IPCOP - Firewalls para os comuns mortais

ﬁrewalls para os comuns
mortais
(instalação, conﬁguração e utilização de add-ons)

ipcop?!
www.ipcop.org

ipcop :: ﬁrewalls para os comuns mortais
#portolinux | 11 de julho ’09 | marcoalexpinheiro@gmail.com | twitter.com/marcopinheiro

ipcop?!
www.ipcop.org

• firewall para redes SOHO – Small Office / Home Office,
que é extremamente fácil de usar


ipcop?!
www.ipcop.org


• a conﬁguração básica é feita de forma automática e
simpliﬁcada (wizzard de instalação + web gui = !CLI )


ipcop?!
www.ipcop.org



• feito com distro LFS (“Linux from scratch”);


ipcop?!
www.ipcop.org



• free and open source software... logo:


ipcop?!
www.ipcop.org



• solução estável, segura, código aberto, grátis;


ipcop?!
www.ipcop.org



• solução estável, segura, código aberto, grátis;
• é ainda... muito mais que queiramos fazer com ele!!!

ipcop?!
algumas curiosidades...


ipcop?!

• instalador e web GUI em português;


ipcop?!

• assistente de instalação/conﬁg. passo-a-passo;


ipcop?!

• possível instalar via ftp/http, “pen” ou cd;


ipcop?!

• pode ﬁcar a correr de uma pen ou cd;


ipcop?!

• pode ﬁcar a correr de uma pen ou cd;
• como boa solução gnu/linux que é, os reboots são
coisa que pouca vez vi acontecer.


requisitos mínimos do sistema
(vamos recuperar aquela velha máquina que está na arrecadação!)



• Processador 386



• Processador 386
• 32 MB de RAM (128 MB para melhor desempenho)



• Processador 386
• 200Mb de HDD (ou pen...)



• Processador 386
• 200Mb de HDD (ou pen...)
• 2 placas de rede (wan + lan).


estudo de caso: problemas detectados
alguns devido a falta de uma ﬁrewall, outros nem por isso mas cá vão...



• largura de banda MUITO reduzida (2Mbit!) partilhada
por 60 máquinas...



por 60 máquinas...

• inexistência de políticas de controlo de acesso aos
conteúdos externos (p2p, msn, hi5, youtube, porn...)



por 60 máquinas...


• problemas de segurança graves: rede física comum
entre máquinas dos alunos e serviços administrativos



por 60 máquinas...


• problemas de segurança graves: rede física comum
entre máquinas dos alunos e serviços administrativos

• falta de monitorização do consumo de largura de
banda.


solução: ipcop


solução: ipcop

• o box do IPCOP vem resolver boa parte dos problemas
não só graças aos serviços que trás por defeito, mas
também com alguns add-ons que foram instalados.


estudo de caso: soluções implementadas
ipcop - tudo grátis, instalado e conﬁgurado numa máquina única (e não geme!)*

*havia outra máquina velha parada e um hdd clonado de reserva sempre à mão...



• Servidor DHCP




• Servidor DHCP

• NAT com as 3 redes distintas (serviços, alunos, wireless)




• Servidor DHCP


• Firewall (via add-on BlockOutTrafﬁc - BOT)




• Servidor DHCP



• Web Proxy (via add-on adv-proxy) transparente




• Servidor DHCP




• implementa função de cache




• Servidor DHCP





• implementa URL Filter (add-on url-ﬁlter)




• Servidor DHCP






• molda largura de banda do wireless




• Servidor DHCP







• Cache de updates diversos (add-on ipcop-updatexlrator)




• Servidor DHCP







• Cache de updates diversos (add-on ipcop-updatexlrator)

• Monitorização dos consumos de l.b. (add-on net-trafﬁc).



topologia usada com o ipcop
red, orange, blue, green...?


topologia usada com o ipcop
red, orange, blue, green (ex. com 4 NICS, mas podia ter menos)


como instalar ipcop?
para poderem fazer simulações



• Virtualbox (http://www.virtualbox.org/wiki/Downloads)




• 1 máquina com x NICs virtuais (Settings, Network, Adapter x)





• Adapter 1 - attached to: bridged adapter






• Adapter 2 - attached to: internal network (green)







• Adapter 3 - attached to: internal network (blue)








• 1 máquina com 1 NIC virtual “attached to: internal
network” (green ou blue, consoante a rede onde a queremos)









• ISO do IPCOP (http://sourceforge.net/projects/ipcop/ﬁles/IPCop/
ipcop-1.4.20-install-cd.i386.iso) inserido no leitor de cd-r virtual









• ISO do IPCOP (http://sourceforge.net/projects/ipcop/ﬁles/IPCop/
ipcop-1.4.20-install-cd.i386.iso) inserido no leitor de cd-r virtual

• E seguir o assistente...


é fácil não foi?


como conﬁgurar ipcop?
é fácil não foi?


é fácil não foi?

• Se a conﬁg. base tiver ﬁcado ok: https://192.168.1.1:445


é fácil não foi?

