RAPPORT DE STAGE

PROJET : FIREWALL

Réalisé par : HACHCHADI Mohammed

Encadré par : MOUMEN Yassine

2013/2014
 Dédicace
Tout d’abord et avant d’annoncer le 1er mot de mon
rapport, J’aimerais Que ce travail présente mes
respects :

A MES PARENTS :
Grâce à vos tendres encouragements et vos grands
sacrifices, vous avez pu créer le climat affectueux
propice à la poursuite de mes études.
Aucune dédicace ne saurait exprimer mes respects, mes
considérations et mes profonds sentiments pour vous.

A MES FORMATEURS :
Votre générosité et votre soutient m’oblige à vous
prendre en considération sur ce dédicace.

A TOUTES MES AMIES :

Trouvez ici le témoignage d’une fidélité et amitié infinies.

2
Réalisé par : HACHCHADI Mohammed
 Remerciement
Le succès et la réussite de mon stage n’auraient pas été possibles,
sans la participation effective de certaines personnes, qui ont assuré
mon encadrement durant toute la période de formation alternance
prévue dans mon cursus scolaire.

A cet effet, je remercie, en premier lieu, Mr BEGDOURI Mohammed

le directeur Administratif et financier, qui ont eus l’amabilité de nous
autoriser à effectuer notre stage au sein de cette Division.

Pour mon encadrant :

Mr MOUMEN Yassine

Et mes collègues : Zakaria, Said, Abdelhak, Mohcine, Karim..

Que je remercie pour les conseils précieux qu’ils m’ont procurés tout
au long de mon apprentissage.

Je tiens à associer à ces remerciements tous les employés de Cabinet

Begdouri que je ne serais nommé individuellement pour leurs
coopérations et leurs gentillesses, qu’ils trouvent ci l’expression de
ma reconnaissance.

Je tiens également à adresser nos vifs remerciements à mon

formateur Mr Jamal Ben Rahal à qui je n’oublierai jamais
l’enseignement précieux qu’il m’a prodigué, et je le remercie aussi
pour la sympathie qu’il témoigne à mon égard.

3
Réalisé par : HACHCHADI Mohammed
 Avant-Propos
- Les stages professionnels jouent un rôle capital dans la formation
des stagiaires des Instituts de Formation Professionnels, ils sont le
trait entre la théorie et la pratique.

- A cet effet, l’Institut de Formation organise chaque année des

stages pratiques en faveur des stagiaires au sein des établissements
publiques ou privés pour améliorer le rendement de la formation à
l’institut.

- Afin d’atteindre cet objectif, j’ai eu l’occasion d’avoir un stage au

sien du Cabinet Begdouri d’une période de Cinquante jours allant du
02 Févier au 27 Mars 2014.

- J’espère que ce rapport sera apprécié par tous mes dirigeants, mes
enseignants et vous tiendrez au courant de toutes les étapes de ce
stage et activité de l’office.

4
Réalisé par : HACHCHADI Mohammed
 Introduction
De nos jours, la plus part des entreprises possèdent de nombreux
postes informatiques qui sont en général reliés entre eux par un
réseau local. Ce réseau permet d'échanger des données entre les
divers collaborateurs internes à l'entreprise et ainsi de travailler en
équipe sur des projets communs. La possibilité de travail collaboratif
apportée par un réseau local constitue un premier pas. L'étape
suivante concerne le besoin d'ouverture du réseau local vers le
monde extérieur, c'est à dire Internet.

En effet, une entreprise n'est jamais complètement fermée sur

elle-même. Il est par exemple nécessaire de pouvoir partager des
informations avec les clients de l'entreprise.

Ouvrir l'entreprise vers le monde extérieur signifie aussi laisser une

porte ouverte à divers acteurs étrangers. Cette porte peut être
utilisée pour des actions qui, si elles ne sont pas contrôlées, peuvent
nuire à l'entreprise (piratage de données, destruction,...). Les mobiles
pour effectuer de telles actions sont nombreux et variés : attaque
visant le vol de données, passetemps, ...

5
Réalisé par : HACHCHADI Mohammed
Pour parer à ces attaques, une architecture de réseau sécurisée est
nécessaire. L'architecture devant être mise en place doit comporter
un composant essentiel qui est le firewall. Cet outil a pour but de
sécuriser au maximum le réseau local de l'entreprise, de détecter les
tentatives d'intrusion et d'y parer au mieux possible. Cela permet de
rendre le réseau ouvert sur Internet beaucoup plus sûr.

De plus, il peut également permettre de restreindre l'accès interne

vers l'extérieur. En effet, des employés peuvent s'adonner à des
activités que l'entreprise ne cautionne pas, comme par exemple le
partage de fichiers. En plaçant un firewall limitant ou interdisant
l'accès à ces services, l'entreprise peut donc avoir un contrôle sur
les activités se déroulant dans son enceinte.

Le firewall propose donc un véritable contrôle sur le trafic réseau de

l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic
réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été
prévu. Tout ceci sans l'encombrer avec des activités inutiles, et
d'empêcher une personne sans autorisation d'accéder à ce réseau de
données.

