IPCop : Présentation

• INTRODUCTION

IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la
sécurité et aux services essentiels d'un réseau. Ce système d'exploitation à part entière fonctionne sur une
machine dédiée, et utilise très peu de ressources systèmes (un ordinateur PC équipé de 64 Mo de mémoire vive
et d'un processeur à 233 MHz suffit). Plus concrètement, IPCop va jouer le rôle d’intermédiaire entre un réseau
considéré comme non sûr (Internet) et un réseau que l’on souhaite sécuriser (le réseau local par exemple), tout
en fournissant des services permettant la gestion et le suivi de celui-ci.
Pour ce faire, un ordinateur muni de plusieurs cartes réseau sera nécessaire, alors que l'installation est à la
portée de toute personne possédant un minimum de notions en réseau IP et en système Linux (adressage, ping,
commandes shell de base), pas la peine donc d'être un expert ;-).
Dans ce tutorial nous aborderons dans un premier temps le fonctionnement des interfaces du pare-feu (ou
firewall), les différents services proposés par IPCop, les plug-ins disponibles ainsi que leurs fonctions. Puis,
dans un second temps, nous détaillerons l’installation d’un serveur IPCop avant de conclure en comparant ce
système par rapport à d'autres solutions existantes.
Développé initialement à partir du code source d’un projet similaire nommé SmoothWall, IPCop et celui-ci ont
maintenant pris une orientation différente (cependant la procédure d’installation des deux systèmes reste quasi
identique, ce dossier pourra donc vous servir si vous le souhaitez à installer un serveur SmoothWall…).
La configuration des services via l’interface web d’administration fera quant à elle l’objet d’un futur dossier.

• FIREWALL ET ROUTAGE

La partie firewall d’IPCop se compose de plusieurs interfaces dont chacune peut être ou non utilisée, à
l’exception de l’interface rouge, qui elle, est obligatoire :

• Rouge
Zone du réseau à risque ( Internet ).
• Vert
Zone du réseau à protéger ( réseau local ).
• Bleu
Zone spécifique pour les périphériques sans fil. Il n’est possible de faire communiquer l’interface Verte

Page 1 - 29
 et l’interface Bleu qu’en créant un VPN, des explications de John Bradshaw traduites par Eric Boniface
sont disponibles ici.
• Orange
Zone démilitarisée ( DMZ ), cette zone est considérée comme publique, elle est accessible de l’extérieur
mais ne possède aucun accès sortant (pour des serveurs web par exemple).

Le routage s’effectue de façon automatique entre l’interface d’entrée du trafic (rouge) et les interfaces de sortie
(vert, bleu et orange). Il suffit pour cela que chaque machine possède comme passerelle l'adresse IP de la carte
d'interface derrière laquelle elle se situe (par exemple 192.168.1.1 comme passerelle car il s'agit de l'adresse IP
de l'interface verte).

Voici un exemple plus parlant de schéma réseau réalisable avec IPCop :

IPCop : Services
• SERVICES

Les services permettent de créer différents serveurs, ou tout simplement d'ajouter un rôle afin qu'IPCop soit
plus qu'un simple firewall ( pare-feu ).

Divers services sont disponibles avec IPCop, certains peuvent être désactivés tandis que d’autres qui sont
nécessaires ne peuvent l’être. Seuls les services visibles depuis l'onglet " Etat du système " vont être exposés ici,
bien entendu d'autres sont disponibles mais ils feront l'objet d'un futur dossier concernant l'interface web
d'administration.

Page 2 - 29
Description des services :
• RPV
ce service vous permet de créer un Réseau Privé Virtuel ( VPN pour les intimes ) entre votre IPCop et
un autre IPCop. Il peut etre désactivé si l'on ne fait pas de VPN.
• Serveur CRON
cron est le nom d’un démon ( ou processus ) qui permet de planifier l’exécution de tâches à des dates et
heures définies à l’avance, ce service pourrait être comparé aux " Tâches planifiées " de Windows. Ce
service ne peut être désactivé.
• Serveur DHCP
vous permet de créer un serveur DHCP afin d’allouer dynamiquement une adresse IP, une passerelle et
l’adresse de vos serveurs DNS à des ordinateurs dont les cartes réseau sont configurées en mode « client
DHCP » ( GNU Linux et Mac ) ou « Automatique » ( Windows ). Il peut être désactivé.
• Serveur NTP
il s'agit là d'un service de serveur de temps, ceci permet de synchroniser l'heure de votre IPCop en
fonction de celle d'un serveur NTP d'internet. Il est possible de désactiver ce service.
• Serveur Web
ne peut être désactivé car ce service permet l'accès à l'interface web d'administration.
• Serveur d'accès à distance ( SSH )
vous permet d’accéder à votre serveur IPCop via le protocole SSH (avec PuTTY dont on peut
automatiser les connexions par exemple). il peut être désactivé.
• Serveur d'enregistrement de journaux
vous permet d’avoir des rapports de suivi des événements survenus sur le réseau et les services
(tentatives d’intrusion, trafic sortant et entrant, etc.). Ce service peut être désactivé.
• Serveur d'enregistrement des journaux du noyau
ce service peut être désactivé. Son rôle est d'analyser le noyau du système, vous permettant ainsi de
repérer les erreurs du système.
• Serveur mandataire (proxy)
peut être désactivé. Ce service permet de créer un serveur proxy jouant le rôle de tampon entre les
ordinateurs de votre réseau et Internet.
• Système de détection d’intrusion
peut être désactivé. Il permet d’activer la détection d’intrusion sur les interfaces avec les règles Snort
(inscription gratuite obligatoire sur le site de Snort pour pouvoir profiter de ce service), il est possible de
choisir l’interface sur laquelle on souhaite l’activer ou la désactiver.

