Une brève introduction à IP Cop

Gazette Linux n°125 — Avril 2006

Deny

Adaptation française

Joëlle Cornavin

Relecture de la version française

Article paru dans le n°125 de la Gazette Linux d'avril 2006.

Article publié sous Open Publication License. La Linux Gazette n'est ni produite, ni sponsorisée, ni avalisée par notre hébergeur principal, SSC, Inc.


Table des matières

1. Qu'est ce qu'IP Cop ?
2. Installation
3. Configuration
4. Remarques ici et là

Il y a quelque temps, un ami attira mon attention sur IP Cop. À l'époque, cela semblait passionnant, mais j'étais occupé à d'autres tâches. Maintenant que j'ai eu l'occasion de m'y intéresser un peu, IP Cop, il s'est avéré extrêmement intéressant et sera probablement un élément essentiel de mon environnement informatique.

1. Qu'est ce qu'IP Cop ?

C'est une passerelle, un routeur et un pare-feu, qui fonctionne avec DHCP. En fait, intrinsèquement, tout ce dont le petit réseau local (LAN, Local Area Network) a besoin pour se connecter sans risque à l'Internet.

Installez IP Cop, et vous pourrez oublier /etc/hosts. Qui se soucie des adresses IP, de toute façon ? Des pare-feux ? Pourquoi ? IP Cop est votre interface vers le monde extérieur, et il ne comporte pratiquement aucun service actif — ainsi, il y a peu à attaquer, voire presque rien..

Plus sérieusement, il ne dispense pas d'être vigilant et ne peut vous protéger contre les dommages venant de l'intérieur, les chevaux de Troie, les virus et similaires. Examinons donc de plus prés l'installation et la configuration d'IP Cop, puis voyons ce qu'il peut faire.

Avant tout, comme son nom l'indique, IP Cop dirige le trafic à une intersection sans feux de circulation — en l'occurrence, le trafic IP. C'est une distribution Linux spécialisée qui fonctionne en tant qu'interface entre vous, votre(vos) réseau(x) interne(s) et le monde extérieur — l'Internet. Côté Internet, il présente un profil très modeste, n'offrant pratiquement aucun service. Il établit également une distinction entre votre réseau local (LAN, Local Area Network) (dans la terminologie d'IP Cop : vert), un éventuel réseau local sans fil (WLAN, Wireless Local Area Network) (bleu) et une zone démilitarisée (DMZ, DeMilitarized Zone) (orange). Étrangement, l'Internet lui-même est rouge.

Mais cela va bien plus loin. Dés lors qu'IP Cop fait partie de votre réseau, il n'est plus nécessaire d'affecter des adresses IP. Indiquez-lui simplement la plage d'adresses à employer, et il effectuera cette tâche dynamiquement. Au cas où les PC que vous connectez à votre réseau se comportent assez bien pour fonctionner avec DHCP (Dynamic Host Configuration Protocol, protocole de configuration dynamique). Sinon, vous pouvez aisément le faire à la main.

2. Installation

Le manuel d'installation d'IP Cop indique qu'elle peut être faite en 15 minutes environ, une fois que vous avez réuni les informations requises. C'est correct... mais actuellement, je peux certainement arriver à installer une distribution SuSE en à peine plus de temps... les yeux bandés. Malheureusement, n'ayant jamais installé d'IP Cop auparavant, il m'a fallu un peu plus de temps.

Ne m'en veuillez donc pas si, dans ce qui suit, j'entre un peu plus dans les détails que vous ne le souhaiteriez.

IP Cop a été conçu pour employer des ressources modestes afin d'assurer la sécurité. Selon le manuel d'installation, il a été testé avec un 386, 32 Mo de mémoire vive et un disque dur de 300 Mo. En fonctionnement, il n'exige ni clavier ni moniteur. Et l'installation — contrairement à la configuration — est également minimaliste. Clavier et moniteur sont l'un et l'autre nécessaires mais en mode texte, lequel n'est certainement familier qu'aux anciens utilisateurs de DOS.

