15
IP COP ADMINISTRACIÓN DE REDES INSTITUTO TECNOLOGICO DE TEHUACÁN ING. FRANCISCO VÁZQUEZ GUZMÁN INTEGRANTES: JAQUELINE GUERRERO AVENDAÑO ESTEFANÍA MONTALVO RODRÍGUEZ

Firewall - IPCop

  • Upload
    fanimr

  • View
    514

  • Download
    4

Embed Size (px)

Citation preview

  • 1. IP COP ADMINISTRACIN DE REDES INSTITUTO TECNOLOGICO DE TEHUACN ING. FRANCISCO VZQUEZ GUZMN INTEGRANTES: JAQUELINE GUERRERO AVENDAO ESTEFANA MONTALVO RODRGUEZ

2. Qu es IPCop? IPCop es una distribucin Linux que implementa un cortafuegos (o firewall) y proporciona una simple interfaz web de administracin basndose en una computadora personal. Originalmente naci como una extensin (fork) de la distribucin SmoothWall cuyo desarrollo haba estado congelado bastante tiempo. IPCop tiene como objetivos ser un cortafuegos sencillo, con pocos requerimientos hardware orientado a usuarios domsticos o a pequeas empresas (SOHO), administrado a travs de una interfaz web, con funcionalidades bsicas y avanzadas, yendo (a manera de ejemplo) desde el simple filtrado de paquetes hasta la asignacin de ancho de banda fijo a cada puesto de trabajo o la configuracin de redes virtuales VPN. IPCop se actualiza desde la Interfaz Web de manera muy sencilla, incluyendo actualizaciones del Kernel. IPCop est capado y solo tiene instaladas las herramientas justas para su funcin como firewall, limitando el dao que podra hacer un intruso que comprometiera el sistema. Si se desea ampliar la funcionalidad existen extensiones (addons), comunes con SmoothWall, que permiten instalar todo tipo de utilidades como por ejemplo instalar Nmap para escanear IPs. La distribucin Linux se puede bajar desde el sitio oficial en ingls, consiste de una imagen ISO de menos de 100Mb la cual puede ser grabada en un CD e instalada en cualquier computador que tenga al menos dos interfaces de red. 3. LICENCIA Y CONDICIONES DE USO IPCop est bajo Copyright de IPCop Linux Group. IPCop Linux se publica bajo Licencia General Pblica GNU. Usted puede copiarlo entero o una parte, siempre que la copia mantenga esta declaracin de copyright. La informacin contenida en este documento puede cambiar de una versin a otra. Todos los programas y detalles contenidos en este documento ha sido creados con nuestro mejor conocimiento y comprobados cuidadosamente. An as, los errores no pueden ser evitados siempre. Por tanto, IPCop no garantiza explcita o implcitamente la inexistencia de errores en este documento o los daos derivados de la disponibilidad, prestaciones o uso de este material u otro relacionado. El uso de nombres en general, nombres de empresas, nombres comerciales, etc. en este documento, incluso sin notacin especial, no implica que dichos nombres puedan ser considerados como libres en trminos de legislacin sobre marcas registradas ni que puedan ser usados por cualquiera. Todos los nombres comerciales son utilizados sin garanta de uso libre y pueden ser marcas registradas. Como regla general, IPCop se atiene a la notacin del fabricante. Otros productos aqu mencionados pueden ser marcas comerciales de sus respectivos fabricantes. 1 Edicin - 29 de Diciembre de 2001. Editor Charles Williams Me gustara agradecer a la gente que ha revisado y corregido el documento: Harry Goldschmitt, Mark Wormgoor, Eric S. Johansson y el resto del IPCop Linux Group. 2 Edicin - 10 de Enero de 2003. Editores - Chris Clancey, James Brice, Harry Goldschmitt, and Rebecca Ward 3 Edicin - 25 de Abril de 2003. Editores - Chris Clancey, Harry Goldschmitt, and Rebecca Ward 4 Edicin - 25 de Septiembre de 2004. Editores - Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander and Peter Walker Traduccin al Espaol - Junio 2013 Traductor - Jess Ezquieta 4. Polticas de Seguridad GREEN: Esta es la interface de red de nuestra LAN o red de rea local. Aqu es donde conectaremos todos nuestros equipos que necesiten mayor proteccin, como servidores que no tengan que tener presencia en Internet y puestos de trabajo. Los dispositivos que se encuentren conectados a esta interface tendrn acceso irrestricto a las interfaces RED, BLUE y ORANGE, o sea que podrn salir a Internet (y conectarse a los equipos que se encuentren en cualquiera de estas otras tres redes) por cualquier puerto, pero a su vez los equipos de la interface RED (equipos en Internet) no pueden iniciar conexiones