Administration DIPCOP

Table des matires

I. Introduction..............................................................................................................................4 II. Prparation..............................................................................................................................4 III. Schma de linstallation........................................................................................................4 IV. Premire connexion..............................................................................................................4 ................................................................................................................................................4 IV.1 Avec IE version 7...........................................................................................................5 IV.1.1 Installation du certificat de scurit.........................................................................5 IV.1.2 Identification au serveur IPCOP..............................................................................7 IV.2 Avec Firefox version 3.0.6.............................................................................................7 IV.2.1 Installation du certificat de scurit.........................................................................7 IV.2.2 Identification au serveur IPCOP............................................................................10 IV.3 Avec Safari version 4 (bta).........................................................................................10 IV.3.1 Installation du certificat de scurit.......................................................................10 IV.3.2 Identification au serveur IPCOP............................................................................11 IV.4 Avec Opra version 9.63..............................................................................................11 IV.4.1 Installation du certificat de scurit.......................................................................11 IV.4.2 Identification au serveur IPCOP............................................................................12 IV.5 Avec Google chrome version 1.0.154.48.....................................................................13 IV.5.1 Installation du certificat de scurit.......................................................................13 IV.5.2 Identification au serveur IPCOP............................................................................13 IV.6 Avec K-meleon version 1.5.2.......................................................................................14 IV.6.1 Installation du certificat de scurit.......................................................................14 IV.7 Avec Seamonkey version 1.1.14...................................................................................15 IV.7.1 Installation du certificat de scurit.......................................................................15 IV.7.2 Identification au serveur IPCOP............................................................................16 IV.8 Avec Flock version 2.0.3..............................................................................................16 IV.8.1 Installation du certificat de scurit.......................................................................16 IV.8.2 Identification au serveur IPCOP............................................................................18 V.1 Onglet Systme..............................................................................................................19 V.2 Onglet Etat.....................................................................................................................19 V.3 Onglet Rseau................................................................................................................19 V.4 Onglet Service................................................................................................................20 V.5 Onglet Pare-feu..............................................................................................................20 V.6 Onglet RPVs...................................................................................................................20 V.7 Onglet Journaux.............................................................................................................20 VII. Choix des Addon installer..............................................................................................22 VIII. Installation des Addon......................................................................................................22 VIII.1 Client ssh en java (connexion)...................................................................................22 VIII.2 Adv-proxy (proxy).....................................................................................................24 VIII.3 Urlfilter (filtre)...........................................................................................................25 VIII.3.1 Installation...........................................................................................................25 VIII.3.2 Paramtrage.........................................................................................................25 VIII.3.3 Sauvegarde..........................................................................................................25 VIII.3.4 Restauration.........................................................................................................25 VIII.11 Zerina (VPN)............................................................................................................26 IX. Dtail de longlet ...............................................................................................................27 IX.1 ......................................................................................................................................27 IX.2 ......................................................................................................................................28 IX.3 ......................................................................................................................................29 IX.4 ......................................................................................................................................30 IX.5 ......................................................................................................................................30 IX.6 ......................................................................................................................................31 2

IX.7 ......................................................................................................................................32 IX.8 ......................................................................................................................................32 X. Dtail de longlet .................................................................................................................33 X.1 ........................................................................................................................................33 X.2 ........................................................................................................................................34 X.3 ........................................................................................................................................36 X.4 ........................................................................................................................................39 X.5 ........................................................................................................................................41 X.6 ........................................................................................................................................42 XI. Dtail de longlet ...............................................................................................................43 XI.1 ......................................................................................................................................43 XI.2 ......................................................................................................................................44 XI.3 ......................................................................................................................................44 XII. Dtail de longlet ..............................................................................................................45 XII.1 .....................................................................................................................................45 XII.2 .....................................................................................................................................46 XII.3 .....................................................................................................................................47 XII.4 .....................................................................................................................................48 XII.5 .....................................................................................................................................49 XII.6 .....................................................................................................................................49 XII.7 .....................................................................................................................................51 XIII. Dtail de longlet .............................................................................................................52 XIII.1 ....................................................................................................................................52 XIII.2 ....................................................................................................................................52 XIII.3 ....................................................................................................................................53 XIV. Dtail de longlet .............................................................................................................54 XIV.1 ....................................................................................................................................54 XV. Dtail de longlet ..............................................................................................................56 XV.1 .....................................................................................................................................56 XV.2 .....................................................................................................................................56 XV.3 .....................................................................................................................................57 XV.4 .....................................................................................................................................58 XV.5 .....................................................................................................................................60 XV.6 .....................................................................................................................................63 XVI. Sauvegarde.......................................................................................................................64 XVI.1 Introduction................................................................................................................64 XVI.1.1 Sauvegarde lgre sur disque dur.................................................................64 XVI.1.2 Sauvegarde lgre sur cl USB.....................................................................65 XVI.1.3 Mthode complte...............................................................................................66 XVII. Restauration....................................................................................................................67 XVII.1 Restauration lgre .............................................................................................67 XVII.1.1 Restauration depuis le disque dur dIPCOP......................................................67 XVII.1.2 Restauration depuis le disque dur du PC dadministration................................67

I. Introduction
Nous venons dinstaller IPCOP 1.4.20 sur notre machine. Nous allons dans un premier temps passer la version 1.4.21 au moyen dune mise jour. Nous nous intresserons ensuite la partie dadministration pur de notre pare feu au travers linterface web laide dune machine situe sur le rseau local de linterface verte. Nous dcrirons les diffrents onglets de linterface graphique (GUI) dadministration dIPCOP.

