Copyright © 2006 Edgar Howell
Copyright © 2006 Deny
Copyright © 2006 Joëlle Cornavin
Article paru dans le n°125 de la Gazette Linux d'avril 2006.
Article publié sous Open Publication License. La Linux Gazette n'est ni produite, ni sponsorisée, ni avalisée par notre hébergeur principal, SSC, Inc.
Il y a quelque temps, un ami attira mon attention sur IP Cop. À l'époque, cela semblait passionnant, mais j'étais occupé à d'autres tâches. Maintenant que j'ai eu l'occasion de m'y intéresser un peu, IP Cop, il s'est avéré extrêmement intéressant et sera probablement un élément essentiel de mon environnement informatique.
C'est une passerelle, un routeur et un pare-feu, qui fonctionne avec DHCP. En fait, intrinsèquement, tout ce dont le petit réseau local (LAN, Local Area Network) a besoin pour se connecter sans risque à l'Internet.
Installez IP Cop, et vous pourrez oublier /etc/hosts
. Qui se soucie des adresses IP, de toute façon ? Des pare-feux ? Pourquoi ? IP Cop est votre interface vers le monde extérieur, et il ne comporte pratiquement aucun service actif — ainsi, il y a peu à attaquer, voire presque rien..
Plus sérieusement, il ne dispense pas d'être vigilant et ne peut vous protéger contre les dommages venant de l'intérieur, les chevaux de Troie, les virus et similaires. Examinons donc de plus prés l'installation et la configuration d'IP Cop, puis voyons ce qu'il peut faire.
Avant tout, comme son nom l'indique, IP Cop dirige le trafic à une intersection sans feux de circulation — en l'occurrence, le trafic IP. C'est une distribution Linux
spécialisée qui fonctionne en tant qu'interface entre vous, votre(vos) réseau(x) interne(s) et le monde extérieur — l'Internet. Côté Internet, il présente un profil très modeste, n'offrant pratiquement aucun service. Il établit également une distinction entre votre réseau local (LAN, Local Area Network) (dans la terminologie d'IP Cop : vert), un éventuel réseau local sans fil (WLAN, Wireless Local Area Network) (bleu) et une zone démilitarisée (DMZ, DeMilitarized Zone) (orange). Étrangement, l'Internet lui-même est rouge.
Mais cela va bien plus loin. Dés lors qu'IP Cop fait partie de votre réseau, il n'est plus nécessaire d'affecter des adresses IP. Indiquez-lui simplement la plage d'adresses à employer, et il effectuera cette tâche dynamiquement. Au cas où les PC
que vous connectez à votre réseau se comportent assez bien pour fonctionner avec DHCP (Dynamic Host Configuration Protocol, protocole de configuration dynamique). Sinon, vous pouvez aisément le faire à la main.
Le manuel d'installation d'IP Cop indique qu'elle peut être faite en 15 minutes environ, une fois que vous avez réuni les informations requises. C'est correct... mais actuellement, je peux certainement arriver à installer une distribution SuSE en à peine plus de temps... les yeux bandés. Malheureusement, n'ayant jamais installé d'IP Cop auparavant, il m'a fallu un peu plus de temps.
Ne m'en veuillez donc pas si, dans ce qui suit, j'entre un peu plus dans les détails que vous ne le souhaiteriez.
IP Cop a été conçu pour employer des ressources modestes afin d'assurer la sécurité. Selon le manuel d'installation, il a été testé avec un 386
, 32 Mo de mémoire vive et un disque dur de 300 Mo. En fonctionnement, il n'exige ni clavier ni moniteur. Et l'installation — contrairement à la configuration — est également minimaliste. Clavier et moniteur sont l'un et l'autre nécessaires mais en mode texte, lequel n'est certainement familier qu'aux anciens utilisateurs de DOS
.
Un autre aspect à considérer dans votre projet d'installation d'IP Cop est le fait qu'il occupe le disque dur entier. Vous en serez averti et pourrez annuler. IP Cop veut être le seul occupant et propriétaire du disque sur lequel il réside. Mais c'est ingénieux : un disque de 4 Go est beaucoup plus qu'il ne lui en faut réellement, et la moitié de cette capacité suffirait probablement pour un petit réseau local.
Voici donc comment j'ai procédé durant l'installation :
Current config: GREEN Done DHCP server configuration <space> (to enable) Start address: 192.168.1.1 End address: 192.168.1.30 <OK> root password root admin password admin setup is complete <OK>
Ce fut assez pour placer IP Cop sur le disque dur, mais il faut encore un peu plus d'informations en mode texte. Ainsi, nous nous connectons en tant que root et nous saisissons : setup. (Entre les [
et ]
suivants, indiquez les options sur l'écran que j'ai ignorées.)
[Keyboard mapping] [Timezone] [Hostname] [Domain name] ISDN configuration Protocol/Country Euro (EDSS1) [Set additional module parameters] ISDN card *AUTODETECT* AVM PCI/PNP (EXPERIMENTAL) Local phone number 02206608913 Enable ISDN Networking Network configuration Type GREEN (RED is modem/IDSN) [Drivers and card assignments] [Address settings] [DNS and Gateway settings]
À ce stade, IP Cop était fonctionnel sur le PC
et il était possible de faire un ping de celui-ci depuis d'autres PC
sur le réseau.
Outre qu'il n'offre presque aucun service vers l'extérieur, IP Cop limite de façon stricte ce que root et admin peuvent faire. En tant que root, on peut se connecter au PC
sur lequel tourne IP Cop, mais on ne peut ajuster que quelques réglages initialement configurés pendant l'installation, telles que RNIS par rapport à un modem, etc.
