PARE-FEU : « IPCOP »

Date :
Lycée professionnel
Pierre
MENDÈS-FRANCE
Veynes
NOM – Prénom :
Sujet de Travaux Pratiques
INSTALLATION ET ADMINISTRATION D'UN
PARE-FEU : « IPCOP »
TP n°
/5
Term. SEN
Champs : TR
1ère série
CONSIGNES
Méthodologie : l'objectif n'est pas de traiter « à la va-vite » l'ensemble des questions mais plutôt d'avancer pasà-pas en approfondissant les notions abordées.
Le jeu de questions n'est pas limitatif : vous pourrez, spontanément ou avec l'aide du professeur, aborder les
points qui, n'étant pas prévus initialement, se seraient révélés dignes d'intérêt au cours du TP.
1 ) INTRODUCTION (HTTP://NILZ.FR/CONFIGURATION-D’UN-FIREWALL-IPCOP)
IPCOP est une distribution linux (Open Source), basée sur Linux From Scratch, destinée à assurer la sécurité
d’un réseau.
C’est un système d’exploitation à part entière qui peut être installé sur un vieux PC (233 Mhz, 64 Mo RAM,
200 Mo Disque dur) pour faire office de FireWall (pare feu) très performant et personnalisable grâce à un
système de « plugins » très simples à mettre en œuvre.
IPCOP peut gérer jusqu’à 4 réseaux différents (classés par couleurs)
• Interface Rouge :Ce réseau correspond au réseau Internet (le réseau le plus dangereux.), l’essence même
d’IPCOP est de protéger les autres réseaux des attaques venues du réseau Rouge.
• Interface Verte :Correspond au réseau local protégé par IPCOP.
Ce réseau a le droit d’accès aux 3 autres réseaux (sauf paramétrage spéciaux : URL Filter qui limite
l’accès au Web, BlockoutTrafic pour gérer finement le trafic réseau.)
• Interface Orange (optionnelle) :Ce réseau est une sorte de DMZ (Demilitarized Zone = Zone
Démilitarisée) qui permet de relier des serveurs mail ou serveurs Web au réseau Internet.
Les ordinateurs de ce réseau ne peuvent pas accéder aux ordinateurs des interfaces Bleu et Verte sauf
mise en place de règles explicites.
• Interface Bleu (optionnelle) :C’est une interface spécifique aux réseaux sans fil. Elle permet aux
ordinateurs connectés d’accéder au réseau rouge et orange sans accéder au réseau Vert.
septembre 2012
TP_IPCOP.odt
Page 1/6
TRAVAIL À EFFECTUER :
Le but de ce TP est de mettre en place un paramétrage d’IPCOP avec deux interfaces ( rouge et vert) permettant
de protéger un réseau simple (sans Wifi ni DMZ) des dangers d’Internet.
• Le réseau rouge sera constitué de l’accès Internet via la freebox.
• Le réseau vert sera constitué d’un seul PC Win7 qui servira de test.
• L’IPCOP sera installé sur virtuellement sur un PC windows.
Réseau rouge
Réseau
vert
2 ) MATÉRIELS ET LOGICIELS NÉCESSAIRES (ÉVENTUELLEMENT À RECHERCHER ET À CHARGER)
 1 PC « IPCOP » sous Windows 7 ayant 2 cartes réseaux (3 pour la fin)
 1 PC « VERT » sous Windows 7 pour configurer IPCOP à distance et faire les tests
 1 PC « ROUGE » sous Windows 7 pour les tests
 Le logiciel VirtualBox
 L’image d'installation d’IPCOP
 Les logiciels Putty et Winscp pour accéder à IPCOP à distance.
 Les Addons
3 ) INSTALLATION D’IPCOP
3.1 ) Installez VirtualBox sur le PC « IPCOP ».
3.1.1 ) Créez un nouveau disque dur pour accueillir IPCOP.