II. Prparation
Nous allons affecter une adresse IP la machine situe sur notre rseau vert. (Nous lappellerons M1).(10.0.0.11/8) Linterface rouge pour nous est en client DHCP(adresse obtenue :192.168.111.112/24)

III. Schma de linstallation

IPCOP est en client DHCP sur linterface rouge.

IV. Premire connexion

Nous lanons notre navigateur et entrons ladresse : http://le.nom.de.la.machine.IPCOP:81 https://le.nom.de.la.machine.IPCOP:445 Ou bien http://adresse.IP.de.la.machine.IPCOP:81 ou https://adresse.IP.de.la.machine.IPCOP:445 On obtient alors un message de scurit mais diffrent suivant le navigateur utilis.

IV.1 Avec IE version 7

IV.1.1 Installation du certificat de scurit Nous entrons dans la barre dadresse : http://10.0.0.1:81 Nous avons alors la rponse :

Nous choisissons de poursuivre avec ce site web. Nous obtenons une fentre davertissement : Nous voyons de plus que ladresse chang dans le navigateur

Nous cliquons sur erreur de certificat puis nous choisissons afficher les certificats :

Nous faisons alors linstallation du certificat :

Jusqu' arriver sur :

Nous cliquons sur Oui On obtient :

IV.1.2 Identification au serveur IPCOP Pour pouvoir entrer dans les menus dIPCOP nous allons devoir nous identifier : Pour cela nous nous logons en Admin.

IV.2 Avec Firefox version 3.0.6

IV.2.1 Installation du certificat de scurit Nous avons une demande de certificat de scurit aprs avoir entr ladresse IP de notre serveur IPCOP.

Nous rpondons Ou vous pouvez ajouter une exeption.

On obtient alors :

Nous choisissons ajouter une exception

Puis Obtenir un certificat

L nous confirmons lexception de scurit en laissant coch la case conserver cette exception de faon permanente . Nous arrivons alors sur la page daccueil de linterface dadministration dIPCOP.

IV.2.2 Identification au serveur IPCOP Ds que nous voulons entrer dans un menu une authentification nous est demande :

Il faut entrer le nom et le mot de passe admin Pour nous :

Nous cliquons sur OK et nous voil dfinitivement dans linterface graphique dIPCOP.

IV.3 Avec Safari version 4 (bta)

IV.3.1 Installation du certificat de scurit Nous avons une alerte scurit aprs avoir entr ladresse IP de notre serveur.

Nous cliquons sur Continue pour arriver directement dans linterface graphique dadministration.

10

IV.3.2 Identification au serveur IPCOP Nous nous authentifions notre serveur IPCOP lorsque nous voulons aller dans un onglet pour la premire fois.

IV.4 Avec Opra version 9.63

IV.4.1 Installation du certificat de scurit L trs simple aprs avoir ent ladresse de notre serveur IPCOP dans le navigateur : http://10.0.0.1:81 On obtient un avertissement du type.

11

Nous faisons accepter et voila nous arrivons la page daccueil dadministration dIPCOP.

IV.4.2 Identification au serveur IPCOP Comme pour les autres navigateurs nous devons nous authentifier pour pouvoir nous connecter IPCOP. On aura :

12

IV.5 Avec Google chrome version 1.0.154.48

IV.5.1 Installation du certificat de scurit L trs simple aprs avoir ent ladresse de notre serveur IPCOP dans le navigateur : http://10.0.0.1:81

Nous choisissons de Poursuivre quand mme

IV.5.2 Identification au serveur IPCOP Puis nous entrons nos identifiant admin

13

IV.6 Avec K-meleon version 1.5.2

IV.6.1 Installation du certificat de scurit Mme dmarche que prcdemment nous obtenons :

Nous acceptons ce certificat de manire permanente On obtient :

Nous faisons OK

Encore OK 14

IV.6.2 Identification au serveur IPCOP nous nous logons en admin

IV.7 Avec Seamonkey version 1.1.14

IV.7.1 Installation du certificat de scurit Entrons ladresse http://10.0.0.1:81 pour obtenir

Nous choisissons accepter dfinitivement ce certificat

Nous faisons OK

15

IV.7.2 Identification au serveur IPCOP nous nous authentifions en admin

IV.8 Avec Flock version 2.0.3

IV.8.1 Installation du certificat de scurit Nous entrons notre adresse de serveur IPCOP et lon obtient :

Cliquons sur OK

16

Nous ajoutons une exception Add Exeption

Obtenir un certificat Get Certificate

Nous confirmons lexception de scurit. 17

IV.8.2 Identification au serveur IPCOP Nous nous logons en Admin

18

V. Les onglets de linterface graphique (Premire approche)

V.1 Onglet Systme

Tout ce qui concerne de prs ou de loin le systme en lui-mme, c'est--dire la vrification et l'installation des mises jour, la modification des mots de passes, les sauvegardes, l'activation de l'accs SSH

V.2 Onglet Etat

Cet onglet concerne ltat gnral du systme ainsi que le suivi de celui-ci : services actifs, utilisation de la mmoire et du processeur, rglage actuel des interfaces rseau, courbes de trafic et dutilisation de la mmoire, connexions actuelles,