6
Réalisé par : HACHCHADI Mohammed
 Partie I :
Présentation de cabinet Begdouri

7
Réalisé par : HACHCHADI Mohammed
1) Présentation de Cabinet BEGDOURI

MOYENS MATERIELS ET TECHNIQUES DU CABINET

Le cabinet occupe un local de 164m² au cinquième étage de
l'immeuble N°10, sise à rue American au quartier de l'Océan.
Le Cabinet Begdouri est doté d'une configuration opérationnelle au
niveau informatique qui lui permet de mener à bien les missions qui lui
confiées. Ainsi la configuration matérielle est constituée de quinze
unités de travail : un serveur, trois stations de travail, sept PC de
bureau et quatre PC portables. Le cabinet dispose aussi de deux
imprimantes A4 laser noir et blanc, d'une imprimante A4 laser
couleur, de deux traceurs A0 couleur, d’une imprimante
photocopieurs A4 et a3 laser noir et blanc, d'une imprimante
photocopieuse A4 et A3 laser couleur et d'une imprimante scanner
photocopieur A0.
Par ailleurs, le cabinet a "également la capacité de mobiliser de
manière instantanée, si nécessaire. Des moyens beaucoup plus
importants compte tenu des relations denses et solides que le
cabinet a pu tisser avec en nombre important de professionnels et de
prestataires de services liés à son champ d'activité. Le cabinet
dispose aussi de trois voitures de services qui sont à la disposition du
personnel pour tous les déplacements sur chantier et visites sur le
terrain.

MOYENS HUMAINS DU CABINET

Grâce à l'expérience professionnelle du Chef de Cabinet aussi dans le
secteur public que dans le secteur privé, le cabinet dispose d'un
réseau relationnel avec des spécialistes-experts dans dévies
domaines liés à l'Architecture, à l'Urbanisme, à l'environnement et à
l'Aménagement du Territoire.
De ce fait, le Cabinet aux capacités de mobiliser - selon les besoins -
les profile de haut niveau.

8
Réalisé par : HACHCHADI Mohammed
L'équipe permanente du cabinet d'architecture Begdouri est
constituée de :
1 - -> Architecte-Urbaniste-Diplôme d-Architecte d.p.l.g : (juin 1980)
Diplôme des Etudes Approfondies (DEA) en Urbanisme (juin 1981)
1 --> Architecte-Diplôme de l'ENA (Octobre 2006)
1--> Géographe Urbaniste doctorant en urbanisme
1--> Informaticien Diplômé des Etudes Supérieures en
Management(ESIG)
1--> Economiste -Licence en sciences économiques (Juliet 2000)
1--> Secrétaire de Direction
1--> Technicien projeteur spécialisé en Architecture(2005)
1--> Technicien spécialisé en Urbanisme(2006)
1--> Technicien métreur(2007)
3--> Technicien dessinateurs(2010)
1--> Technicien infographiste(2007)

D'autres ressources humaines sont associées sans faire partie de

l'agence tels des architectes, économistes, ingénieurs, démographes,
juristes, sociologues et géographes au travaillent, selon la demande,
comme consultants.
Par ailleurs, le Cabinet est ouvert aux étudiants-chercheurs des
Institutions de formation supérieure telles l'Ecole Nationales
d'Architecture, l'Institut National d'Aménagement et d'Urbanisme,
la Faculté des Lettres (Département géographie), ainsi que d'autres
institutions d'enseignement supérieur au Maroc et à l'étranger

9
Réalisé par : HACHCHADI Mohammed
2) Organigramme de Cabinet BEGDOURI

3) Présentation de DSI

Au sein d'une entreprise, le DSI, directeur du service informatique,

est responsable des infrastructures informatiques et télécom.
Le rôle du DSI est de coordonner une équipe (service informatique)
dont l'objectif est de mettre en place et assurer la maintenance des
outils technologiques de l'entreprise.
Si sa fonction était à forte consonance technique il y a encore
quelques années, le DSI endosse aujourd'hui une responsabilité
toujours plus fonctionnelle.
Autrement dit, il est là pour assurer la mise en adéquations des outils
informatiques avec les objectifs stratégiques globaux de
l'entreprise.
Ainsi, la connaissance du métier de l'entreprise tend à prévaloir sur
la connaissance informatique.

10
Réalisé par : HACHCHADI Mohammed
MISSIONS
 Développer, exploiter et maintenir l’infrastructure réseaux et
télécoms de l’entreprise ;
 Piloter les projets d’infrastructure réseaux et télécoms ;
 Gérer la sécurité du système d’information ;
 Administrer et assurer la maintenance de la plateforme serveurs
(matériels et systèmes d’exploitation) ;
 Sécuriser l’infrastructure technique ;
ATTRIBUTIONS
1- Maintenir à niveau l’infrastructure réseaux et télécoms ;
2- Acquérir les moyens techniques et les prestations de services
afférentes à l’infrastructure technique réseaux et télécoms ;
3- Mettre en place les normes et les procédures d’exploitation de
l’infrastructure technique réseaux et télécoms ;
4- Elaborer, mettre en œuvre et veiller à l’application de la politique
de sécurité du système d’information ;
5- Etudier les besoins de l’entreprise en termes de solutions réseaux
et télécoms ;
6- Encadrer et supporter les entités de l’entreprise ;
7- Suivre les accords avec les acteurs télécoms ;
8- Assurer la veille technologie ;
9- Dimensionner et gérer la capacité de l’infrastructure réseaux et
télécoms ;
10- Etudier les besoins des entités de l’entreprise en termes de
moyens réseaux et télécoms ;
11- Anticiper les besoins et proposer des plans d’évolution ;
12- Acquérir les solutions réseaux et télécoms ;
13- Piloter les déploiements de l’infrastructure ;
14- Elaborer les tableaux de bords des indicateurs de performance
de l’infrastructure ;
15- Gérer les contrats de services avec les prestataires ;
16- Suivre les accords s avec les partenaires télécoms ;
17- Fournir un support aux projets de l’entreprise intégrants le volet
réseaux et télécoms ;

11
Réalisé par : HACHCHADI Mohammed
 Partie II : Présentation
du projet

12
Réalisé par : HACHCHADI Mohammed
 13
Réalisé par : HACHCHADI Mohammed
 I. Introduction sur les firewalls
Un pare-feu (Firewall) est un système qui filtre les échanges
réseaux. Il y a essentiellement deux types de filtrages :

-Les pare-feu qui isolent deux réseaux. Leur rôle essentiel est de
restreindre les accès provenant de l’extérieur (par exemple
d’internet vers votre LAN). Ils peuvent aussi interdire des échanges
issus de l’intérieur (de LAN vers Internet).

