Jump to content

Archived

This topic is now archived and is closed to further replies.

uranus49

[Tuto][Débutant] IPCOP

Recommended Posts

Bonjour à tous.

Bon aller c'est parti je me lance. Je vais vous détailler ( en plusieurs jours, je suis pas speedy gonzales du clavier ) comment installer et administrer IPCop. Sieur tomg à déja créer un topic sur lequel beaucoup de réponses ont été données. Comme IPCop est le sujet de mon projet, j'ai penser que partager les connaissances que j'ai acquises pourraient rendre service à ceux qui sont dans la mélace :-D

Je vais essayer de poster chaque jour ( sauf le week faut pas abuser ) en espérant que les admin m'en laisse l'honneur ( quoi? fayot ??).

Sur ce bonne lecture...

C'est parti....

IPCop permet de sécuriser son réseau local relativement simplement. La config' que j'ai utilisé est un céléron 400 avec 10 Go de DD et 192Mo de RAM.

- Le modem configuré sera dans l'exemple un speedtouch ADSL en ethernet.

- Derrière IPCop se trouvera un serveur FTP et Web et un autre serveur Web.

:pleure:

-----1. Installation et Configuration d'IPCop

-----1.1 Qu'est ce que IPCop?

-----1.2 Les interfaces réseau

-----1.2.1 Interface réseau Rouge

-----1.2.2 Interface réseau Verte

-----1.2.3 Interface réseau Orange

-----1.2.4 Interface réseau Bleue

-----1.3 Installation et configuration pas à pas

-----1.3.1 Installation

-----1.3.2 Configuration initiale

-----2. Administration d'IPCop

-----2.1 Accès à l’interface Web et au shell

-----2.2 Le service DHCP

-----2.3 Paramétrer le modem

-----2.4 Administration depuis l’extérieur

-----2.5 Limiter les risques d’attaque

-----3. Accéder aux serveurs internes depuis la zone Rouge

-----3.1 La redirection des ports

-----3.2 Avant de passer à la suite

-----4. Les addons et les derniers réglages

-----4.1 Restreindre l’accès à Internet du réseau Vert

-----4.1.1 Principe et politique d’IPCop et de Netfilter

-----4.1.2 On bloque tout en sortie

-----4.1.3 Ouvrir des portes

-----4.2 D’autres addons

-----4.2.1 RedMac

-----4.2.2 Time Limit

-----4.3 derniers réglages

-----5. La surveillance et les journaux

-----5.1 Connaître ses faiblesses en scannant les ports

-----5.2 Les journaux

-----5.2.1 Configuration des journaux

-----5.2.2 Journaux du pare-feu

-----5.2.3 Journaux Système

-----5.3 Snort et le journal IDS

-----5.4 Addons supplémentaires pour la surveillance

-----5.4.1 IPTstat

-----5.4.2 NetTraffic

-----5.4.3 Tripwire

-----5.4.3.1 Présentation

-----5.4.3.2 Mise en œuvre

Share this post


Link to post
Share on other sites

1. Installation et Configuration d'IPCop :

1.1 Qu'est ce que IPCop?

IPCop est un projet Open Source basé sur une distribution Linux optimisée destinée à assurer la sécurité d’un réseau (local ou internet) et de l'ensemble des ordinateurs qui y sont reliés. Utilisant très peu de ressources systèmes, il peut être installé même sur un très vieux PC (ordinateur avec processeur à 233 MHz, 64 Mo de mémoire vive et 100 Mo de disque dur) et fera office de firewall très performant. De plus, la possibilité d'ajouter des plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil à la fois fiable et évolutif.

Nous utiliserons un PC processeur Celeron 400 MHz avec 192 Mo de RAM et 10 Go de disque dur.

1.2 Les interfaces réseau :

Dans IPCop, on peut définir jusqu'à quatre interfaces réseau définies par des couleurs selon les besoins. Il faut donc autant de cartes réseau que d'interfaces souhaitées.

1.2.1 Interface réseau Rouge :

Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger les autres réseaux (
Vert
,
Bleu
,
orange
) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau
Rouge
.

1.2.2 Interface réseau Verte :

Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

1.2.3 Interface réseau Bleue :

Ce réseau optionnel nous permet de regrouper les périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau
Vert
sauf par le biais d'oeilletons (“inholes”) volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

1.2.4 Interface réseau Orange :

Ce réseau optionnel nous permet d'isoler sur un réseau séparé les serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux
Vert
ou
Bleu
, à moins d’établir volontairement un oeilleton (“DMZ pinholes”). Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Nous n’utiliserons que deux interfaces, La
rouge
et la
verte
. Nous avons donc besoin de deux cartes réseau, de préférence de type et de marque différentes afin de mieux les repérer.

Il nous faut aussi un Hub afin de relier entre eux les différent ordinateurs de la zone
verte
.

Share this post


Link to post
Share on other sites

1.3 Installation et configuration pas à pas :

1.3.1 Installation :

1/ Commençons par télécharger la derniere version d’IPCop sur www.ipcop.org (1.4.10).

2/ Plaçons le CD IPCop dans le lecteur de CD du PC IPCop.

Appuyons sur Entrée à l’écran de boot.

Lors du démarrage, beaucoup de messages informatifs venant du noyau défilent à l'écran.

Nous n’avons pas à nous soucier de ces messages à moins qu'un problème dû au matériel ne survienne. Dans ce cas, la séquence de démarrage s'arrête.