V.3 Onglet Rseau

Le menu rseau fait en ralit rfrence aux connexions par modem, en effet si linterface rouge est compose dun modem (et non un routeur ou modem-routeur) vous pouvez le configurer et grer la connexion de celui-ci dans les menus de cet onglet. Il s'agit l de spcifier les paramtres de connexion ou d'installer de nouveaux drivers si votre modem n'a pas t reconnu au cours de l'installation. Cet onglet est inutile dans notre cas (nous somme en configuration vert-rouge. en Ethernet de chaque cot)

19

V.4 Onglet Service

Divers services sont disponibles avec IPCop, certains peuvent tre dsactivs tandis que dautres qui sont ncessaires ne peuvent ltre. Seuls les services visibles depuis l'onglet " Etat du systme " vont tre exposs ici, bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web d'administration.

V.5 Onglet Pare-feu

Diffrents rglages sont possible, sur le tranfert de port ,Accs externe et les option de parefeu

V.6 Onglet RPVs

Longlet RPVs ne contient quun seul menu du mme nom. Vous aurez remarqu que les diffrents onglets sont relatifs des domaines prcis, le Rseau Priv Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) tant un domaine compltement part au regard des autres catgories proposes par IPCop.Si nous installons Zerina il se logera ici.

V.7 Onglet Journaux

Les journaux (ou logs) sont trs importants pour un firewall, en effet ils permettent dobtenir un suivi prcis du type dattaques les plus frquentes, ou tout simplement de dtecter puis de tracer do viennent ces attaques Mais il y a aussi ici les journaux du service proxy.

20

VI. Mise jour vers 1.4.21

Nous nous rendons dans longlet systme et nous choisissons mise jour, nous arrivons sur :

Nous cliquons sur tlcharger Nous choisissons ensuite appliquer maintenant dans la fentre qui suit :

Nous sommes pass la version 1.4.21.comme nous le montre limage qui suit :

21

VII. Choix des Addon installer

Une contrainte de ce stage est de trouver un bon quilibre entre le filtrage des sites visit et llaboration de journaux. Nous allons donc installer et tester Adv-Proxy (pour le service proxy avanc) Urlfilter (pour le filtre des sites visit) puis 4 addon spcialis dans la gestion des log. Un addon pour les mises jour de produit comme adobe, Microsoft Enfin un addon (client ssh en java) qui nous permettra de nous passer de WinSCP et PuTTY.

VIII. Installation des Addon

VIII.1 Client ssh en java (connexion)
Nous avons tlcharg la version 1.4.8 francis de cet Addon. Il se prsente sous la forme : sshclient_ipcop_1.4.8.fr.tar.gz Nous allons le transfrer sur IPCOP dans le rpertoire tmp au moyen de WinSCP (voir tuto Logiciels d'administration WinSCP.doc). Nous nous plaons ensuite sur IPCOP. Nous nous rendons dans le rpertoire tmp au moyen de la commande : cd /tmp Nous retrouvons notre fichier : sshclient_ipcop_1.4.8.fr.tar.gz Nous allons de dcompresser laide de la commande : tar xzf sshclient_ipcop_1.4.8.fr.tar.gz Nous obtenons un rpertoire sshclient Nous entrons la commande cd sshclient A lintrieur nous trouvons : check Files.tar.gz Install Mindterm.header Nous entrons la commande : ./install Rendons nous maintenant dans linterface graphique dIPCOP. Un nouveau sous menu est apparu dans longlet systme.il sagit de Secure Shell client

22

Nous pouvons alors rgler les paramtres daffichage de notre client ssh.

Puis nous dmarrons le client. NB : nous avons du installer jdk-6u12-windows-i586-p (tlcharg sur le site de sun). Un avertissement apparat :

Nous cochons la case toujours faire confiance Puis cliquons sur oui Et nous nous retrouvons dans une fentre identique IPCOP.

Nous pouvons tout faire en ligne de commande (pour les puristes).

23

VIII.2 Adv-proxy (proxy)

Nous transfrons Adv-proxy par WinSCP dans le rpertoire tmp. Nous allons ensuite grce notre console ssh installer laddon.

24

VIII.3 Urlfilter (filtre)

VIII.3.1 Installation VIII.3.2 Paramtrage VIII.3.3 Sauvegarde VIII.3.4 Restauration

25

VIII.11 Zerina (VPN)

26

IX. Dtail de longlet

IX.1

Ce sous menu nous renseigne sur la dure total de connexion de notre IPCOP. Nous avons aussi ladresse IP et le nom dhte de notre Pare Feu

Nom de notre machine IPCOP ainsi que le domaine auquel il appartient. Nous permet darrter IPCOP distance. On aura alors ce message qui va appratre

permet de redmarrer IPCOP distance Permet de rafrachir les donnes de temps de connexion de la page en cours.

Nous renseigne sur la dure dutilisation dIPCOP ladresse IP ct rouge et le nom dhte dIPCOP. Nous renvois vers une aide en ligne pour ladministration et la configuration (mais en anglais) 27

IX.2
Ce sous menu nous permet de mettre jour IPCOP.