-Les pare-feu qui isolent les applications du réseau. Ces pare-feu

sont locaux à un poste de travail ou à un serveur. Ils interdisent soit
des connexions provenant du réseau soit des échanges issus des
applications locales.

1. L’implémentation des pare-feu

Il est possible de distinguer les techniques pare-feu d’après la
couche réseau où elles sont implémentées.
- La couche réseau. Par exemple le code pare-feu des routeurs
filtrants est implémenté au niveau du pilote IP.
- La couche transport. Par exemple, la technologie SOCKS s’appuie
sur la couche transport. Elle permet de filtrer de manière
transparente tout transfert TCP.
-La couche applicative. Ici, le filtrage est effectué soit directement
par l’application réseau (le serveur) ou par une application
intermédiaire (un wrapper). Par exemple les directives Allow ou Deny
du serveur Web Apache limite les échanges à certains clients.
2. Les composants d’un pare-feu
Routeur filtrant
Le routeur filtrant transfère les paquets IP d’un réseau
à un autre. Il utilise essentiellement deux techniques pare-feu :
- Le filtrage des paquets IP.
- Le NAT (la translation d’adresse)

14
Réalisé par : HACHCHADI Mohammed
Proxy
Un proxy est une application qui sert d’intermédiaire entre un client
et un serveur. Le client envoie sa requête au proxy, et celui-ci la
réémet en direction du serveur. De même, la réponse du serveur est
reçue par le proxy qui la retransmet au client. Un proxy peut être
configure pour filtrer les requêtes. Des logiciels proxys peuvent
posséder de la mémoire cache, RAM et disque, qui améliore les
performances d’accès des postes du réseau intérieur.

Il y a essentiellement deux types de proxy :

- Les proxys applicatifs, associes a certains protocoles (par exemple
HTTP et FTP)
- Les proxys transparents qui sont des intermédiaires pour tout type
de protocole TCP. La technologie SOCKS est de ce type.

Rempart
Un rempart (Bastion Host) est un ordinateur accessible de l’exté-
rieur, cote Internet, et qui est donc vulnérable aux attaques. Il doit
être plus particulièrement protégé. Les remparts abritent les logi-
ciels Proxy et les services.

DMZ
Une DMZ (De-Militarized Zone) ou zone démilitarisée, est un réseau
accessible à partir du réseau extérieur et qui abrite les remparts.
L’accès au réseau est contrôle par des routeurs filtrant.

3. Les logiciels linux de type pare-feu

iptables : cette commande configure le code Netfilter inclus dans le

pilote IP du noyau linux. Ce code permet de créer des pare-feu
isolant deux réseaux ou isolant les applications locales du réseau.

15
Réalisé par : HACHCHADI Mohammed
tcpd, wrap : cette commande ou cette bibliothèque implémente un
pare-feu applicatif qui peut filtrer les connexions réseaux pour la
plupart des services réseaux.

dante : ce logiciel implémente un serveur compatible SOCKS.

Squid : ce logiciel peut isoler deux réseaux s’il est installe sur un ser-
veur ayant accès à ces réseaux.

4. Les distributions linux de type pare-feu

La configuration de Netfilter est puissante mais complexe. Tous les
administrateurs n’ont pas forcement les compétences réseaux pour
élaborer un ensemble cohérent de règles Iptables. Il existe plusieurs
produits proposant une vision plus simple. Ce sont eux qui vont géné-
rer de manière transparente les règles Iptables. L’utilisateur, lui se
contente d’interdire ou d’autoriser tel out tel service et mettre en
place ou non le NAT. Les paquets proviennent non pas de la carte
eth0 ou ppp0 mais plutôt du réseau «gentil » (vert) ou « méchant »
(rouge).Concrètement, il effectue ses paramétrages soit via des fi-
chiers de configuration soit par une interface graphique.

Devil-Linux : Fonctionne complètement à partir d’un CD-Rom. La

configuration peut être stockée sur une clé USB.
Floppyfw : Routeur filtrant base sur debian.
Smooth Wall : Pare-feu à base de noyau 2.6
ipCop : Pare-feu pour le particulier ou l’entreprise, basé sur Smooth
Wall.

16
Réalisé par : HACHCHADI Mohammed
 II. Iptables : théorie et implémentation
Le système Netfilter/iptables implémente un routeur filtrant. Il
peut donc servir comme pare-feu pour isoler deux réseaux grâce au
filtrage des paquets et au NAT. Il peut être utilisé également comme
pare-feu local. Dans ce cas, il protège les applications serveurs du ré-
seau ou bien limite les connexions internes à certains sites.
L’absence de pare-feu local est considérée comme une des failles ma-
jeures d’un système.
Netfilter est le code inclus dans le pilote réseau des noyaux Linux
2.4 et 2.6. La commande iptables configure Netfilter.

1- Les concepts de tables, chaines et règles

a) Les chaines et les règles

Une chaine est composée d’une pile de règles. Chaque règle d’une
chaine est composée de deux parties : un critère et une politique. Le
critère précise les cas d’application. La politique elle, précise l’action
accomplie.

Exemple : la chaine INPUT est composée des règles qui filtrent les
paquets destinés aux processus locaux. Une des règles peut avoir
comme critère la provenance du paquet, par exemple, le serveur DNS
et comme politique l’acceptation du paquet. Si un paquet provient du
serveur DNS il est accepté, il sera donc transmis à l’application locale
qui l’attend. Si le critère ne s’applique pas au paquet, on examine la
règle suivante de la chaine. L’ordre des règles est donc primordial. Si
aucune règle ne s’applique, on exécute la politique associée à la
chaine. Dans le cas de la chaine INPUT, cette politique pourrait être
par exemple de rejeter le paquet.