Après quelques secondes, l'écran permettant de sélectionner la langue de la procédure d'installation est affiché. Sélectionnons le français de préférence

Remarque : sur cet écran comme sur tous les autres durant l'installation, la souris n'est pas active. Pour déplacer le curseur sur les éléments à l'écran, nous utilisons la touche Tab ainsi que les touches fléchées. Pour sélectionner un élément, pressons la touche Espace. Pour accepter le choix d'une langue, c’est la touche Entrée.

Sélectionnons le support d'installation. Dans la mesure où nous souhaitons installer depuis le CD-ROM, nous sélectionnerons la ligne CDROM, on utilise la touche de tabulation jusqu'au bouton Ok et Entrée pour valider ce choix.

3/ IPCop va maintenant partitionner et formater le disque dur. À la suite de quoi il installera sur ce disque les fichiers nécessaires. Appuyons sur Entrée.

À ce moment, nous avons la possibilité de restaurer les fichiers de configuration d'IPCop depuis une disquette de sauvegarde.

Sélectionnons le bouton Passer et pressons la touche Entrée pour valider.

4/ L'installation d'IPCop se poursuit avec la configuration de la carte réseau de l'interface Verte (eth0). Nous pouvons laisser IPCop trouver notre carte réseau et déterminer les paramètres à donner au pilote de périphérique. Sélectionnons le bouton Rechercher et pressons la touche Entrée pour laisser IPCop détecter notre configuration matérielle.

Si nous choisissons le bouton Sélectionner, nous rechercherons manuellement la carte réseau et devrons spécifier le module à installer.

Le processus d'installation nous demande ensuite d'indiquer l'adresse IP à assigner à l'interface Verte (réseau local). Nous choisirons l’adresse 192.168.0.1 avec le masque 255.255.255.0.

Les composants d'IPCop ont été installés sur le disque dur. Retirons le CD IPCop du lecteur de CD et, si elle est présente, la disquette de démarrage du lecteur de disquette. Ok pour continuer.

1.3.2 Configuration initiale :

5/ L’installation se poursuit avec la mise en place d'une configuration initiale du système.

Le premier écran vous permet de configurer le clavier.

L'écran suivant vous demande d'indiquer le fuseau horaire dans lequel nous nous situons. Europe PARIS ou GMT +1.

Nous devons ensuite donner un nom d'hôte à IPCop. Ici ipcop, qui est la valeur par défaut convient bien.

Nous devons maintenant donner un nom de domaine à la machine IPCop.

Si vous possédez un nom de domaine, indiquez-le ici. Si vous n'en possédez pas ou si vous ne souhaitez pas l'utiliser, vous pouvez très bien accepter la valeur par défaut, localdomain.

Ce nom de domaine sera automatiquement utilisé comme suffixe de nom de domaine du serveur DHCP en cas d’activation du service DHCP pour l’interface Verte (nous verrons cela plus tard).

6/ La configuration d'IPCop se poursuit avec l'activation et la configuration de l'ISDN (notre modem est un speedtouch 510 ADSL, désactivons donc ISDN).

7/ Maintenant, nous devons configurer les interfaces réseaux de notre machine. Le Menu de configuration réseau nous guidera au travers de plusieurs étapes nous permettant de les faire reconnaître par IPCop.

Share this post


Link to post
Share on other sites

8b1f71ccd1414ca9d5079b6267db0549.jpg

Type de configuration réseau : Le modem speedtouch sera branché sur l’interface Ethernet Rouge (Eth1). Sélectionnons le type de configuration GREEN + RED. Dans la logique, on préferera placer le serveur web dans la zone orange, mais dans notre cas, il n'y a pas de proxy ni de données extremement sensible. La configuration de la redirection est la même que pour la zone verte ( voir plus loin ). Il suffit de configurer les pinholes si l'on veut un accès au serveur de la zone orange depuis la zone verte.

Affectation des pilotes et des cartes :Comme pour l’interface Verte (eth0), nous allons rechercher et installer la carte réseau de l’interface Rouge (eth1).

Configuration de l’adresse : L’adresse de l’interface Verte a déjà été renseignée. Sélectionnons RED. Bien que le modem ADSL soit aussi serveur DHCP, nous allons renseigner une adresse statique pour notre interface Rouge. Sachant que l’interface eth0 du modem est 10.0.0.138 nous allons donner 10.0.0.1 à eth1 d’ipcop.

Configuration du DNS et de la passerelle : Comme DHCP est désactivé sur l’interface Rouge, il nous faut renseigner les serveurs de nom et la passerelle par défaut. Nous sommes dans l’exemple chez Wanadoo, nous allons renseigner les adresses IP des DNS de Wanadoo 80.10.246.2 et 80.10.246.119. La passerelle par défaut de eth1 est eth0 du modem soit 10.0.0.138.

Dans le menu de configuration réseau, allons sur Continuer.

8/ Nous pouvons maintenant configurer le serveur DHCP d'IPCop au niveau de eth0.

Le protocole DHCP (Dynamic Host Configuration Protocol) permet à chaque ordinateur client d'obtenir au démarrage les paramètres de configuration de leur interface pour s'intégrer au réseau. Nous pourrons modifier ces paramètres plus tard.

Adresse de départ : 192.168.0.50, Adresse d’arrivée : 192.168.0.60

DNS primaire : 192.168.0.1 (IPCop dispose d’un cache DNS), DNS secondaire : 80.10.246.2 (le serveur DNS primaire de la zone Rouge).

Nous n’utiliserons pas ici le suffixe de nom de domaine, libre à chacun de le laisser ou non.

9/ L'étape suivante consiste à renseigner les mots de passe de l'utilisateur root et de l'administrateur web (admin).

