dans ce champ. Le champ Port de destination doit être renseigné avec le numéro du port externe auquel ces adresses peuvent se connecter, par exemple 445. Le menu déroulant Adresse IP de destination permet de sélectionner à quelle adresse IP du réseau ROUGE cette règle doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vous n'en avez qu'une, choisissez l'entrée DEFAULT IP. Lorsque tous les champs précédents ont été renseignés, cochez la case Activé avant de cliquer sur le bouton Ajouter. La règle est alors enregistrée et activée. L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour supprimer l'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une, cliquez sur l'icône représentant un « crayon jaune ». Pour activer ou désactiver une règle, servez-vous de la case à cocher coorespondante. Lorsqu'elle est désactivée, la case est décochée. Vous devez cliquer dessus pour la réactiver. Page Accès à la DMZ Cette page vous permet de paramétrer les accès au réseau VERT depuis la DMZ. Cette opération est totalement facultative, ne tenez pas compte de cette section si vous n'envisagez pas d'utiliser un tel dispositif. 50 Administration et Configuration Cette page n'est visible que si vous avez installé et configuré une interface ORANGE ou BLEUE. Figure 2.23. Paramétrage des accès depuis la DMZ La DMZ ou zone démilitarisée (réseau ORANGE) est une zone particulière, semi-sécurisée, point d'échange entre la zone externe (réseau ROUGE) et la zone interne (réseau VERT). La première représente l'ensemble de l'Internet. Alors que la seconde regroupe vos machines internes. La DMZ permet ainsi de partager l'accès à des serveurs depuis ces deux zones sans pour autant permettre l'accès depuis l'Internet à vos machines locales sensibles. Supposez par exemple que votre entreprise possède un serveur Web. Évidemment, vous souhaitez que vos clients puisseent y accéder. Mais supposez qu'en même temps vous vouliez que ce serveur Web transmette les commandes des clients à vos employés dont les machines sont naturellement sur le réseau VERT. Dans une mise en oeuvre classique de pare-feu, cela ne peut fonctionner puisque les requêtes d'accès au réseau VERT sont initiées depuis l'extérieur de ce réseau. De toute évidence, vous ne souhaitez pas que vos clients aient un accès direct à vos machines internes du réseau VERT. Alors comment faire ? Et bien en paramétrant l'accès restreint depuis la DMZ. Cet accès restreint donne aux machines de la DMZ la possibilité de contacter des machines du réseau VERT sous conditions. Dans la mesure où les serveurs de la zone ORANGE se doivent d'avoir des conditions d'accès depuis la zone ROUGE souples, ils sont plus vulnérables aux attaques externes. En n'autorisant qu'un accès réduit au minimum de ORANGE vers VERT, vous évitez les accès non autorisés à vos machines sensibles si la sécurité d'un de vos serveurs était compromise. Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours d'édition doit s'appliquer. La plupart des serveurs utilise le protocole TCP. Quelques serveurs de jeu et serveurs de discussion utilisent l'UDP. Si le protocole n'est pas indiqué dans la documentation du serveur, alors il s'agit très probablement de TCP. Utilisez le même protocole que celui spécifié sur la page de transferts de ports. Le menu déroulant Réseau d'origine donne une liste des réseaux sources disponibles sur la machine. Le champ Adresse IP source doit être renseigné avec l'adresse IP de la machine à qui vous permettez l'accès aux machines internes. Le menu déroulant Réseau de destination donne une liste des réseaux destinations disponibles sur la machine. Le champ Adresse IP de destination doit quant à lui contenir la machine recevant la requête. Cette machine se trouve sur l'un des réseaux internes de confiance, c'est à dire VERT ou BLEU. 51 Administration et Configuration L'entrée Port de destination spécifie le port sur lequel la machine précédente est à l'écoute. Dès lors que toutes les informations ont été saisies, cochez la case Activé avant de cliquer sur le bouton Ajouter. La règle est alors enregistrée et activée. Elle apparaît dans le second encadré de cette page. L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour supprimer l'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une, cliquez sur l'icône représentant un « crayon jaune ». Pour activer ou désactiver une règle, servez-vous de la case à cocher correspondante. Lorsqu'elle est désactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver. Page Accès BLEU Cette page vous permet de paramètrer quel point d'accès WiFi du réseau BLEU est autorisé à se connecter à votre IPCop. Cette opération est totalement facultative, ne tenez compte de cette section que si vous envisagez d'utiliser un tel dispositif. Note Cette page n'est visible que si vous avez installé et configuré l'interface du réseau BLEU. Pour mettre en place un réseau BLEU : 1. utilisez une carte Ethernet reconnue pour l'interface BLEUE ; 2. connectez le point d'accès à la carte Ethernet (si plusieurs connecteurs sont présents sur le point d'accès, utilisez le connecteur RJ45 portant la mention LAN) ; 3. DHCP peut servir à l'adressage dynamique