Lorsquil y a une mise jour de disponible ce message apparat :

La procdure de mise en place de cette mise jour est dcrite Ici

Si nous avons tlcharg la mise jour et que cette dernire se trouve sur un support ou sur le PC dadministration nous pouvons aller la chercher en faisant parcourir puis chargement

Nous permet de choisir le type de noyau correspondant notre processeur install sur notre machine IPCOP. Efface le cache du serveur Permet de faire une recherche de mise jour pour IPCOP. Aide en ligne sur les mises jour (En anglais)

28

Nous renseigne sur lutilisation du (ou des) disque(s) de notre serveur IPCOP.

Nous indique le listing de mise jour effectu sur la machine IPCOP.

IX.3

Nous pouvons modifier les mots de passe pour les comptes : Admin (permet de se connecter linterface web dIPCOP) et Dial (utilisateur autoris connecter et dconnecter la connexion par modem) Ces mots de passe doivent au moins contenir six caractres.

Aide en ligne sur les mots de passe (En anglais)

29

IX.4
Cet accs nest pas activ par default.

Les cls SSH dIPCop sont du type RSA et DSA, elles sont cryptes sur 1024 bits. Il est possible de refuser le transfert SCP, empchant ainsi de copier des fichiers sur IPCop avec WinSCP (par exemple). Dautres options relatives la version du client SSH utilis et lauthentification par mot de passe et cls publiques sont de la partie. Bien entendu, toute modification doit tre valide laide du bouton Enregistrer pour tre prise en compte

Aide en ligne sur laccs ssh (En anglais)

IX.5

Linterface graphique dIPCop peut tre un petit peu personnalis, rien de bien transcendant mis part le choix de la langue de celle-ci. On peut aussi choisir dafficher le nom de la machine dans la barre de titre du navigateur. Les autres options ne concernent pas directement, ou pas du tout, linterface graphique mais ont tout de mme leur utilit : autoriser le Java Script, activer le rafrachissement automatique 30

de la page daccueil et activer les bips de connexion / dconnexion (en effet cela permet de savoir si IPCop a fini de dmarrer et est connect lorsque lon redmarre celui-ci et que bien entendu il est dpourvu dcran et autres priphriques). Toute modification est prise en compte laide du bouton possible de remettre zro celle-ci grce au bouton . Il est par ailleurs

Aide en ligne sur linterface graphique (En anglais)

IX.6
Comme tout systme informatique, les pannes hardware ou software sont rares mais existent. Avec IPCop il est possible de raliser deux types de sauvegardes : une premire sur la machine, et une seconde sur disquette.

Les sauvegardes sur la machine sont considrer comme des points de restauration qui permettent de revenir une configuration prcdente suite une modification ntant pas satisfaisante. Plusieurs sauvegardes de ce type peuvent tre cres sur le systme, il est dailleurs possible de sauvegarder la dernire en date sur lordinateur local et de la restaurer laide des boutons Parcourir et Importer dat . Les sauvegardes ralises sur disquettes sont prcieuses en cas de panne svre. En effet, si vous devez rinstaller compltement le systme cette disquette de sauvegarde vous sera demand linstallation et vous fera ainsi gagner un temps prcieux (en effet tous vos paramtres vont tre restaurs tels quils ltaient lors de la sauvegarde, sans intervention de votre part).La partie sauvegarde est dtaill Ici Aide en ligne sur la sauvegarde (En anglais)

31

IX.7
Ce sous menu nous permet de redmarrer, arrter ou programmer un arrt ou redmarrage dIPCOP en fonction dune date

Aide en ligne sur arrter (En anglais)

IX.8
Contient tous les noms des contributeurs du projet IPCOP. Les adresses mails de ces personnes figurent si vous aviez besoin de les contacter pour faire avancer le projet.

32

X. Dtail de longlet
Les sous menus de longlet Etat sont tous titre informatif. En effet, aucune modification nest effectue depuis ceux-ci, ils sont donc l pour fournir des informations et non permettre une quelconque configuration. Il se prsente sous cette forme

X.1
Ce menu permet, comme son nom lindique, de consulter lactivit du systme. En effet vous obtenez de celui-ci une vue globale du systme et des services. Les services du systme sont lists avec leur tat. On remarquera que certains ne peuvent tre dsactivs laide de linterface web, ceci sera srement possible dans les versions futures

33

Nous verrons sil y a des changements lors dinstallation daddon.

X.2
Comme pour le menu systme, tout ce qui figure ici est titre informel, mais non dnu dintrt ! Vous retrouverez ici la configuration de vos interfaces rseau classes par couleur. Pour chaque interface vous aurez ladresse MAC de la carte utilise, ladresse IP alloue (fixe ou DHCP), la taille de la MTU utilise, ainsi que ltat du transfert des paquets (commande "ifconfig"). Figurent aussi les entres de la table de routage et la table ARP (pour Adresse Resolution Protocol), logiquement la liste devient plus importante lors de lactivation du serveur DHCP Linterface se prsente comme suit :

34

35

X.3
Les graphiques systmes sont trs utiles pour valuer lutilisation des ressources matrielles (processeur, mmoire, swap et accs disque), mais permettent galement didentifier les pics de sollicitation des ressources par plage horaire. Les lgendes des graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer sur le graphique dun lment affiche les graphiques de cet lment avec dautres units temporelles (jour, semaine, mois, anne) vous permettant ainsi dobtenir une vue densemble de lutilisation.

