Pare-Feu

I. Présentation A partir du menu de configuration du pare-feu d’IPCOP, il est possible de configurer des accès externes afin d’effectuer des tâches de maintenance et d’administration sur votre serveur depuis l’extérieur, c’est-à-dire depuis le WAN et donc le réseau dit « ROUGE/RED » pour IPCOP. Ainsi on pourra autoriser uniquement l’adresse IP d’une machine à accéder sur le port 445 uniquement à notre serveur IPCOP depuis le WAN. Le fait d’autoriser qu’une seule adresse IP ou à la limite que quelques unes permet de garder une couche de sécurité au niveau des accès depuis le réseau « dangereux » représenté par l’extérieur. Bien sûr, vous pourrez autoriser la connexion depuis n’importe quel adresse IP mais je ne vous le conseil pas. Il vaut mieux se limiter à quelques adresses IP de confiances. La version d’IPCOP utilisée dans le cadre de ce tutoriel est la version 1.4.20 mais c’est applicable pour la version 2.0.x, le principe restant le même. II. Configuration Nous

I. Présentation Pour accéder avec une machine depuis le réseau ROUGE vers une machine sur le réseau GREEN d’IPCOP, il est nécessaire d’utiliser la fonctionnalité du transfert de port afin d’ajouter une règle dans le pare-feu qui autorise l’accès. Par défaut, tous les accès vers les machines du réseau sécurisé (GREEN) sont interdits par les machines du réseau non-sécurisé (RED), IPCOP remplit son rôle de pare-feu afin de protéger les hôtes du LAN. On appelle aussi cette fonctionnalité « port forwarding » et dans le cas d’IPCOP cela se met en place grâce à des règles IPTABLES puisqu’IPCOP utilise cette application pour jouer le rôle de pare-feu. Ainsi, nous pourrons dire que lorsqu’on accède à l’interface ROUGE d’IPCOP sur le port 8080 on doit être redirigé vers le port 80 du poste de travail qui a la fonctionnalité de serveur web, ayant pour adresse IP « 172.16.0.1 », et, qui se situe dans le LAN (réseau GREEN). C’est d’ailleurs ce

I. Présentation La distribution IPCOP permet l’administration à distance via le protocole SSH en se connectant par mot de passe. Il est également possible de mettre en place une connexion SSH sécurisée par l’utilisation d’une paire de clés asymétriques. La clé publique restera toujours sur le serveur IPCOP, tandis que le poste utilisé pour la connexion à distance devra disposer de la clé privée. Une clé privée qui devra être au préalable converti avec l’utilitaire « PuttyGEN » afin d’être compatible et utilisable avec Putty. Dans le principe, dans un premier temps, la paire de clés doit être générées sur le serveur IPCOP grâce à la commande adéquate. Ensuite, on autorisera la clé publique auprès du serveur IPCOP pour qu’il ait confiance en cette clé. Dans un deuxième temps, la clé privée doit être transférée sur le poste client pour être utilisée lors d’une connexion. Il est important de préciser que cette clé privée doit être conservée précieusement puisque c’est

I. Présentation Des mises à jour système pour IPCOP sortent de temps en temps, et, fort heureusement il ne faut pas tout réinstaller à chaque fois. Par exemple, si vous installez IPCOP 1.4.20, vous pouvez y ajouter la mise à jour 1.4.21 ou si vous installez IPCOP 2.0.3, vous pouvez installer la mise à jour 2.0.4. Tout cela via l’interface web ! II. Téléchargement de la mise à jour Avant d’installer la mise à jour d’IPCOP, il faut bien évidemment la télécharger. Deux possibilités s’offrent à nous : – Sur le site ipcop.org, téléchargez « Latest update » qui à ce jour est la version « 2.0.4 ». – Dans l’interface web d’IPCOP, allez dans « Système » puis « Mises à jour ». Ensuite, cliquez sur « Actualiser la liste des mises à jour » et téléchargez la plu récente en cliquant sur l’icône de téléchargement (icône vert avec la flèche). Note : Le téléchargement des mises à jours

I. Présentation Lorsqu’on utilise un proxy en mode « non-transparent » il est possible de demander à l’utilisateur de s’authentifier pour pouvoir utiliser le proxy. Cette authentification peut être de différentes natures selon ce que l’on souhaite, voici celles proposées par IPCOP : – Aucune authentification : libre accès, – Authentification locale : stockage des logins et mots de passe dans un fichier, – Authentification identd : utilise la base des utilisateurs du système d’exploitation du client, – Authentification LDAP : utilise un annuaire utilisant le protocole LDAP comme Active Directory ou OpenLDAP. – Authentification Windows : utilise les utilisateurs Windows, – Authentification Radius : utilise un serveur Radius pour l’authentification. Dans ce tutoriel, on va voir l’authentification locale, c’est-à-dire en utilisant des identifiants directement stockés en local sur le serveur IPCOP. C’est simple à mettre en place et ne nécessite pas de mettre en place de système supplémentaire mais ce n’est pas sécurisé. II. Accès aux paramètres du proxy