Un autre aspect à considérer dans votre projet d'installation d'IP Cop est le fait qu'il occupe le disque dur entier. Vous en serez averti et pourrez annuler. IP Cop veut être le seul occupant et propriétaire du disque sur lequel il réside. Mais c'est ingénieux : un disque de 4 Go est beaucoup plus qu'il ne lui en faut réellement, et la moitié de cette capacité suffirait probablement pour un petit réseau local.

Voici donc comment j'ai procédé durant l'installation :


        Current config: GREEN
Done
        DHCP server configuration
<space>         (to enable)
        Start address:
192.168.1.1
        End address:
192.168.1.30
<OK>
        root password
root
        admin password
admin
        setup is complete
<OK>

Ce fut assez pour placer IP Cop sur le disque dur, mais il faut encore un peu plus d'informations en mode texte. Ainsi, nous nous connectons en tant que root et nous saisissons : setup. (Entre les [ et ] suivants, indiquez les options sur l'écran que j'ai ignorées.)


[Keyboard mapping]
[Timezone]
[Hostname]
[Domain name]
ISDN configuration
        Protocol/Country
                Euro (EDSS1)
        [Set additional module parameters]
        ISDN card
                *AUTODETECT*
                        AVM PCI/PNP (EXPERIMENTAL)
        Local phone number
                02206608913
        Enable ISDN
Networking
        Network configuration Type
                GREEN (RED is modem/IDSN)
        [Drivers and card assignments]
        [Address settings]
        [DNS and Gateway settings]

À ce stade, IP Cop était fonctionnel sur le PC et il était possible de faire un ping de celui-ci depuis d'autres PC sur le réseau.

3. Configuration

Outre qu'il n'offre presque aucun service vers l'extérieur, IP Cop limite de façon stricte ce que root et admin peuvent faire. En tant que root, on peut se connecter au PC sur lequel tourne IP Cop, mais on ne peut ajuster que quelques réglages initialement configurés pendant l'installation, telles que RNIS par rapport à un modem, etc.

L'administration s'effectue au travers du réseau — désormais sécurisé — depuis une autre machine. Connectons donc un ordinateur portable équipé de SuSE 10 — jusqu'à présent inutilisée — et voyons ce qu'il faut faire.

Puisque nous n'avons encore rien fait en matière de gestion réseau sur cette machine, contactons manuellement le serveur DHCP via IP Cop pour obtenir une adresse IP, puis examinons l'écran suivant :


web@LohgoDell:~> su
Password:
LohgoDell:/home/web # dhcpcd -B
LohgoDell:/home/web # ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:14:22:DF:EB:80
          inet addr:192.168.1.30  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::214:22ff:fedf:eb80/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:346 (346.0 b)  TX bytes:1814 (1.7 Kb)
          Interrupt:9
LohgoDell:/home/web # netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.1.0     *               255.255.255.0   U         0 0          0 eth0
loopback        *               255.0.0.0       U         0 0          0 lo
default         ipcop.lohgo     0.0.0.0         UG        0 0          0 eth0
LohgoDell:/home/web #

Cela semble vraiment correct, IP Cop s'est même configuré lui-même en tant que passerelle par défaut ! À présent, comme nous pouvons demander à Mozilla d'accéder à IP Cop sur https://ipcop:445, nous pouvons passer à la configuration :

Comme nous sommes juste à côté de la machine IP Cop, nous savons que l'identité est correcte et qu'il n'y a aucun risque à accepter le certificat de manière permanente.

Il n'y a pas de problème.

Aucun problème ici non plus.

Ce qui précède est la home administrative window (page d'accueil d'administration) d'IP Cop. Placer simplement le curseur au-dessus de l'un quelconque des onglets de la seconde des deux lignes d'onglets commençant par SYSTEM fait apparaître un menu déroulant affichant des actions appropriées. Pour faire autre chose que vous connecter (dial et vous déconnecter (hang up, vous devez saisir le nom et le mot de passe de l'administrateur. Ma première mission était d'aller dans SystemBackup pour enregistrer sur disquette ce qui était fait jusqu'ici.