IPCop : Plug-ins
• PLUG-INS

Des plug-ins (modules supplémentaires ) peuvent être installés afin d’améliorer des services existants ou afin
d’ajouter des rôles supplémentaires à votre serveur IPCop.
• AdvProxy
Advanced Proxy est, comme son nom l’indique, un serveur proxy avancé. Il enrichit ainsi les options
existantes au niveau du proxy d’IPCop, son installation est nécessaire pour pouvoir utiliser et activer le
plug-in URL Filter.

• URL Filter
Ce plug-in vous permettra d’effectuer un filtrage d’url afin d’interdire l’accès à certaines catégories de

Page 3 - 29
 sites web (contenu pornographique, violence, drogue, hack, warez, etc.).

• CopFilter
On ne peut pas vraiment définir CopFilter de plug-in tellement l’étendu de ce qu’il apporte à IPCop est
importante. CopFilter regroupe en fait un ensemble de plug-ins permettant d’effectuer un contrôle
antivirus sur les e-mails entrants, de stopper le spam ( pourriel ), d’effectuer des tâches de monitoring,
etc.

Remarque : tous les plug-ins s'installent et se désinstallent de la même façon. Pour installer un plug-in il vous
suffit de télécharger le fichier d'installation sur votre ordinateur, de le copier sur votre serveur IPCop à l’aide de
l’utilitaire WinSCP (attention il faut utiliser le port 222 et non le port 22 par défaut) puis enfin de taper ces
commandes en SSH :
• tar -xzf –ipcop-NomDuPlugin-VersionDuPlugin.tar.gz
• ipcop-NomDuPlugin/install

Une fois installés, les plug-ins seront disponibles immédiatement dans l’interface web (aucun redémarrage n’est
nécessaire).

Pour désinstaller un plug-in il suffit de taper dans le Shell la commande :

• ipcop-NomDuPlugin/uninstall

Cette liste de plug-ins n’est bien sûr pas exhaustive, il s’agit là uniquement des plug-ins les plus connus pour
IPCop. A noter qu' AdvProxy et URL Filter sont également disponibles pour SmoothWall.

Attention :
Certains plug-ins, comme CopFilter, nécessitent des ressources systèmes plus importantes qu’un IPCop de base
(il faut alors compter sur un PC équipé d'un processeur à 350 Mhz et de 256Mo de mémoire vive).

IPCop : Configuration matérielle

• CONFIGURATION MATERIELLE

Etant dépourvu de tout élément non nécessaire au bon fonctionnement du système (pas de couche graphique,
commandes et services non utiles supprimés, etc.), IPCop ne nécessite pas une grosse configuration pour
fonctionner convenablement (un ordinateur PC ayant un processeur à 233 Mhz et 64 Mo de mémoire vive suffit
pour un réseau d’une vingtaine de postes).

Cependant votre machine devra posséder au moins autant de cartes réseaux que d’interfaces que vous comptez
exploiter (sauf si vous utilisez un modem pour l’interface rouge) ainsi qu’un lecteur CD-ROM pour effectuer

Page 4 - 29
l’installation. Il peut être également utile d’ajouter un lecteur de disquettes si l’on souhaite effectuer et restaurer
des sauvegardes.

A titre indicatif, la configuration matérielle minimale est un processeur de type 386, 32Mo de RAM, un disque
dur de 300Mo, et une carte réseau (si vous utilisez un modem).

La liste des cartes réseaux et des modems compatibles avec IPCop peut être consultée ici, il arrive que certains
modèles qui ne figurent pas dans la liste soient tout de même reconnus, cependant pour éviter d'éventuels
problèmes, il vaut mieux utiliser un périphérique qui figure dans celle-ci...

Un écran et un clavier sont bien évidemment nécessaires pour l’installation, mais dont on pourrait se passer une
fois celle-ci terminée (à condition de désactiver l’erreur correspondant à l’absence de clavier au démarrage dans
le BIOS...).

La souris n’étant pas prise en charge il faudra se déplacer à l’aide de la touche [TAB] dans les menus (un retour
en arrière est possible à l’aide de la combinaison [SHIFT] + [TAB], tout comme sous Windows), ceux-ci
seront validés avec la touche [ENTREE].

Note : Il est conseillé d’utiliser des cartes réseaux de marque ou de modèle différents pour les interfaces, ou
alors de connaitre les adresse MAC de celles-ci. En effet, s'il y a des cartes identiques IPCop ne pourra les
différencier que par leur adresse MAC.
Par ailleurs les cartes réseaux d’une marque à base de chip d’un autre fabricant ne sont pas conseillées car elles
risquent de ne pas être reconnues lors de l’installation (par exemple une carte réseau X à base de chipset de
marque Y qui est reconnu comme un modèle du constructeur Y dans Windows)
IPCop : Tutorial de l' installation (1/3)

Page 5 - 29
 • INSTALLATION

Avant de se lancer dans l’installation d’ IPCop sous la forme d'un tutorial, quelques étapes préalables sont
nécessaires.

