¿Que es IPCop?
IPCop es un proyecto GNU/GPL. Se trata de un firewall basado en Linux que
nos brinda una interesante gama de posibilidades a la hora de conectar una red
local a Internet. La última versión
al momento de escribir estas líneas es la 1.4.18. Su interfase de usuario
es totalmente web (aunque permite también acceso por SSH) y esta disponible en
32 idiomas.
Requiere de un hardware dedicado y permite gestionar el acceso a Internet,
la seguridad y la interacción de hasta cuatro redes distintas que, en la jerga
del IPCop, se denominan GREEN, BLUE, ORANGE y RED. Las mismas tienen las
siguientes características:
GREEN: Esta es la interfase de red de nuestra LAN o red de área
local. Aquí es donde conectaremos todos nuestros equipos que necesiten mayor
protección, como servidores que no tengan que tener presencia en Internet y
puestos de trabajo. Los dispositivos que se encuentren conectados a esta
interfase tendrán acceso irrestricto a las interfases RED, BLUE y ORANGE, o sea
que podrán salir a Internet (y conectarse a los equipos que se encuentren en
cualquiera de estas otras tres redes) por cualquier puerto, pero a su vez los
equipos de
la interfase RED (equipos en Internet) no pueden iniciar conexiones a
ningún equipo que se encuentre en las interfases GREEN, BLUE y ORANGE. En otras
palabras, estarán protegidos del exterior, en el sentido que no son accesibles
desde Internet.
BLUE: Es la interfase que se asigna normalmente para conectar
un access point de modo que se puedan conectar dispositivos inalámbricos. De
todas maneras sirve para conectar cualquier otra red que se necesite sea esta
inalámbrica o no. Los dispositivos que se encuentren en esta red, no podrán
iniciar una conexión a los dispositivos que se encuentren en la interfase
GREEN, pero salvo esta excepción, contarán con el mismo nivel de acceso y
protección que cuentan los dispositivos conectados a la interfase GREEN. No es
necesario activar esta interfase en una instalación de IPCop si no se cuenta
con más de una red, o no se va a utilizar un router inalámbrico(*).
ORANGE: Esta es la interfase que se utilizará para montar una
DMZ o zona desmilitarizada. Principalmente se utiliza para montar servidores
web, de correo, de ftp, etc. que deban tener presencia en Internet; o sea que
sean accesibles desde Internet, pero que en el caso que se produzca alguna
intrusión a algún equipo de esta red, eso no comprometa la seguridad de nuestra
red interna (GREEN). Los equipos que formen parte de la red ORANGE no podrán
iniciar conexiones a ninguno de los dispositivos que se encuentren en las
interfases GREEN y BLUE. No es necesario activar esta interfase en una
instalación de IPCop si no se piensa utilizar una DMZ.
RED: Es la interfase de red que nos conectará directamente a
nuestro proveedor de Internet. Puede ser una conexión ADSL, cablemodem, una
línea dedicada o hasta inclusive un modem telefónico común. Obviamente que por
razones de ancho de banda esta última opción es desaconsejable, pero es
perfectamente factible tenerla configurada para una contingencia en la cual
nuestro proveedor de Internet tenga inconvenientes para brindarnos nuestro
vínculo habitual, pero si este operativo el acceso dialup. Cualquier
instalación de IPCop contará con esta interfase habilitada. (Soporta tanto
dispositivos ethernet como USB) Como aclaración cabe destacar que los equipos
que están en la misma red, ya sea esta GREEN, BLUE u ORANGE, tienen la posibilidad
de iniciar conexiones entre ellos.
(*) En el caso de contar con un router wifi, si bien es conveniente, no es
obligatorio que este conectado a la interfase blue, ya que se podrá conectar
sin problemas a la interfase GREEN.
Las características antes mencionadas de cada interfase son las políticas
de seguridad que IPCop implementa por defecto, pero existe la posibilidad de
realizar modificaciones a estas políticas para adaptarlas a las necesidades que
tengamos mediante las opciones de Port Forwarding y DMZ Pinholes.
Estas cuatro posibles redes no son más que cuatro placas de red en la misma
PC. No es necesario utilizar las cuatro, sino que se puede configurar de
diferentes maneras dependiendo de las necesidades que tengamos.
En la interfase RED estará conectado nuestro router o modem de acceso a
Internet (ADSL, cablemodem, etc.), y en las otras tres interfases puede
montarse un switch si hace falta conectar más de un equipo en alguna de ellas.
Funcionalidades
IPCop brinda una amplia gama de funcionalidades que van más allá de las que
ofrecen algunos firewalls comerciales. Sin pretender explicar cada una de ellas
y solo a modo de numeración, tenemos:
- Acceso seguro por SSL a
la interfase d »» e administración web
- DHCP cliente / servidor
- DNS dinámico
- Lista de hosts seteable
desde la interfase web
- HTTP / FTP proxy (squid)
- IDS (snort) en todas las
interfases
- Log local o remoto
- NTP cliente / servidor
- servidor SSH (PSK o con
password)
- Traffic shaping (en la
interfase RED)
- “Statefull” Firewall
- Módulos “nat helper”
para h323, irc, mms, pptp, proto-gre, quake3
- Port forwarding
(redireccionamiento de puertos)
- DMZ pin holes
- Activar o desactivar
ping en todas las interfases
- VPN (IPSEC)
- Gráficos de monitoreo de
CPU, RAM, swap, HD, tráfico de RED, etc.
