IPCop Firewall. Si también uso Linux!!!!

FIREWALL

La seguridad es el punto principal del uso de un Firewall, sin tomar en cuenta el tipo de usuario.  Los administradores de Red tienen que incrementar la seguridad todo lo que sea posible, para frenar todo tipo de software malicioso y ataques externos a nuestra red, por eso se implementa un Firewall. Para evitar problemas al momento de implementar un Firewall se necesitan seguir al pié de la letra las políticas de seguridad interna de la empresa a la cual se le coloque un Firewall.

Un Firewall es un cortafuego utilizado en redes de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas. Se localiza entre una red local y una red de internet como dispositivo de seguridad. Recordar que los Firewall pueden ser Software como IPCOP o Hardware.

IPCOP

IPCOP es una distribución de Linux gratuita de administración de cortafuegos que se instala en una PC permitiendo la implementación de diferentes tipos de topologías de Red como LAN, WAN, Wireless.

Las zonas o topologías son las siguientes.

Roja: Zona de internet.

Verde: Red de Área Local cableada (WAN).

Naranja: Zona desmilitarizada (Servidores)

Azul: Zona inalámbrica.

INSTALACION

 

Descargar IPCop: Imagen IPCop
Update: Update

Requisitos mínimos (como para ejecutar pruebas o redes sumamente pequeñas):

· Procesador: Pentium III.

· RAM: 512 MB.

· Disco Duro: 60 GB.

· Red: Preferencia chips RTL-8130. Recuerda una placa de red por cada zona o topología que uses.

Requisitos recomendados:

· Procesador: Intel o AMD dual core, quad core.

· RAM: 4 GB.

· Disco Duro: 500 GB o 1 TB.

· Red: Preferencia chips RTL-8130 10/100/1000. Recuerda una placa de red por cada zona o topología que uses.

Se entra a la página de IPCOP y se baja la última versión en ISO que actualmente es la 1.4.20 y se quema en un CD, pesa aproximadamente unos 50 MB.

RECOMENDACIONES

Es recomendable entrar a la Bios antes de la instalación y deshabilitar todas las opciones que no requerimos, como puertos seriales, USB, etc. También reconfigurarlo para que por un corte de luz el Firewall vuelva a encenderse al momento de que vuelva la luz.

PANTALLAS DE INSTALACIÓN

En esta pantalla que pertenece a la zona verde de preferencia dejen una NM (mascara de subred) diferente a la zona roja que es la zona de internet, para que se les complique un poco al momento de que una persona quiera hackear la red. Si una es 255.255.255.0 que la otra sea 255.255.0.0 (ya después hago otro post de como subnetear redes).

 

Recordar la Zona horaria del centro de México es -6 y de Argentina es -3.

 

 

Vemos como la zona verde tiene una trajeta de red asignada, tenemos que asignarle una a las demás zonas.

 

 

Aqui activamos si queremos que nuestra red tenga un rango de ip´s fijas o desactivamos para que el servidor nos de las ip por DHCP

 

Una vez finalizada la instalación se nos pedirá que configuremos las contraseñas de acceso a la administración de IPCOP y se reiniciará el servidor quedando una pantalla negra con un “login:”.
Para entrar como root, en login ponemos root y pass la contraseña con aterioridad establecida.
Para reconfigurar nuestro ipcop ponemos:
Firewall# setup
Y volvemos a ver una pantalla como esta

 

En las opciones DNS y Gateway configuramos las ip de los servidores DNS (en caso de que tengamos una super empresa o trabajemos en una lugar muy grande con DNS propios) o ponemos las IP de los servidores DNS de nuestro proveedor ISP. EN gateway iria la IP de la zona roja que es la que tiene salida a internet.
Ahora para administrar nuestro servidor desde la misma red o desde internet tendremos que utilizar una serie de programas como WinSCP.
Al ejecutar Winscp se tiene que colocar la IP del firewall (zona verde) y el puerto 222. También se coloca root y el pass.
Si no les gusta WinSCP usen Filezilla, o FireFTP o el que se les antoje!
WInSCP: Descargar
Filezilla: Descargar
Un programita SSH muy bueno es Putty para que usen una interfaz en la compu como si se tratara del root de Linux.
Putty: Descargar
Una vez ya todo instalado, necesitamos tener un cable de Red cruzado que conecte nuestra PC con el Firewall.
Cuando esté el Firewall en funcionamiento, le colocamos a nuestra PC los valores de IPv4 manualmente.
En el Gateway o puerta de enlace le colocamos la IP de la zona verde. En la Net Mask una acorde a la IP asignada y en dirección IP ponemos una IP de acuerdo a la IP de la zona verde. En el DNS ponemos las IP de nuestros servidores DNS o si no tenemos, el DNS predeterminado de la compañía que nos da internet.
Abrimos un navegador y colocamos lo siguiente.
IPdelazonaverde:81 y accedemos a nuestro IPCOP.