17
Réalisé par : HACHCHADI Mohammed
 b) Les politiques des règles de filtrage
Les politiques natives :
Les politiques spécifient ce que l’on fait d’un paquet :
- ACCEPT on laisse passer le paquet.
- DROP le paquet est abandonné.
- QUEUE le paquet est transféré dans l’espace utilisateur (si le
noyau le permet).
- RETURN la politique finale de la règle s’applique sans exploiter
les règles suivantes.

Les politiques rajoutées :

Iptables peut utiliser des modules qui offrent un certain nombre
d’extensions spécifiant notamment de nouvelles cibles. Voici les
cibles rajoutées par les extensions standards :
- LOG le paquet est écrit dans le journal de bord (les logfiles)
- REJECT le paquet est abandonné comme DROP, mais un message
d’erreur ICMP est envoyé à la source du paquet.

c) Les tables
Les chaines gérées par Netfilter sont en fait incluses dans des enti-
tés plus vastes appelées « tables
». Chaque table correspond aux différentes possibilités d’iptables :
- La table filter filtre les paquets IP. Elle est constituée des
chaines INPUT, OUTPUT et FORWARD.
- La table nat effectue le NAT et de manière plus globale elle
permet de rediriger des paquets. Elle est constituée des
chaines PREROUTING, OUTPUT et POSTROUTING.
- La table mangle peut modifier certains champs des paquets IP,
par exemple leur priorité. Elle est constituée des chaines PRE-
ROUTING et OUTPUT.

18
Réalisé par : HACHCHADI Mohammed
 d) Les différentes chaines prédéfinies
INPUT : les paquets destinés aux processus locaux passent par la
chaine INPUT.
OUTPUT : les paquets réseaux issus des processus locaux passent
par la chaine OUTPUT.
FORWARD : les paquets en transit provenant d’un réseau et destinés
à un autre réseau passent par la chaine FORWARD.
PREROUTING : la chaine PREROUTING peut modifier un paquet dès
qu’il entre dans le système avant qu’il soit routé.
POSTROUTING : la chaine POSTROUTING peut modifier un paquet
juste avant sa sortie du système après être passé par le module de
routage.

e) Les chaines utilisateur

Souvent, un ensemble de règles sont identiques d’une chaine à l’autre.
Pour simplifier la maintenance, il est possible de créer des chaines
utilisateurs. Ces chaines, dont le nom est à la discrétion de
l’administrateur, se compose comme de véritables sous programmes
de règles .Elles peuvent être appelées à partir de plusieurs chaines
prédéfinies, typiquement INPUT et FORWARD.

2- Exemples d’utilisation des commandes iptables

Nous disposons de deux machines linux pour faire les tests : une
machine sera le pare-feu et l’autre sera la machine autorisée pour
certains services et l’attaquant en même temps.
Nous allons configurer notre firewall en ligne de commande de la
manière suivante :

- On bloque tous le trafic entrant par défaut.

- On autorise au cas par cas : le trafic appartenant ou lié à des
connexions déjà établies et le trafic à destinations des
serveurs (web, ssh, etc.) que nous souhaitons mettre à
disposition.

19
Réalisé par : HACHCHADI Mohammed
Nous allons saisir toutes les commandes dans un script Shell ensuite
l’exécuter.

Lister les règles courantes : iptables –L

Remarque : la première commande (iptables – L) : elle liste les règles

pare-feu de la tables filter.

Supprimer les règles prédéfinies par les commandes suivantes :

[root@localhost root]# iptables –F
[root@localhost root]# iptables –X

20
Réalisé par : HACHCHADI Mohammed
Exemple de script automatisé pour la mise en place d’un firewall
local
#!/bin/bash
#Nom du script /etc/init.d/parefeu_local
#date de creation le 2 mars 2014
#auteur hachchadi
#configuration parefeu local pour un serveur linux
#
#chkconfig: 2345 08 92
#description : parefeu local pour un serveur linux
case "$1" in
start)
echo "demarre le parefeu"
iptables –X
iptables –F
iptables -A INPUT -i lo -j ACCEPT;iptables -A OUPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -j LOG
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
;;
stop)

echo "arrete le parefeu"

iptables –X
iptables –F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
;;
status)
iptables –L
esac

#FIN DU SCRIPT

On pourra démarrer le script après l’avoir rendu exécutable par la

commande : #/etc/init.d/parefeu_local start

21
Réalisé par : HACHCHADI Mohammed
 III. Mise en place d’un firewall logiciel avec la
distribution IPCop
1- Qu’est -ce que IPCOP ?
IPCOP est un projet Open Source dont le but est d’obtenir une
distribution GNU/Linux complètement dédiée à la sécurité et aux
services essentiels d'un réseau. C’est une distribution linux faite
pour protéger un réseau des menaces d’Internet et surveiller son
fonctionnement. IPCOP est gratuit, il est téléchargeable sous forme
d’un fichier image à graver sur cd. IPCOP est distribué sous la licence
« GNU General Public License », ce qui signifie, en d’autres termes,
que le logiciel en lui-même est distribuable gratuitement
(cf.http://www.gnu.org/copyleft/gpl.html pour la licence complète).

2- Possibilité de mise en place d’IPCOP

IPCOP permet de fonctionner sous plusieurs configurations possibles
:
 Partage d’une connexion Internet : IPCOP sert alors de passe-
relle entre Internet et le réseau interne.
 Partage d’une connexion Internet avec une DMZ (zone démilita-
risée) : IPCOP sert de passerelle et gère une DMZ (il faut donc
3 interfaces réseau). Les serveurs dans la DMZ doivent être en
ip fixes, il suffit ensuite de configurer IPCOP pour qu’il route
les demandes venant d’Internet vers les serveurs adaptés selon
les ports.
 Partage d’une connexion Internet + DMZ + point d’accès wifi :
IPCOP peut gérer des clients wifi, ils sont séparés du réseau in-
terne.