Dans un premier temps, vous devrez télécharger une image iso de la dernière version d’ IPCop en suivant ce
lien puis graver celle-ci au moyen d’un logiciel de gravure (CDBurnerXP Pro par exemple).

Une fois l’image gravée sur un CD il faudra vous assurer que votre BIOS est bien configuré pour que votre
ordinateur boot sur le CD-ROM.

Une fois l’ordinateur allumé et le CD d’installation inséré, au boot de la machine cet écran apparait :

Il suffit d’appuyer sur [Entrée] pour confirmer que vous souhaitez bien procéder à l’installation, ensuite celle-
ci démarre.

La langue que vous souhaitez utiliser pendant l’installation vous est alors demandé, suivi d’un message
d’accueil.

Il vous sera ensuite proposé de choisir le type de support d’installation, votre machine n’étant pas forcément
reliée à internet et tous les fichiers nécessaires à l’installation se trouvant déjà sur le CD-ROM, vous
sélectionnerez ce mode d’installation.

Un message de confirmation vous demandant d’insérer le CD d’ IPCop dans le lecteur s’affiche, ce message est
normal, sélectionner [OK].

Page 6 - 29
Ensuite, un avertissement vous informe que votre disque dur va être partitionné et qu'un nouveau système de
fichiers va être installé sur celui-ci, sélectionner à nouveau [OK].

Le partitionnement du disque et l’installation des fichiers commencent alors, cette étape terminée il vous sera
demandé si vous souhaitez ou non restaurer une configuration d’un système IPCop défunt… Cette option est
très pratique si vous désirez créer plusieurs IPCop avec les mêmes réglages à partir de configurations
identiques.

Dans notre cas il s’agit de notre première installation, sélectionner [Passer] pour poursuivre l’installation.

IPCop : Tutorial de l' installation (2/3)

Une nouvelle fenêtre concernant la configuration du réseau s’affiche alors :

Il s’agit ici de rechercher une carte réseau qui sera utilisée pour l’interface verte, une fois cette carte réseau
détectée il vous sera demandé de spécifier une adresse privée : cette adresse correspondra à la passerelle des
ordinateurs du réseau vert.

Note : il est conseillé de faire une recherche plutôt que de sélectionner manuellement une carte dans la liste
(Rappel : les cartes X à base de chipset Y reconnues comme des cartes Y par Windows sont à éviter)

Sélection de l’adresse IP de l’interface verte, par exemple 192.168.1.1 :

Un message s’affiche ensuite vous indiquant qu’ IPCop s’est installé avec succès et vous demande de retirer le

Page 7 - 29
CD d’installation du lecteur, une fois le CD éjecté appuyer sur [Entrée].

Le système redémarre alors, l’installation se poursuit et la disposition de votre clavier vous est maintenant
demandée, sélectionner « fr-latin1 » puis [OK], sélectionner ensuite « Europe/Paris » comme fuseau horaire (du
moins si vous êtes en France).

Un nom d’hôte vous sera ensuite demandé, il correspond au nom sous lequel votre serveur IPCop apparaitra sur
le réseau, viendra ensuite le nom de votre domaine (laisser « localdomain » si vous n’en avez pas).

Arrive désormais l’étape de configuration du modem (si existant) :

• Si vous possédez un modem pour vous connecter à Internet, vous pouvez relier celui-ci directement à
votre IPCop, si tel est le cas il vous faudra sélectionner un périphérique dans la liste disponible («
*AUTODETECT* » permet de simplifier la recherche), puis activer le RNIS en poursuivant la suite de
l’installation avec le bouton correspondant. Votre modem sera ainsi défini comme interface rouge.

• Si vous ne possédez pas de modem, sélectionner « Désactiver RNIS (ISDN) » pour poursuivre
l’installation, une de vos cartes réseaux désignera automatiquement l’interface rouge dans la suite du
processus d’installation.

IPCop : Tutorial de l' installation (3/3)

Apparaît alors le choix du type de configuration réseau :

C’est ici que nous allons choisir le type de configuration qu’ IPCop va adopter :

Page 8 - 29
 • choix du type d’interfaces (rouge, verte, bleu et orange)
• affectation des cartes réseaux à une interface
• configuration de l’adressage IP des cartes réseaux
• configuration du serveur DNS et de la passerelle (dans le cas où l’interface rouge n’est pas configurée
via un DHCP ou un modem).

Une fois cette étape terminée, sélectionner [Continuer] pour passer à l’étape suivante.

Désormais il va falloir configurer une adresse pour chaque interface. L’interface rouge peut être statique,
dynamique, PPPoE ou PPTP (si modem) :

Il s’agit ici de définir les adresses IP des différentes interfaces, ces adresses correspondront à la passerelle sur
les postes qui seront connectés derrière ces interfaces.

Concernant les interfaces verte, bleu et orange la configuration est identique :

Si vous n’avez pas activé l’adressage via DHCP ( Dynamique ), il faudra préciser une configuration de la
passerelle et du DNS que l’interface rouge devra utiliser.

