Manuel d'Installation d'IPCop v1.4.0
Précédent	Chapitre 1. Préparation à l'installation	Suivant

1.2. Choisir votre configuration

1.2.1. Interfaces réseau

Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE.

1.2.1.1. Interface réseau ROUGE

Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. Votre méthode de connexion et votre matériel actuel serviront à la connexion à ce réseau.

1.2.1.2. Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

1.2.1.3. Interface réseau BLEUE

Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d'oeilletons ( << pinholes >> ) volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

1.2.1.4. Interface réseau ORANGE

Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

1.2.1.5. Interfaces réseau

Vous aurez besoin d'au moins un câble Ethernet et une carte d'interface réseau. Dans la configuration la plus complète et dans le cas d'une connexion à Internet par Ethernet, pas moins de quatre cartes seront nécessaires.

Chaque carte réseau correspond à une carte physique à insérer dans la machine IPCop.

Vous devez donc prévoir une carte et un câble réseau pour chacun des réseaux VERT, BLEU et/ou ORANGE de votre future configuration. Les réseaux VERT et ROUGE sont obligatoires. Les réseaux ORANGE et BLEU sont optionnels. Les besoins pour l'interface du réseau ROUGE dépendent du type de votre connexion à l'Internet. Le réseau ROUGE peut nécessiter une carte réseau Ethernet et un câble supplémentaires.

Configuration ROUGE, ORANGE, BLEU, VERT.

Le diagramme ROUGE, ORANGE, BLEU, VERT précédent montre que chaque interface réseau en dehors du réseau ROUGE nécessite une carte réseau Ethernet. Si vous utilisez actuellement une connexion à Internet par Ethernet, vous aurez besoin d'une carte supplémenaire pour ce réseau. Tous ces réseaux doivent posséder une adresse réseau différente.

Pour rappel, les réseaux BLEU et ORANGE sont optionnels.

Tableau 1-1. Besoins en cartes réseau

Connexion	Modem	ISDN	USB ADSL	Ethernet
ROUGE, VERT	1 carte (V)	1 carte (V)	1 carte (V)	2 cartes (V,R)
ROUGE, BLEU, VERT	2 cartes (B,V)	2 cartes (B,V)	2 cartes (B,V)	3 cartes (B,V,R)
ROUGE, ORANGE, VERT	2 cartes (O,V)	2 cartes (O,V)	2 cartes (O,V)	3 cartes (O,V,R)
ROUGE, ORANGE, BLEU, VERT	3 cartes (O,B,V)	3 cartes (O,B,V)	3 cartes (O,B,V)	4 cartes (O,B,V,R)

1.2.1.6. Niveau relatif de sécurité sur les interfaces réseau d'IPCop

Le modèle de sécurité mis en oeuvre avec IPCop comporte un réseau totalement sûr (VERT). Les requêtes issues de ce réseau sont considérées comme légitimes et autorisées par IPCop (et ce qu'elles soient initiées par un utilisateur ou par une machine infectée par un virus, un cheval de Troie ou toute autre sorte de << malware >> ).

IPCop 1.4.0 supporte désormais l'activation du système de détection des intrusions (IDS) sur chaque interface réseau de la configuration. Il est fortement recommandé de surveiller le journal des évènements de l'IDS pour vos réseaux internes dans le but de vérifier qu'aucune des machines dont vous êtes responsable n'a de comportement étrange, comportement parfois signe d'une infection par un virus.

Un classement des réseaux proposés par IPCop par ordre décroissant de niveau de confiance donne la suite ci-dessous :

ROUGE→ORANGE→BLEU→VERT

1.2.2. Configurations réseau

La configuration de base correspond à une configuration ROUGE/VERT dans laquelle IPCop protège un unique réseau interne (VERT) de l'Internet (ROUGE). Si vous possédez un point d'accès WiFi, vous pouvez le connecter à la carte réseau d'une interface BLEUE et demander à IPCop de restreindre l'accès des machines à votre réseau local sans fil. Si vous possédez un ou plusieurs serveurs que vous souhaitez rendre accessible de l'Internet, vous pouvez les placer sur un réseau non sûr, qualifié de DMZ ou zone démilitarisée, relié à la carte réseau d'une interface ORANGE. Vous devez donc décider dès maintenant de la combinaison d'interfaces dont vous souhaitez disposer pour votre installation.

1.2.3. Types de configuration réseau

Dans la mesure où l'interface ROUGE peut être de type modem ou Ethernet, huit configurations réseau sont possibles :

VERT (ROUGE est un modem/ISDN)
VERT + ROUGE (ROUGE est en Ethernet)
VERT + ORANGE + ROUGE (ROUGE est en Ethernet)
VERT + ORANGE (ROUGE est un modem/ISDN)
VERT + BLEU + ROUGE (ROUGE est en Ethernet)
VERT + BLEU (ROUGE est un modem/ISDN)
VERT + BLEU + ORANGE + ROUGE (ROUGE est en Ethernet)
VERT + BLEU + ORANGE (ROUGE est un modem/ISDN)

1.2.4. Connexion à l'Internet ou à un réseau externe

Comment vous connectez-vous actuellement à l'Internet ?