36

Nous pouvons avoir un dtail par jour/ semaine /mois /Annes des graphes simplement en cliquant sur le graphique. Exemple pour le graphe de la mmoire :

37

38

X.4
Les courbes de trafic reprsentent le niveau de sollicitation de la bande passante par rapport au temps, l aussi il sagit didentifier les pics dutilisation et de saturation du trafic. Tout comme les graphiques systme, lorsque vous cliquez sur un graphique vous obtenez une vue dans une autre unit de temps.

Nous pouvons avoir un dtail par jour/ semaine /mois /Annes des graphes simplement en cliquant sur le graphique. Exemple pour le graphe de linterface verte:

39

40

X.5
L encore il ne sagit que de visualisation de ltat du proxy.

41

X.6
Il est possible de suivre en temps rel les communications tablies entre IPCop et les lments qui lentourent. Le tableau des connexions vous permet de suivre celles-ci, les adresses ip et les ports utiliss y sont rpertoris ainsi que dautres informations (protocole, bail, zone, ack, etc)

42

XI. Dtail de longlet

Les menus de cet onglet vous seront utiles dans le cas de lutilisation de linterface rouge avec une connexion par modem. En effet, si vous utilisez une carte rseau pour linterface rouge cet onglet ne vous sera daucune utilit.

XI.1
Dans ce menu vous allez pouvoir dfinir vos paramtres de connexion Internet avec vos identifiants. Ces informations sont en gnral fournies par votre fournisseur daccs internet. Toutes ces informations (identifiants, modem, serveur DNS,) peuvent tre sauvegardes dans 5 profils, vous permettant ainsi de vous connecter avec diffrents abonnements ou avec les paramtres de plusieurs abonnements de faon trs simple sans avoir ressaisir les donnes chaque fois. Dautres options permettent daffiner un peu plus les paramtres de base, comme par exemple la possibilit de se dconnecter au bout dun certain dlai dinactivit et de se reconnecter automatiquement si besoin avec mme un autre profil si le profil actuel narrive pas tablir la connexion. Remarque : on pourra, si on ne souhaite pas se rendre sur cette page frquemment, utiliser l'utilitaire Copwatch pour paramtrer, tablir et contrler la connexion d'IPCop directement sous Windows. Nous nutiliserons pas cet onglet car notre configuration rseau est en Ethernet des deux ct dIPCOP.

43

XI.2
Par dfaut IPCop reconnat beaucoup de modems, mais en cas de problme de dtection avec le votre, il est possible de rcuprer le driver Fritz!DSL de celui-ci sil ne fait pas partie de la liste de modems reconnus par IPCop.

XI.3
Il est possible de personnaliser les rglages propres la connexion du modem au travers de ce menu. Attention ceci est rserv un public averti ! En cas de mauvaise manipulation, vous pourrez remettre les paramtres par dfaut laide du bouton correspondant.

44

XII. Dtail de longlet

XII.1
Un serveur proxy est souvent une machine ddie intercale entre les ordinateurs dun rseau et Internet (ou un Intranet, peu importe). Son rle est daller chercher les pages pour les utilisateurs dudit rseau, et en plus de leur fournir lesdites pages, de les stocker avec leurs contenus dans un cache afin que lors de la prochaine demande daffichage de celles-ci, la bande passante Internet soit moins sollicite. Etant donn que tout le trafic " web " transite par un serveur proxy, on pourra spcifier une limite de dbit et mme mettre en place quelques rgles de filtrage Il existe plusieurs faons de mettre en place un serveur proxy par rapport aux ordinateurs d'un rseau local, on peut mettre le serveur Proxy " physiquement " entre les machines du rseau local et la zone web, ou configurer les postes du rseau pour que ceux-ci passent par le Proxy... Dans notre cas, on prfrera la premire possibilit, nous activerons donc le mode " transparent " permettant d' activer le serveur sans avoir passer sur chaque poste du rseau pour que celui-ci utilise le serveur, on pourra par ailleurs activer les journaux de celui-ci pour un suivi quotidien.

Suivant la capacit du disque dur de notre machine IPCop, on spcifiera une taille plus ou moins raisonnable pour le cache. A noter qu'il n'est pas utile d' allouer normment de mmoire pour le cache, un cache de 50 Mo remplit presque aussi bien ses fonctions qu'un cache de 500 Mo ! La taille du cache dpendra en fait du nombre de sites susceptibles d'tre visits (et donc fortiori du nombre dutilisateurs). Il est galement possible dinterroger un autre serveur proxy que le ntre, cet autre serveur tant quelque part sur Internet, pour surfer de faon anonyme sur Internet (dans le mme esprit que le logiciel Multi Proxy). Dans le cas o d'autres services font appel la bande passante pour Internet, on pourra limiter le trafic ddi la navigation, en revanche pour une optimisation plus prcise on utilisera le menu " Lissage de trafic (Shapping) " qui nous permettra des rglages plus fins... 45

Si le plugin Urlfilter est install, on pourra l'activer dans ce menu, il est tout de mme prfrable dinstaller Adv-Proxy pour optimiser le fonctionnement de celui-ci.