Notons que le curseur ne bouge pas lorsque l’on tape les mots de passe. Ils sont néanmoins bien pris en compte.

Cet identifiant et ce mot de passe nous sera demandé lors de l'accès aux pages web d'administration d'IPCop. Les navigateurs web ne gèrent pas toujours correctement les caractères spéciaux dans les mots de passe. Donc, à la différence du mot de passe de l'utilisateur root, il est recommandé de ne composer celui d'admin que de caractères alphanumériques minuscules.

10/ L'installation de notre IPCop est maintenant terminée. Pressons le bouton Ok pour redémarrer. Au redémarrage de la machine, nous devrons parfaire les paramétrages de votre IPCop depuis l'interface web d'administration.

Share this post


Link to post
Share on other sites

2. Administration D’IPCop :

2.1 Accès à l’interface Web et au Shell :

Maintenant qu’IPCop est redémarré, nous pouvons brancher un ordinateur sur le hub du réseau Vert. Cette machine cliente doit être configurée en DHCP (adressage automatique). Ouvrons une console cmd (démarrer --- Exécuter --- cmd) et tapons la commande ipconfig, notre adresse IP doit se situer entre 192.168.0.50 et 192.168.0.60.

Ouvrons le navigateur (Internet Explorer ou autre) et tapons l’adresse http://192.168.0.1:81 ou https://192.168.0.1:445. Le port 81 sera automatiquement redirigé vers le port 445 (HTTP sécurisé). L’interface d’administration apparaît après avoir accepté le certificat. Connectons-nous avec l’utilisateur admin.

Nous allons aussi télécharger le logiciel putty afin de se connecter au shell de l’IPCop (http://www.google.fr/search?hl=fr&q=telecharger+putty&meta=). Exécutons putty puis connectons-nous sur 192.168.0.1 par le port 222 en protocole ssh. La commande setup nous permet alors de modifier les paramètres réseaux, mais il faut avant tout régler les paramètres ssh dans l’interface web comme ceci. (system ---> accès ssh)

26c51ceaa524bb2317f9af309edc2841.JPG

2.2 Le service DHCP :

Dans la partie Menu Services, allons dans DHCP :

22c932b1d0695c9bc1056bbc625e8b7b.png

Tout d’abord, il n’est pas obligatoire de préciser le suffixe DNS.

Dans serveur DNS secondaire, indiquons l’adresse du serveur DNS primaire de Wanadoo si ce n’est pas déjà fait : 80.10.246.2.

30313fc00d225b45215c266afec5eea4.png

Pour des facilités de redirection de ports, nous allons déterminer des adresses IP fixes pour un serveur FTP et Web ainsi que pour un autre serveur web.

Indiquons les adresses mac puis les adresses IP : dans l’exemple le serveur FTP+Web aura l’adresse 192.168.0.10 et le serveur TSE 192.168.0.11

2.3 Paramétrer le modem :

Selon la marque et le type de modem, les paramètres sont très changeants.

Dans les grandes lignes :

Si le modem fait serveur DHCP : Désactivons ce service, en effet notre interface Rouge dispose d’un adressage statique.

Si le modem est routeur : Nous pouvons tout autoriser en entrée comme en sortie, les restrictions se feront au niveau de notre IPCop.

Prenons garde à ce que l’adresse eth0 du modem soit de la même classe que eth1.

Si la configuration du modem est bonne, les clients du réseau Vert peuvent maintenant se connecter sur Internet. IPCop bloque tous les accès entrants et autorise tous les accès sortants. Pour restreindre les accès en sorties, il faut configurer IPTables ( nous verrons ça après).

2.4 Administration depuis l’extérieur :

On peut accéder à l’interface d’administration ou au shell d’IPCop depuis l’extérieur du réseau, c'est-à-dire depuis la zone Rouge. Allons dans Pare-Feu ---> Accès externe.

5e63f82d1723f9b09d8e403cb31f16ce.JPG

On ajoute deux nouvelles règles. Les ports de destinations se limitent aux ports 445 (HTTP sécurisé), 222 et 113 (authentification). Pas besoin d’ouvrir plus. Pour se connecter, il nous faudra alors taper l’adresse pppoe fournie par notre FAI, ici : https://89.102.54.19:445.

Notons que l’on peut préciser les adresses qui pourront se connecter à distance.

2.5 Limiter les risques d’attaque :

Le port 445 est peut-être un port sécurisé mais il est aussi visé par des attaques, si bien que certain FAI le bloque carrément. Pour éviter de se trouver trop à découvert ou pour pouvoir se connecter depuis l’extérieur, il nous faut alors changer le port d’écoute.

Sur le shell, directement sur IPCop ou avec putty depuis le réseau Vert :

Tapons la commande :

vi /var/ipcop/header.pl

e5ee20924b7a5b3cb31e78d9c488dfb0.JPG

Allons chercher la ligne print « location …etc…, dans l’exemple nous avons décidé que le port serait le 4445. Appuyons sur Inser pour écrire dans le fichier. Puis, pour quitter en sauvegardant, appuyons sur Echap puis la commande :wq (write and quit).

Il nous faut, de la même manière modifier un autre fichier à deux endroits : tapons

vi etc/httpd/conf/httpd.conf

8e451a875fdf2c1bcb6326dc8427963f.JPG

N’oublions pas de changer, dans l’interface web (accès externes), le numéro du port https, en effet, le 445 ne nous sert plus à rien, dans l’exemple nous le remplaçons par 4445.