Dans la philosophie IPCOP, les zones sont schématisées par des cou-
leurs :
- La zone RED représente internet.
- La zone ORANGE représente la DMZ.

22
Réalisé par : HACHCHADI Mohammed
 - La zone BLEU représente les clients wifi (qui sont dans un ré-
seau séparé).
- La zone GREEN représente le réseau interne.

Le schéma ci-dessous représente la configuration par défaut du

pare-feu de la passerelle, à savoir :

- Le réseau interne (le LAN) peut accéder à toutes les zones.

- La zone wifi peut accéder internet et à la DMZ.
- La zone DMZ pourra accéder à internet.
- Aucun accès depuis Internet
Pour autoriser un accès à un serveur situé dans la DMZ (zone
orange), il faudra le spécifier au travers de l’interface web d’IPCOP.

Accès autorisés par défaut.

23
Réalisé par : HACHCHADI Mohammed
 3- Liste de services offerts par IPCOP

Voici la liste des services offerts par IPCOP :

- Interface web pour l'administration et la configuration d’IPCOP

en français.
- Affichage de l'état du système et graphiques
CPU/Mémoire/Disque/trafic sur période
journalière/semaine/mois/année.
- Informations sur les connexions en cours.
- Serveur SSH pour accès distant sécurisé.
- Proxy HTTP/HTTPS.
- Serveur DHCP.-
- Cache DNS.
- Renvoi de ports TCP/UDP/GRE.
- Support des DNS dynamiques.
- Système de détection d'intrusion (interne et externe).
- Support VPN pour relier des réseaux distants entre eux ou se
connecter à distance avec un poste.
- Accès aux logs par interface web : du système, de la connexion
vers Internet, du proxy, du firewall, de la détection des
tentatives d'intrusion.
- Mise à jour d'IPCOP par l'interface web.
- Sauvegarde de la configuration du système sur disquette.
- Synchronisation sur serveur de temps, peut servir le temps aux
machines internes.
- Arrêt/Redémarrage à distance.
- Support des modems RTC/RNIS.
- Support de la quasi-totalité des modems ADSL USB et PCI
(Voir la liste du matériel compatible dans la section
documentation de www.IPCOP.org).
- Possibilité d'utiliser une DMZ avec gestion des accès.
- Possibilité de sécuriser un réseau sans fil.

24
Réalisé par : HACHCHADI Mohammed
 4- Configuration minimale requise :
Ce système d'exploitation à part entière fonctionne sur une machine
dédiée, et utilise très peu de ressources systèmes :
- un ordinateur PC équipé de 64 Mo de mémoire vive et d'un
processeur à 233 MHz suffit
- 300 Mo d'espace disque
- Carte graphique compatible VGA pour l'installation
- De deux à 4 interfaces réseau Ethernet
- Connexion Internet (Modem, Câble, ISDN, ADSL,...)
- Un lecteur CD-Rom pour l’installation.

Pour l’utilisation de tous les services, en particulier pour le serveur

mandataire (proxy web / cache DNS), il faut mieux prévoir un
processeur type pentium 200, 64 Mo de ram, et 500Mo de disque
dur.
Lors de l’installation d’IPCOP, le disque dur de l’ordinateur est
complètement utilisé, qu’il soit petit ou gros. Il faut donc une
machine avec un seul disque (un deuxième disque dur serait inutile et
inutilisable car IPCOP ne sert qu’à faire passerelle et rien d’autre, et
il n’utilise qu’un seul disque dur).

25
Réalisé par : HACHCHADI Mohammed
 IV. Installation d’IPCOP :
1- Où trouver IPCOP ?
IPCOP est disponible en téléchargement dans la section download du
site www.ipcop.org.
IPCOP est disponible sous forme de fichier source à compiler et sous
forme d’une image à graver sur un cd. Pour installer IPCOP, le plus
simple est de télécharger l’image de sa version la plus récente puis de
la graver sur un CD avec un logiciel adapté (nero ou easy cd creator
par exemple).Le cd, une fois gravé, est un cd bootable.

2- Installation
1. D’abord, pensez à vérifier qu’il n’y a pas d’information à sauvegar-
der sur le disque car IPCOP va tout effacer.
2. Ensuite, régler le bios de l’ordinateur pour qu’il boot sur le cd.
3. Insérer le cd et démarrer, l’écran suivant devrait apparaître :

26
Réalisé par : HACHCHADI Mohammed
4. Appuyer sur entrée pour démarrer l’installation.
5. Ensuite, il faut simplement suivre les instructions, la chose
consiste en choisir le langage pour l’installation : Il faut donc se
placer sur « Français » et appuyer sur la touche entrée

6. Le programme d’installation vous souhaite la bienvenue, appuyer

sur entrée.
7. Le programme vous demande la source pour l’installation,
choisissez le lecteur cd-rom.

8. Confirmer ensuite que le CD-Rom se trouve dans le lecteur en

appuyant sur entrée.

27
Réalisé par : HACHCHADI Mohammed
9. On en vient au formatage du disque, appuyer sur entrée pour com-
mencer (cela prend quelques minutes).

10. Le programme d’installation permet de rétablir une configuration

d’IPCOP qui a été sauvegardé sur disquette, pour reproduire les ré-
glages effectués (dans le cas d’une réinstallation par exemple). Dans
le cas où vous n’avez pas de disquette, déplacer vous sur le bouton «
Passer » grâce à la touche de tabulation et appuyer sur entrée.

28
Réalisé par : HACHCHADI Mohammed
11. Il s’agit maintenant de trouver les drivers adapté à la carte
réseau qui sera sur la zone verte (coté réseau interne). Si la carte
réseau est dans la liste du matériel compatible fourni sur
www.ipcop.org , les pilotes devraient être automatiquement trouvés
en appuyant sur la touche« recherche ». Si le matériel n’est pas
détecté, il y a possibilité de lui attribuer des pilotes manuellement
avec la touche « sélectionner ».