Entramos y activamos el SSH para poder usar los programas como Winscp o Putty.

Seleccionamos los Checkbox habilitado en Green, proxy y el registro permitio, para crear logs y programas como SARG utiliza.

Ya tenemos listo nuestro IPCOP, pero hay unos programas aparte que hacen aún más potente a nuestro Firewall, como el URL-Filter y el SARG.

URL-Filter: filtro de URL es un módulo add-on para la popular distribución de Linux basada en firewall IPCop y SmoothWall, extendiendo su funcionalidad con la habilidad para bloquear dominios no deseados, las direcciones URL y archivos.

Una vez instalado podemos acceder a listas negras de páginas WEB maliciosas, crear listas blancas, bloquear usuarios, poner mensajes, bloquear de muchas maneras. Pasamos el archivo de instalación con Winscp y con putty lo instalamos.

URL-Filter: Descargar

SARG: Es una herramienta que nos permitirá ver donde los usuarios van en internet utilizando los Log´s creados por IPCOP.

SARG: Descargar

Bueno gente cualquier duda no dejen de pasar por Contacto (blog bizku) y ahi dejan cualquier tipo de duda o pregunta. Comenten, hablen lo que sea todo es muy útil para mi. Gracias!!!!

Nerdpower

Nerdpower es Hugo, un argentino viviendo en México, futuro ingeniero en sistemas y que además también pueden leer en su blog personal: http://bizku.blogspot.com/

More Posts - Website

22 comentarios

  1. Antes de que digan algo sobre los requisitos recomentados de que si son algo altos, recuerden que es un Firewall y si esta instalado en un lugar con miles de entradas y salidas al dia se requiere mucha pulenta para procesar tantos datos, si no es un servidor DNS!!!!! jaja

    1. Firewall para Linux hay uno solo: iptables.
      Tanto ipcop como firestarter o ufw, lo mismo que coyote, smoothwall, brazilfw y un largo etcétera no son mas que un frontend para iptables.
      iptables por otro lado podría ser considerado a su vez hasta un cierto punto como un frontend para el kernel de linux, que es quien en definitiva hace toda la magia manejando los paquetes de datos.

      Controlar todo el tráfico hablando directamente con el kernel, sin iptables de por medio sería un reverendísimo dolor de bolas, por eso iptables, controlar todo el tráfico hablando con iptables no es tan complicado una vez que entendés como funciona pero es bastante complejo también, no es para el usuario de a pié, digamos. Por eso es que hay tantos millones de frontends distintos para iptables.

      ¡Saludos!

        1. ¿Te parece?

          Un ejemplo: Conectás una segunda PC en tu casa, cable cruzado desde eth1 en la PC que tiene internet hasta la placa de red de la segunda PC que todavía no tiene internet.

          Si no tenés iptables, lo instalás en dos patadas y ejecutas en la PC con internet:

          iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

          Y listo, la segunda PC ya tiene internet y flor de firewall que la protege… Me parece mucho mas simple eso que andar haciendo el semejante despelote de instalar iptables + un frontend y configurar todo.

          -o se refiere a la interface de salida a internet, que puede ser eth0 como en el ejemplo, wlan0 si el enlace fuera inalámbrico, ppp0 para conexiones 3G o de ADSL con autenticación PAP/CHAP, etc…

          Una vez que entendiste un poco la sintaxis, es simple dentro de todo.

          Para que funcione el ejemplo el kernel tiene que permitir el reenvío de paquetes:

          echo 1 > /proc/sys/net/ipv4/ip_forward

          Eso te da solo ruteado por lo que tendrás que depender de un servidor DNS externo, los de google por ejemplo que vuelan sobre 8.8.8.8 y 8.8.8.4.