Share this post


Link to post
Share on other sites

3. Accéder aux serveurs internes depuis la zone Rouge :

3.1 La redirection des ports :

Afin de donner l’accès aux serveurs depuis l’Internet, il est nécessaire d’ouvrir des portes. IPCop bloque tout en entrée par défaut. Nous, nous n’avons besoin que d’ouvrir les ports TCP 21 (FTP), 80 (http) et d’ouvrir la porte au protocole GRE.

En gros, GRE (Generic Routine Encapsulation) est considéré comme un protocole de niveau supérieur, qui sera transporté par IP. Pour IP, GRE est donc quelque chose à transporter, au même titre que TCP, UDP, ICMP (ping) ...

Il est possible d'ouvrir plusieurs tunnels depuis un hôte donné.

Il est conçu pour pouvoir encapsuler n'importe quel protocole de niveau 3 dans IP. Pratiquement, le plus souvent, de l'IP dans de l'IP. GRE va transporter des paquets de niveau 3 (IP, IPX...), ce sera de l'IP le plus souvent.

bbb683fa936780bb1b1a9d894f782548.JPG

Ici, Les Protocoles TCP, de Port source 20 et 21 sont ouverts vers les ports de destination 20 et 21 vers l’adresse IP de destination 192.168.0.10. Il ne faut pas laisser le port 20 (FTP-Data) car cela laisse une porte ouverte inutilement. Pas de port à préciser pour le protocole GRE dans IPCop.

Pour le serveur Web, nous allons feinter. Au lieu d’ouvrir le port 80 du serveur web, nous allons lui donner le port 15000. Dans le tableau transfert de port, nous indiquerons le port source 80 et le port de destination 15000.

NB : Dans le cas où nous voudrions utiliser un serveur TSE, il faudrait changer le numéro du port bureau à distance. En effet, le port 3389 est facilement "écoutable".

Pour changer le numéro du port bureau à distance sous Windows XP Pro :

1. Démarrons l'Éditeur du Registre (Démarrer  Exécuter  regedit).

2. Recherchons la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

3. Dans le menu Edition, allons sur Modifier, puis sur Décimale.

4. On tape le nouveau numéro de port, puis OK.

5. Quittons l'Éditeur du Registre.

3.2 Alias IP :

Comme nous avons deux serveurs webs dans le réseau local, il faut rediriger les données non pas seulement en fonction des ports, mais des adresses. Telle adresse avec le port 80 sera dirigé vers tel site. On peut spécifier plusieurs adresses IP pour une carte réseau avec ifconfig.

ifconfig eth1:0 222.222.222.222

Ce qui donne une deuxième adresse à eth1.

Dans le cas d'entreprise, FT nous a fourni une plage de sept adresses IP. Sur IPCop, nous allons aller dans la partie réseau ---> alias pour spécifier toutes les adresses de la plage pour la même carte.

Notons que si vous ne disposez pas de plusieurs adresses IP routées sur Internet, sachez que vous pouvez créer plusieurs sites mais que les redirections se feront par le service DNS grâce aux en-têtes IP (si je me trompe, n'hésitez pas à m'envoyer un MP.

Une fois l'alias défini, dans la partie redirection de port, on constate que l'on peux choisir la deuxième adresse à la place de l'IP par défault. Le reste se passe comme cité plus haut.

3.3 Avant de passer à la suite :

Si le modem fait office de routeur (ici pour le speedtouch 510 c’est le cas), après avoir configuré ce dernier pour rediriger tout le trafic vers eth1, c'est-à-dire 10.0.0.1, le serveur FTP doit être accessible en tapant cette adresse : ftp://89.102.54.19, où 89.102.54.19 est l’adresse fournit par FT (voir les schémas). Le serveur Web est accessible en tapant l’adresse http://89.102.54.19.

Toujours sur le même écran d’administration d’IPCop, si l’on clique sur le crayon rouge, on peut préciser les accès externe, ici tout le monde sur Internet peut accéder au serveur.

Share this post


Link to post
Share on other sites

4. Les addons et les derniers réglages :

eb7b0bc0a4616d0f5888bfe2def3081b.jpg

4.1 Restreindre l’accès à Internet du réseau Vert:

4.1.1 Principe et politique d’IPCop et de Netfilter :

La politique d’IPCop est de tout fermer en entrée et tout autoriser en sortie. Cette politique apparaît clairement dans le fichier /etc/rc.d/rc.firewall.

L’administration par le navigateur nous permets d’écrire simplement et de manière plus conviviales les règles dans ce fichier. Voici la politique par défaut.

/sbin/iptables –P INPUT DROP

/sbin/iptables –P FORWARD DROP

/sbin/iptables –P OUTPUT ACCEPT

Voici le schéma de fonctionnement de Netfilter, le pare-feu. IPTables est le nom de la commande qui nous permet d’écrire dans le fichier de configuration de Netfilter rc.firewall. Les cibles INPUT ET FORWARD pointe sur DROP (refuser) dans les deux premières règles. Ce qui veut dire que tout ce qui vient d’Internet est bloqué, on règle ensuite les accès (voir partie 4). Dans la troisième règle, la cible OUTPUT pointe sur ACCEPT, ce qui veut dire que tout ce qui passe par la machine locale IPCop peut aller sur Internet. Etant donné que nous devons prendre les commandes sur une machine distante, il vaut mieux fermer la cible OUTPUT et ouvrir des portes de façon explicite.

Pour cela, nous allons installer un addon, BlockOutTraffic, qui nous permettra de disposer de commandes graphiques. Téléchargeons-le sur

2aaa77afd474a772a26c8dd9e2917cb3.JPG

Pour l’installer, il nous faut une disquette. On copie le fichier téléchargé sur cette disquette puis on la met dans le lecteur du serveur.

