Subir Archivo

ipcop firewall

prev
next
out of 21
Download IPCop Firewall

Upload: alexandrerufino

Post on 06-Jul-2015

715 views

Category:

Documents


1 download

Report

TRANSCRIPT

O que o IPCop Firewall

O IPCop Firewall uma "caixa fechada" que possui um kernel prprio e diversas ferramentas integradas como VPN, IDS, Proxy, Firewall, QoS e outras. Toda a administrao do IPCop realizada via pgina web, com conexo SSL segura e criptografada, o que torna a ferramenta ainda mais interessante do ponto de vista de segurana. Este artigo tem como principal objetivo mostrar a instalao do IPCop, a configurao do PPPoE para conexes ADSL (uso o Velox da Telemar como base para este artigo) e instalao de um MOD Server para instalao futura de addons. Por padro o IPCop Firewall bloqueia todas as conexes vindas da rede externa, mas permite qualquer conexo vinda da rede interna para a externa, ou seja, nada entra, porm tudo pode sair e o que saiu pode voltar. Nas prximas pginas iremos realizar o download do arquivo de instalao, instalar a ferramenta e configur-la. Ento, vamos l?!

Download e instalaoA verso atual do IPCop Firewall a 1.4.6 e ser a verso utilizada neste artigo. Antes de baixar o instalador, ser necessrio realizar um dimensionamento de hardware que suporte o IPCop. Para uma rede de at 20 estaes, o seguinte hardware suporta perfeitamente:

Pentium II 200 MHz 64 Mb de RAM (128 Mb para melhor

performance)

5 Gb de HD 2 placas de rede

Lgico que voc pode usar um hardware equivalente, caso ache melhor. Acesse o link:

http://prdownloads.sourceforge.net/ipcop/ipcop-

1.4.6.iso?download

e escolha um mirror para baixar os 40 Mb do IPCop. Terminado o download, ser necessrio confeccionar um CD com o arquivo ISO. Com o CD pronto, basta coloc-lo na mquina que ser seu firewall e aguardar o boot. Se o CD estiver OK, a seguinte tela aparecer:

Processo de instalao1. Agora apenas pressione a tecla ENTER para iniciar o progresso de instalao. 2. Selecione agora a linguagem do produto. Eu recomendo que ele seja instalado em ingls (English), para facilitar futuros updates da ferramenta e por ser uma linguagem universal. Pressione ENTER aps a escolha.

3. Apenas pressione ENTER para prosseguir a instalao.

4. Deixe selecionado o tipo de instalao CDROM e pressione ENTER no boto OK. Ir aparecer uma outra tela pedindo que voc insira o CD do IPCop no drive, basta pressionar a tecla ENTER para prosseguir (assumindo que o CD j esteja no driver).

5. Agora preste bastante ateno! Todos os dados sero apagados da mquina onde estiver sendo instalado o IPCop, OK?! Pressione ENTER para que ele inicie o particionamento automtico do firewall.

Tela do incio do particionamento:

6. Ao final da cpia aparecer uma box com os botes Restore e Skip, selecione com a tecla TAB o boto Skip e pressione ENTER. 7. Agora iniciaremos um passo da instalao que ir requerer bastante ateno, para no termos problemas. Antes vou explicar como o IPCop trabalha. No firewall que vamos instalar aqui no artigo, utilizaremos somente 2 placas de rede: uma para a rede interna e outra para a rede externa, certo?! O IPCop trata as placas de acordo com sua aplicabilidade:

Placa interna: GREEN Placa externa: RED Placa da DMZ: ORANGE

Iremos utilizar somente a GREEN e RED, neste artigo, onde a GREEN ter o IP interno de sua rede, para que todas as outras estaes possam encontr-la e a RED ter um IP dado pelo provedor ADSL, que no meu caso o Velox da Telemar. Bom, agora que j sabemos o que cada coisa, podemos retornar a instalao. A seguinte tela dever estar diante de voc:

Selecione Probe e pressione a tecla ENTER para que o IPCop vasculhe sua mquina a procura de uma placa de rede conhecida. Aps ter encontrado ele ir instal-la e configur-la automaticamente, cabendo a voc definir o endereo IP da mesma. Esta configurao ser apenas da placa GREEN, a RED ser configurada posteriormente, OK?! No se esquea disso! :P Ao final da busca, dever aparecer a seguinte tela, contendo o modelo da sua placa de rede, como mostra a figura abaixo:

Apenas pressione ENTER. Agora defina um endereo IP e a mscara de subrede para sua placa GREEN. No meu artigo irei usar o endereo 192.168.2.95 com mscara 255.255.255.0.

Depois v at o boto OK navegando com a tecla TAB e pressione ENTER para continuar. Aguarde o final do up da placa GREEN. Pressione ENTER no boto que mostra um pequeno sumrio da instalao, dizendo que a mesma est completa.

8. Escolha o layout de seu teclado e pressione ENTER.

9. Selecione seu time zone e pressione ENTER.

10. Defina um nome para a sua mquina. Chamarei a minha de ipcop mesmo.

11. Defina agora o domnio de sua mquina. Este o sufixo de DNS que voc usa em sua rede interna. Por exemplo eu usei expertti.com.br e o nome completo da mquina ser ipcop.expertti.com.br.

12. Agora selecione o boto Disable ISDN e pressione ENTER.

13. Agora iremos definir como ser a configurao de nosso firewall. Como eu falei anteriormente este artigo ir abordar apenas 2 placas de rede, por tanto nossa configurao ser (GREEN + RED), como o prprio IPCop ir chamar. Nesta tela que estamos agora, mostrada abaixo, iremos escolher a forma GREEN + RED e configurar a placa RED.

Selecione Network configuration type e pressione ENTER. Escolha a opo GREEN + RED e pressione ENTER, como mostra a figura abaixo:

Configurao da placa REDNa tela de Networking configuration menu, selecione Drivers and card assigments e pressione ENTER. Apenas pressione ENTER na tela seguinte. Agora ser necessrio repetir o passo 7, para configurar a interface RED. Selecione o boto Probe para que o IPCop procure sua placa e adicione um driver para ela. Ao final da instalao da placa iremos retornar para a tela abaixo:

Agora selecione Address settings e pressione ENTER. Selecione RED e pressione ENTER.

Navegue usando a seta para baixo, at a opo PPPOE e pressione a barra de espao, para marcla com um "*", depois v at o boto OK e pressione ENTER para retornarmos a tela anterior. Selecione Done e pressione ENTER.

Agora selecione Done e pressione ENTER, quando estiver na tela Networking configuration menu, para finalizarmos a instalao. 14. Agora caso voc precise, voc poder configurar um servidor DHCP para sua rede interna. Eu no irei utiliz-lo neste artigo, por isso no marque a opo Enabled e apenas v at o boto OK com TAB e pressione ENTER. 15. Vamos escolher as senhas administrativas para nosso firewall. Precisaremos definir a senha do usurio root do Linux e do usurio admin do IPCop. Primeiro defina a senha do usurio root, depois do admin. Pronto, se voc ver a tela abaixo, sua instalao estar pronta! Deixe a mquina reiniciar e vamos configurar o IPCop.

Configurando o Velox e compartilhando a internetAgora que nosso IPCop est instalado, vamos acessar a console web dele, no endereo: https://192.168.2.95:445. Lembrando que o IP 192.168.2.95 foi o que eu usei no meu artigo e que voc deve substitu-lo pelo IP que voc designou durante a instalao, OK?! :P Aceite o certificado digital e se tudo der certo a seguinte tela se abrir para voc:

Agora vamos configurar a conexo Velox, certo?! V at o menu Network > DIALUP. Ser necessrio efetuar login com o usurio admin, que definimos a senha nos ltimos passos da instalao. No campo Interface, selecione PPPoE e clique no boto Refresh, para remontar os campos relativos ao PPPoE.

Configuraes de DialUp Agora sete o campo Idle timeout para 0. Selecione Connect on IPCop restart. Em Reconnection, selecione Persistent. No campo User Name, na parte de Authentication

entre com o nmero de telefone que voc usa para logar no velox, por exemplo: 2722224455 e coloque tambm sua senha.

or CHAP.

O mtodo (Method) de autenticao deve ser PAP

Deixe o DNS como Automatic.

Adicione um nome para sua conexo configurada e clique em Save. Ao clicar no boto Save, a conexo ser salva e iniciada. Para acompanhar o status, abra a tela do servidor IPCop e pressione as teclas ALT+F12 para ver os logs de conexo. Se tudo der certo voc ver o IPCop subindo sua interface RED. Caso voc queira desconectar basta ir no menu SYSTEM > Home e usar os botes Disconnect e Connect. Pronto seu servidor est conectado ao Velox, agora ser necessrio apenas efetuar as configuraes de proxy para liberao das estaes, para que voc possa se autenticar na tela do Velox Zone. V no menu SERVICES > PROXY e configure como mostra a tela abaixo:

Voc pode trocar as configuraes como porta ou tamanho do cache, caso voc queira. Estas opes so por sua conta e de acordo com suas necessidades. Pronto, agora v em suas estaes de trabalho e sete como default gateway seu novo servidor de firewall. Feito isso basta tentar acessar qualquer pgina, para que ele pea a autenticao do provedor ADSL, caso no esteja conectado e voc j poder navegar com proxy transparente. Caso alguma estao especfica necessite de configuraes de proxy para funcionar, basta voc configurar o endereo de proxy e a porta, de acordo com as configuraes do seu firewall.

Instalando o MOD Server para os Add-OnsNosso IPCop j est instalando, configurado e funcionando. Talvez da maneira que ele esteja instalado ele atenda perfeitamente todas as suas necessidades, porm se voc precisa editar as regras de firewall e bloquear trfego de dentro pra fora, como por exemplo MSN Messenger, voc ir precisar instalar alguns add-ons ao produto. No objetivo deste artigo demonstrar a instalao de adds em seu IPCop, pois a quantidade de adds e as necessidades de utilizao, podem variar de usurio para usurio. Vou apenas mostrar como funciona e indicar alguns links para baixar adds. Antes de instalar qualquer Add-On, ser necessrio configurar um server, que chamado de MOD server. Antes, acesse seu servidor via web, no endereo https://ip:445, selecione SYSTEM > SSH ACCESS efetue login como Admin e marque a opo SSH Access e clique em Save. Iremos precisar de acesso via SSH ao servidor. A porta SSH utilizada pelo IPCop a porta 222. Vamos baixar o MOD server compatvel com a verso 1.4.6 do IPCop.

Instalando o MOD ServerO link que contm diversos Addons :

http://firewalladdons.sourceforge.net/index.html

#Addon%20Server

V at o link: http://prdownloads.sourceforge.net/...download

e escolha um mirror para baixar o arquivo addons-2.3-CLI-b1.tar.gz. Terminado o download, ser necessrio enviar este arquivo via SFTP para seu servidor Firewall, de preferncia para a raiz do sistema ('/'). No Linux use o utilitrio scp e no Windows utilize o utilitrio Winscp (http://winscp.net/). Com o arquivo copiado para a raiz de seu sistema ('/'), efetue login como root no firewall IPCop e execute: # tar zxvf addons-2.3-CLI-b1.tar.gz # cd addons # ./setup -i Se tudo der certo o seguinte resultado aparecer:

Efetue logout e logue novamente como admin, na pgina de administrao do IPCop (https://IP:445) e note que apareceu um menu chamado ADDONS, que ser utilizado para adicionar adds ao seu sistema IPCop. Pronto, agora seu IPCop j possui um servidor MOD, o que possibilita a utilizao de addons. No link:

s

http://www.ipcop.org/modules.php?...IPCopAddon

possvel encontrar diversos outros links que contm addons para o IPCop. Porm necessrio prestar muita ateno na compatibilidade de um determinado add com a verso que voc est usando no IPCop, OK?! Um site que contm vrios adds legais o:

http://firewalladdons.sourceforge.net/

Instalando um Addon em seu IPCopAps salvar o arquivo de instalao do add, que normalmente sero do tipo *.tar.gz, abra seu navegador de internet no endereo administrativo do IPCop, que https://IP:445. Importante: antes de comear a instalar o qualquer addon leia atentamente a documentao do mesmo para saber onde ele ir "interferir" em seu sistema.

Dentro da pgina de administrao, v no menu ADDONS > ADDONS. Logo no final da pgina existe uma tabela Install new addon, onde voc dever clicar no boto Arquivo para selecionar o arquivo de instalao do add que foi baixado. Depois clique no boto Upload para envi-lo ao servidor. Alguns adds pedem um reboot do servidor para funcionar, por isso necessrio verificar este ponto na documentao de cada add. Bom, com este pequeno tutorial voc estar apto a instalar adds em seu firewall, adicionando funcionalidades como o SquidGuard, DansGuardian, QoS, dentre outros. O resto do aprendizado da ferramenta por sua conta. :) Espero que voc tenha gostado do artigo e que ele lhe possa ser bastante til. Um abrao.

IpCop 1.4.10_Uso eficiente do IPCOP FirewallRate This Nesse artigo abordaremos dicas e truques para um uso mais eficiente do IPCOP como soluo de firewall de sua rede com uso de layer-7. Veremos como fazer para bloquear MSN, programas P2P e recursos adicionais. Usando o IPCOP Firewall para bloqueios de alto nvel Quem acompanha o Viva o Linux j deve ter lido o excelente artigo de Alan Cota: IPCop Firewall Uma tima opo de proteo para sua rede ADSL

Eu j instalei este firewall em clientes pequenos e mdios (de 8 a 40 mquinas) e posso atestar que sua interface de configurao muito intuitiva, o que faz com que os prprios clientes possam administr-lo (incrvel, mas verdade!). Se voc pensar que um firewall deve contar com acompanhamento constante e quem deve fazer este acompanhamento voc Bom, o fato que sua instalao j foi esmiuada naquele artigo, mas acredito que se deve colocar para os leitores os vrios recursos (os mais teis, pelo menos) disponveis. Pense em bloquear, na sua rede, MSN, programas P2P (Kazaa, eMule, etc) e Skype. O que voc acha disso? Interessante, no? Por si s, o IPCOP possui funes bsicas, padro de qualquer firewall, mas no artigo a que me referi voc viu a possibilidade de estender os seus recursos atravs dos addons, disponibilizados em sua maioria por terceiros. Bem, vamos ver como poderamos fazer para efetuar os bloqueios que descrevemos acima e liberar todo o potencial do IPCOP.

No presente artigo utilizei o CD do IPCOP verso 1.4.10 (a ltima verso disponvel) e a mquina um AMD K6-II 500Mhz, com 256 de memria e um HD de 20 Gb, com 2 interfaces de rede (RED e GREEN). Uma mquina simples. Acredito que pode ser usada com boa performance em uma rede com at 10 clientes fazendo uso intensivo da Internet, com os servios normais (HTTP, POP, SMTP e FTP). Aqui exemplificamos usando o servio Velox. Alm disso, voc pode obter toda uma gama de informaes para administrar melhor sua rede: logs, grficos, Snort IDS, estatsticas do servidor, etc. Lembrar que nesta rede voc possui usurios teimosos, que consomem sua largura de banda (mdia de 300K) com programas P2P, MSN e Skype. Voc quer bloquear o uso destes programas em toda a rede (sem excees para administrar), fazendo com que efetivamente os funcionrios faam o que so pagos para fazer: produzir. Alm de proteger sua rede contra muitas outras coisas: vrus, instalao de programas baixados via internet, etc. claro que voc no deve deixar nas mquinas destes usurios acesso a modens (internos ou externos). O SQUID Proxy Uma vez tendo feito a instalao bsica na nossa mquina firewall, a primeira providncia fazer com os usurios passem a trabalhar por meio do proxy SQUID e de preferncia em modo transparente (sem precisar configurar no browser do usurio). Aps habilitar as mquinas da rede para receberem seus nmeros IP via DHCP, do prprio IPCOP, comeamos nossa brincadeira.

O que devemos instalar primeiro seriam os MODS Advanced Proxy e URL Filter. Desta forma, atravs do SQUID e algumas regras, obteremos muitas vantagens: proxy transparente, definio das mquinas da rede que podem ou no acessar a internet, uso de sub-redes mais racional, limites de transferncia de arquivos, tipos de browsers para acesso e at diversas formas de autenticao do usurio. Com o URL Filter e o SQUIDGuard podemos usar listas que podem ser atualizadas automaticamente, o que vai limitar em muito o raio de ao dos nossos funcionrios Alm disso, temos a possibilidade de construir nossas prprias listas de bloqueio: por URL, por domnio, etc Podemos tambm criar um backup das nossas configuraes de filtros.

O fato de podermos contar com o SQUID para fazer este trabalho complexo no elimina a necessidade de efetuarmos alguns bloqueios. Os que descreveremos a seguir utilizaro os recursos do IPTABLES e NetFILTER, junto com a tcnica do L7-filter, a implementar no Kernel do nosso box IPCOP, como fazem determinados firewalls no mercado, a um custo de aquisio e administrativo muito maior que o nosso. Bloqueando os indesejveis Para comear, devemos obter o addon layer7-filter (de Markus Hoffmann) em: * http://mh-lantech.css-hamburg.de/ipcop/download.php?view.105 e instalar (detalhes na pgina), usando o WinSCP e Putty, conforme explicado aqui mesmo no Viva o Linux no artigo de referncia no incio deste. Aconselho reiniciar o firewall. A partir deste momento voc j pode contar com uma srie de padres de bloqueio via instrues usando o IPTABLES. Repare que em: * http://l7-filter.sourceforge.net/protocols voc deve baixar e colocar no local correto o arquivo: * http://l7-filter.sourceforge.net//msnmessenger.pat e o: * http://l7-filter.sourceforge.net//msn-filetransfer.pat o local correto /etc/l7-protocols/protocols/ no IPCOP box. Em /etc/rc.d/rc.local voc deve acrescentar o seguinte: # Skype and MSN blocked /sbin/iptables -t mangle -A POSTROUTING -m layer7 l7dir /etc/l7protocols/protocols l7proto msnmessenger -j DROP /sbin/iptables -t mangle -A POSTROUTING -m layer7 l7dir /etc/l7-

protocols/protocols l7proto msn-filetransfer -j DROP /sbin/iptables -t mangle -A POSTROUTING -m layer7 l7dir /etc/l7protocols/protocols l7proto skypetoskype -j DROP /sbin/iptables -t mangle -A POSTROUTING -m layer7 l7dir /etc/l7protocols/protocols l7proto skypeout -j DROP Repare que as regras apresentadas s sero vlidas a partir do instante em que voc digitar (rodar) /etc/rc.d/rc.local aps atualizar o arquivo. Alm disso, coloque tambm na sua Custom Blacklist o seguinte domnio: passport.com. Isso vai eliminar o uso do Web Messenger (messenger via browser). Ateno tambm quanto ao Skype. Peguei e usei os arquivos presentes na pgina de referncia dos protocolos (vide acima) e no os colocados pela instalao default. Se houver alguma mquina logada no MSN ou Skype, experimente fazer o logoff e tente conectar novamente Testei aqui com o Skype verso 2.0.0.43 (Beta), MSN Messenger 7.5 e o Miranda IM configurado para atuar na rede MSN. Bom , para voltar ao estado anterior, voc pode simplesmente comentar as linhas do arquivo com #, salvar, rodar novamente, alm de tambm rodar (executar) os arquivos rc.firewall e rc.firewall.local com os parmetros restart e reload, respectivamente (esto no mesmo diretrio). Tudo voltar ao normal. Programas P2P Existem vrios, mas os de maior uso estaro presentes para que efetuemos o bloqueio via layer-7 (vide acima) ou utilizando o P2PBlock (tambm do Markus), visto abaixo: * http://mh-lantech.css-hamburg.de/ipcop/download.php?view.103 Tambm muito fcil de instalar e usar, funcionou eficientemente com o eMule 0.46C em nossa rede de testes (marquei os itens em String-match e layer7-filter, juntos).

Mais recursos Acredito que agora voc j possui um razovel nvel de proteo em sua rede, mas aconselho tambm a instalao dos MODS TimeLimit e IPTStat, respectivamente teis para bloqueio por mquina (e tempo) e verificao das regras de chains do IPTABLES em tempo real.

Outro conjunto de recursos muito til e tambm fcil de configurar e usar o COPFilter, mostrado logo a seguir. Ele acrescenta um incrvel conjunto de recursos (proteo para e-mail POP e SMTP -, SPAM, Vrus e pginas de internet e FTP), j totalmente integrados e configurados no IPCOP. Vale pena experimentar

Bom, ficamos por aqui e espero que voc experimente este sensacional, barato e fcil de usar firewall de alto nvel, que nada fica a dever aos grandes do mercado. Sua instalao e uso so muito simples e os recursos, inmeros. Vale a sua criatividade.


Segurança de Redes – Firewall

IPCop – Aprenda a instalar uma Firewall poderosa e gratuita _ Pplware

Gerenciamento de Firewall

5 - segurança - firewall

Firewall Mikrtik2

Manual Firewall AKER

Tutorial Antivirus Firewall c

Segurança de redes e tecnologia de firewall. TópicosTópicos IntroduçãoIntrodução O que é um Firewall?O que é um Firewall? O que um Firewall pode fazer?O

10 dns-firewall

capitulo 8 - IPCOP

Tutorial Firewall

FIREWALL. Conceito, o que é um Firewall? Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto

Firewall em Linux

BrazilFW Firewall - Display LCD

Ipcop - Tudo

Unidade 2.3 firewall

Firewall: Redes Protegidas

Sistemas de firewall

Apresentação Firewall Iptables

Firewall No Linux 04

Coyote Linux floppy firewall

Mikrotik Firewall

A Firewall Fortinet - Fortigate.doc

Configurando o Endian Firewall

FIREWALL - WordPress.com€¦ · Firewall (definições) Conexão Segura Infraestrutura de rede Proteção de Redes: Firewall . Firewall - Introdução Definição Dispositivo que

Linux Firewall Iptables

Segurança de sistema firewall

BASE TECNOLÓGICA...aa) SERVIDOR DE FIREWALL ENDIAN: O Endian Firewall é uma distribuição Linux especializada em roteamento/firewall que possui uma interface unificada de gerenciamento

Tcc Firewall Iptables

Utilização BFW como Firewall

Firewall de Rede

Squid e Firewall

Sistemas Firewall

Firewall - Ataques & Dicas

Artigo Firewall