Si vous vous connectez à l'aide d'un modem externe broadband ou d'un routeur, vous utilisez vraisemblablement une carte d'interface réseau de type Ethernet. Auquel cas une carte similaire devra se trouver dans votre PC IPCop. Si vous vous connectez à l'aide d'un modem analogique interne ou un modem ISDN ou un modem ADSL USB, vous devrez le retirer pour le brancher sur votre PC IPCop. Si vous vous connectez à l'aide d'un modem analogique externe, vous devrez le connecter à votre PC IPCop.

Ce périphérique de connexion sera utilisé comme interface réseau ROUGE.

Relevez quelques paramètres clefs sur votre interface actuelle avant de vous lancez dans l'installation :

vérifiez comment vous obtenez actuellement une adresse IP : adresse IP statique, par DHCP , par PPPOE ou par PPTP .
si vous obtenez l'adresse par DHCP, vérifiez si votre système possède un nom d'hÙte qu'il indique au serveur de votre FAI. Voyez pour cela le paragraphe Vérification du nom d'hÙte DHCP , ci-dessous.
récupérez les adresses des serveurs de noms que vous utilisez. Le serveur DHCP de votre FAI peut vous fournir automatiquement ces adresses ou vous pouvez avoir à les indiquer manuellement.
relevez les éventuelles adresses par défaut de sous-domaine. Cela vous permet d'accéder à certains services tels que mail ou news sans taper le nom d'hÙte complet. Voyez l'explication dans le paragraphe de configuration de DHCP .

1.2.4.1. Vérification du nom d'hÙte DHCP

Si vous ne savez pas si votre FAI impose un nom d'hÙte ou si vous ne savez pas de quoi il s'agit, consultez les documents fournis par votre FAI avec le kit de connexion ou appellez son service d'assistance. Si cela ne vous avance pas plus, tapez la commande :

          
$
 
ifconfig -a

sur une machine *nix, et intéressez-vous à l'adresse IP de l'interface eth0. Sur une machine sous Windows 95, 98, ME, etc, la commande précédente devient :

          
C:\

winipcfg

tapée sur la ligne de commande. Sur une machine sous Windows NT, Windows 2000 ou Windows XP, la commande s'écrit :

          
C:\

ipconfig /all

Quelque soit votre système d'exploitation, notez l'adresse IP puis tapez la commande :

          
$
 
nslookup nnn.nnn.nnn.nnn

où nnn.nnn.nnn.nnn est l'adresse IP relevée. Si vous obtenez une réponse à cette commande, notez le nom d'hÙte complet retourné. Le début peut correspondre au nom d'hÙte DHCP, alors que la fin peut être utilisée lors de la configuration du service DHCP d'IPCop.

1.2.5. Choisir les plages d'adresses de vos réseaux locaux

Vous devez choisir une plage d'adresses à affecter à votre réseau VERT ou réseau local. Il ne s'agit pas de l'adresse IP fournie par votre FAI. Les adresses de ce réseau n'apparaîtront jamais sur Internent. IPCop utilise en effet une technique appelée Port Address Translation, ou PAT, qui permet de cacher les machines du réseau VERT à une personne regardant votre système depuis l'Internet. Pour ne pas rencontrer de conflits d'adresses IP, il est recommandé de choisir une des plages d'adresses définie dans RFC1918 comme plages d'adresses privées (non routables). Il existe plus de 65,000 plages différentes que vous pouvez choisir. Pour une liste des plages d'adresses réseau disponibles, reportez-vous à l'annexe A . Le plus simple et commun des réseaux à utiliser est le réseau 192.168.1.xxx. Cela vous permet d'avoir un peu plus de 250 ordinateurs connectés ensembles derrière votre IPCop. En général, les routeurs ou pare-feu se voient attribuer une adresse IP tout en haut ou tout en bas de la plage d'adresses IP du réseau qu'ils servent. Il est donc recommandé de prendre l'adresse 192.168.1.1 pour l'interface VERTE de votre IPCop. IPCop va automatiquement adapter le masque de réseau à l'adresse IP que vous lui indiquerez mais il vous est toujours possible d'en indiquer un autre.

Si vous souhaitez disposer d'un réseau BLEU et/ou ORANGE, sélectionnez des adresses réseaux différentes pour chacun d'eux. Par exemple, le réseau BLEU peut se voir attribuer les adresses en 192.168.2.xxx et ORANGE les adresses en 192.168.3.xxx. Encore un fois, ces deux plages vous permettent de connecter un peu plus de 250 ordinateurs sur chaque réseau.

Précédent	Sommaire	Suivant
Préparation à l'installation	Niveau supérieur	Récolter des informations sur votre matériel