Avec putty, ouvrons une session. Voici les commandes pour monter une disquette ou un cd-rom sur un système Linux.
mkdir –p /root/addon/serveur

cp /mnt/floppy/addons-2.3-CLI-b2.tar.gz /root/addon/serveur

cd /root/addon/serveur

Nous allons “détarer” se fichier et installer l’applicatif :
tar xvfz addons-2.3-CLI-b2.tar.gz

cd addons

./addoncfg –i ( ./setup pour les autres addons )

Recommençons la même manipulation pour les autres addons ou installez les à l'aide de l'interface web ( partie addons ).

4.1.2 On bloque tout en sortie :

Maintenant, retournons sur l’interface d’administration web, nous voyons deux options supplémentaires. Cliquons sur Gérer le traffic sortant. Il faut éditer les premiers paramètres. En exécutant la commande ipconfig /all sous Windows, l’adresse MAC (adresse physique de la carte réseau, elle désigne un unique hôte) apparaît. Il faut choisir un ordinateur du réseau Vert ( ici 192.168.0.10 )qui administrera le pare-feu. Notez qu’il est tout de même intéressant de laisser une porte pour entrer depuis la zone Rouge (voir 2.4).

Le port Https par défaut sera ici le 4445. Cochons les cases Lien autorisé, connexions établies et Journaliser les paquets ne correspondant pas à une règle de BlockOutTraffic. On refuse tout par défaut et on pointe ce refus sur drop. Il n’y aura pas besoin du mode avancé
;)
Enregistrons et activons BOT. Les ordinateurs du réseau vert ne peuvent plus rien faire (même pas pinger). Seules les communications autorisées en entrées sont autorisée à sortir (Lien autorisé, connexions établies). Ex : une requête FTP venue de l’extérieur sera établie mais le serveur FTP ne peut naviguer sur des pages web.

694b3d5db5472037c8fe3a5cba45af5d.JPG

4.1.3 Ouvrir des portes :

C’est bien sympathique, mais si nous voulons utiliser le ping pour dépanner, ou si nous souhaitons aller momentanément sur Internet, il faut ouvrir des portes. Ici, nous allons ouvrir les ports pour les requêtes ICMP, DNS et HTTP. Allons dans la configuration avancée du BOT. Nous avons la liste de tous les services que BOT connaît et qui nous permet d’ouvrir des portes, le protocole DNS utilise le port TCP 53. Cependant, dans le cas ou nous utiliserions un serveur proxy, c’est le port 8080 (et non le 80) qui serait indiqué dans les paramètres de connexion du navigateur (voir dessous).

cbbe8e9f20a264efa1b790ba8410bdaa.JPG

Pour spécifier les requêtes ICMP, en nom de service indiquez « ping », pas de ports, protocole ICMP et le type d’ICMP selon la politique que nous souhaitons appliquer. Nous pouvons spécifier n’importe quel service n’apparaissant pas dans la liste.

Retournons dans gérer le traffic sortant, puis sur nouvelle règle (préciser dans action de la règle ACCEPTER).

104d846fc923ba34e30960a36a370c66.JPG

Ce n’est pas plus compliqué que de fermer les ports en sortie. A noter que le service utilisé est ici le domain(53). On répète cette action pour http et ping.

L’ordinateur 192.168.0.10 à maintenant le droit de pinger partout sauf sur IPCop, il peut exécuter des requêtes DNS (pour trouver des hôtes sur Internet) et HTTP, les règles peuvent être (dés) activées si besoin est. Cette application nous permet d’écrire dans le fichier rc.firewall très simplement.

On peut en outre ajouter une plage horaire pour les règles http et DNS afin que les machines concernée par ces règles puissent se connecter pour se mettre à jour.

Share this post


Link to post
Share on other sites

4.2 D’autres addons :

4.2.1 RedMac :

On peut spécifier une et une seule adresse pour administrer depuis la zone rouge. Installer l’addon RedMAC-1.0-GUI-b1.tar.gz comme pour BOT et l’option suivante apparaît.

Précisons l’adresse MAC de notre ordinateur qui administre depuis la zone Rouge et seul cet ordinateur et 192.168.0.10 (4.1.2) sont autorisés à administrer. (Un mot de passe compliqué est conseillé).

f9e43007a1067d48cb702bb12a339521.JPG

4.2.2 Time Limit :

L’addon TimeLimit s’installe comme les autres addons et permet de couper toute connection des machines concernées par la/les règle(s) que l’on crée. Par exemple, la nuit, où personne ne travaille, il est inutile de mettre à disposition des données.

eaf29d565e4459d0adfa1be18937562a.JPG

192.168.0.0/24 désigne toutes les machines du réseau vert. Notons que cette règle s’applique pour tous les jours de la semaine et le weekend. Ce qui fait que cet addon est limité par rapport à la gestion des plages horaire de BOT.

Vous pouvez télécharger des addons IPCop sur ce site
. Attention, certains addons laissent derrière eux des trous de sécurité assez importants. Il existe un forum actif sur IPCop ici
et des informations supplémentaires ici
.

4.3 Derniers réglages :

IPCop peut se synchroniser sur des serveurs de temps sur Internet. Cela permet une certaine homogénéité dans le réseau protégé.

On peut effectuer des sauvegardes par disquettes de la configuration d’IPCop, ce qui peut être très utile en cas de crash.

On peut aussi désactiver le ping dans les options du firewall pour les interfaces verte et rouge.

Et enfin, ne pas oublier de mettre à jours le système et les addons soit en réinstallant soit en effectuant les Updates dans Mises à jour.

