tutoriel | sécuriser son réseau avec IPCOP

Article publiée le 26 Avril 2014

Sommaire de ce tutoriel:

1) Présentation d’IPCOP

2) Installation d’IPCOP

3) Présentation des fonctionnalités

4) Exemple d’une topologie réseau simplifié.

 

 

 

1) Présentation

Depuis l’ouverture de mon blog il y a un an je viens de m’apercevoir que je n’ai jamais parlé de sécurité.

Je connais 2 gros produits opensource qui vous propose une solution de sécurité complète (Firewall etc…) : PfSense et  IPCOP.

Pour ma part je retiens IPCOP qui est pour moi facile d’installation et d’administration (toujours partisan de la simplicité ;-)).

IPCOP est tout simplement basé sur un Linux avec netfilter tout cela administrable depuis une belle interface WEB comme vous pouvez le constater avec la capture d’écran ci-dessous:

 

Pour moi cette solution est adapté pour les petites entreprises.

2) Installation

– Téléchargez la dernière version d’IPCOP sur le site officielle:  http://www.ipcop.org/download.php (Latest installation cd)

– Bootez sur l’image et appuyez sur entrée quand vous apercevrez le bel écran de boot :

 

– Sélectionnez la langue :

– Sélectionnez OK et appuyez sur la touche entrée:

– Sélectionnez la bonne version de votre clavier:

– Sélectionnez le bon fuseau horaire:

– Vérifiez la date et l’heure (qui devrait être correct si votre BIOS est à l’heure)

– Après avoir détecté votre matériel, l’assistant d’installation va vous demander quelle volume utiliser pour installer IPCOP:

– L’assistant vous demandera confirmation, validez en sélectionnant OK:

– Sélectionnez ensuite le type de volume que vous possédez

Si votre volume est un RAID ou un disque, sélectionnez « Disque dur »

Si votre volume est une carte SD, sélectionnez « Flash »

– La prochaine étape vous demandera si vous possédez une sauvegarde de config IPCOP. Etant donné que c’est votre première installation sélectionnez « Passer »

– Une fois l’installation terminée appuyez sur Entrée

– Nous allons maintenant commencer à configurer IPCOP. Au prochain écran indiquez le nom d’hote de votre futur Firewall:

– Entrez le nom de domaine de votre réseau (si vous en avez pas laisser localdomain par défaut):

– Nous allons maintenant paramétrer les interfaces. La sélection dépend de la topologie de votre réseau ainsi que le positionnement de votre Firewall.

La couleur de l’interface correspond à un rôle bien défini:

Interface réseau ROUGE

Ce réseau correspond à l’Internet ou tout autre réseau considéré non sûr. Le but premier d’IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. Votre méthode de connexion et votre matériel actuel serviront à la connexion à ce réseau.

 Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu’IPCop doit protéger. Il s’agit en règle générale d’un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau BLEUE

Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d’oeilletons volontairement établis, ou par le biais d’un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau ORANGE

Ce réseau optionnel vous permet d’isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n’établissiez volontairement un oeilleton. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

 

– Après avoir paramétré vos cartes, l’assistant de configuration vous demandera si vous avez besoin qu’IPCOP soit un serveur DCHP. Pour ma part je trouve cela totalement hors de propos. Je vous conseille de le désactiver et de passer à l’écran suivant.

– Indiquez votre mot de passe root et validez en appuyant sur entrée

– Indiquez le mot de passe de la webinterface:

 

– Indiquez le mot de passe de la clé de cryptage des sauvegardes de configuration:

– Une fois la configuration terminée l’assistant va faire redémarrer votre serveur.

 

Si tout s’est  passé bien vous devriez avoir ceci:

Comme IPCOP est basé sur un noyau Linux il est possible en cas d’erreur de configuration durant le processus d’installation de modifier vous même des élément, comme l’IP des cartes réseaux.

 

– Connectez vous sur l’interface Web via l’url suivante : https://<IP ou DNS de la machine>:8443. Indiquez les identifiant de la webinterface que vous avez indiqué lors de l’installation (login pas défaut : admin)

 

3) Présentation des fonctionnalités

 

– IPcop est un outil extrêmement complet. Je ne peux malheureusement pas faire un tuto sur chaque fonctionnalité, cependant vous allez vite vous apercevoir que cette solution est extrêmement intuitive.

Je vais vous présenter les fonctionnalités qui sont pour moi importantes:

 

 Le monitoring

 

 

Paramètre SSH et messagerie

Je vous conseille dans un premier temps de configurer votre accés SSH ( qui sera disponible uniquement via l’interface GREEN) ainsi que les paramètre de messagerie pour recevoir les alertes de votre firewall

Filtrage URL et Proxy

Et bien sur la configuration du Firewall:

Si cette solution vous plait, vous pourrez trouver plus d’information sur le site officiel: http://ipcop.org/

 

4) Exemple de topologie réseau simplifié

 

Ci dessous un petit schéma réseau simplifié.

Même si IPCOP est un outil qui peut tout faire, je vous conseille fortement d’utiliser une machine par rôle. Cela veut dire qu’il est plus que déconseillé de mettre un proxy sur la même machine que votre Firewall.

Il est préférable de monter un serveur proxy indépendant et de lui autoriser une sortie vers le net via une règle de Firewall adapté. Votre Firewall devra également interdire les pc utilisateurs de sortir directement pour les forcer à passer par le proxy.