IPCop, Firewall basado en Linux - Segunda Parte

Autor: DesarrollandoSoftware.com Tutorial HTML En esta segunda parte veremos como aumentar las funcionalidades a nuestro firewall con el uso de Addons, estos son programas desarrollados para brindar funciones avanzadas. Utilizaremos el addon Advanced Web Proxy, este programa permite que IPCop se convierta en un excelente Proxy que nos permitir realizar tareas administrativas como limitar el ancho de banda de los clientes, el tamao de sus descargas, asignar acceso a internet a determinadas redes, restringir los archivos que el cliente puede descargar y mucho ms

Actualizacin de IPCop Instalacin de Addons Instalacin de Advanced Proxy Configuracin de IPCop con Advanced Proxy Ejemplos de IPCop con Advanced Proxy prestando servicios a clientes

Actualizacin de IPCop
Recordemos la infraestructura de red que nos planteamos para el tutorial; accedemos a internet por la interfaz RED que tiene la IP privada 192.168.11.201, y nuestra interfaz segura o GREEN tiene la IP 192.168.197.1, adems tenemos una PC Administradordentro de segmento GREEN que utilizaremos para acceder al Administrador Web de IPCop.

Accedemos al administrador web desde la PC Administrador para lo que escribimos en un navegador http://192.168.197.1:81/ https://192.168.197.1:445/ y nos logueamos como Admin y la contrasea que colocamos, una vez en el men principal del IPCop lo primero que haremos ser actualizar IPCop, en la pestaa Sistema Actualizaciones, en este caso realizare la actualizacin de manera manual utilizando el botn Examinardonde buscare el archivo de actualizacin ipcop-1.4.21-

update.i386.tgz.gpg (esta en el las descargas del tutorial o pueden descargarlo de la pagina oficialhttp://www.ipcop.org/download.php)

Ubicamos la carpeta donde esta el archivo de actualizacin.

Luego le damos click en Cargar, una vez cargado click en Aplicar ahora

Con lo que ya esta actualizado y listo para configurar, notaran que en la pagina de inicio ya no esta la sugerencia de actualizacin.

Configuracin e Instalacin de Addons Servidor Proxy

Lo primero que veremos ser cmo configurar nuestro IPCop como servidor Proxy el cual actuar como intermediario entre el explorador web de nuestras estaciones de trabajo, e Internet. Para esto instalaremos un Addon llamado Advanced Proxy, un addon es un paquete que le da funcionalidades adicionales a nuestro Firewall y la razn de instalar este Addon es que las opciones Proxy que viene con el IPCop son muy simples, claro que en algn caso podra ser suficiente. Primero descargamos el archivo ipcop-advproxy3.0.6.tar.gz, que esta incluido en las descargas del tutorial o del sitiohttp://www.advproxy.net/, en la estacin de trabajo desde donde accedimos al firewall va Web (PC Administrador), el lugar donde lo guarden es indistinto.

Ahora necesitaremos dos herramientas muy tiles, El WinSCP que es una aplicacin de software libre para facilitar la transferencia segura de archivos entre nuestro sistema operativo Windows y nuestra distribucin basada en Linux y el PuTTy que es un cliente de red que soporta protocolo SSH (entre otros) que utilizaremos para iniciar sesin de forma remota a nuestro firewall IPCop. (Estos programas estn el las descargas de el tutorial )

Antes de comenzar a utilizar estos programas debemos configurar IPCop para que permita el acceso utilizando el protocolo SSH, para lo que en nuestro acceso Web vamos a Sistema - Acceso SSH

Marcaremos Acceso SSH y la opcin Se admite autentificacin basada en contrasea, Tambin debemos anotar que IPCop usa el puerto 222 para SSH, Finalmente click en Guardar.

Iniciamos WinSCP, en Host name colocamos la direccin IP del firewall (192.168.197.1) el Port number: 222, que es el puerto que utiliza el IPCop, como User name: root y el password que asignamos a este usuario.

Tal vez se muestre una advertencia la primera vez que se conecte la que tiene que ver con la autenticacin con la llave a la que daremos click en Yes.

Ahora podemos copiar los addons desde nuestro host Windows al Firewall, en el lado izquierdo ubicamos la carpeta donde esta el archivo ipcop-advproxy-3.0.6.tar.gz y en el lado derecho dando doble click en la carpeta arriba (la que tiene 2 puntos ..) vamos a las carpeta raz y abrimos la carpeta tmp (con doble click) que ser donde copiaremos el addon

Lo copiaremos nicamente arrastrando el archivo ipcop-advproxy-3.0.6.tar.gz del lado izquierdo al derecho, nos mostrara la pantalla de confirmacin, la que aceptaremos con el botn Copy

Con lo que ya tenemos copiado el archivo en nuestro Firewall

Una vez hecho esto procederemos a instalar el Addon para lo que accederemos al Firewall IPCop utilizando PuTTy en el Host Name el firewall (192.168.197.1), el puerto 222, tipo de conexin SSH y click en Open

Podra aparecernos alguna advertencia tambin referida al key del servidor a la que solo le daremos click en Si y luego volver a ejecutar el programa Putty. Desde el PuTTy nos logueamos como root con nuestra contrasea

Con lo que accedemos al IPCop como superusuario, como lo habrn notado el uso del PuTTy es nicamente por comodidad de acceso, naturalmente lo que sigue lo podramos hacer directamente en el firewall IPCop.