IPCop : Accès et commande setup

Une fois le menu de configuration du réseau passé, il vous est possible de créer un serveur DHCP pour
l’interface verte.

Le DHCP permet d’allouer de façon dynamique une adresse IP, une passerelle et des adresses de serveurs DNS
à un client qui se connecte sur le réseau. Ce type de service est très pratique lorsque l’adresse d’un serveur DNS

Page 9 - 29
ou d’une passerelle change : en effet il n’est alors pas nécessaire de reconfigurer tous les postes du réseau ! Il
facilite également l’ajout d’un poste sur le réseau.

Les mots de passe des comptes « root » et « admin » vous seront ensuite demandés, le compte « root » a la
possibilité de se connecter en local ou en SSH à l’ IPCop tandis que le compte « admin » permet d’accéder à
l’interface web d’administration de celui-ci.

Attention :
Même si vous avez sélectionné un clavier français lors de l’installation, celui-ci est encore considéré comme un
clavier QWERTY : il faudra donc en tenir compte lorsque vous saisirez les mots de passe sous peine de
mauvaise surprise lors de la première identification!!

Une fois ces étapes passées, un message vous informe que l’installation est terminée et que l’ordinateur va
maintenant redémarrer.

Vous pourrez désormais accéder à l’interface web d’ IPCop en entrant l'une des adresses suivantes :
• http://AdresseIpInterfaceVerte:81
• https://AdresseIpInterfaceVerte:445

sur le navigateur internet de n’importe quel poste présent sur l’interface verte, par exemple :
• http://192.168.1.1:81

Cliquez sur « Connexion » dans l’interface web pour activer le trafic internet, un nom d’utilisateur et un mot de
passe vous sont alors demandés, le nom d’utilisateur est ici « admin » et le mot de passe correspond à celui que
vous avez défini pendant l’installation.

Une fois l’accès SSH activé dans le menu « Système » vous pourrez utiliser le compte « root » pour accéder au
Shell ou envoyer des fichiers ( plug-ins par exemple ) sur votre serveur IPCop.

Remarque concernant la commande " Setup " :

Tout ce qui a été défini au-delà de l’extraction du CD-ROM d’installation et du redémarrage de la machine,
peut être modifié en tapant la commande « setup » dans le Shell ( en local ou en SSH ).

IPCop : Conclusion

Page 10 - 29
 • CONCLUSION

IPCop permet d’utiliser une machine de récupération, même très vieille (64Mo de RAM, processeur à 233
MHz) pour couvrir les besoins en sécurité internet de la plupart des PME, il vous permettra ainsi de réaliser des
économies par rapport à d’autres solutions disponibles sur le marché réalisant la même tâche.

À la fois complet et léger vous ne pourrez plus vous en passer une fois que vous aurez goûté à son interface
d’administration très simple et intuitive. Par ailleurs ce système ne demande aucune maintenance particulière et
est conçu pour fonctionner non-stop pendant des mois sans avoir besoin de redémarrer.

La possibilité d'ajout de plug-ins et d'effectuer des sauvegardes fait d' IPCop un outil à la fois fiable et évolutif.
Par ailleurs, la facilité d'installation des mises à jour et la non-nécessité de redémarrer est un plus non
négligeable. Seule ombre au tableau : celles-ci ne s'effectuent pas de façon automatique et il faut donc les
vérifier de temps en temps à l'aide de l'onglet prévu à cet effet...

L'avantage du serveur IPCop par rapport à des solutions logicielles est qu'il n'est plus nécessaire d'avoir un
firewall d'installé sur chaque poste du réseau, le serveur se chargeant d'effectuer le filtrage en amont. En
revanche, cela demande tout de même d'avoir un ordinateur supplémentaire qui sera installé sur site. Contrainte
que possède IPCop par rapport à des solutions physiques payantes qui prennent elles moins de place et qui
possèdent parfois des règles de filtrage que l'ont peut un peu plus affiner, mais le coût de ce genre de solution
( surtout si elles gèrent le VPN ) n'a rien à voir avec celui d'un IPCop !

Un dossier concernant l’interface web d’administration est également disponible pour vous perfectionner dans
l'art d'installer et de gérer un serveur IPCop.

IPCop est un système d'exploitation complet basé sur un noyau Linux

optimisé qui est destiné à assurer la sécurité de votre réseau. Après
avoir présenté son fonctionnement et son installation dans un
précédent dossier, nous détaillerons dans ce guide plus en détail
l'interface web d'administration et les services proposés.
IPCop : Présentation de l'interface web d'administration

IPCop est un projet Open Source dont le but est d’obtenir une distribution Linux complètement dédiée à la
sécurité et aux services essentiels d'un réseau. Après avoir passé au crible le principe de fonctionnement et
l’installation de ce système nous allons rentrer un peu plus dans les détails et nous pencher sur la configuration

Page 11 - 29
des fonctions proposées par IPCop à l’aide de l’interface web d'administration de celui-ci.
Chaque menu va être détaillé et expliqué, à l'exception des services qui feront l'objet d'un prochain dossier. Les
moins expérimentés d’entre vous pourront donc découvrir les principes de l'interface web de controle d'IPCop
au travers de ce dossier tandis que les plus expérimentés trouveront un complément d’information à leurs
connaissances.