a ningn equipo que se encuentre en las interfaces GREEN, BLUE y ORANGE. En otras palabras, estarn protegidos del exterior, en el sentido que no son accesibles desde Internet. BLUE: Es la interface que se asigna normalmente para conectar un Access point de modo que se puedan conectar dispositivos inalmbricos. De todas maneras sirve para conectar cualquier otra red que se necesite sea esta inalmbrica o no. Los dispositivos que se encuentren en esta red, no podrn iniciar una conexin a los dispositivos que se encuentren en la interface GREEN, pero salvo esta excepcin, contarn con el mismo nivel de acceso y proteccin que cuentan los dispositivos conectados a la interface GREEN. No es necesario activar esta interface en una instalacin de IPCop si no se cuenta con ms de una red, o no se va a utilizar un router inalmbrico(*). 5. Polticas de Seguridad ORANGE: Esta es la interface que se utilizar para montar una DMZ o zona desmilitarizada. Principalmente se utiliza para montar servidores web, de correo, de ftp, etc. que deban tener presencia en Internet; o sea que sean accesibles desde Internet, pero que en el caso que se produzca alguna intrusin a algn equipo de esta red, eso no comprometa la seguridad de nuestra red interna (GREEN). Los equipos que formen parte de la red ORANGE no podrn iniciar conexiones a ninguno de los dispositivos que se encuentren en las interfaces GREEN y BLUE. No es necesario activar esta interface en una instalacin de IPCop si no se piensa utilizar una DMZ. RED: Es la interface de red que nos conectar directamente a nuestro proveedor de Internet. Puede ser una conexin ADSL, cable modem, una lnea dedicada o hasta inclusive un modem telefnico comn. Obviamente que por razones de ancho de banda esta ltima opcin es desaconsejable, pero es perfectamente factible tenerla configurada para una contingencia en la cual nuestro proveedor de Internet tenga inconvenientes para brindarnos nuestro vnculo habitual, pero si este operativo el acceso dialup. Cualquier instalacin de IPCop contar con esta interface habilitada. (Soporta tanto dispositivos ethernet como USB) Como aclaracin cabe destacar que los equipos que estn en la misma red, ya sea esta GREEN, BLUE u ORANGE, tienen la posibilidad de iniciar conexiones entre ellos. 6. Instalacin Requisitos No hace falta tener una mquina con demasiados recursos. CD instalacin Mnimo 2 tarjetas de red 512 Mb de memoria RAM Disco duro con 100 Mb de capacidad Monitor y teclado Router que nos abastezca la conexin a internet Switch para dar servicio a ms de un equipo (opcional) Se descarga el programa desde la pagina oficial www.ipcop.org y se graba en el disco 7. Instalacin Para ello prepararemos nuestro equipo con el arranque principal desde CD. Cuando se inicie el programa de instalacin, debemos realizar las siguientes configuraciones: Seleccionar el lenguaje Damos Aceptar en la ventana de bienvenida Elegimos el teclado o podemos saltar esa parte Seleccionamos la zona horaria Se introduce fecha y hora Se selecciona el disco duro donde se har la instalacin Si esta seguro de la configuracin que ha realizado, de clic en Aceptar Se elige en que tipo de disco se va a instalar Si tenemos un respaldo de la configuracin elegimos donde lo tenemos, de caso contrario se puede saltar esa parte Al finalizar parte de la instalacin vemos este mensaje, de aqu debemos tomar dos datos que sern muy importantes para la posterior configuracin va web. https://192.168.1.1:8443 la ip que aqu marca es de referencia o de muestra, para acceder va web pondremos la que asignemos a la VPN, la que pongamos para la tarjeta de red GREEN. https://ipcop:8443 as tambin accederemos a la interfaz grfica va web. 8. Configuracin Se comienza la configuracin de nombres, ips. Nombre del host, podemos poner ipcop Nombre de dominio, podemos dejar localdomain En la interfaz roja, como ya sabemos, es la que nos da servicio de conexin a internet, le pondremos una ip fija (Esttico) Seleccionamos que tarjeta de red queremos usar para la interfaz roja y seleccionamos el color (RED) Seleccionamos la otra tarjeta de red para asignarle otro rol (color), en este caso ser la verde, interfaz LAN, con la que crearemos la VPN Ahora asignamos los roles a las tarjetas de red 9. VPN (RED GREEEN) Aqu daremos ip a la tarjeta para todos los equipos que se