Share this post


Link to post
Share on other sites

5. La surveillance et les journaux :

5.1 Connaître ses faiblesses en scannant les ports :

Même si IPCop est très sécurisant pour le réseau, Chacun des ports que nous ouvrons est une cible potentielle pour un hacker. Quels sont les ports ouverts, pour répondre à cette question, nous allons utiliser nmap. Dans le site de sourceforge, indiqué plus haut, se trouve l’addon nmap, à installer comme addons-2.3-CLI-b2.tar.gz dans la partie 4.1.1.

Nmap permet de pouvoir prévoir les futures attaques, et aussi de pouvoir connaître quels services tournent sur une machine. Une installation faite un peu trop vite peut laisser des services en écoute (des ports ouverts sans que cela ne soit nécessaire) et donc vulnérables à une attaque. Il ne faut pas hésiter pas à utiliser Nmap contre vos serveurs pour savoir quels ports sont en écoute.

Une fois nmap installé tapons la commande suivante pour scanner les ports de l’interface Rouge. Ici l’adresse de Rouge est 172.17.20.50.

# nmap -vv -sS -sV -P0 -p 1-65535 -oN nmap-TCP-result.txt 172.17.20.50

Dans cet exemple, on va utiliser la méthode classique, le « half-open » ou SYN scan couplé à un scan de version . Voici une petite présentation des options. Plus d’information sur les possibilités de nmap sur http://www.insecure.org/nmap/man/fr/.

-vv mode verbeux

-sS Le scan SYN est celui par défaut et le plus populaire pour de bonnes raisons. Il peut être exécuté rapidement et scanner des milliers de ports par seconde sur un réseau rapide lorsqu'il n'est pas entravé par des pare-feux. Le scan SYN est relativement discret et furtif, vu qu'il ne termine jamais les connexions TCP. Il marche également contre toute pile respectant TCP, au lieu de dépendre des particularités environnementales spécifiques comme les scans Fin/Null/Xmas, Maimon ou Idle le sont. Il permet de plus une différentiation fiable entre les états ouvert, fermé et filtré.

Cette technique est souvent appelée le scan demi-ouvert (half-open scanning), car il n'établi pas pleinement la connexion TCP. Il envoie un paquet SYN et attend sa réponse, comme s'il voulait vraiment ouvrir une connexion. Une réponse SYN/ACK indique que le port est en écoute (ouvert), tandis qu'une RST (reset) indique le contraire. Si aucune réponse n'est reçue après plusieurs essais, le port est considéré comme étant filtré. Le port l'est également si un message d'erreur « unreachable ICMP (type 3, code 1,2, 3, 9, 10)

-sV Détection de version : Active la détection de version des logiciels utilisant les ports scannés.

-P0 Pas de scan ping : Cette option évite complètement l'étape de découverte des hôtes de Nmap. En temps normal, Nmap utilise cette étape pour déterminer quelles sont les machines actives pour effectuer un scan approfondi. Par défaut, Nmap n'examine en profondeur, avec le scan des ports ou la détection de version, que les machines qui sont actives. Désactiver la détection des hôtes avec l'option -P0 conduit Nmap à effectuer les scans demandés sur toutes les adresses IP cibles spécifiées. Ainsi, si une adresse IP de classe B (/16) est spécifiée à la ligne de commande, toutes les 65 536 adresses IP seront scannées. Le deuxième caractère dans l'option -P0 est bien un zéro et non pas la lettre O. La découverte des hôtes est évitée comme avec la liste simple, mais au lieu de s'arrêter et d'afficher la liste des cibles, Nmap continue et effectue les fonctions demandées comme si chaque adresse IP était active.

-p Port ranges : Ne scanne que les ports spécifiés. Cette option spécifie quels ports on veut scanner et remplace le comportement par défaut. Les ports peuvent être spécifiés un à un ou par plages (séparés par des tirets, notamment 1-1023).

-oN Sert à journaliser le scan.

Et voici ce que ca donne :

1d04a795541a040016b043d3deafd27b.JPG

Nmap a détecté les ports 445, 81, 222, 53. Le port 445 est le https (4445 dans l’exemple plus haut), le 81 est le port httpd (apache), le 222 est le port ssh et le port 53 est le DNS. Plus bas, on peut observer les versions des logiciels ouvrants ces ports. Le port DNS est logiquement ouvert pour pouvoir se connecter à Internet. Si aucune machine ne se connecte sur le web, les ports 80 et 53 n’ont pas à être ouverts.

Il va falloir renforcer la sécurité locale de chacun des postes utilisant ces ports en conséquence.

5.2 Les journaux :

5.2.1 Configuration des journaux :
Dans la configuration des journaux, on règle le nombre de ligne à afficher par page, le niveau de détail des comptes rendus, le nombre de jours durant lesquels on gardera les résumés ainsi que l’adresse du serveur syslog (si on en a).

5.2.2 Journaux du pare-feu

IPCop inscrit dans ces journaux tous les accès au pare-feu. Exemple :

8c89dc209bb369fbdcffc57b9fe1dea1.JPG

5.2.3 Journaux système

Ici, on journalise toutes les opérations système, par exemple les modifications apportées au niveau de l’interface web, ou le démarrage de telle ou telle interface.

3d6bc303070a665cec3d96c11f147c4c.JPG

5.3 Snort et le journal IDS :

Snort est un système de détection d'intrusion open source, capable d'effectuer en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements de buffers, scans, attaques sur des CGI, sondes SMB, essai d'OS fingerprintings et bien plus.