L’interface graphique d’IPCop se compose de sept onglets (huit si vous utilisez CopFilter), ils font référence
aux différentes possibilités offertes :
• Onglet Système
Tout ce qui concerne de près ou de loin le système en lui-même, c'est-à-dire la vérification et
l'installation des mises à jour, la modification des mots de passes, les sauvegardes, l'activation de
l'accès SSH, et consorts.

• Onglet Etat
Cet onglet concerne l’état général du système ainsi que le suivi de celui-ci : services actifs,
utilisation de la mémoire et du processeur, réglage actuel des interfaces réseau, courbes de trafic et
d’utilisation de la mémoire, connexions actuelles,…

• Onglet Réseau
Le menu réseau fait en réalité référence aux connexions par modem, en effet si l’interface rouge est
composée d’un modem (et non un routeur ou modem-routeur) vous pouvez le configurer et gérer la
connexion de celui-ci dans les menus de cet onglet. Il s'agit là de spécifier les paramètres de
connexion ou d'installer de nouveaux drivers si votre modem n'a pas été reconnu au cours de
l'installation.

Page 12 - 29
IPCop : Présentation de l'interface (suite)
• Onglet Services
Etant donné le nombre de services et d'options de configuration possibles pour ceux-ci, plus de
détails seront founi dans un futur dossier. En revanche vous pouvez consulter un rapide decriptif de
ces services dans notre précédent dossier consacré à la découverte et l'installation d'IPCop.

• Onglet Pare-feu
Comme pour tout bon firewall qui se respecte, il est possible de désactiver le ping et d’ouvrir des
ports pour laisser passer des applications ou même de rediriger ceux-ci pour plus de précision (PAT
pour Port Area Translation).

• Onglet RPVs
Il est possible de créer des réseaux privés virtuels (plus connus sous le nom de VPN pour Virtual
Private Network) pour relier les réseaux locaux de deux IPCop. Ce menu vous permettra de mettre
ces réseaux en place et de contrôler leur état.

Page 13 - 29
 • Onglet Journaux
Obtenir un suivi des évènements au travers de journaux (ou logs) est indispensable pour détecter la
cause de problèmes, qu’il s’agisse du pare-feu, du noyau du système, ou encore des adresses
bloquées par le filtreur d’url.

Nous allons maintenant aborder avec le plus de détails possibles les fonctions proposées dans chacun de ces
onglets.

IPCop : Onglet Système

• SYSTEME
Accueil :
C’est la première page qui s’affiche lorsque l’on tape l’adresse de l’interface web d’administration d'IPCop
dans le navigateur (http://AdresseIpInterfaceVerte:81 pour rappel).

Sur cette page il vous est possible de couper tout le trafic passant par IPCop via le bouton [Déconnexion] (la
connexion s’établit de manière automatique lors du démarrage du serveur), mais également de consulter le
temps depuis lequel la connexion est établie.

D’autres informations relatives à l’interface rouge sont disponibles : nom d’hôte sur le réseau du FAI, date
d’installation de la dernière mise à jour effectuée, également l’heure du serveur et le nombre d’utilisateurs
connectés (à l’interface ou en SSH).

Page 14 - 29
Mises à jour :
Des mises à jour paraissent tous les un à deux mois pour le système, apportant de nouvelles options ou tout
simplement des corrections de bugs.

Les mises à jour s’installent très simplement : il suffit de cliquer sur [Détails], de télécharger le fichier sur le
système local, puis d’uploader ce fichier sur le serveur via les boutons [Parcourir] et [Chargement] de la
page. Il n’est pas nécessaire de redémarrer le serveur pour que les mises à jour prennent effet.

La roadmap (feuille de route) de la version 1.5 d’IPCop prévoit l’automatisation du téléchargement et de

l’installation des mises à jour sur le serveur.

Il est aussi possible dans ce menu de vider le cache du serveur (le /var/log) à l’aide du bouton [Vider le Cache]
prévu à cet effet.

Mots de passe :
Les mots de passes admin (pour l’accès à l’interface web) et dial (utilisateur seulement autorisé a connecter ou
déconnecter la connexion par modem) peuvent être modifiés sur cette page. Ces mots de passes doivent
contenir au moins 6 caractères (plus conseillés). Le mot de passe admin peut également être modifié via la
commande setup en SSH (qui permet par ailleurs de modifier le mot de passe root).

Page 15 - 29
Accès SSH :
L’accès SSH n’est pas activé par défaut, et peut ne pas l’être si l’on ne l’utilise pas. Les clés SSH d’IPCop sont
du type RSA et DSA, elles sont cryptées sur 1024 bits.

Il est possible de refuser le transfert SCP, empêchant ainsi de copier des fichiers sur IPCop avec WinSCP (par
exemple). D’autres options relatives à la version du client SSH utilisé et à l’authentification par mot de passe et
clés publiques sont de la partie.
Bien entendu, toute modification doit être validée à l’aide du bouton [Enregistrer] pour être prise en compte…

IPCop : Onglet Système (suite)

Interface Graphique :
L’interface graphique d’IPCop peut être un petit peu personnalisée, rien de bien transcendant mis à part le choix
de la langue de celle-ci. On peut aussi choisir d’afficher le nom de la machine dans la barre de titre du
navigateur (définit au préalable lors de l’installation du système ou via la commande setup).