 Nom : IPCOP – OS : Linux – Version : Other Linux
 RAM : 256Mo
 Créer un nouveau Disque Dur
 Disque Dur de taille variable
 Choisir un emplacement pour mémoriser l’image (sur D:)/ Disque Dur de 2Go
3.1.2 ) Préparez l’installation :
septembre 2012
TP_IPCOP.odt
Page 2/6
 Placez l’image dans le lecteur de CD virtuel.
 Configurez la carte réseau Virtuelle 1 en accès par pont, sur la 1ère carte réseau réelle.
 Configurez la carte réseau Virtuelle 2 en accès par pont, sur la 2ème carte réseau réelle.
3.2 ) Procédez à l'installation d'IPCOP (tutoriel « Installation d’IPCOP »).
Une fois IPCOP installé, on l'administre à partir d'un navigateur (pointant sur l'adresse
https://adresseIP_Verte_IpCop:445/) installé sur le réseau vert.
Une des difficultés de l'installation d'IPCOP, est de savoir quelle carte est considérée comme étant la « carte
rouge » et quelle carte est considérée comme étant la « carte verte ».
3.3 ) Rechercher une méthode permettant de déterminer la « coloration » de vos deux cartes réseau.
------------------------------------- validation par le professeur ------------------------------------3.4 ) Configurer votre PC « vert » pour pouvoir accéder à l'interface web d'IPCOP.
3.5 ) Vérifier que vous pouvez accéder à l'interface d'IPCOP.
3.6 ) Procédez à la mise à jour vers la version 1.4.21. Décrivez la procédure.
3.7 ) Décrivez précisément les rôles respectifs des utilitaires PUTTY et WINSCP ainsi que les protocoles
qu'ils mettent eu œuvre.
3.8 ) Comment procède-t-on pour reconfigurer IPCOP sans avoir à le réinstaller ?
------------------------------------- validation par le professeur -------------------------------------
4 ) FONCTIONNALITÉ DE BASE D'IPCOP : PARE-FEU
4.1 ) Décrivez succinctement ce qu'est un pare-feu.
4.2 ) Quels sont les réglages par défaut des flux autorisés ou interdits entre zones rouge et vertes ?
4.3 ) Proposez une méthode pour tester la fonctionnalité « pare-feu » (avec un serveur ftp, par exemple).
4.4 ) Indiquez précisément les résultats de votre test du pare-feu.
------------------------------------- validation par le professeur -------------------------------------
5 ) SERVICES PROPOSÉS PAR IPCOP
5.1 ) SERVEUR DHCP
5.1.1 ) Décrivez succinctement la nature de ce service.
5.1.2 ) Quels sont les réglages par défaut de ce serveur ?
5.1.3 ) Proposez une méthode pour tester ce service.
septembre 2012
TP_IPCOP.odt
Page 3/6
5.1.4 ) Indiquez précisément les résultats de votre test.
5.1.5 ) Le serveur peut attribuer des baux fixes. De quoi s'agit-il ?
5.1.6 ) Proposez une méthode pour tester cette fonctionnalité.
5.1.7 ) Indiquez précisément les résultats de votre test.
------------------------------------- validation par le professeur ------------------------------------5.2 ) SERVEUR MANDATAIRE
5.2.1 ) Quel est l'autre nom que l'on donne plus couramment à ce type de serveur ?
5.2.2 ) Listez les fonctionnalités offertes par ce service.
5.2.3 ) Le serveur proxy fonctionne par défaut en mode transparent. Dites de quoi il s'agit et proposez
une méthode pour tester ce service. Faites le test.
5.2.4 ) Indiquez précisément les résultats de votre test.
------------------------------------- validation par le professeur ------------------------------------5.3 ) CLIENT DYNDNS
5.3.1 ) Décrivez succinctement la nature de cette fonctionnalité.
5.3.2 ) Proposez une méthode pour tester ce service, puis faites le test (vous devrez disposer d'un compte
DNS dynamique...).
5.3.3 ) Indiquez précisément les résultats de votre test.
------------------------------------- validation par le professeur ------------------------------------5.4 ) SERVICES DE TEMPS
5.4.1 ) Décrivez succinctement les fonctionnalités offertes par IPCOP en matière de « temps ».