Voici un aperçu de ce qu'IP Cop a enregistré sur la disquette :

Je suis allé ensuite dans ServicesProxy et j'ai coché Enabled on green ainsi que Transparent on green. N'oubliez pas que green est la terminologie propre à IP Cop pour notre réseau local dont le rôle consiste à protéger contre le reste du monde. Dans l'onglet ServicesTime Server, j'ai alors remplacé pool.ntp.org par quelque chose de plus raisonnable :

Puis, sous l'onglet NetworkDialup, il était nécessaire d'établir un profil de numérotation et de spécifier ISDN comme interface. Sous Reconnection, j'ai coché manual et Dial on Demand for DNS. Sous Authentication, j'ai saisi le nom d'utilisateur et le mot de passe fourni par le FAI.

À ce stade, établir une connexion à l'Internet était très facile : dans la home administrative window, il suffit de cliquer sur connect :

À présent, dans une autre fenêtre de l'ordinateur portable, il était possible de faire un ping -c 3 www.google.com ! Tout ceci sans modifier /etc/hosts ou faire autre chose pour configurer un réseau que d'exécuter dhcpcd.

4. Remarques ici et là

Certaines des fenêtres d'IP Cop sont trop grandes pour tenir sur l'écran et il est nécessaire de les faire défiler. Ce comportement fait qu'on oublie les boutons du fond Save et Refresh au bas de la page. Veillez à cliquer dessus quand ils sont présents, sinon vos changements seront tout simplement oubliés.

Bien que vous puissiez être amené à sélectionner une plage différente d'adresses IP à faire gérer à IP Cop, il est par ailleurs peu judicieux de changer les paramètres relatifs à la communication au travers du réseau local. C'est aussi une très mauvaise idée de le faire ceci après la configuration initiale, puisque toute l'administration se déroule dans une interface web sur le réseau. Si la connexion vient à échouer, il sera peut-être impossible de réparer. Il n'est pas possible d'effectuer l'administration sur une machine exécutant IP Cop.

IP Cop est bien plus complet que ce que nous avons vu ici. Il comprend la détection d'intrusion, de nombreux journaux, la mise en forme du trafic, etc.

Pour le moment, j'ai encore peu d'expérience avec IP Cop mais je l'utiliserai à l'avenir. Pour les petites structures informatiques désignées sous l'acronyme SOHO (Small Office/Home Office), il offre de nombreux avantages. Mon problème, comme d'habitude, était la documentation, non qu'elle fût absente ou succincte. Pour l'essentiel, tout ce dont qu'on doit savoir s'y trouvait, mais pas à l'endroit où j'en avais besoin !

Pour conclure, ce logiciel est réellement impressionnant et la documentation comporte les informations nécessaires pour l'installer, le configurer et le faire fonctionner. Mais — je je le répète — naviguer dans la documentation peut se révéler difficile.

Néanmoins, à long terme, pour quiconque a plus de deux machines à installer, IP Cop devrait vous récompenser de vos efforts.

Edgar est consultant dans la région de Cologne et de Bonn (Allemagne). Son travail quotidien consiste à assister ses clients pour établir la paie, à maintenir d'anciens programmes IBM® en assembleur, quelques autres en COBOL à l'occasion et par ailleurs à utiliser QMF, PL/1 et DB/2 sous MVS.

Note

Sera rejeté tout message électronique dont le sujet ne contient pas « linuxgazette ».

Adaptation française de la Gazette Linux

L'adaptation française de ce document a été réalisée dans le cadre du Projet de traduction de la Gazette Linux.

Vous pourrez lire d'autres articles traduits et en apprendre plus sur ce projet en visitant notre site : http://wiki.traduc.org/Gazette_Linux.

Si vous souhaitez apporter votre contribution, n'hésitez pas à nous rejoindre, nous serons heureux de vous accueillir.