          1. ¡eso es para hacer un router de una PC! Ya lo hice una vez. el comando es para hacer NAT, y cambiar ip_forward a 1 es para reenvió de paquetes. También usé dnsmasq para servidor DHCP y DNS. Acá está el tutorial que alguna vez seguí:
            http://crysol.org/node/96
            El tema es… ¿y los puertos? ¿Reglas de salida? ¿Respuesta a ICMPs? ¿Etcétera? Se que una vez que tenés los comandos en la cabeza sale con fritas, pero el tema es justamente ese, acordarte que significa los “-o”, “-l”, “-L” e interminables etcéteras

    2. Esa es la base, de ahí en mas es solo cuestión de cuanta complejidad quieras agregarle al asunto. Muchas veces esta complejidad es totalmente innecesaria.

      Hace un par de meses me llamaron de una empresa en donde se fué en anterior encargado de la red, un analista de sistemas. Se fué sin dejar asentado nada, ni nombres de usuario, contraseñas, números de IP, nada… Necesitaban implementar un par de puntos de venta adicionales y no sabían como, por que los enchufaban a la red y no tenían conectividad.

      El router corre Linux, tenía como política por defecto denegar en todas las cadenas, luego aceptar, así que todo el script que hacía funcionar internet constaba de mas de 400 líneas. Además usaba SNAT en lugar de DNAT.

      Borré todo y escribí uno nuevo, mi script hace lo mismo en casi 40 líneas, además lo dejé bien comentariado por si me pisa un auto, para que el que venga detrás mío entienda que hice.

      Un poco de paranoia nunca está de mas, pero hay que ver hasta donde se justifica.

  2. Yo no Nadius si escuché de ellos pero ya con IPCop tengo suficiente jajaja. Igual no está de más ver que tal andan esos 2 que decís!!!!

  3. ppppppuuuuuuuuuufff eso si es un dolor de bolas che nunca manejé algo semejante pero IPCop con sus módulos correspondientes funca muy bien imaginate que en el Centro Nacional de Desarrollo e Investigaciones Tecnológicas (Cenidet) que está aca en Cuernavaca tienen IPCop!!!!

  4. IPCop corre con una ventaja gigante: Fué uno de los primeros frontends para iptables. No te sé decir con certeza cuando fué que lo ví por primera vez pero debe hacer mas de diez años por lo menos, claro que funciona a la perfección por que a esta altura del partido debe estar pulidísimo me imagino. Que lo veas por todos lados obedece a la popularidad que le dá el hecho de haber sido pionero.

    Hace bastante que no instalo ningún frontend pero viendo todo tu tutorial me han entrado ganas de probar algo similar a esto, mas que nada por que estoy realmente cansado de lidiar con las reglas de filtrado para QoS. Ya aprendí todo lo que quería aprender, ahora la quiero facil. 😀

    ¡Saludos!

  5. A mi dejame con Blogspot y sus Gadgets jajajaja!!!!
    Dale ponelo y algún día me mostrás como manejar las iptables, solo dejá que este pequeño padawam se prepare!!!!

    1. Podriamos estar años hablando de iptables. El mismo manual de iptables que podés consultar con el comando: “man iptables” lo podés consultar online si te interesa: http://ipset.netfilter.org/iptables.man.html como para que te des una idea de la potencia que tiene.

      Googleá que está lleno de manuales en internet. Si querés ver como lo hace ipcop:

      iptables -L

      Y:

      iptables -t nat -L

      Te van a dar un pantallazo generalizado de las cadenas por donde pasan los paquetes y que políticas se le aplican seguramente.

      ¡Saludos!

  6. Tengo un problema con IPcop, lo instale en un equipo, le instale unos plugin y todo, pero a la hora de instalarlo en la red los equipos me dan conectividad limitada, si le pongo un cable cruzado hacia un equipo puedo ver la interfaz grafica del firewall pero si lo mando normal me da ese problema, alguien me puede ayudar?

    1. SI de equipo a equipo es cable cruzado pero todos los demás cables no tienen por que ser cruzados. Solo cruzado si haces una conexión directa al equipo que tiene instalado el IPCop!!!!
      Al momento de instalarlo le pusiste DHCP o IP estática para configurar la placa de red de cada equipo como como pusiste????

      1. Conectividad limitada = No funcionó el DHCP

        ¿Por que no funcionó? Esa es la pregunta. Poné IP fijo en alguno de los clientes y verificá conectividad. Si no hay, entonces puede que tu problema sea de cableado.

        ¡Saludos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *