IPCop, Firewall basado en Linux - Instalacin

IPCop es uno de los mejores cortafuegos basados en Linux, nos permite gestionar el acceso a Internet, controlar de acceso a pginas mediante un filtrado URL, con lo que podemos evitar que nuestros usuarios ingresen a determinados sitios web sexo, violencia, etc!" Requiere un #ardware dedicado, pero de mu$ bajos requerimientos %& '( en R)' $ un procesador %*+ $ unos %,,'( en disco duro" cuenta con una interfase de usuario web lo que facilita muc#o la administraci-n del mismo

Contenido
- Firewall, concepto - Instalacin de IPCop - Descripcin de escenarios con IPCop - Accediendo a nuestro firewall

.irewall o Cortafuegos
Un firewall es un sistema de defensa para evitar accesos no autori/ados a un equipo o a una red de equipos!

0ste sistema de defensa lo podr1amos dividir seg2n su manera de operar, en dos grandes grupos3 .irewall de nivel de red $ .irewall de nivel de aplicaci-n3 Un firewall de nivel de red basa su funcionamiento en el filtrado de paquetes estos operan despreciando paquetes en base a sus direcciones de origen o destino, o sus puertos, un puerto es una interfa/ para comunicarse con un programa a trav4s de una red, el puerto ,, por ejemplo, es un puerto reservado, los puertos del 5 al 5,&% reciben el nombre de puertos bien conocidos, del 5,&6 a 67585 son llamados puertos registrados $ son de libre utili/aci-n $ finalmente tenemos los puertos del 6758& al +88%8 que son puertos ef1meros o de tipo temporal utili/ados por lo general por el equipo cliente al conectar con el servidor, para ejemplificar algo mas diremos que el servicio 9::P, que nos permite navegar, utili/a el protocolo :CP, un protocolo orientado a conexi-n, a trav4s del puerto *,! 0l firewall de nivel de red reali/ara el filtrado a la entrada, a la salida o en ambos lados, permitiendo o no el paso a los paquetes de datos de forma selectiva basndose en las reglas que est4n en 4l configuradas, esto quiere decir que si autori/amos un servicio o programa, el firewall no nos dir si los datos enviados o recibidos podr1an ser nocivos dado que nosotros lo autori/amos! Los firewall de nivel de aplicaci-n o ms conocidos como servidores Prox$, act2an como intermediarios entre un explorador web, e Internet, un servidor prox$ filtra contenidos web $ software malintencionado al que puedan acceder nuestro clientes, con un servidor prox$ podemos, por ejemplo, evitar que nuestros usuarios ingresen a

pginas con contenido sexual, drogas, violencia $ otros que podr1an tener repercusiones nocivas al interior de nuestra red! 0ste tipo de cortafuegos funciona, bsicamente, recibiendo las solicitudes de los clientes de la red interna $ reenvindolas a un servidor externo! Por lo anteriormente expuesto podemos concluir que la implementaci-n de los cortafuegos son una necesidad ineludible dentro de nuestra red, en este tutorial veremos como instalar, configurar $ poner en producci-n una de las muc#as opciones de cortafuegos de uso libre como lo es el IPCop! IPCop es una distribuci-n Linux que implementa los dos tipos de cortafuegos antes mencionados a trav4s de una simple interfa/ web de administraci-n adems de estas funciones, existen lo que se llaman addons o plugins que son programas adicionales para aumentar la funcionalidad de programa! IPCop requiere que el #ardware sea dedicado es decir que, el ordenador que destinemos a este firewall solo contendr a este! Los requerimientos de #ardware m1nimos para una instalaci-n de IPCop son3 un procesador %*+, %&'( en R)' $ %,,'( en disco duro, claro que dependiendo de los servicios que brindemos deberemos aumentar la memoria R)' $ el espacio en el disco duro, al menos dos tarjetas de red, una servir para conectarnos a internet $ la otra para conectar nuestra red interna!

Instalaci-n de IPCop
Primero descargaremos el instalador que viene en un formato de imagen I;< del lin=3 #ttp3>>sourceforge!net>projects>ipcop>files>IPCop>IPCop?&,5!6!57?&,@ ?&,5!6!&,>ipcopA5!6!&,AinstallAcd!i%*+!iso el cual copiaremos a un CB con el software preferido! Iniciamos el ordenador desde el CD 0l instalador nos advierte que borrara todas las particiones que se encuentren en el disco duro, tomadas las previsiones presionamos 0C:0R para empe/ar

0scogemos el idioma3

Luego nos aparecer esta pantalla la cual debemos tomar mu$ en cuenta, $a que si damos en cancelar en cualquiera de las pantallas siguientes el equipo se reiniciara sin importar nada, por ejemplo que no tenga contraseDa, por lo que no podremos acceder $ tendremos reinstalar el software!

;eleccionamos el medio3

;eguidamente el programa particionara $ formateara el disco duro

0n caso de tener un bac=up de la configuraci-n de nuestro IPCop ser aqu1 donde lo utili/aremos, pero por a#ora como aun no la tenemos elegiremos Saltar

La red de ejemplo que configuraremos trae el siguiente diagrama3

:enemos un router con salida a internet, como vemos podemos utili/ar cualquier IP del segmento 57&!5+*!55!x para acceder a internet $ nuestra red interna estar dentro del segmento 57&!5+*!57E!x, supongamos que el ordenador del administrador tiene la direcci-n IP 57&!5+*!57E!& Primero configuraremos la tarjeta de red que nos servir como interfa/ de red de nuestra red de rea local, /ona VERDE, aqu1 conectaremos los equipos que

necesiten ma$or protecci-n como estaciones de trabajo o servidores con acceso restringido a internet, elegimos la opci-n Prueba e IPCop buscara una tarjeta de red!

0n este caso detecto una tarjeta )'B la que configuraremos a continuaci-n

;iguiendo nuestro diagrama de red de ejemplo configuraremos nuestra interfa/ F0RB0 con la IP 57&!5+*!57E!5 para acceder a esta desde nuestra red local!

Con lo que finali/a la instalaci-n3

)#ora s-lo nos queda definir algunos aspectos ms como el tipo de teclado

La /ona #oraria

0l nombre del firewall, en este caso dejare el nombre por defecto

0l nombre de dominio, si lo tuvi4ramos, que a#ora tambi4n dejare el que tiene por defecto

)qu1 configuramos el servicio I;BC Integrated ;ervices Bigital Cetwor= o RB;I Red Bigital de servicios Integrados", si es que fuera la forma por la que accedemos a internet, en este caso es una conexi-n )B;L as1 que in#abilitaremos el I;BC, eligiendo la opcion In#abilite RB;I

)qu1 configuramos el servicio I;BC Integrated ;ervices Bigital Cetwor= o

RB;I Red Bigital de servicios Integrados", si es que fuera la forma por la que accedemos a internet, en este caso es una conexi-n )B;L as1 que in#abilitaremos el I;BC, eligiendo la opcion In#abilite RB;I

)#ora configuraremos la red, primeramente elegimos :ipo de Configuraci-n de Red

)ntes de continuar veremos una breve descripci-n de cada posible escenario de red que nos ofrece IPCop GREEN: Como lo dijimos antes es donde conectaremos los equipos que necesiten ma$or protecci-n! Los dispositivos que est4n conectados a esta interfa/ tendrn acceso irrestricto a las interfaces R0B, (LU0 o <R)CG0 -sea

que podrn conectarse a Internet $ tambi4n podrn conectarse a equipos que se encuentren en las otras interfaces, pero los equipos que est4n el la interfa/ R0B no podrn iniciar conexiones a ning2n equipo que se encuentre en las otras interfaces GR00C, (LU0 $ <R)CG0" con lo que estarn protegidos del exterior por que no se podrn acceder desde Internet! BLUE: Generalmente se la utili/a para redes inalmbricas aqu1 se conecta nuestro )ccess Point aunque tambi4n se puede conectar una red no inalmbrica, los dispositivos que est4n en esta red no podrn iniciar conexiones con equipos en la red GR00C pero si con la red <R)CG0 ORANGE: 0sta es la interface que se utili/ar para montar una B'H o /ona desmilitari/ada! Principalmente se utili/a para montar servidores web, de correo, de ftp, etc! que deban tener presencia en InternetI o sea que sean accesibles desde Internet, pero que en el caso que se produ/ca alguna intrusi-n a alg2n equipo de esta red, eso no comprometa la seguridad de nuestra red interna GR00C"! Los equipos que formen parte de la red <R)CG0 no podrn iniciar conexiones a ninguno de los dispositivos que se encuentren en las interfaces GR00C $ (LU0! Co es necesario activar esta interface en una instalaci-n de IPCop si no utili/amos una B'H! RED: Por esta interfa/ nos conectaremos a nuestro proveedor de Internet o al acceso a Internet que tengamos!

)#ora continuemos con nuestra configuraci-nI Para el escenario de ejemplo planteado anteriormente solo necesitamos la configuraci-n GR00C J R0B

;eleccionamos en <K, #ec#o esto configuraremos los controladores $ tarjetas asignadas

Cos muestra la configuracion actual $ aceptamos el cambio de configuraci-n para poder acceder al men2 de redes

)nteriormente reconoci- una de las tarjetas de red para la intefa/ GR00C, a#ora #acemos que detecte la otra tarjeta de red que utili/aremos para la interfa/ R0B

Cos confirmara que todas las tarjetas fueron asignadas, si en alg2n caso en el anterior paso nos aparece la pantalla con las opciones Prueba, ;eleccionar $ cancelar de la configuraci-n quiere decir que no #a sido reconocida una de las tarjetas de red, podr1amos verificar que esta funciona adecuadamente o podr1a requerir un controlador que deberemos escoger manualmente con lo que solucionaremos nuestro problema!

! Continuemos con la Configuraci-n de Birecciones

Primero veremos nuestra configuraci-n para la interfa/ GR00C

Cos aparecer un aviso de advertencia el cual aceptaremos dado que aun no estamos accediendo por la direcci-n IP a nuestro firewall, confirmamos que tiene una direcci-n IP de nuestra red interna lo que es correcto!

Presionamos <K $ nos vamos a ver a configuraci-n de la interfa/ R0B, en este caso accedo a internet a trav4s de un router adsl que tiene direcciones IP estticas dentro del segmento 57&!5+*!55!x, le asignare la 57&!5+*!55!&,5, que es una con la que puedo navegar!

Una ve/ terminado elegimos <K $ luego )cabado para volver al men2 anterior! )#ora pasemos a configurar las direcciones BC; $ puerta de enlace con las que navegamos por internet!

Las direcciones que utili/are para esta configuraci-n son3

Le damos en <K $ en el men2 de configuraci-n de red elegimos )cabado! 0n la siguiente pantalla podemos configurar el servicio B9CP para nuestros clientes, en este caso manejaremos las estaciones de trabajo con direcciones estticas por lo que dejaremos vacio el espacio de )ctivo $ solo continuaremos con <K

)#ora asignaremos una contraseDa para el usuario root, que en los sistemas basados en Unix es el usuario que posee todos los derec#os en todos los modos, tambi4n llamado superusuario por sus privilegios! 0sta ser la contraseDa $ el usuario que utili/aremos para acceder por ;;9 ;ecure ;9ell" que es un protocolo para acceder remotamente a ordenadores de forma mas segura dado que utili/a un algoritmo criptogrfico para el envi- de informaci-n! ) la #ora de poner la contraseDa no #abr cambio aparente porque no aparecen los caracteres escritos, pero si estn siendo registrados, por lo que debemos tener cuidado al colocar la misma, lo mejor es fijarnos en la barra de piso que esta un poco sobresalida para ubicar donde esta el cursor $ pasar al otro campo con la tecla tab

Luego nos pide ingresar una contraseDa para el usuario admin, que ser la que utili/aremos para acceder por el navegador de internet!

.inalmente ingresaremos una contraseDa para el usuario que podr reali/ar bac=up del firewall

Con lo que finali/amos la configuraci-n del IPCop v5!6!&,

Luego de reiniciar nos aparecer esta pantalla al iniciarse

L luego el firewall se iniciara de la siguiente forma3

0n donde nos loguearemos como root $ la contraseDa root que configuramos antes

! Podemos probar si nuestra interfa/ R0B esta correctamente configurada con pruebas sencillas de ping ctrlJc para interrumpir" #acia el Gatewa$ $ a un dominio, con lo que estamos listos para reali/ar configuraciones, por a#ora dejaremos en ese estado nuestro firewall, $ accederemos al mismo por uno de nuestros equipos de trabajo a trav4s de la interfa/ GR00C!

)#ora para acceder al firewall v1a web, en una estaci-n de trabajo configuraremos las direcciones IP3

)brimos un explorador $ en la barra de direcciones colocaremos3 #ttp3>>57&!5+*!57E!53*5> o #ttps3>>57&!5+*!57E!53668> nos aparecer una pantalla donde deberemos confirmar una excepci-n en el navegador para ingresar, en esta ocasi-n utili/are 'o/illa .irefox, #aciendo clic= en 0ntiendo los riesgos

Le damos clic= en )Dadir 0xcepcion!!

Guardamos la excepci-n de manera permanente para no volver a repetir el proceso cada ve/ que ingresemos

.inalmente nos despliega a pgina de administraci-n del IPCop

9acemos clic= en conectar e introducimos como usuario admin $ el password que asignamos durante la instalaci-n

Con lo que $a podemos empe/ar a trabajar en el firewall, en el siguiente tutorial veremos como actuali/ar el firewall en instalar los llamados addons para aumentar las funciones de protecci-n $ control a nuestra red 0spero que les sirva, si desean mas informaci-n visiten #ttp3>>www!desarrollandosoftware!com Visiten el post: http: www!tarin"a!net posts linux #$%#&'(( IPCop-Instalacion-deAddons-)Ad*anced-Prox+)!ht,l para *er ,as de este excelente software!