Primero limpiaremos la pantalla (Ctrl+l o Ctrl+L), luego escribimos cd .. (note el espacio entre cd y ..) para volver un directorio y luego el comando ls para mostrar el contenido del directorio (las palabras en azul son directorios o carpetas y los de color blanco son archivos o ficheros), donde veremos la carpeta tmp a la que accederemos con cd tmp, (despus de cada comando presionar Enter) luego ls y veremos el archivo que copiamos con WinSCP

Ahora para descomprimir utilizamos el comando tar -xzf ipcop-advproxy3.0.6.tar.gz, (podemos utilizar autocompletar con la tecla TAB, ponemos por ejemplotar -xzf ip y TAB y se completara a tar -xzf ipcop-advproxy-3.0.6.tar.gz) luego lspara ver el contenido y como vemos se creo una carpeta llamada ipcopadvproxy (en azul) a la que ingresaremos con cd ipcop-advproxy, luego escribimos ls para ver el contenido, con lo que veremos los ficheros de la carpeta entre los que estn (en verde) install y uninstall, para instalar escribimos ./install y enter

Instalara de forma automtica con lo que ya tenemos instalado el Advanced Web Proxy en nuestro Firewall IPCop, el procedimiento para instalar otros Addons es muy parecido solo cambian los nombres de los archivos pero solo ser eso.

Accedemos nuevamente a la Pgina de administracin, donde podemos ver que (F5 para actualizar) se aadi una opcin en el men Servicios llamada Advanced Proxy, al que accedemos para hacer algunas configuraciones

En Opciones generales marcamos Habilitado en Green, esto permite al servidor proxy escuchar las peticiones de los clientes en esta interfaz. En nuestro caso solo tenemos la interfaz Green, si hubiera una interfaz Blue, tambin la marcariamos, luego habilitaremos el modo Transparente en Green, activamos esto para que todas las solicitudes para el puerto de destino 80 (HTTP) sean enviados al servidor proxy sin necesidad de ningn cambio de configuracin especial para los clientes. El puerto del proxy es por el que escuchar las peticiones de los clientes. El valor por defecto es 800, en modo transparente las solicitudes del puerto 80 son automticamente redirigidas a este puerto. Las dems opciones permiten configurar datos de las pantallas de error que aparecern en nuestros clientes: Nombre del Host, Idioma de los mensajes, informacin de la versin, y el formato, IPCop (muestra una pantalla con el logo del IPCop) y el formato standard (sin logo IPCop). Las opciones de Proxy de subida se podran utilizar para entornos proxy encadenado o en cascada que para este tutorial no utilizaremos. En Configuracin del Loghabilitamos el log para que el proxy grabe en un archivo de registro las solicitudes de los clientes.

La cach es un espacio que se utiliza como memoria para agilizar ciertos procesos, aqu es donde se almacenarn paginas y/o documentos web para reducir el ancho de banda consumido y la carga de trabajo del proxy, esto lo hace respondiendo algunas peticiones con informacin en la cach, para nuestro ejemplo dejaremos los valores por defecto pero en algn caso podramos incrementar los valores, tomando en cuenta siempre el hardware donde instalamos IPCop, agregare el dominiohttp://news.google.com/ para que no se almacene en cach porque queremos que siempre nos muestre esta pgina actualizada.

En Puertos de destino se enumeran los puertos permitidos para HTTP y SSL, aqu podemos aadir o quitar puertos para nuestras aplicaciones, por ahora los que tiene agregados son suficientes para nuestra infraestructura.

Lo siguiente es el Control de acceso basado en la red, aqu definiremos quienes utilizarn el servidor proxy basado en la direccin de red del cliente, todas las subredes que figuran se les permite acceder al servidor proxy. Por defecto, las subredes de GREEN (verde) y BLUE (azul) (si est disponible) figuran en esta lista. Usted puede agregar otras subredes a esta lista en entornos ms grandes. Todas las subredes que no figuran en esta lista sern bloqueadas al acceso web. Las direcciones IP sin restricciones anulan las siguientes restricciones: Restricciones de tiempo Limites de tamao mximo de descargas Limite del ancho de banda de descargas Filtros MIME Verificacin del navegador Autenticacin (si habilitamos) Nota: Dentro de las restricciones anuladas no se encuentra el lmite de tamao mximo de subida, por lo que si limitamos este parmetro ser para todos incluyendo las IP sin restricciones. Agregare la IP 192.168.197.2 que es la de PC-Administrador, para que no tenga ninguna restriccin, cabe destacar que tambin se pueden agregar direcciones MAC. Las direcciones IP Banneadas son los clientes que sern bloqueados, y no tendrn nign acceso al proxy, agregare algunas direcciones MAC para que estos clientes no tengan acceso a internet a travs de nuestro Proxy, el uso de las direcciones MAC puede ser muy tiles cuando se trabaja con DHCP (direcciones IP otorgadas dinmicamente).