5.4.2 ) Utilisez Wireshark pour tester l'accès par IPCOP à un serveur de temps de l'internet.
5.4.3 ) Utilisez Wireshark pour tester l'accès par une machine du réseau vert au serveur de temps
d'IPCOP.
------------------------------------- validation par le professeur -------------------------------------
septembre 2012
TP_IPCOP.odt
Page 4/6
6 ) EXPLOITATION DE QUELQUES « ADDONS »
Un certain nombre d'extensions permettent d'accroître le nombre et les performances d'IPCOP
6.1 ) ADVANCED PROXY
6.1.1 ) Installer « Advanced Proxy » puis décrivez précisément la procédure standard d'installation d'un
« Addon ». Voir « Installation des Addons.pdf » .
RQ : pour pouvoir accéder à distance la « machine IPCOP » nous devrons utiliser un accès crypté SSH. Vous
devrez donc dans un premier temps activer cet accès sur IPCOP (autoriser aussi les transfert FTP).
6.1.2 ) Activez et testez une des procédures d'authentification proposées par ce module.
6.1.3 ) Testez ce proxy en bloquant et en autorisant certaines adresses IP.
6.1.4 ) Comparez les fonctionnalités de ce proxy « avancé » à celles du proxy « de base ». On pourra
faire un tableau.
------------------------------------- validation par le professeur ------------------------------------6.2 ) URL FILTER
6.2.1 ) Installer cet « Addon ».
6.2.2 ) Configurez-le de la manière suivante :
 Bloquer les catégories : jeux / drogue / paris en ligne / porno / sports / violence
 Interdire l’accès à facebook
 Autoriser l’accès au site de l’équipe (exception à la catégorie sport).
 Configurer le message de blocage suivant : « Accès refusé par IPCOP_Veynes ».
 Filtrage à partir d'une « blacklist » dont vous préciserez la provenance.
6.2.3 ) Testez votre configuration.
------------------------------------- validation par le professeur ------------------------------------6.3 ) BOT
6.3.1 ) Installer cet « Addon ».
6.3.2 ) Configurez-le de la manière suivante :
 interdiction du peer to peer
 autorisation de messagerie entrante POP, interdiction de messagerie entrante IMAP, interdiction de
messagerie sortante SMTP
 accès autorisé au web en http et https (test rapide possible avec le serveur IIS intégré à l'OS Windows)
 autorisation du trafic ftp en mode actif uniquement
6.3.3 ) Testez votre configuration.
------------------------------------- validation par le professeur -------------------------------------
septembre 2012
TP_IPCOP.odt
Page 5/6
7 ) IPCOP À 3 ZONES (OPTIONNEL)
On souhaite disposer d'une zone supplémentaire (DMZ, orange) pour placer une machine PC1 supportant un
serveur WEB et un serveur FTP.
La zone verte contient les postes de travail, un disque réseau pour les sauvegardes (NAS) et une imprimante.
La zone rouge provient d'un accès FAI par une box ADSL.
1. La zone verte doit être totalement inaccessible de l'extérieur.
2. PC1 ainsi que les PC de la zone verte peuvent accéder à l'internet en http et https, en messagerie POP,
IMAP et SMTP.
3. Les accès sortants sont filtrés par les catégories habituelles ainsi que par « blacklist » à définir.
4. Les deux services de PC1 doivent être accessibles de l'extérieur
5. Les deux services de PC1 doivent être accessibles de la zone verte.
6. PC1 doit pouvoir accéder au NAS
7. PC1 doit pouvoir accéder à l'imprimante.
7.1 ) Procédez à la mise en place de la solution IPCOP en indiquant les points clefs des installations et des
configurations.
7.2 ) Testez votre solution point par point.
1
?
2
?
3
?
4
?
5
?
6
?
7
?
------------------------------------- validation par le professeur -------------------------------------
septembre 2012
TP_IPCOP.odt
Page 6/6