Les autres options ne concernent pas directement, ou pas du tout, l’interface graphique mais ont tout de même
leur utilité : autoriser le JavaScript, activer le rafraichissement automatique de la page d’accueil et activer les
bips de connexion / déconnexion (en effet cela permet de savoir si IPCop a fini de démarrer et est connecté
lorsque l’on redémarre celui-ci et que bien entendu il est dépourvu d’écran et autres périphériques).

Toute modification est prise en compte à l’aide du bouton [Enregistrer]. Il est par ailleurs possible de remettre
à zéro celle-ci grâce au bouton [Restaurer les paramètres par défaut].

Page 16 - 29
Sauvegarde :
Comme tout système informatique, les pannes hardware ou software sont rares mais existent. Avec IPCop il est
possible de réaliser deux types de sauvegardes : une première sur la machine, et une seconde sur disquette.

Les sauvegardes sur la machines sont à considérer comme des points de restauration qui permettent de revenir à
une configuration précédente suite à une modification n’étant pas satisfaisante. Plusieurs sauvegardes de ce
type peuvent être créées sur le système, il est d’ailleurs possible de sauvegarder la dernière en date sur
l’ordinateur local et de la restaurer à l’aide des boutons [Parcourir] et [Importer dat].

Les sauvegardes réalisées sur disquettes sont précieuses en cas de panne sévère. En effet, si vous devez
réinstaller complètement le système cette disquette de sauvegarde vous sera demandé à l’installation et vous
fera ainsi gagner un temps précieux (en effet tous vos paramètres vont être restaurés tels qu’ils l’étaient lors de
la sauvegarde, sans intervention de votre part). Bien entendu, si votre IPCop ne contient pas de lecteur de
disquette ou que celui-ci n'est pas monté vous ne pouvez pas effectuer ce type de sauvegarde ;-)

Arrêter :
Il est possible de redémarrer ou d’arrêter le système a distance à l’aide des boutons éponymes.
Depuis la version 1.4.10 d’IPCop vous pouvez également planifier un redémarrage ou un arrêt fixe de votre
machine IPCop (au quart d’heure près).

Page 17 - 29
Crédits :
IPCop est un projet OpenSource sous licence GNU / GPL, toute une communauté de développeurs se charge
donc de maintenir et d’optimiser ce projet. Il est par conséquent normal que le nom de ces personnes apparaisse
sur IPCop. Cette liste est lisible dans cette section. Par ailleurs, les adresses mails de ces personnes figurent si
vous aviez besoin de les contacter pour faire avancer le projet.

IPCop : Onglet Etat

• ETAT :
Les menus de l'onglet « Etat » sont tous à titre informatif. En effet, aucune modification n’est effectuée depuis
ceux-ci, ils sont donc là pour fournir des informations et non permettre une quelconque configuration.

Etat du système :
Ce menu permet, comme son nom l’indique, de consulter l’activité du système. En effet vous obtenez de celui-
ci une vue globale du système et des services.

Page 18 - 29
Les services du système sont listés avec leur état. On remarquera que certains ne peuvent être désactivés à
l’aide de l’interface web, ceci sera surement possible dans les versions futures…

Le résultat de la commande "w" figure aussi, vous permettant ainsi de savoir quel utilisateur est connecté à
IPCop (en local ou en SSH), ce qu’il fait et depuis combien de temps.

Les modules chargés apparaissent également (commande "lsmod"), ainsi que la version du noyau utilisée.

Etat du réseau :
Comme pour le menu système, tout ce qui figure ici est à titre informel, mais non dénué d’intérêt !

Vous retrouverez ici la configuration de vos interfaces réseau classées par couleur.

Pour chaque interface vous aurez l’adresse MAC de la carte utilisée, l’adresse IP allouée (fixe ou DHCP), la
taille de la MTU utilisée, ainsi que l’état du transfert des paquets (commande "ifconfig").
Figurent aussi les entrées de la table de routage et la table ARP (pour Adresse Resolution Protocol),
logiquement la liste devient plus importante lors de l’activation du serveur DHCP…

IPCop : Onglet Etat (suite)

Graphiques système :
Les graphiques systèmes sont très utiles pour évaluer l’utilisation des ressources matérielles (processeur,
mémoire, swap et accès disque), mais permettent également d’identifier les pics de sollicitation des ressources

Page 19 - 29
par plage horaire.

Les légendes des graphiques sont claires, on ne reviendra donc pas dessus ici. Le fait de cliquer sur le graphique
d’un élément affiche les graphiques de cet élément avec d’autres unités temporelles (jour, semaine, mois,
année) vous permettant ainsi d’obtenir une vue d’ensemble de l’utilisation.

Courbes de trafic :
Les courbes de trafic représentent le niveau de sollicitation de la bande passante par rapport au temps, là aussi il
s’agit d’identifier les pics d’utilisation et de saturation du trafic.

Tout comme les graphiques système, lorsque vous cliquez sur un graphique vous obtenez une vue dans une
autre unité de temps.