Hardware Soportado
Las características generales en cuanto al hardware soportado son las
siguientes:
- Arquitecturas: i386 y
Alpha (PPC y Sparc están planeadas para versiones futuras)
- Memoria: de 12MB a
4GBDiscos: IDE, SCSI y SATA, soporta configuraciones con RAID.
- También soporta
dispositivos flash.
- Placas de red: ISA/PCI
(las soportadas por el kernel de Linux 2.4)
- CPU: Disponibilidad de
kernel SMP para CPUs multicore
- Dándole nuevas funciones
a IPCop: Los Addons
Dándole nuevas funciones a
IPCop: Los Addons
Existen varios desarrolladores (sin vinculación con el equipo de desarrollo
de IPCop) que han desarrollado paquetes con funcionalidad adicional, que se
denominan addons, Estos permiten una amplia gama de funcionalidades no
incluidas originalmente en el producto. De la gran variedad de addons
disponibles vamos a ver a modo de ejemplo las siguientes:
Copfilter:
Se trata de un excelente addon que en términos generales podemos decir que
permite integrar a IPCop funciones de antivirus y antispam. Para ello se vale
de paquetes de software antivirus como ClamAV (se le puede agregar también
F-Prot y AVG), y SpamAssasin para el caso del antispam. Integra también
numeros.
Zerina:
Si bien IPCop nos permite trabajar con una VPN por medio de IPSEC, este
excelente addon nos da la posibilidad de agregar además OpenVPN. De esta manera
es posible tener un excelente y robusto entorno de trabajo remoto accediendo
por cualquiera de estas dos alternativas de VPNs, que permiten que trabajemos
en cualquiera de los equipos internos de nuestra red tal como si estuviéramos
dentro de nuestra red GREEN, pero trabajando tanto desde la red BLUE como la
RED.
Adán Server:
Finalmente este addon es en realidad un servidor de addons que permite
instalar en forma simple y desde la interfase de administración web una variada
lista de addons de diverso tipo para controlar el acceso desde la red GREEN
hacia las oras tres, control horario de acceso a Internet, control de tráfico
de cada red, mayor nivel de filtrado del tráfico, y un largo etcétera.
Actualizaciones:
Otro punto importante es la facilidad de actualización que nos brinda, por
la cual el propio IPCop nos avisará en la pantalla principal de su interfase
web, si hay actualizaciones disponibles,las cuales bastará con descargar a una
PC y luego hacer el correspondiente upload de
la misma para que se instale.
Cabe destacar que debido a que los addons no están oficialmente soportados,
no es inusual que una actualización haga desaparecer algún Addon o algún punto
de menú del mismo, por lo que debemos prestar especial atención a las
actualizaciones si es que hemos instalado algún addon a nuestro IPCop.
Instalación.
Respecto al hardware necesario para su instalación, se podría decir que
corre en casi cualquier equipo que hoy tengamos disponible, ya que un Pentium
con 32MB de RAM y unos cuantos cientos de MB en disco son más que suficientes
para correr IPCop sin problemas.(En realidad también puede correr con un
hardware inferior).
De todas formas si queremos instalar algún addon, sería mejor que
utilicemos hardware más moderno, cuanto más potente mejor sobre todo para que pueda
correr sin problemas un addon como Copfilter que consume bastantes recursos de
memoria y CPU. No vamos a ver en detalle el proceso de instalación ya que esta
claramente explicada en las instrucciones que se brindan en la documentación de
IPCop, pero a modo de introducción el proceso es básicamente el siguiente:
Luego de bootear con el CD de instalación, deberemos seleccionar un
lenguaje, elegir el medio de instalación que utilizaremos (por.ej. CD) y
seleccionar los drivers de las placas de red que obviamente ya deberemos tener
instaladas en el equipo antes de comenzar.
Para esto tenemos la opción de “probe” que intentará seleccionar el driver
adecuado para nuestras placas de red. Luego deberemos ingresar los datos de
nuestra red GREEN (dirección IP y máscara de red).
Después de esto, IPCop dará formato al disco rígido y se instalará.
Finalizado este paso, nos pedirá que reiniciemos el equipo para luego proceder
a hacer el setup inicial, donde deberemos seleccionar tipo de teclado, zona
horaria, el nombre de host y el del dominio.
Luego deberemos elegir la configuración de la red, esto implica elegir (en
base a las placas de red que ya tengamos instaladas) la combinación de GREEN,
BLUE, ORANGE y RED que necesitemos.
Configuraremos entonces las redes faltantes (recordemos que ya hemos
configurado la GREEN) comenzando por la RED, donde seleccionaremos el tipo de
conexión a Internet que tenemos.(estático, DHCP, PPPoE o PPTP) y algunos
detalles más que dependen del mismo.
Ahora nos solicitará el password inicial para el usuario admin., que es el
usuario que utilizaremos para administrar el IPCop por medio de la interfase
web, y también la clave del usuario root que usaremos si nos conectamos por
ssh.
Luego deberemos reiniciar nuevamente y ya estaremos en condiciones de
acceder desde un navegador web desde cualquier PC de la red GREEN. Solo tenemos
que colocar la dirección IP que le hayamos asignado (la IP que le asignamos a
la red GREEN) en la barra de direcciones del navegador, y a partir de ahí solo
tendremos que configurar nuestra conexión a Internet y voila!, ya estará listo
para funcionar.
Cuando intentemos esto último, primero solicitará que nos identifiquemos,
por lo que deberemos acceder con el usuario admin y su correspondiente clave a
la opción Dialup del menú Network. SMP para CPUs multicore
