Dernière mise à jour : 07/01/2007
Beaucoup de personnes se sont posées la question de savoir quelle distribution Linux installer pour protéger un réseau interne du grand méchant ternet. Les besoins sont généralement simples : pouvoir se connecter à l'internet avec un serveur connecté au modem puis utiliser ce serveur pour distribuer l'internet dans la maison et protéger les machines contre les méchants de l'internet. IPCop a été créé pour cela. Le projet a été créé il y a fort longtemps (2001). J'avais joué avec plusieurs versions précédemment mais je n'ai jamais eu l'occasion d'en faire un test. Voici donc un petit tour du propriétaire et comme le dit le site web : "the bad packets stop here" (les mauvais paquets s'arrêtent ici).
J'ai testé cette dernière version sur un Dell Optiplex GX80 (Pentium 4 2Ghz avec 256Mo de RAM) ce qui est largement trop puissant pour son utilisation (à moins d'activer le proxy transparent, incarné ici par squid). Le but de l'opération était de fournir un accès internet sécurisé pendant une LAN, la ligne internet étant une ligne ADSL 2Mo. L'accès au réseau interne était ensuite fourni par un switch connecté à la seconde carte réseau de la machine. L'installation est un petit peu spartiate ce dont personnellement, je ne me plaindrais pas, mais les débutants trouveront sans doute à redire. Il ne vous faudra pas un gros disque dur non plus, sachant que l'installation prends 140Mo d'espace disque.
Lors du premier démarrage, vous devez décider des interfaces que vous voudrez utiliser. Celles que j'ai utilisées ici sont les ROUGE (dmz, lien internet) et VERT (réseau local, machines protégées). J'ai eu une bonne surprise, ma seconde carte est une D-Link à base de chipset r8169 et bien qu'IPCop utilise un noyau 2.4, il l'a parfaitement reconnue. J'ai par contre du faire une seconde détection des cartes du système avant qu'il ne la voie correctement. Une fois le paramétrage fini (il vous demandera d'ailleurs plusieurs mots de passe, dont un pour root et un pour l'administrateur d'interface web), un petit redémarrage et votre accès internet est prêt.
Comme je le disais en début d'article, le but de mon installation était l'accès internet sécurisé pour tous les joueurs de notre LAN. La connexion 2Mo a donc soutenu une dizaine de joueurs sans broncher. Il faut dire que ce n'est pas la carte gigabit et la 10/100 qui vont se plaindre du trafique (la machine était également utilisée comme passerelle). J'ai ensuite activé quelques services pour le réseau local : DNS, DHCP, NTP et Web (euh, légèrement nécessaire si vous voulez administrer la machine graphiquement). D'ailleurs notez que l'interface web tourne sur le port 445 (il y a fort longtemps, il utilisait le port 81 mais plus depuis les séries 1.4.x).
IPCop permet également de faire des beaux dessins de votre réseau et de votre passerelle. La capture ci-dessous vous montrera la mémoire et l'utilisation processeur. Mais IPCop fait bien plus, vous pouvez en effet le paramétrer pour tourner un VPN (réseau privé sécurisé) et vous pouvez aussi avoir plus d'interfaces que ce que j'ai utilisé (comme les interfaces oranges et bleues). Consultez les documentations disponibles sur le site web afin d'en savoir plus.
Un service que j'ai trouvé vraiment très intéressant concerne l'IDS (système de détection d'intrusion) incarné ici par snort. Ce programme vous permet de logger tous les paquets étranges que votre système détecte. Snort est un programme vraiment très puissant pour vous aider à voir ce qui se passe sur votre réseau. Il vous est d'ailleurs possible lors de sa configuration d'activer une souscription si vous êtes membre. Il est très sympathique de pouvoir activer snort juste en cliquant sur un bouton :)
IPCop vous permet aussi de gérer un DNS dynamique (afin de pouvoir vous connecter vers la maison sans avoir à connaître votre adresse IP dynamique). Ce qui séduit également sur IPCop est la facilité de mises à jours que vous pouvez appliquer par patches successifs. Lors de l'installation de la 1.4.11, aucun patch n'était disponible, j'en suis donc resté là mais j'ai déjà procédé à des mises à jours de versions antérieures et cette fonctionnalité ne pose généralement aucun problème.
IPCop se positionne comme la distribution Linux dédiée au pare-feu, accessible aux débutants et permettant un contrôle aisé de nombreuses fonctionnalités juste en quelques clics. Autre apport : vous n'aurez pas besoin d'une machine très puissante ni d'un gros disque dur (en fait, vous pouvez même installer cela sur une flash :)
Pour ce qui est du futur, les prochaines versions majeures (1.5.x) devraient tourner sur noyau 2.6, proposer des mises à jour automatiques, avoir un nouveau programme d'installation et utiliser un démon XML/RPC pour l'administration. Il n'en reste pas moins que la version actuelle est déjà une très belle réussite.