Las Restricciones de tiempo permiten bloquear el acceso web en das y horas determinadas, en este caso bloquearemos el acceso web el da Domingo y lo permitiremos de lunes a sbado de 8:00 am hasta 20:00. El Lmite para transferencias se refiere al tamao mximo de un archivo que nos permitir descargar o cargar, limitaremos el tamao mximo de una descarga

a204800KB (200MB) y carga a 204800KB (200MB) con lo que evitamos que los clientes suban descarguen archivos que superen los 200 MB. La Limitacin de descargas es algo muy til cuando queremos administrar el ancho de banda, podemos limitar cuanto ancho de banda queremos que utilice cada cliente, en este caso permitir que al servidor ingrese todo el ancho de banda disponible pero que a los clientes solo se les permita 128 Kbps como mximo, tambin se puede habilitar limites basados en el contenido. Un MIME de un archivo es una descripcin de lo que es el archivo y que nos sirven para decirle al servidor de que archivo se trata, IPCop nos permite utilizar esta descripcin para filtrar contenido, para ejemplo bloqueare la descarga de videos quicktime y los documentos PDF utilizando sus respectivos MIME, en esta pagina pueden encontrar todos los MIME, los que estn normados por la IANA (Internet Assigned Numbers Authority)
http://www.iana.org/assignments/media-types/index.html,

si

utilizan esta opcin no olviden marcar Habilitado

Las opciones Navegador Web permiten controlar con qu software el cliente puede tener acceso a los sitios web. Primero Habilitare chequeo de navegador y marcar los programas que podr usar el usuario para acceder a sitios web, como se ve no podr ingresar por ejemplo a travs de la aplicacin de Google Earth y otros.Estas limitaciones no se aplican a las IP sin restriccin. Las opciones Privacidad permiten la modificacin de algunos campos de la cabecera HTTP para proteger su privacidad, por ahora dejaremos los campos en blancos. Por ahora no utilizaremos ningn Tipo de Autenticacin, pero lo veremos mas adelante.

Para que toda la configuracin tenga efecto presionamos el botn Guardar y reiniciary tenemos el proxy configurado. Ahora configuremos las propiedades del protocolo internet TCP/IP en la PC Administrador para poder navegar, naturalmente para los dems clientes la configuracin de red ser similar cambiando nicamente la direccin IP (192.168.197.x), no olvidemos que la IP 192.168.197.2 est dentro de las IPs sin

restricciones as que configuremos una PC Cliente con la direccin IP 192.168.197.3 para ver el funcionamiento del proxy.

Probemos el ancho de banda, desde la PC cliente (192.168.197.3) utilizaremos el medidor de http://speedtest.net/ que nos servir como parmetro, recordemos que habilitamos 128Kbps para cada cliente, lo que nos refleja el testeo es bastante cercano a lo deseado (0.12*1024 = 122.88 Kbps).

La pantalla de error que nos muestra en el explorador Firefox cuando queremos descargar un archivo PDF, bloqueado con filtro MIME.

La pantalla que despliega Internet Explorer, porque no se encuentra en los programas permitidos para acceder a sitios web, y de esta manera aparecern, en los clientes, las polticas que nosotros implementemos.

Para terminar esta segunda parte del tutorial de IPCop veremos los registros del Proxy, para lo que elegimos la pestaa Logs - Registros del Proxy

Aqu podemos ver las paginas que fueron accedidas por las diferentes direcciones IP de nuestra red, por ejemplo veremos las paginas que accedi la PC con la IP 192.168.197.3, elegimos en IP de Origen la IP deseada, la fecha, marcaremos la opcin Activar ignorar filtro para que en los resultados no esten las URL de las imagenes con las extensiones de Ignorar filtro y click en Actualizar

Con lo que nos muestra las paginas visitadas por esta PC con la IP 192.168.197.3

Con esto terminamos esta parte del tutorial, en la prxima entrega veremos como configurar autenticaciones, una configuracin de este tipo podra permitir el acceso a internet con un nombre de usuario y una contrasea, tambin veremos como filtrar

contenido en las URL con lo que bloquearemos el acceso a paginas por ejemplo con contenido sexual y otros.