12. Ensuite, il faut configurer cette carte réseau, on entre donc

l’adresse ip de la passerelle vu du réseau interne étant (on est dans la
zone « verte »).

29
Réalisé par : HACHCHADI Mohammed
13. Le programme d’installation vous demande maintenant de retirer
le cd, obéissez et appuyer sur entrée pour continuer l’installation.

14. Choisissez le type de clavier : « fr » pour un clavier français.

15. Sélectionnez ensuite le fuseau horaire auquel vous appartenez,
soit Afrique/Dakar pour notre cas.
16. Ensuite, entrez un nom pour la passerelle (ex : « ipcopTdsi »).
Ainsi qu’un nom de domaine à la fenêtre qui suit.

30
Réalisé par : HACHCHADI Mohammed
Ainsi qu’un nom de domaine à la fenêtre qui suit.

17. Le programme propose maintenant de configurer la connexion

RNIS, dans le cas où vous en n’avez pas, choisissez directement
l’option « Désactiver RNIS (ISDN) ».
18. On arrive maintenant à une étape importante : la configuration du
réseau. Le menu suivant apparaît :

31
Réalisé par : HACHCHADI Mohammed
19. Allez dans « Type de configuration réseau » pour choisir
l’architecture du réseau. Voici les possibilités proposées :

Nous avons choisi l’architecture qui nous convient : GREEN +

ORANGE + RED

20. Ensuite, il s’agit d’attribuer des pilotes aux cartes réseau qui n’en
ont pas (la carte sur la zone verte étant déjà configurée) en allant
dans « Affectation des pilotes et des cartes ».

32
Réalisé par : HACHCHADI Mohammed
Choisissez OK pour configurer les pilotes. Les captures d’écrans sui-
vants sont un exemple avec une architecture « GREEN + ORANGE+
RED», On voit qu’il faut attribuer un pilote à la deuxième carte ré-
seau (de la zone orange) :

Ensuite il faudra faire de même pour la carte RED et si tout se passe

bien nous aurons l’écran suivant :

33
Réalisé par : HACHCHADI Mohammed
21. Toutes les cartes réseau ayant un pilote, il s’agit maintenant de
leur attribuer une adresse IP. L’adresse IP de la zone verte étant
déjà configurée.
Allez dans « Configuration de l’adresse » pour attribuer une adresse
IP à toutes les autres cartes réseau.

34
Réalisé par : HACHCHADI Mohammed
Configuration de la zone Orange (dmz)

Zone Internet (Rouge) Attribuez un adresse IP à chaque zone puis

aller sur « continuer » quand vous avez fini.

35
Réalisé par : HACHCHADI Mohammed
Remarque :
Si votre zone rouge est un carte réseau (donc pas un modem), il est
possible de configurer pour cette zone seulement en client DHCP (de
manière à ce que ce soit le routeur par exemple qui transmette
l’adresse IP et les DNS).

22. Pour finir avec ce menu, allez dans « Configuration du DNS et de

la Passerelle » pour choisir un DNS et une passerelle par défaut. Il
est peut probable que vous ayez besoin de configurer ces
informations manuellement : Dans le cas d’une zone rouge avec
modem, ces infos sont envoyé par le FAI (rien à configurer).Dans le
cas d’une interface rouge connectée à un routeur : ou la passerelle
est client dhcp du routeur (et là, rien à configurer), ou vous avez
donné une adresse IP statique à l’interface rouge (et dans ce cas, il
faut renseigner les DNS et la passerelle manuellement).

23. Enfin, la dernière étape est d’entrer un mot de passe pour

l’administrateur du poste (« root ») et un pour l’administration
distante (au travers du site web soit l’utilisateur («admin»).

Mot de passe de root : Begdouri

36
Réalisé par : HACHCHADI Mohammed
Mot de passe de l’utilisateur admin : cabegdouri

Mot de passe de la clé de cryptage des sauvegardes : hachchadiBeg

24. Pour finir, le programme redémarre l’ordinateur, IPCOP est

installé.

37
Réalisé par : HACHCHADI Mohammed
25. Ecran de démarrage et connexion en ligne de commande

38
Réalisé par : HACHCHADI Mohammed
Connexion en ligne de commande avec root

Commande ifconfig pour vérifier la configuration réseau des

interfaces.

39
Réalisé par : HACHCHADI Mohammed
 V. Administration d’IPCOP
1- Accès à l’interface d’administration d’IPCOP
L’accès à l’interface d’administration se fait du réseau interne étant
grâce à n’importe quel navigateur web récent à l’adresse suivant:
https://<@ip_passerelle>:445.

40
Réalisé par : HACHCHADI Mohammed
 2- Présentation de l’interface :
L’interface web est composée de 7 menus déroulant que nous allons
détailler en commençant par le menu « système ».Nous allons
présenter les principales fonctions de chaque page de ce site web.

3- Menu Système
Le menu système contient des sections pour configurer IPCOP, et
l’interface web :
Section Accueil : C’est la première page affiché lorsqu’on accède à
l’interface d’IPCOP. Cette page permet principalement de
connecter/de connecter la passerelle d’Internet.
Section Mise à jour : permet de savoir si une mise à jour est
disponible. Si une mise à jour est disponible, il suffit de la
télécharger et de la transférer à IPCOP grâce à cette même section.