ou statique du réseau BLEU. L'adressage statique reste cependant recommandé pour des raisons de sécurité des adresses MAC. Reportez-vous à la description de la page de configuration du serveur DHCP pour plus d'informations sur la concession de baux statiques par le serveur. Si vous ne devez permettre que l'accès à Internet (réseau ROUGE) par http aux machines de votre réseau BLEU, indiquez, sur la page reproduite ci-dessous, soit l'adresse IP ou MAC du routeur sans fil, soit les adresses de vos périphériques sans fil si vous vous servez d'un point d'accès. Vous devez indiquer au minimum une adresse MAC ou une adresse IP, éventuellement les deux, pour chaque périphérique. Un point d'accès se comporte comme un répartiteur Ethernet et IPCop prend en charge le service DHCP pour les périphériques utilisant ce point d'accès. À l'inverse un routeur sans fil se charge seul de la translation d'adresses (NAT) et de la configuration réseau des clients (DHCP). Il propose en outre ses propres éléments de contrôle. Note Votre point d'accès doit supporter la transparence DHCP (DHCP passthrough) si vous espérez faire d'IPCop le serveur DHCP des machines de votre réseau sans fil. Toutes les références n'offrent pas cette fonctionnalité en « mode » point d'accès (par exemple Netgear WG614). Depuis une machine connectée au réseau BLEU, vous pourrez accéder à l'interface Web d'administration d'IPCop mais pas aux machines du réseau VERT sans quelques manipulations supplémentaires. Pour autoriser l'accès au réseau VERT depuis le réseau BLEU, vous devez : 1. soit utiliser la page Configuration des accès à la DMZ et mettre en place des règles d'accès particulières ; 52 Administration et Configuration 2. soit configurer un VPN pour l'accès de vos postes nomades sur l'interface BLEU. Figure 2.24. Paramétrage de l'accès BLEU Dans l'encadré Ajoute un Client Réseau, vous indiquez l'adresse IP ou l'adresse MAC d'un point d'accès sans-fil ou de n'importe quel périphérique du réseau BLEU que vous voulez relier à Internet par l'intermédiaire de votre IPCop. Vous devez renseigner au minimum une adresse MAC ou une adresse IP par périphérique. Si le service DHCP est activé sur le réseau BLEU et si vous désirez autoriser tout périphérique à se connecter et profiter du le réseau RED, vous devez ajouter une entrée à cette liste pour chaque adresse IP de la plage d'adresses gérées par DHCP. Laissez le champ d'adresse MAC de chaque entrée vide. Inversement, si vous souhaitez limiter l'accès aux seuls périphériques connus, ajoutez les adresses MAC de ces périphériques et laissez le champ d'adresse IP vide. Ce faisant vous autorisez les connexions des seuls périphériques dont l'adresse MAC est listée ici, indépendamment des baux DHCP qu'ils reçoivent. Ceci fait, cochez la case Activé et cliquez sur le bouton Ajouter. Les données saisies se retrouvent alors affichées dans l'encadré suivant et l'entrée est marquée active. L'encadré Clients Réseaux sur BLEU propose en effet une liste des périphériques reconnus sur le réseau BLEU. Pour supprimer l'un d'eux, cliquez sur l'icône représentant une « poubelle ». Pour le reparamétrer, cliquez sur l'icône représentant un « crayon jaune ». Pour activer ou désactiver une entrée, servez-vous de la case à cocher correspondante. Lorsque l'entrée est désactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver. Si le service DHCP est activé pour le réseau BLEU, cette page propose un encadré supplémentaire : Bails DHCP sur BLEU. 53 Administration et Configuration Il vous fournit un moyen rapide d'ajouter des périphériques sans fils à la liste des périphériques autorisés. Pour cela, cliquez sur l'icône représentant un « crayon bleu » du périphérique en question. Vous pouvez alors éditer l'entrée si nécessaire en cliquant sur l'icône représentant un « crayon jaune » comme précédemment. Page Options du firewall Cette page vous permet de configurer plus finement certains comportements du pare-feu. Vous pouvez sans aucun risque ignorer cette section si vous ne souhaitez pas utiliser cette fonctionnalité. Figure 2.25. Options du pare-feu Désactive le ping • Non - votre IPCop répond aux requêtes ping arrivant sur n'importe laquelle de ses interfaces. Il s'agit du comportement par défaut. • Seulement ROUGE - votre IPCop ne répond pas aux requêtes ping arrivant sur l'interface ROUGE. • Toutes les interfaces - votre IPCop ne répond à aucune requête ping qu'il reçoit. Pour sauvegarder ces modifications, pressez le bouton Enregistrer. Pages de l'onglet RPVs Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV) IPCop peut facilement établir des VPNs avec d'autres serveurs IPCop. Mais il lui est aussi possible d'interagir avec n'importe quel autre produit VPN supportant IPSec et un chiffrement standard tel que 3DES. Section en cours de rédaction... Encadré Paramètres généraux Figure 2.26. Paramètres généraux du VPN 54 Administration et Configuration Section en cours de rédaction... Encadré Contrôle et statut de la connexion Figure 2.27. Encadré de contrôle et de statut : vue initiale Section en cours de rédaction... Type de Connexion Figure 2.28. Sélection du type de connexion VPN Section en cours de rédaction... Connexion Serveur-vers-Réseau Figure 2.29. Saisie d'une connexion VPN Serveur-à-Réseau Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion. Section en cours de rédaction... 