Page 20 - 29
Connexions :
Il est possible de suivre en temps réel les communications établies entre IPCop et les éléments qui l’entourent.
Le tableau des connexions vous permet de suivre celles-ci, les adresses ip et les ports utilisés y sont répertoriés
ainsi que d‘autres informations (protocole, bail, zone, ack, etc…)

IPCop : Onglet RPVs

• RPVs
L’onglet RPVs ne contient qu’un seul menu du même nom. Vous aurez remarqué que les différents onglets sont
relatifs à des domaines précis, le Réseau Privé Virtuel (RPV, ou VPN en anglais pour Virtual Private Network)
étant un domaine complètement à part au regard des autres catégories proposées par IPCop.

Un VPN consiste à utiliser ce que l’on appelle un protocole de "tunnelisation" (L2M, PPTP, L2P, IPSec,…)
pour relier deux réseaux physiques en utilisant un réseau non sécurisé, mais fiable, la finalité étant que ces deux
réseaux distincts ne forment plus qu’un seul et même réseau.

Le VPN est très à la mode ces derniers temps. En effet, avec la généralisation du haut débit il est moins couteux
pour une entreprise de relier les réseaux de ses agences à l’aide d’un VPN qu’en utilisant une Ligne Spécialisée
(LS, ce qui revient à louer une liaison « directe » partant d’un point A à un point B à un prestataire télécom) qui
est très coûteuse, mais certes plus sure qu’un VPN puisque transitant par un réseau entièrement sécurisé.

Même s’il transite par internet, le VPN est tout de même une technique très sécurisée, avec des systèmes de
chiffrement et des moyens de contrôle plus ou moins puissants selon le protocole que l’on choisira.
Dans le cas d’IPCop c’est le protocole IPSec qui est utilisé. Ce dernier est supporté par la plupart des systèmes
d’exploitations et périphériques actuels (Windows, Linux, Mac OS, …). Il travaille sur une couche de niveau 3

Page 21 - 29
du modèle OSI, ce qui permet d’avoir un suivi de l’activité au niveau du paquet.

Deux modes de VPN sont ici possibles :

• Réseau à réseau : consiste à relier deux réseaux physiques entre eux.
• Système à réseau : consiste à relier une machine nomade au réseau.

Pour créer un nouveau VPN il faut cliquer sur le bouton [Ajouter], sélectionner le mode souhaité puis
[Ajouter], remplir les informations souhaitées et sélectionner la méthode d’authentification :
• Clé partagée (PSK) : il s’agit là d’une "pass-phrase" qui sera connue des deux côtés.
• Générer un certificat : en fonction des informations remplies, un certificat est généré par la machine sur
le principe des clés publiques. Ceci caractérise la partie droite du réseau, la partie gauche s’identifiera
ensuite en faisant Transférer un certificat à partir du certificat de la partie droite (Télécharger le
certificat dans la partie Autorités de certification de la page RPVs) .

On validera ou annulera ensuite avec les boutons correspondants situés en bas de page.

Une fois le VPN créé, on pourra l’activer ou le désactiver avec la case correspondante, redémarrer la
connexion, afficher le certificat, éditer les paramètres de celui-ci ou le supprimer.

Page 22 - 29
Note : Dans le cas de l'utilisation de la zone bleue d'IPCop (Wi-Fi), on pourra la faire communiquer avec la
zone verte à l'aide d'un VPN (voir l'explication).

IPCop : Onglet Pare-feu

• PARE-FEU :
Transfert de ports :
Il s’agit là du Port Address Translation (PAT, parfois aussi nommé Port Forwarding), qui vous permet de
rediriger le flux arrivant sur un port de votre IPCop vers un port d’une machine faisant partie d’une des zones
d’IPCop.

Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Il vous faut donc rediriger les requêtes
HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés par http (ici TCP,
il faudra donc créer une règle pour ce protocole) et rediriger les paquets vers l’adresse IP de votre serveur web
(192.168.1.250 par exemple) sur le port HTTP (80 par défaut, 8080 parfois).

Une fois les redirections créées vous pourrez tout à fait les désactiver, modifier, ajouter d’autres adresses ayant
l'accès (si vous souhaitez effectuer un filtrage précis en fonction des adresses IP pouvant accéder à votre
serveur web), ou tout simplement supprimer cette règle si elle ne vous est plus utile.
La liste des ports en fonction du protocole utilisé est gérée par le IANA (Internet Assigned Numbers Authority)
et est disponible ici.

Accès externes :
Vous pouvez ouvrir des "brèches" dans le fire-wall pour ouvrir complètement un accès au réseau sur un port,

Page 23 - 29
c'est-à-dire que les ports choisis seront complètements ouverts, ceci peut être utile pour autoriser l’accès à
l’interface de configuration ou l’accès en SSH à IPCop depuis la zone rouge (Internet par exemple).

Pour sécuriser un petit peu l'ouverture complète de ces ports, on pourra spécifier quelles adresses IP sont
autorisées à les utiliser (dans le cas d’un serveur FTP dont on connaît les clients par exemple, ou l’adresse IP de
l’administrateur distant).

Options du firewall :
Dans ce menu vous avez la possibilité de choisir quelle interface répondra ou non au ping. On désactivera le
ping pour des raisons de sécurité si on le souhaite (ce qui permet tout de même d’éviter certaines attaques).