41
Réalisé par : HACHCHADI Mohammed
Section Mot de passe : permet de changer le mot de passe de
l’utilisateur ‘admin’ (qui est l’administrateur d’IPCOP) et le mot de
passe de l’utilisateur ‘Dial’ (utilisateur qui simplement le droit de
connecter/déconnecter Internet dans le cas d’une connexion par
modem.
Section Accès SSH : permet d’activer ou de désactiver le ser-
veur SSH sur la passerelle. Le serveur SSH peut être utile pour faire
des choses qu’on ne peut pas faire directement sur le site web
d’IPCOP (ex : changer une l’adresse IP d’une interface).
Section Interface graphique : permet de choisir la langue des pages
web et d’activer/désactiver les menu déroulant pour les navigateurs
non compatibles avec JavaScript.
Section Sauvegarde : permet de sauvegarder ou de restaurer sa
configuration d’IPCOP. Il est aussi possible d’effectuer une
sauvegarde sur disquette pour restaurer cette configuration lors
d’une réinstallation complète d’IPCOP.
Section Arrêter : permet d’arrêter et de redémarrer la passerelle.
Section Crédits : pour contacter les auteurs d’IPCOP.

4- Menu Etat
On trouve dans ce menu des informations sur l’état du système :

Section Etat du système : permet de connaître l’état de tous les

services ainsi que l’utilisation de la mémoire et disque.
Section Etat du réseau : permet de visualiser l’adresse ip des
interfaces réseau, de voir les clients dhcp et les tables de routages.
Section Graphiques système : permet de visualiser sous forme de
graphique l’utilisation du processeur, de la mémoire et du disque dur
sur les dernières 24 heures, le dernier mois, la dernière semaine, le
dernier mois ou la dernière année.
Section Courbes de trafics : permet de visualiser sous forme de
courbes le trafic sur chaque interface (sur chaque zone) sur les
dernières 24 heures, le dernier mois, la dernière semaine, le dernier
mois ou la dernière année.
42
Réalisé par : HACHCHADI Mohammed
Section Graphes du proxy : donne des graphiques sur l’utilisation du
serveur mandataires.
Section Connexion : permet de visualiser le connections en cours sur
la passerelle.

5- Menu Réseau
Ce menu est dédié à la configuration du modem RTC ou ADSL (si vous
avez un routeur, ce menu n’est pas utile) :
Section Connexion : permet de rentrer les paramètres de connexion
fournie par le FAI, il est possible d’avoir plusieurs profils de
connexion (dans le ou vous avez plusieurs abonnements par exemple,
si une connexion ne fonctionne pas, IPCOP peut utiliser un profil de «
repli »).
Section Chargement : permet de télécharger les drivers pour faire
fonctionner certains modems.
Section Modem : permet de modifier les commandes pour les
modems RTC.

6- Menu Services
C’est ici qu’on configure tous les services de la passerelle :

Section Serveur Mandataire (proxy) : permet de configurer le

serveur mandataire (qui correspond au proxy web et au cache dns).

Section Serveur dhcp : permet de configurer le service dhcp de la

zone verte (et bleue si il y en a une).

Section DNS Dynamique : permet de mettre en place un client pour

mettre à jour un DNS dynamique (type dyndns.org, no-ip.com, …).

Section Hôtes statiques : permet d’ajouter des hôtes avec ip

statiques.

43
Réalisé par : HACHCHADI Mohammed
Section Serveur de temps : permet à la passerelle d’être un client
NTP d’un part et d’être un serveur NTP pour le réseau interne
d’autre part (attention : le serveur NTP met quelques heures avant
de fonctionner).

Section Lissage de trafic : permet de limiter les débits montant et

descendant des clients qui vont sur internet. On peut aussi, donner
des priorités différentes selon les services pour faire de la qualité
de service.

Section Détection d’intrusion : permet d’activer ou de désactiver les

sondes de détection d’intrusion sur toutes les zones.

7- Menu Pare-feu
Ce menu permet de configurer le pare-feu :

Section Transferts de port : permet de définir des règles de

transfert de port pour donner accès des services d’internet étant
sur le réseau interne ou sur la DMZ si il y en a une.
Section Accès Externes : permet d’ouvrir des ports pour accéder à la
passerelle d’Internet.
Section Accès à la DMZ : (menu qui existe si la zone orange existe)
permet d’ouvrir des accès direct entre la DMZ et le réseau interne.

8- Menu RPVs
On crée ici les Réseaux Privés Virtuel (ou Virtual Private Network en
anglais) :
Section RPVs : permet de créer des vpn (réseau à réseau, ou postes à
réseau).

44
Réalisé par : HACHCHADI Mohammed
 9- Menu Journaux
Ce menu permet d’accéder à tous les journaux générés par IPCOP et
ses services :

Section Configuration des journaux : permet de choisir si les

journaux doivent être affichés dans l’ordre chronologique et
chronologique inverse. On peut aussi choisir d’envoyer les journaux
sur un serveur syslog et changer le niveau de verbosité.
Section Résumé des journaux : cour résumé des journaux du serveur
mandataire, du système, du serveur sshd et de l’utilisation du disque.
Section Journaux du serveur mandataires : permet de visualiser les
journaux du proxy web (la section existe seulement si la
journalisation a été activée).
Section Journaux du pare-feu : permet de visualiser les journaux
d’accès au pare-feu.
Section Journaux IDS : permet de visualiser les tentatives
d’intrusion détectée par les sondes du détecteur d’intrusion.
Section Journaux système : permet de visualiser les journaux
systèmes (systems, dns, dhcp, ssh, ntp, …)

10- Utilitaire setup

L’interface graphique ne permet pas de tout faire, en particulier
changer l’adresse IP d’une carte réseau ou changer de type de
passerelle.
L’utilitaire setup permet de :
 Configurer le type de clavier (fr, us, …).
 Changer de fuseau horaire.
 Modifier le nom de la passerelle.
 Modifier le nom de domaine.
 Modifier la configuration réseau de la passerelle.
L’utilitaire setup permet par exemple de passer d’un réseau GREEN +
RED à GREEN + RED + ORANGE par exemple sans réinstaller le pare-
feu.