conecten, lo haremos bajo DHCP para que de las ips automticas. La ip que aqu asignemos ser con la cual accederemos a la interfaz grfica va web https://10.0.0.10:8443 TARJETA DE RED ROJA cuando configuramos por primera vez las tarjetas, dijimos que esta sera esttica, pues ahora vamos a proporcionarle una IP. Direccin IP: 192.168.1.100 (aqu daremos una IP de la red que nos da servicio de internet) Mascara de Red: 255.255.255.0 10. DNS Y PUERTA DE ENLACE DNS primario: 8.8.8.8 DNS secundario: 192.168.1.1 Puerta de enlace: 192.168.1.1 Ya sabemos que la puerta de enlace la pondremos de la red a la cual estemos conectados, la IP del router. SERVIDOR DHCP (RED GREEN) Esto servir para que nos asigne IP automticas a los diferentes clientes que se conecten en la red. (VPN) Activamos DHCP Marcamos el rango de IP que queremos asignar a los diferentes equipos de inicio a fin 11. Contrasea para los diferentes usuarios Es necesario proporcionar una contrasea para los siguientes usuarios Root: Nombre de usuario para acceder a la consola de comandos. Admin: Nombre de usuario que se usara para acceder a las pginas web de administracin de IPCop. BackUp: Este sirve para exportar la clave de usuario en forma segura El usuario backup lo utilizaremos para realizar respaldos de IPCop y en caso de error poder restaurarlo al momento en que realizamos la copia de seguridad. ACCEDER DESDE CONSOLA Una vez finalizada la instalacin automticamente se reinicia, ahora ser cuando lo tenemos listo para administrar. Introducimos el nombre de usuario root Seguidamente insertamos la contrasea COMPROBAR IP Tecleamos el comando ifconfig Y como no nos muestra toda la configuracin de las tarjetas de red pondremos ifconfig lan-1 (lan-1 es especficamente para lan-1, para wan-1, pondremos wan-1) 12. Interfaz Web Abrimos un navegador y tecleamos en la barra de direcciones https://ipcop:8443 Una vez dentro, nos pedir un certificado de confirmacin, si deseamos seguir adelante, aadimos excepcin. Se nos abre otra ventana en la cual confirmaremos excepcin de seguridad. Ahora nos logueamos, usaremos el usuario admin que es el que gestionar desde la interfaz web. Y aparecer la pagina principal de IPCOP. 13. ACTUALIZACIONES Desde la pestaa Sistema Actualizaciones En actualizaciones disponibles, le damos a refrescar lista de actualizaciones, veremos que nos sale un listado Pulsamos el cuadrado verde con flecha blanca y a continuacin nos aparecer debajo de la flecha un botn que pone aplicar ahora, le damos y se actualizara As lo haremos contadas las que tengamos en la lista, y en terminar, guardar. ACTIVAR SERVIDOR PROXY Entramos en Servicios Proxy Vemos que esta detenido, vamos a activarlo Activamos las casillas Habilitado en VERDE y Transparente en VERDE Tambin le cambiamos el idioma a Spanish Y seguidamente guardamos y veremos con nos cambia el mensaje de PARADO a EN MARCHA Volvemos a Sistema Inicio Refrescamos y volvemos a Conectar ACTIVAR REDIRECCIONES Vamos a Servicios Proxy Casi al final de la pgina vemos que nos aparece un apartado que pone Redirecciones, lo activamos y guardamos 14. RESTRINGIR ACCESO A WEB Y CONSULTAS Escribimos en el navegador https://ipcop:8443/cgi-bin/urlfilter.cgi Activamos Filtro de URL Y activamos Custom blacklist Activamos Custom expression list Ponemos nombres que queremos denegar en el buscador Accedemos a la web que hemos restringido el acceso Y nos muestra el mensaje que podemos ver en la imagen CARGAR BLACKLIST Vamos a URL filter maintenance Blacklist update Damos a Examinar y cargamos la blacklist que hayamos descargado Vemos que al principio de la seccin nos dice que se ha cargado la blacklist Ahora nos aparece una seccin de categoras, las cuales podemos marcar para restringir el acceso a las pginas que sean de las categoras marcadas La activamos y marcamos las secciones que queramos 15. MENSAJE DE RESTRICCION En Block page settings podemos poner el mensaje que queramos que se vea cuando se restringe el acceso a una pgina Ahora accederemos a cualquier pgina que este dentro de las secciones anteriormente sealadas. LIMITAR DIAS Y VELOCIDAD DE CONEXIN En lmite de transferencia indicamos el mximo de descarga y de subida Podemos delimitar los das y en qu horas nos podremos conectar Este ltimo mensaje nos indica que no tenemos acceso a la red, ya que lo hemos configurado.