55 Administration et Configuration Connexion de Réseau-à-Réseau Figure 2.30. Paramètres d'une connexion VPN Réseau-à-Réseau Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion. Côté IPCop. Section en cours de rédaction... Section en cours de rédaction... Authentification Figure 2.31. Paramètres pour l'authentification Section en cours de rédaction... 56 Administration et Configuration Encadré Autorités de certification Figure 2.32. Autorités de certification : vue initiale Section en cours de rédaction... Pages de l'onglet Journaux Introduction Ce menu permet d'accéder à cinq ou six pages suivant votre configuration. Ces pages - Configuration des journaux, Résumé des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux IDS si ce dernier est actif et Journaux Système - partagent un ensemble de fonctionnalités pour la sélection, l'affichage et l'exportation des événements enregistrés par la machine IPCop. Les listes déroulantes Mois et Jour de l'encadré Configuration vous permettent d'accéder aux traces des jours et mois précédents. À chaque nouvelle combinaison de ces champs, il est nécessaire de cliquer sur le bouton Mise à jour pour rafraîchir l'affichage. Lors du premier affichage d'une page, les informations présentées correspondent au relevé de la journée en cours. Le bouton << vous permet de revenir en arrière d'une journée alors que le bouton >> vous permet d'avancer au relevé du jour suivant. Les traces sont affichées sous la forme d'une liste dans l'encadré nommé Journaux. Si cette liste est trop longue pour être affichée correctement dans une fenêtre de navigateur, seuls les enregistrements les plus récents sont présentés. Dans ce cas, les liens Plus ancien et Plus récent en haut et en bas de page sont actifs et permettent de naviguer dans la liste complète. Le bouton Exporter permet de récupérer sur votre machine cliente un fichier au format texte (log.dat) contenant les données de la page affichée. Suivant la configuration de votre ordinateur, l'appui sur ce bouton entraîne l'ouverture d'une fenêtre de téléchargement, l'affichage du contenu du fichier directement dans le navigateur ou bien encore l'ouverture d'un éditeur de texte. Dans ce dernier cas, vous avez toute liberté pour sauvegarder le fichier log.dat en format texte. Page Configuration des journaux Section en cours de rédaction... 57 Administration et Configuration Figure 2.33. Configuration des journaux Page Résumé des journaux Section en cours de rédaction... Figure 2.34. Affichage du résumé des traces 58 Administration et Configuration Page Journaux du serveur mandataire Cette page vous permet de consulter les fichiers stockés dans le cache du serveur web mandataire d'IPCop. Par défaut, ce serveur est inactif et doit donc être explicitement activé depuis la page d'administration spécifique (Services > Serveur mandataire (proxy)). Note Cette page n'apparaît que si la case Journaux activés a été cochée sur la page de configuration du serveur mandataire. À cause du volume potentiellement important d'information à traiter, cette page peut demander quelques instants à s'afficher la première fois et à chaque mise à jour. Plusieurs éléments de contrôle vous sont proposés en plus des listes déroulantes Mois:, Jour:, et Mise à jour précédemment décrits : • la liste déroulante Source IP: vous permet de choisir l'activité du mandataire Web relative à une adresse IP particulière ou à toutes les machines de votre réseau grâce au choix TOUT. • l'entrée Filtre: peut être utilisée pour ne pas afficher les traces relatives aux fichiers dont l'extension est reconnue par cette expression rationnelle. Sa valeur par défaut permet d'ignorer les traces relatives aux images (fichiers d'extensions .gif, .jpeg, .png & .png), aux feuilles de style (.css) et aux fichiers JavaScript (.js). • la case à cocher Activation du filtre: commande l'utilisation ou non du filtre précédent. • le bouton Restaurer les paramètres par défaut réinitialise l'état des contrôles (tel que le filtre). Pour cette page, les données affichées dans la section Journaux sont les suivantes : • l'Heure à laquelle le fichier a été demandé et mis en cache ; • l'Adresse IP de la machine locale du demandeur ; • le Site web - ou plus précisément l'URL - de chaque fichier demandé et mis en cache. Note Les URL de la colonne Sites web sont affichées sous forme d'hyperliens pointant vers les pages web ou les fichiers concernés. 59 Administration et Configuration Figure 2.35. Affichage des traces du serveur mandataire Page Journaux du pare-feu Cette page donne un compte rendu des paquets de données bloqués par la fonction pare-feu d'IPCop. Note Tous les paquets bloqués ne sont pas forcément des tentatives hostiles d'accès à votre réseau par des pirates. Il est ainsi fréquent de bloquer certains paquets pour des raisons tout à fait anodines. C'est le cas par exemple des tentatives de connexion au port "ident/auth" (113), qui sont bloquées par défaut sur IPCop. Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois et Jour, boutons << (Jour précédent), >> (Jour suivant), Mise à jour et Exporter. L'encadré Journaux: de cette page contient une ligne pour chaque paquet écarté par le pare-feu. Lui sont associés l'heure de récéption du paquet, les adresses IP source et destination ainsi que le protocole et le port concernés. Chaque entrée permet en plus d'identifier la chaîne - au sens IPTable - ayant conduit au rejet et l'interface réseau d'IPCop impliquée. Vous pouvez obtenir des informations sur les adresses IP en cliquant dessus. IPCop effectue alors une recherche DNS inversée et affiche les informations disponibles concernant l'enregistrement et le propriétaire de l'adresse en question. 60 Administration et Configuration Figure 2.36. Affichage des traces du pare-feu Page Journaux IDS Cette page affiche les incidents détectés par l'IDS (ou Système de Détection d'Intrusion) d'IPCop. Par défaut, l'IDS est inactif et doit donc être explicitement activé depuis la page d'administration spécifique (Services > Détection Intrusion). Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois et Jour, boutons << (Jour Précédent), >> (Jour Suivant), Mise à jour et Exporter. Ils vous permettent d'examiner les traces de l'IDS pour un jour particulier. Pour chaque incident, vous retrouvez les informations suivantes : • Date: - la date et l'heure de l'incident. • Nom: - une description rapide de l'incident. • Priorité: (si disponible) - la criticité de l'incident : 1 ("sérieux"), 2 ("pas si sérieux"), et 3 ("éventuellement sérieux"). • Type: (si disponible) - une description générale de l'incident. • Informations sur l'adresse IP: - l'identité IP (adresse & port) de la source et de la cible impliquées dans l'incident. Chaque adresse IP est un hyperlien que vous pouvez utiliser pour lancer une recherche DNS inversée donnant accès aux détails de propriété de l'adresse. • Références: - d'éventuelles adresses web pour des informations complémentaires sur l'incident. • SID: (si disponible) - l'identifiant Snort. "Snort" est le module logiciel utilisé par IPCop pour la fonctionnalité d'IDS, et le SID est un code interne à Snort pour identifier un type spécifique d'attaque. Ce champ est un hyperlien vers la page Web adéquate dans la base de données des signatures d'intrusions connues de Snort. 61 Administration et Configuration Figure 2.37. Affichage des traces de l'IDS Page Journaux système Cette page affiche les traces propres au système ainsi que d'autres traces diverses. Consultez le début de cette section pour l'utilisation des contrôles habituels : Mois, Jour, << (Jour précédent), >> (Jour suivant) et Mise à jour. La liste déroulante Section permet l'accès à onze catégories de traces : • IPCop (défaut) - les événements IPCop comme les sauvegardes de profils PPP et les traces de connexion ("PPP has gone up on ppp0 ") et de déconnexion ("PPP has gone down on ppp0 ") d'un modem. • RED - le trafic envoyé par l'interface qui fournit l'interface PPP pour IPCop. Ceci inclut les données envoyées et reçues de modems et autres interfaces réseaux. Dans le cas de problèmes de connexion, ces traces sont souvent d'un grand secours. • DNS - les traces de l'activité de dnsmasq, l'utilitaire pour la résolution de nom DNS. • Serveur DHCP - les informations sur l'activité du serveur DHCP fourni par IPCop. • SSH - la liste des utilisateurs qui se sont connectés et déconnectés du serveur IPCop par le réseau en SSH. • NTP - l'activité de la fonction serveur de temps d'IPCop. • Cron - les traces de l'ordonnanceur cron. • Login/Logout- la liste des connexions d'utilisateurs (et déconnexions) sur le serveur IPCop. Ceci inclut à la fois les connexions locales et celles à distance par le biais de l'interface SSH. • Noyau - l'activité du noyau Linux du serveur IPCop. • IPSec - l'activité d'IPSec - le module logiciel qu'IPCop utilise pour le VPN. • Mise à jour - les résultats d'applications des mises à jour d'IPCop faites depuis la page Système > Mises à jour. 62 Administration et Configuration • Snort - l'activité de SNORT, le système de détection d'intrusion. Figure 2.38. Affichage des traces système 63 Annexe A. GNU Free Documentation License Version 1.2, November 2002 Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. 0. Preamble The purpose of this License is to make a manual, textbook, or other functional and useful document « free » in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others. This License is a kind of « copyleft », which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software. We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference. 1. Applicability and Definitions This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The « Document », below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as « you ». You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law. A « Modified Version » of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language. A « Secondary Section » is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them. The « Invariant Sections » are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none. The « Cover Texts » are certain short passages of text that are listed, as Front-Cover Texts or BackCover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words. 