L'administration s'effectue au travers du réseau — désormais sécurisé — depuis une autre machine. Connectons donc un ordinateur portable équipé de SuSE 10 — jusqu'à présent inutilisée — et voyons ce qu'il faut faire.
Puisque nous n'avons encore rien fait en matière de gestion réseau sur cette machine, contactons manuellement le serveur DHCP via IP Cop pour obtenir une adresse IP, puis examinons l'écran suivant :
web@LohgoDell:~> su Password: LohgoDell:/home/web # dhcpcd -B LohgoDell:/home/web # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:14:22:DF:EB:80 inet addr:192.168.1.30 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::214:22ff:fedf:eb80/64 Scope:Link UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1 errors:0 dropped:0 overruns:0 frame:0 TX packets:15 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:346 (346.0 b) TX bytes:1814 (1.7 Kb) Interrupt:9 LohgoDell:/home/web # netstat -r Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default ipcop.lohgo 0.0.0.0 UG 0 0 0 eth0 LohgoDell:/home/web #
Cela semble vraiment correct, IP Cop s'est même configuré lui-même en tant que passerelle par défaut ! À présent, comme nous pouvons demander à Mozilla d'accéder à IP Cop sur https://ipcop:445, nous pouvons passer à la configuration :
Comme nous sommes juste à côté de la machine IP Cop, nous savons que l'identité est correcte et qu'il n'y a aucun risque à accepter le certificat de manière permanente.
Il n'y a pas de problème.
Aucun problème ici non plus.
Ce qui précède est la home administrative window (page d'accueil d'administration) d'IP Cop. Placer simplement le curseur au-dessus de l'un quelconque des onglets de la seconde des deux lignes d'onglets commençant par fait apparaître un menu déroulant affichant des actions appropriées. Pour faire autre chose que vous connecter (dial et vous déconnecter (hang up, vous devez saisir le nom et le mot de passe de l'administrateur. Ma première mission était d'aller dans → pour enregistrer sur disquette ce qui était fait jusqu'ici.
Voici un aperçu de ce qu'IP Cop a enregistré sur la disquette :
Je suis allé ensuite dans Enabled on green
ainsi que Transparent on green
. N'oubliez pas que green
est la terminologie propre à IP Cop pour notre réseau local dont le rôle consiste à protéger contre le reste du monde. Dans l'onglet → , j'ai alors remplacé pool.ntp.org
par quelque chose de plus raisonnable :
Puis, sous l'onglet ISDN
comme interface. Sous , j'ai coché manual
et Dial on Demand for DNS
. Sous , j'ai saisi le nom d'utilisateur et le mot de passe fourni par le FAI.
À ce stade, établir une connexion à l'Internet était très facile : dans la home administrative window, il suffit de cliquer sur :
À présent, dans une autre fenêtre de l'ordinateur portable, il était possible de faire un ping -c 3 www.google.com ! Tout ceci sans modifier /etc/hosts
ou faire autre chose pour configurer un réseau que d'exécuter dhcpcd.
Certaines des fenêtres d'IP Cop sont trop grandes pour tenir sur l'écran et il est nécessaire de les faire défiler. Ce comportement fait qu'on oublie les boutons du fond Save
et Refresh
au bas de la page. Veillez à cliquer dessus quand ils sont présents, sinon vos changements seront tout simplement oubliés.
Bien que vous puissiez être amené à sélectionner une plage différente d'adresses IP à faire gérer à IP Cop, il est par ailleurs peu judicieux de changer les paramètres relatifs à la communication au travers du réseau local. C'est aussi une très mauvaise idée de le faire ceci après la configuration initiale, puisque toute l'administration se déroule dans une interface web sur le réseau. Si la connexion vient à échouer, il sera peut-être impossible de réparer. Il n'est pas possible d'effectuer l'administration sur une machine exécutant IP Cop.
IP Cop est bien plus complet que ce que nous avons vu ici. Il comprend la détection d'intrusion, de nombreux journaux, la mise en forme du trafic, etc.
Pour le moment, j'ai encore peu d'expérience avec IP Cop mais je l'utiliserai à l'avenir. Pour les petites structures informatiques désignées sous l'acronyme SOHO (Small Office/Home Office), il offre de nombreux avantages. Mon problème, comme d'habitude, était la documentation, non qu'elle fût absente ou succincte. Pour l'essentiel, tout ce dont qu'on doit savoir s'y trouvait, mais pas à l'endroit où j'en avais besoin !
Pour conclure, ce logiciel est réellement impressionnant et la documentation comporte les informations nécessaires pour l'installer, le configurer et le faire fonctionner. Mais — je je le répète — naviguer dans la documentation peut se révéler difficile.
Néanmoins, à long terme, pour quiconque a plus de deux machines à installer, IP Cop devrait vous récompenser de vos efforts.
Edgar est consultant dans la région de Cologne et de Bonn (Allemagne). Son travail quotidien consiste à assister ses clients pour établir la paie, à maintenir d'anciens programmes IBM® en assembleur, quelques autres en COBOL à l'occasion et par ailleurs à utiliser QMF, PL/1 et DB/2 sous MVS.
Note
Sera rejeté tout message électronique dont le sujet ne contient pas « linuxgazette ».
L'adaptation française de ce document a été réalisée dans le cadre du Projet de traduction de la Gazette Linux.
Vous pourrez lire d'autres articles traduits et en apprendre plus sur ce projet en visitant notre site : http://wiki.traduc.org/Gazette_Linux.
Si vous souhaitez apporter votre contribution, n'hésitez pas à nous rejoindre, nous serons heureux de vous accueillir.