IPCop : Onglet Réseau

• RESEAU :
Les menus de cet onglet vous seront utiles dans le cas de l’utilisation de l’interface rouge avec une connexion
par modem. En effet, si vous utilisez une carte réseau pour l’interface rouge cet onglet ne vous sera d’aucune
utilité.

Connexion :
Dans ce menu vous allez pouvoir définir vos paramètres de connexion internet avec vos identifiants. Ces
informations sont en général fournies par votre fournisseur d’accès à internet.

Toutes ces informations (identifiants, modem, serveur DNS,…) peuvent être sauvegardées dans 5 profils, vous
permettant ainsi de vous connecter avec différents abonnements ou avec les paramètres de plusieurs
abonnements de façon très simple sans avoir à ressaisir les données à chaque fois.

D’autres options permettent d’affiner un peu plus les paramètres de base, comme par exemple la possibilité de

Page 24 - 29
se déconnecter au bout d’un certain délai d’inactivité et de se reconnecter automatiquement si besoin avec
même un autre profil si le profil actuel n’arrive pas à établir la connexion.

Remarque : on pourra, si on ne souhaite pas se rendre sur cette page fréquemment, utiliser l'utilitaire Copwatch
pour paramétrer, établir et contrôler la connexion d'IPCop directement sous Windows.

Chargement :
Par défaut IPCop reconnait beaucoup de modems, mais en cas de problème de détection avec le votre, il est
possible de récupérer le driver Fritz!DSL de celui-ci s’il ne fait pas partie de la liste de modems reconnus par
IPCop.

Modem :
Il est possible de personnaliser les réglages propres à la connexion du modem au travers de ce menu.
Attention ceci est réservé à un public averti ! En cas de mauvaise manipulation, vous pourrez remettre les
paramètres par défaut à l’aide du bouton correspondant.

Page 25 - 29
Alias :
Dans le cas où votre FAI vous a fournit une plage d’adresses ip publiques, vous pourrez créer des alias pour que
les adresses de cette plage soient distribuées sur l’interface rouge : dans le menu « Etat du réseau » votre
interface rouge aura ainsi plusieurs adresses ip (utile dans le cas de serveurs web et ftp).

IPCop : Onglet Journaux

• JOURNAUX
Les journaux (ou logs) sont très importants pour un firewall, en effet ils permettent d’obtenir un suivi précis du
type d’attaques les plus fréquentes, ou tout simplement de détecter puis de tracer d’où viennent ces attaques…
Lorsque l’on cliquera sur une adresse IP dans les journaux, une page de whois s’ouvrira alors, permettant
d’obtenir des informations sur l’origine de cette adresse.

Page 26 - 29
Configuration des journaux :
Il est possible via ce menu de paramétrer le type de classement (ordre chronologique ou non), le nombre de
lignes par page, la durée pendant laquelle les résumés des journaux seront conservés ainsi que leur niveau de
détail. Il est par ailleurs possible d’enregistrer ces journaux sur un serveur distant (serveur syslog) : pratique car
dans les cas de plusieurs serveurs on consultera l’ensemble de leurs journaux au même endroit.

Résumé des journaux :

Comme son nom l’indique, on retrouvera ici un résumé des journaux. Il s’agit là de faire un rapide bilan sur les
activités du serveur web (pour l’interface d’administration), le pare-feu et l’espace disponible sur les partitions
montées.

IPCop : Onglet Journaux (suite)

Journaux du pare-feu :
Ce log affiche toutes les connexions établies en direction d’IPCop. Les évènements sont organisés par date,
différentes informations relatives à la communication sont ensuite disponibles sous forme d’un tableau :

Port Adresse
Heure Chaine Interface Protocole IP Source IP Destination Port Destination
Source MAC

Page 27 - 29
Journaux IDS :
Les journaux du Système de Détection d’Intrusion (Intrusion Detection System en anglais, d’où IDS) sont
relatifs au service de Détection d’Intrusion d’IPCop qui agit en fonction des règles Snort (enregistrement gratuit
nécessaire pour pouvoir bénéficier de ce service).

Dans ces journaux, les « attaques » sont recensées là aussi sous forme de tableaux. Elles sont triées par date,
une priorité est affectée en fonction du type de menace identifié, le nom de celle-ci, son type et l’adresse source
de l’attaque.

Journaux Système :
A chaque fois qu’une modification sera effectuée (via l’interface web ou non) ou qu’un évènement arrivera
(arrêt du système ou d’un service, redémarrage d’une interface réseau,…) cela figurera dans ce journal.

IPCop : Conclusion

Page 28 - 29
 • CONCLUSION
L’interface d’administration d’ IPCop rend accessible des choses qui ne le seraient pas forcément s’il fallait
avoir recours à la ligne de commande. Cela permet également et surtout aux personnes n’ayant pas de
connaissances poussées en Linux d’utiliser et de gérer le plus simplement du monde cette distribution.

Il est toutefois possible pour ceux qui le désirent d’effectuer toutes ces manipulations via l’interface SSH, ceci
est cependant réservé aux plus experts d’entre vous.

Un autre dossier va suivre celui-ci et clôturera la " trilogie " des dossiers consacrés à IPCop. Ce futur dossier
concernera les menus de l’onglet Services.

Page 29 - 29