64 GNU Free Documentation License A « Transparent » copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not « Transparent » is called « Opaque ». Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standardconforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include PostScript, PDF, proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only. The « Title Page » means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, « Title Page » means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text. A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License. 2. Verbatim Copying You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3. You may also lend copies, under the same conditions stated above, and you may publicly display copies. 3. Copying In Quantity If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects. If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages. 65 GNU Free Documentation License If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document. 4. Modifications You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version: A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission. B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement. C. State on the Title page the name of the publisher of the Modified Version, as the publisher. D. Preserve all the copyright notices of the Document. E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below. G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice. H. Include an unaltered copy of this License. I. Preserve the section entitled « History », Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled « History » in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence. J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the « History » section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission. K. In any section Entitled « Acknowledgements » or « Dedications », Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. 66 GNU Free Documentation License L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles. M.Delete any section Entitled « Endorsements ». Such a section may not be included in the Modified Version. N. Do not retitle any existing section to be Entitled « Endorsements » or to conflict in title with any Invariant Section. O. Preserve any Warranty Disclaimers. If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles. You may add a section Entitled « Endorsements », provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made `by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version. 5. Combining Documents You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers. The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. In the combination, you must combine any sections Entitled « History » in the various original documents, forming one section Entitled « History »; likewise combine any sections Entitled « Acknowledgements », and any sections Entitled « Dedications ». You must delete all sections Entitled « Endorsements. » 6. Collections of Documents You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects. You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim copying of that document. 67 GNU Free Documentation License 7. Aggregation With Independent Works A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an « aggregate » if the copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included an aggregate, this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document. If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate. 8. Translation Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any Warrany Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail. If a section in the Document is Entitled « Acknowledgements », « Dedications », or « History », the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title. 9. Termination You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 10. Future Revisions of This License The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. See the GNU Free Documentation License [http://www.gnu.org/licenses/licenses.html#FDL] web site. Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License « or any later version » applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation. 68
Documents pareils
TP Installation et configuration du firewall logiciel IPCOP
Vous pouvez également depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à saisir l’ip de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur bloq...
Plus en détailAuteur : MICJ 23/02/2004 Mise en page PDF: Anapivirtua 06/07/2005
nécessaires dans un Firewall et peuvent contenir des trous de sécurité bien connus de certains utilisateurs malveillants. Quoique ces instructions puissent sembler longues et parfois relativement d...
Plus en détailAdministration URLfilter
Contrôle d’accès basé sur le réseau.................................................................................... 7 Contrôle d'accès basé sur le temps ...........................................
Plus en détail