XII.2
Le partage de la connexion Internet est toujours un peu dlicat lorsque l'on dbute, aussi on aimerait ne pas avoir configurer chaque fois un ordinateur que l'on veut ajouter sur notre rseau. Un serveur DHCP (Dynamic Host Configuration Protocol) permet, comme son nom anglais lindique, d'attribuer de faon dynamique une configuration. Ce serveur va nous permettre d'attribuer automatiquement des adresses : Adresse IP : pour chaque ordinateur partir du moment o il sera connect physiquement au rseau. La passerelle : un rseau local dispose d'une adresse IP priv (non accessible directement dInternet), pour pouvoir sortir de notre rseau local et accder un autre rseau (Internet par exemple) on utilise une passerelle, appeler aussi routeur. Serveur DNS : un nom est plus facile retenir qu'un numro, en effet generationnt.com est plus facile retenir que 83.243.23.80. Le rle d'un serveur DNS est ainsi de faire correspondre un nom de domaine (ou de machine) une adresse IP. Serveur WINS : il s'agit d'un serveur de nom comme le DNS, mais spcifique Windows. WINS signifie Windows Internet Naming Service. Il s'agit de limplmentation Microsoft de Net Bios Name Server, le " grand-pre " du DNS et d' Active Directory et qui n'est plus tellement utilis de nos jours... Serveur NTP : les serveurs NTP ( Network Time Protocol ) permettent d' attribuer une mme date et une mme heure l'ensemble d'un rseau, un service spcifique d'IPCop est consacr cela.

46

XII.3
Un serveur DNS (Domain Name System) est un serveur qui permet dassocier un nom de machine dans un domaine une adresse IP : par exemple la machine www sur le domaine google.fr correspond l'adresse IP 74.125.79.103. Un serveur DNS contient en fait une base de donnes avec les noms de machines et leurs adresses IP correspondantes. Lors d'une communication avec un site, votre ordinateur interroge le serveur DNS de votre FAI en lui envoyant une requte DNS sur le nom de domaine et la machine souhaite... Pour les interfaces ne possdant pas d'adresse IP fixe (avec un bail de 24h par exemple), l'adresse IP change et il est alors impossible de faire correspondre le nom de la machine la nouvelle adresse : la base de donne d'un serveur DNS " de base " tant fige... En revanche les serveurs DNS Dynamiques permettent aux ordinateurs ne disposant pas d'adresse IP fixe d'avoir une rsolution DNS : chaque fois que l'adresse IP sera renouvele, l'ordinateur le signalera au serveur DNS Dynamique qui ira mettre jour sa base en consquence. Dans le cas o vous ne possdez pas d'adresse IP fixe, ou mme que vous souhaitez associer votre adresse IP un nom de domaine, vous pouvez crer un compte gratuitement sur divers sites qui se chargeront de vous associer leur DNS Dynamique... Le menu " DNS Dynamiques " d' IPCop permet de se connecter votre fournisseur DNS Dynamique, faisant ainsi correspondre ladresse IP de la zone rouge de votre IPCop au nom de machine chez ce fournisseur.

47

XII.4
Il s'agit ici d'une espce de serveur DNS simplifi. En effet, le menu " Htes Statiques " permet d'entrer manuellement des noms dhtes que l'on associera ensuite des adresses IP. Bien entendu, il faut pour cela que les ordinateurs soient configurs avec une adresse IP fixe ou possdent une rservation d'adresse dans un serveur DHCP... Cette option permet de taper l'adresse d'un serveur web rapidement dans n'importe quel navigateur (un peu comme les mots-cls associs aux marque-pages dans Firefox...).

48

XII.5
Un serveur de temps fournit une date et une heure l'ensemble d'un rseau, permettant ainsi d'avoir les mmes horaires sur toutes les machines. Pour information, le protocole utilis pour raliser cela est NTP pour Network Time Protocol (port UDP 123)... Le fait de synchroniser l'heure de tous les ordinateurs d'un rseau permet d'avoir une heure identique sur les " logs " (journaux) et ainsi de mieux comprendre les rpercutions d'une erreur lorsque celle-ci s'est propage. Concernant IPCop, vous pouvez la fois synchroniser celui-ci avec un serveur de temps existant ( pool.ntp.org par dfaut ), ou faire jouer le rle de serveur NTP celui-ci : vous permettant ainsi de synchroniser facilement et rapidement la date et l'heure des ordinateurs de votre rseau.

XII.6
Le lissage de trafic permet de dfinir quelle quantit de bande passante (en kbit/seconde) pourra tre utilise pour un protocole spcifi sur un port prcis. Il ne s'agit pas de QoS (Quality of Service, pour qualit de service) mais on s'en rapproche dans le principe : optimiser le trafic (et notamment les temps de rponse au ping). Certes, il ne s'agit pas l d'une optimisation extrmement fine. En effet, on devra spcifier explicitement un dbit pour tout le trafic ou donner une priorit par protocole, mais cela suffira combler les besoins " primaires " que l'on pourrait avoir. Par exemple : si l'on souhaite un jour effectuer un transfert FTP ( File Transfert Protocol, pour changer des donnes avec un serveur FTP distant ) et pouvoir continuer surfer confortablement sur Internet. On attribuera une priorit faible au protocole FTP (port 20 en TCP et UDP) et une priorit haute au protocole HTTP (ports 80 et 8080 en UDP et en TCP). Pour rappel, la liste des protocoles avec leurs numros de ports est disponible sur cette liste mise disposition par le IANA (Internet Assigned Numbers Authority) qui a en charge, sous contrle de l' ICANN, lallocation des adresses IP publiques, DNS de premier niveau (backebone Internet) et l'attribution des numros de ports des protocoles... 49

La limitation du trafic se met en place trs facilement sur IPCop; il vous suffit en effet de spcifier le dbit souhait en voie montante et en voie descendante ( upload et dowload pour les intimes ), de cocher la case , puis de cliquer sur le bouton

En ce qui concerne les priorits par protocole, on slectionnera une priorit ( haute, moyenne, faible ), le numro de port dsir et le protocole de transport ( TCP ou UDP ), on cochera ensuite la case pour que la modification s'active tout de suite aprs avoir cliqu sur le bouton pour la faire prendre en compte par le systme...

50

XII.7
Un systme de dtection dintrusion se charge danalyser les donnes (paquets) qui transitent sur un rseau pour reprer une ventuelle tentative daccs pirate celui-ci. Une fois lintrusion dtecte, il est possible de bloqu l'intrus l'aide du plugin Guardian : le pirate perdra ainsi laccs qu'il avait russi obtenir via son attaque ou cheval de Troie... Le systme de dtection d'intrusion Snort est utilis dans IPCop, ce systme OpenSource est trs connu et reconnu ! Nanmoins, pour pouvoir bnficier de ce systme, vous devez vous inscrire (gratuitement) Une fois inscrit, il vous restera copier votre Oink Code dans la page de dtection dintrusion et dactiver celle-ci...

51

XIII. Dtail de longlet

XIII.1
Il sagit l du Port Address Translation (PAT, parfois aussi nomm Port Forwarding), qui vous permet de rediriger le flux arrivant sur un port de votre IPCop vers un port dune machine faisant partie dune des zones dIPCop. Exemple : Un serveur web se trouve derrire linterface verte dIPCop. Il vous faut donc rediriger les requtes HTTP que reoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utiliss par http (ici TCP, il faudra donc crer une rgle pour ce protocole) et rediriger les paquets vers ladresse IP de votre serveur web (192.168.1.250 par exemple) sur le port HTTP (80 par dfaut, 8080 parfois). Une fois les redirections cres vous pourrez tout fait les dsactiver, modifier, ajouter dautres adresses ayant l'accs (si vous souhaitez effectuer un filtrage prcis en fonction des adresses IP pouvant accder votre serveur web), ou tout simplement supprimer cette rgle si elle ne vous est plus utile.

XIII.2
Vous pouvez ouvrir des "brches" dans le firewall pour ouvrir compltement un accs au rseau sur un port, c'est--dire que les ports choisis seront compltements ouverts, ceci peut tre utile pour autoriser laccs linterface de configuration ou laccs en SSH IPCop depuis la zone rouge (Internet par exemple). Pour scuriser un petit peu l'ouverture complte de ces ports, on pourra spcifier quelles adresses IP sont autorises les utiliser (dans le cas dun serveur FTP dont on connat les clients par exemple, ou ladresse IP de ladministrateur distant).

52

XIII.3
Dans ce menu vous avez la possibilit de choisir quelle interface rpondra ou non au ping. On dsactivera le ping pour des raisons de scurit si on le souhaite (ce qui permet tout de mme dviter certaines attaques).

53

XIV. Dtail de longlet

XIV.1
Longlet RPVs ne contient quun seul menu du mme nom. Vous aurez remarqu que les diffrents onglets sont relatifs des domaines prcis, le Rseau Priv Virtuel (RPV, ou VPN en anglais pour Virtual Private Network) tant un domaine compltement part au regard des autres catgories proposes par IPCop. Un VPN consiste utiliser ce que lon appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,) pour relier deux rseaux physiques en utilisant un rseau non scuris, mais fiable, la finalit tant que ces deux rseaux distincts ne forment plus quun seul et mme rseau. Le VPN est trs la mode ces derniers temps. En effet, avec la gnralisation du haut dbit il est moins coteux pour une entreprise de relier les rseaux de ses agences laide dun VPN quen utilisant une Ligne Spcialise (LS, ce qui revient louer une liaison directe partant dun point A un point B un prestataire Tlcom) qui est trs coteuse, mais certes plus sure quun VPN puisque transitant par un rseau entirement scuris. Mme sil transite par Internet, le VPN est tout de mme une technique trs scurise, avec des systmes de chiffrement et des moyens de contrle plus ou moins puissants selon le protocole que lon choisira. Dans le cas dIPCop cest le protocole IPSec qui est utilis. Ce dernier est support par la plupart des systmes dexploitations et priphriques actuels (Windows, Linux, Mac OS, ). Il travaille sur une couche de niveau 3 du modle OSI, ce qui permet davoir un suivi de lactivit au niveau du paquet. Pour crer un nouveau VPN il faut cliquer sur le bouton [Ajouter], slectionner le mode souhait puis [Ajouter], remplir les informations souhaites et slectionner la mthode dauthentification :

Cl partage (PSK) : il sagit l dune "pass-phrase" qui sera connue des deux cts. Gnrer un certificat : en fonction des informations remplies, un certificat est gnr par la machine sur le principe des cls publiques. Ceci caractrise la partie droite du rseau, la partie gauche sidentifiera ensuite en faisant Transfrer un certificat partir du certificat de la partie droite (Tlcharger le certificat dans la partie Autorits de certification de la page RPVs).

Note : Dans le cas de l'utilisation de la zone bleue d'IPCop (Wi-Fi), on pourra la faire communiquer avec la zone verte l'aide d'un VPN

54

55

XV. Dtail de longlet

Les journaux (ou logs) sont trs importants pour un firewall, en effet ils permettent dobtenir un suivi prcis du type dattaques les plus frquentes, ou tout simplement de dtecter puis de tracer do viennent ces attaques Lorsque lon cliquera sur une adresse IP dans les journaux, une page de whois souvrira alors, permettant dobtenir des informations sur lorigine de cette adresse.

XV.1
Il est possible via ce menu de paramtrer le type de classement (ordre chronologique ou non), le nombre de lignes par page, la dure pendant laquelle les rsums des journaux seront conservs ainsi que leur niveau de dtail. Il est par ailleurs possible denregistrer ces journaux sur un serveur distant (serveur syslog) : pratique car dans les cas de plusieurs serveurs on consultera lensemble de leurs journaux au mme endroit.

XV.2
Comme son nom lindique, on retrouvera ici un rsum des journaux. Il sagit l de faire un rapide bilan sur les activits du serveur web (pour linterface dadministration), le pare-feu et lespace disponible sur les partitions montes.

56

XV.3
Ce log affiche les journaux du service proxy dIPCOP. Nous pouvons les filtrer par adresse ip ou date.

57

XV.4
Ce log affiche toutes les connexions tablies en direction dIPCop. Les vnements sont organiss par date, diffrentes informations relatives la communication sont ensuite disponibles sous forme dun tableau :

58

59

XV.5
Les journaux du Systme de Dtection dIntrusion (Intrusion Detection System en anglais, do IDS) sont relatifs au service de Dtection dIntrusion dIPCop qui agit en fonction des rgles Snort (enregistrement gratuit ncessaire pour pouvoir bnficier de ce service). Dans ces journaux, les attaques sont recenses l aussi sous forme de tableaux. Elles sont tries par date, une priorit est affecte en fonction du type de menace identifi, le nom de celle-ci, son type et ladresse source de lattaque.

60

61

Voici donc un exemple de journal IDS. 62

XV.6
A chaque fois quune modification sera effectue (via linterface web ou non) ou quun vnement arrivera (arrt du systme ou dun service, redmarrage dune interface rseau,) cela figurera dans ce journal.

63

XVI. Sauvegarde
XVI.1 Introduction
Il existe deux types sauvegarde pour IPCOP. Les sauvegardes lgre considr comme des points de restaurations peuvent permettre de revenir une configuration prcdente suite linstallation dun AddOn ou la modification dun paramtre non satisfaisant. Ces sauvegardes sont trs peu encombrantes (quelques dizaines de Ko) sous forme de fichier en .dat Le second type de sauvegarde se fait sur disquette, trs utile en cas de plantage. En effet tous vos paramtres vont tre restaurs tels quils ltaient lors de la sauvegarde, sans intervention de votre part : mot de passe, rglage IP) MAIS ATTENTION LES MISES A JOURS ET LES ADDONS NE SONT PAS CONCERNE. XVI.1.1 Sauvegarde lgre sur disque dur Nous nous rendons dans longlet systme puis le sous menu Sauvegarde :

Nous pouvons choisir dentrer un mot de passe pour la sauvegarde.

Nous entrons ensuite le nom de la sauvegarde puis cliquons sur Crer la sauvegarde

64

Nous voyons apparatre cette sauvegarde en bas de la page :

Arriver ici nous pouvons dcider de conserver cette sauvegarde sur le disque dur dIPCOP ou bien lexporter sur le pc dadministration. Pour cela nous cliquons sur la petite disquette Et une fentre de tlchargement apparat.

XVI.1.2 Sauvegarde lgre sur cl USB Nous branchons ntre cl USB et nous voyons apparatre dans la fentre de sauvegarde :

sda1 qui correspond notre cl USB ? nous la slectionnons puis cliquons sur monter

65

Comme prcdemment nous indiquons le nom de la sauvegarde puis cliquons sur crer la sauvegarde.

L nous ne somme pas oblig de lexport car notre sauvegarde se trouve sur notre cl USB. Mais nous avons un listing des sauvegardes

XVI.1.3 Mthode complte A laide du logiciel partimage

66

XVII. Restauration
XVII.1 Restauration lgre
XVII.1.1 Restauration depuis le disque dur dIPCOP Nous allons dans longlet Systme puis le sous menu Sauvegarde. Nous slectionnons la dernire sauvegarde stable dans la liste qui nous est fournis :

Nous cliquons sur : de la colonne Action Nous devons slectionner si nous restaurons uniquement IPCOP ou IPCOP et les paramtres matriels :

Puis apparat alors :

Nous redmarrons IPCOP. XVII.1.2 Restauration depuis le disque dur du PC dadministration Pour cela nous faisons dans longlet Systme puis Sauvegarde.

67

Nous cliquons sur Parcourir. Nous slectionnons lendroit o se trouve la sauvegarde.

Puis Importer :

Cette sauvegarde apparat dans la liste des jeux de sauvegardes :

Nous venons de transfrer la sauvegarde sur IPCOP. Nous procdons alors comme la restauration prcdente (voir ici)

68