45
Réalisé par : HACHCHADI Mohammed
Pour accéder à l’utilitaire setup, il faut se connecter à la passerelle
au travers de ssh attention :
le port d’écoute du serveur ssh intégré à ipcop est le 222 et non 22
ailleurs), s’identifier en tant que root et taper « setup ». C’est un
menu graphique très simple à utiliser :

Utilitaire setup d’IpCop

46
Réalisé par : HACHCHADI Mohammed
 VI. Paramétrage :
1- Autoriser l’accès SSH
SSH permet de se connecter de manière sécurisée sur une machine

Linux à distance. On va autoriser SSH sur le pare-feu IpCop pour

transférer des fichiers par exemple. Allez dans le menu Système

puis la section accès SSH

Ici cochez :-

- Accès SSH-
- Autorise le transfert TCP
- Permettre l’authentification par mot de passe
- Permettre l’authentification par clé publique

Ces paramètres vont nous permettre d’accéder à notre firewall

depuis notre PC et d’y transférer les fichiers nécessaires à
l’installation des plugins.

47
Réalisé par : HACHCHADI Mohammed
 2- Mise en place d’addons
L’ajout d’addons ou de plugins permet d’étendre les fonctions
d’IPCOP. Il existe des dizaines de plugins pour IPCOP, mais pour ne
pas remettre la sécurité de cette passerelle en cause, il ne faut utili-
ser que les plugins officiels d’IPCOP. Seul les plugins officiels ont été
contrôlés par l’équipe d’IPCOP, ils sont référencés dans la section «
Addons » du site www.ipcop.org.Voici deux addons officiels qui per-
mettent les fonctions du proxy web

2.1- Advanced proxy

Cet addon permet d’ajouter les fonctionnalités suivantes au proxy

d’IPCOP :

 Authentification des utilisateurs par rapport à un annuaire

LDAP, Active Directory, par rapport aux utilisateurs locaux ou
à un serveur Radius.
 Contrôle d’accès selon l’adresse IP ou Mac des clients.
 Autoriser l’accès à internet sur certaines plages horaires
seulement.

Pour installer Advanced Proxy, il faut :

1) Télécharger l’archive Advanced Proxy sur le

site www.advproxy.net

2) Placer l’archive dans le répertoire /tmp de la passerelle en utili-

sant l’utilitaire WinSCP (cf.www.winscp.net, WinSCP permet de
transférer des fichiers au travers de ssh).

48
Réalisé par : HACHCHADI Mohammed
 3) Décompresser l’archive en se connectant sur la passerelle au
travers de ssh (utiliser le client Putty par exemple, il est
gratuit, en tapant la commande suivante : root@ipcopTdsi:/tmp
# tar -xzvf ipcop-advproxy-2.1.2.tar.gz

49
Réalisé par : HACHCHADI Mohammed
Login : root
Mot de passe : Begdouri

50
Réalisé par : HACHCHADI Mohammed
 4) Installer Advanced Proxy en tapant dans le répertoire
/tmp/ipcop-advproxy : ./install

Pour désinstaller Advanced Proxy, il faut exécuter :

./tmp/ipcop-advproxy/uninstall

Rappel :
Le serveur SSH installé sur IPCOP doit être activé sur l’interface
web pour fonctionner. De plus, ce serveur SSH écoute sur le port
222 (et pas 22).Une fois installé, la page de configuration du proxy
est étendue avec les options citées ci-dessus.

2.2- url filter

Url filter permet de mettre en place du filtrage d’url comme son nom
l’indique. Cet utilitaire permet d’interdire aux utilisateurs de visiter
des sites web dont l’url (exemple d’url www.msn.com) contient des
termes à référence pornographique, violent…
Url filter peut aussi filtrer les « popups » publicitaires.

51
Réalisé par : HACHCHADI Mohammed
Pour installer Url filter, il faut :

1) Télécharger l’archive urlfilter sur le site www.urlfilter.net .

2) Placer l’archive dans le répertoire /tmp de la passerelle en utili-

sant l’utilitaire WinSCP.

3) Décompresser l’archive en se connectant sur la passerelle au

travers de ssh en tapant la commande suivante : tar -xzf ipcop-
urlfilter-1.9.1.tar.gz

4) Installer url filter en se plaçant dans /tmp/ ipcop-urlfilter et

en tapant : ./install

Pour désinstaller url filter, il faut exécuter :

./tmp/ipcop-urlfilter/uninstall
Une fois installé, le menu service contient une nouvelle section
« filtrage d’url » qui permet de configurer le filtrage d’url.

52
Réalisé par : HACHCHADI Mohammed
2.3- Exemple de configuration du pare-feu
Accès à la zone DMZ

Transfert de ports

53
Réalisé par : HACHCHADI Mohammed
 Pour conclure,
Je tiens à signaler que l’élaboration de ce projet ma permis d’ac-
quérir beaucoup d’expériences au niveau du contacte avec le milieu
professionnel. Car, j’ai certainement appris des compétences tech-
niques et j’ai amélioré les connaissances théoriques et pratiques no-
tamment en réseaux informatiques. Pendant ce stage,
J’ai admis un certain nombre de qualités permettant de s’intégrer
dans le marcher d’emploi tout en faisant la distinction entre la for-
mation théorique et la réalité professionnelle.
En effectuant ce stage,
J’ai acquis certaines attitudes que je n'avais pas avant, que j'en
cite:
La confiance en soi
Le respect de l'horaire du travail
Le respect du métier
Le respect des supérieurs et collègues
La rapidité d’exécution de travail

A la fin, j’avoue que je suis personnellement très satisfait de ce

stage au sein de cabinet begdouri.

54
Réalisé par : HACHCHADI Mohammed
http://www.ipcop.org

http://fr.wikipedia.org/wiki/Netfilter

http://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-li-
nux-article-24818-1.html

http://fr.wikipedia.org/wiki/Firewall

55
Réalisé par : HACHCHADI Mohammed