• Se a config. base tiver ficado ok: https://192.168.1.1:445

• Se algo ficou mal: máquina root@local ou ssh root@... > setup


podem ir explorando as funcionalidades (só não desliguem!! :) )


podem ir explorando as funcionalidades (só não desliguem!! :) )

• https://192.168.1.1:445 | login: admin | pass: ptlinux


actualizações via web GUI


DHCP + NAT


estudo de caso: DHCP + NAT
(tudo grátis, instalado e conﬁgurado sem grandes truques)


como instalar add-ons?


como instalar add-ons? (única tarefa CLI)
http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopAddons


como instalar add-ons? (única tarefa CLI)
http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopAddons

nota: não foi feito NENHUM reboot durante todas as instalações que se seguem...


estudo de caso:
ﬁrewall com Block-out-Traffic - BOT

http://www.blockouttrafﬁc.de/


estudo de caso: Block-out-Traffic - BOT
fechar todos os portos e abrir apenas os essenciais (copy n paste... sorry!)


fechar todos os portos e abrir apenas os essenciais (copy n paste... sorry!)

• Seamless GUI integration

• Control of traffic to and through IPCop

• Traffic restrictions by MAC addresses, IP addresses and
interfaces

• Conveniently grouping of addresses

• Definition of custom services

• Grouping of services

• Time based firewall rules

• Control of firewall-logging


fechar todos os portos e abrir apenas os essenciais


estudo de caso: Advanced Proxy
(transparent)
http://www.advproxy.net/


(transparent)
acelerar acesso às páginas da teia

>>> = usado no nosso caso

(transparent)

• >>> Seamless GUI integration for advanced web proxy configuration;

• Local user authentication including group based user management;

• LDAP authentication including Active Directory, eDirectory and OpenLDAP;

• Windows authentication including native Windows domains and Samba;

• RADIUS authentication;

• >>> Extended cache management;

• Web access control by IP and MAC addresses;

• >>> Download throttling (limitar largura banda da rede wireless aberta!)

• Time based access restrictions;

• MIME type filter;

• Blocking of unauthorized browsers or client software;

• Automatic client configuration support (PAC and WPAD).

>>> = usado no nosso caso

(transparent)


estudo de caso: URL Filter
http://www.urlﬁlter.net/


acelerar acesso às páginas da teia / fechar alguns sítios...


acelerar acesso às páginas da teia / fechar alguns sítios...

• It's ready to use. Download, install, and run

• Seamless GUI integration for conﬁguration and log viewer

• Very ﬂexible, block categories are not hardcoded

• Custom block categories can be included

• Works with all squidGuard compatible blacklists

• Automatic blacklist updates on a scheduled basis

• Time, category and client based constraints

• No reboot required, neither for installation or deinstallation, nor
during operation


estudo de caso: Net-Traffic


estudo de caso: Net-Traffic
porque dá sempre jeito perceber quanto é que se anda a gastar...


estudo de caso: resultados obtidos



• análise dos logs vieram provar que, com todas estas
medidas, por incrivel que pareça, 2 Mbit de l.b.
passaram a ser suﬁcientes!!!




• controlo de acesso aos conteúdos (ﬁm de msn, hi5,
youtube, p2p, porn...)





• 3 redes separadas ﬁsicamente e controladas
individualmente (APs sem ﬁos l.b. 512Kbit + rede alunos
+ serviços) = aumento de segurança real






• monitorização do consumo de largura de banda






• monitorização do consumo de largura de banda
• uma máquina antiga foi reutilizada.

estudo de caso: soluções que gostava de
ter


ter

• openVPN (http://www.zerina.de/zerina/)


ter


• Taxar internet ao MB (engraçado para uma Assoc. de Est. -
Trafﬁc control and report: http://www.onmind.ru/tcar/
tcaren.htm)


ter


• Taxar internet ao MB (engraçado para uma Assoc. de Est. -
Traffic control and report: http://www.onmind.ru/tcar/
tcaren.htm)

• Anti-virus e anti-spam com Copfilter (http://www.copfilter.org/)
(atenção aos requisitos de hw)


ﬁcaram curiosos?


ﬁcaram curiosos?
• Muitos add-ons:


ﬁcaram curiosos?
• Muitos add-ons:

• http://www.ipadd.de/binary.html


ﬁcaram curiosos?
• Muitos add-ons:


• Manual interessante:


ﬁcaram curiosos?
• Muitos add-ons:



• http://www.ipcop-br.com.br/
downloads.php?cat_id=2


ﬁcaram curiosos?
• Muitos add-ons:




• Tese (optimização de l.b.):


ﬁcaram curiosos?
• Muitos add-ons:





• http://bdigital.cv.unipiaget.org/dspace/
bitstream/123456789/83/3/IPCop
%20como%20mecanismo%20de
%20optimizacao%20de%20Largura
%20de%20Banda.pdf


ﬁcaram curiosos?
• Muitos add-ons:





%20de%20Banda.pdf

• Livro


ﬁcaram curiosos?
• Muitos add-ons:





%20de%20Banda.pdf

• Livro

• Conﬁguring IPCop Firewalls >>>>>>>

FIM


IPCOP - Firewalls para os comuns mortais

Mais conteúdo relacionado

Semelhante a IPCOP - Firewalls para os comuns mortais

Mais de Marco Pinheiro

IPCOP - Firewalls para os comuns mortais