Sur IPCop il est déjà configuré, nous n’avons plus qu’à l’activer.

f4733c4005a8cd8bdd31b01094d30d01.JPG

Il faut s’enregistrer sur le site snort.org pour les mises à jour des définitions d’intrusions. Ici on va placer des sondes sur les interfaces Verte et Rouge. Ces balises vont capturer tout le traffic louche entrant et sortant de ces interfaces. Les logs sont inscrits de le Journal IDS.

2754957f8566275154e23a14daf7a28b.JPG

Share this post


Link to post
Share on other sites

5.4 Addons supplémentaires pour la surveillance :

5.4.1 IPTstat :

A ce stade, nous avons fais pas mal de modifications dans le script rc.firewall. Pour visualiser les règles IPTables actives, il faut sur le shell taper la commande iptables –L. On constate alors que se n’est pas très clair…

C’est pourquoi l’addon IPTstat permet de visualiser ces règles graphiquement (pas beaucoup plus clairement il est vrai, mais cela nous permet au moins de ne pas quitter l’interface Web ). Une fois l’addon installé, on peut voir trois nouvelles options dans la partie Etat.

5.4.2 NetTraffic :

NetTraffic affiche dans la partie Etat le nombre de MegaBytes qui entrent et qui sortent des interfaces verte et rouge. Très utile pour ensuite régler les débits de connection montant et descendant dans Services  lissage du traffic.

5.4.3 Tripwire :

5.4.3.1 Présentation :

Tripwire est un logiciel de contrôle d’intégrité. Il informe de toutes les modifications apportées à des fichiers importants. Cela permet entre autre d'éviter les chevaux de Troie. Plus qu’un addon, Tripwire est un logiciel à part entière, dont nous allons parler sur plusieurs pages. Il s’installe comme un addon normal.

L’installation copie trois fichiers importants dans le répertoire /etc/tripwire :

twcfg.txt : On y indique l'emplacement et le nom des différents fichiers utilisés par Tripwire. On l’édite avec la commande tripsetup. Il se transforme une fois crypté en tw.cfg.

twpol.txt : Fichier dans lequel se trouvent les règles de police à appliquer. Celui qu'il faut adapter avec le plus de soin. On l’édite avec la commande trippol. Il se transforme en tw.pol une fois crypté

twinstall.sh : Un script qui s'occupe de créer les clés et de crypter les deux fichiers précédents. On l’exécute avec la commande tripinstall. On peut le réutiliser à chaque modification de l'un d'eux.

5.4.3.2 Mise en œuvre :

1/ Une fois installé, tapons la commande tripsetup et indiquons le nom de notre serveur mail à la ligne SMTPHOST, ainsi que le numéro de port à la ligne SMTPPORT (port 25 par défaut).

2/ Editons le fichier twpol.txt avec la commande trippol. Nous allons adapter le fichier des règles de police, indiquer les fichiers ou répertoires à surveiller. On ne surveille pas de la même façon un fichier de log et un binaire. L'un change tout le temps (pour la taille, pas les droits), l'autre ne doit jamais être modifié, ni changé de propriétaire, de droits...etc.

Au début du fichier, la partie @@section GLOBAL définit des variables utilisées dans le fichier et @@section FS définit les règles suivantes.

0c531d4cadd9ff525f38ec572320eaad.JPG

Les règles sont un peu complexes, voici la légende :

Lettre ------ La vérification effectuée

p ----- Permission sur le fichier ou répertoire

i ----- Inode

n ----- Nombre de liens

u ----- id du propriétaire

g ----- id du groupe

t ----- type de fichier

s ----- taille du fichier

l ----- Autorise la taille du fichier à augmenter

d ----- device number du disque où est le fichier

b ----- Nombre de blocs alloués

a ----- heure du dernier accès

m ----- heure de la modification du fichier

c ----- heure de modification de l'inode

C ----- CRC 32 du fichier

M ----- MD5 du fichier

S ----- SHA du fichier

H ----- Haval (signature 128 bits) du fichier

Il n’y a normalement rien à modifier sur le fichier, mais nous allons ajouter un contrôle supplémentaire pour les fichiers rc.firewall, rc.firewall.local et pour le répertoire /etc/snort.

Dans chaque partie du fichier de police, il ya un champ # emailto = <emailadr>,

Si l’on veut un rapport par email, il faut modifier chaque ligne emailto de la sorte :

emailto = xxxx@xxxx.xxx, en n’oubliant pas la virgule à la fin de la ligne.

NB : le signe # en début de ligne empêche cette dernière d’être interprété, cela sert pour les commentaires.

Dans la partie Critical Configuration Files, presque tout en bas du fichier, ajoutons les lignes suivantes :
/etc/snort/ -> $(SEC_BIN) ;

/etc/rc.d/rc.firewall -> $(SEC_BIN) ;

/etc/rc.d/rc.firewall.local -> $(SEC_BIN) ;

La règle SEC_BIN « SEC_BIN = $(ReadOnly) ; », correspond donc à ReadOnly que l’on a vu plus haut.

3/ Une fois le fichier modifié nous allons générer une clé pour crypter les fichiers twcfg.txt et twpol.txt en tw.cfg et tw.pol. Tapons la commande tripinstall. Cette dernière va nous demander deux mots de passe, local keyfile passphrase et site keyfile passphrase.

N’oubliez pas ces mots de passe, ils vous seront redemandés pour chaque mise à jour du fichier de police et de la base que nous allons créer.

4/ Signons maintenant le fichier de police en utilisant la commande
twadmin --create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.

5/ La commande tripwire --init permet de créer la base. Celle-ci est cryptée, pour la voir en clair il faut exécuter la commande
twprint -m d --print-dbfile | less

ou envoyer le résultat dans un fichier comme ceci
twprint -m d --print-dbfile > fichier

6/ On génère un rapport avec la commande tripewire --check que l’on peut aussi rediriger vers un fichier. Le rapport indiquera que le fichier en question a été crée. Certains messages d’erreurs devraient apparaître, c’est normal car on contrôle des fichiers et des dossiers qui n’existent pas 

N’oubliez pas de mettre à jour la base et les fichiers tw.cfg et tw.pol à chaque modification !

7/ Pour faciliter l’administration, nous allons créer une tâche automatique qui chaque jour, maillera le rapport à notre adresse et le sauvegardera dans un fichier texte.

Pour cela, utilisons la commande fcrontab –e, un fichier texte apparaît, tout en bas du fichier, tapons la ligne suivante.
# Rapport journalier de tripwire à 9h, sauf le weekend

00 09 * * 1-5 tripwire --check > /root/check

00 09 * * 1-5 tripwire --check --email-report

Tripwire est maintenant opérationnel. Testons-le en ajoutant un espace dans un fichier et en faisant un checking. Le rapport doit détecter un changement dans le fichier en question.

Share this post


Link to post
Share on other sites

Et bien voilà, c'était plus court que prévu ( merci copier-coller). Maintenant on peut se détendre et en rouler un :francais:

Avec de l'habitude, IPcop s'installe et se configure en une demi heure. Je le trouve nettement plus simple que zone alarm ou tout autre firewall personnel windows mais il faut bien sur laisser une machine constamment allumée.

IPcop fonctionne sur les *Box et tous les modems en général, bien que je conseille vivement l'interface ethernet à l'usb qui pose des problèmes de déconnexion. Pour des détails sur le paramétrage des modems, voyez le forum ixus.net ( ou posez moi la question, je vous indequerai la réponse ).

Serait -il possible de placer les posts intercalés à la fin de ce tuto ou à la page 2? merci. ;)

;)

Merci de m'avoir lu, je reste ouvert à toutes les question.

Cordialement

uranus49 ---------------------------> perdu dans l'espace

Share this post


Link to post
Share on other sites

j'ai édité ton topic pour rajouter les décorations d'usage dans le titre (flèche et balise, j'ai pas mis le niveau je sais pas encore :yes: )

fait gaffe aux couleurs, ca passe pas super sur le skin noir (va voir le topic des règles de la section pour plus d'info)

je lis et je rajoute dans la liste des meilleurs tuto (j'aime bien lire avant ^^) dès que je peux :byebye:

Share this post


Link to post
Share on other sites

Bonjour et merci pour le nettoyage des posts intercalés :francais:

j'ai pas mis le niveau je sais pas encore :D )

Pour le niveau, je dirais débutant, une fois que l'on est familiarisé avec l'interface, tout ce fait très rapidement.

fait gaffe aux couleurs, ca passe pas super sur le skin noir (va voir le topic des règles de la section pour plus d'info)

C'est fait :-D

je lis et je rajoute dans la liste des meilleurs tuto (j'aime bien lire avant ^^) dès que je peux :smack:

:mdr:

:pastaper:

Sinon je me mettrai peut être à faire un tuto sur les service réseaux sous linux et sur SaMBa.

Si y'en a pas déja bien sur 8)

Share this post


Link to post
Share on other sites

:byebye::yes::byebye:

tiptop le topic !

je rajoute les liens qui vont bien où je peux... au niveau de la config minimale il faut quoi pour IPCOP (que j'enrichisse le topic) ?

PS

re ;)

Share this post


Link to post
Share on other sites

au niveau de la config minimale il faut quoi pour IPCOP ?

La config minimum est un processeur de 233 MHz, 64 Mo de ram ET 100 Mo de disque dur.

A noter que si l'on souhaite rajouter l' addon pour Squid, il est conseillé d'avoir un minimum de 256 Mo de RAM.

Au plaisir :byebye:

Share this post


Link to post
Share on other sites

au passage, j'avais pas vu le "pas loin de Nantes" :)

chouette un compatriote !!

PS topics "pourquoi/comment passer au libre" et "config minimale" à jour :p

Share this post


Link to post
Share on other sites

Mise à jour du tuto dans quelques temps, en ce qui concerne la DMZ :francais:

D'ailleurs si vous avez des info ence qui concerne la zone bleue (wifi ), ca m'interesse comme ca le tuto sera vraiment complet.

Share this post


Link to post
Share on other sites

rhaaaaa, c'est la misère pour la dmz... le projet va pas voir le jour. En même temps la DMZ se résume à ça : commentcamarche

Je précise encore que la zone Orange n'a qu'un niveau de sécurité intermédiaire, et qu'il est vivement déconseillé d'y mettre des infos confidentielles. On peut y mettre un serveur web ou ftp avec des donnée sans risques et/ou un relai smtp, qui se chargerait d'envoyer les mails (logique :byebye: ).

Ouvrir un pinhole est un trou de sécurité, il faut être prudent.

Les hotes situé sur la DMZ s'appellent "hôtes bastion". L'intéret d'une DMZ est significatif lorsque le réseau vert abrite des utilisateurs ( ce n'est pas le cas dans ma situation ).

Pour le wifi, ipcop.org propose un bon howto :)

super tuto :chinois:

est-ce qu'un .pdf ou un .odt est dispo :yes:

Voici un lien pour le PDF. Il n'est valable que 7 jours. n'hésitez à poser des question ou a poster pour proposer des précisions.

:transpi:

Share this post


Link to post
Share on other sites

×
×
  • Create New...