Professional Documents
Culture Documents
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
ndice
1. Introduccin ........................................................................................... 3 2. Objetivos y requisitos del proyecto......................................................... 5 3. Soluciones comerciales existentes .......................................................... 6 4. Instalacin .............................................................................................. 7 4.1 Sistema Base ..................................................................................... 7 4.1.1 Instalacin............................................................................. 8 4.1.2 Configuracin ..................................................................... 23 4.1.2.1 SSH .......................................................................... 24 4.1.2.2 Shutdown.................................................................. 25 4.1.2.3 Dynamic DNS........................................................... 26 4.1.2.4 Time Server .............................................................. 28 4.1.2.5 Intrusion Detection ................................................... 29 4.1.2.6 Port Forwarding ........................................................ 30 4.1.2.7 Firewall Options ....................................................... 31 4.1.2.8 Log Settings .............................................................. 32 4.2 Addons............................................................................................ 33 4.2.1 Instalacion de Addons ......................................................... 34 4.2.2 Advanced Proxy.................................................................. 36 4.2.3 URL Filter .......................................................................... 38 4.2.4 Update Acelerator ............................................................... 41 4.2.5 Zerina OpenVPN ................................................................ 42 4.2.6 Copfilter.............................................................................. 45 4.2.7 Block Out Traffic................................................................ 52 5. Logs ..................................................................................................... 67 6. Mantenimiento ..................................................................................... 74 7. Actualizacin del IPCop....................................................................... 75 8. Bibliografa .......................................................................................... 76
www.alferez.es
Pgina 2 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
1. Introduccin
A da de hoy y en este mundo de las telecomunicaciones e Internet en el que todos estamos inmersos an hay personas que creen que
funcionamiento de un router, para que sirven, para que lo usan, como funcionan, por qu su nombre
El router toma su nombre de su funcin de enrutador de paquetes, es el encargado de encaminar los paquetes que recibe hacia su destino.
Un router es un dispositivo que encamina trfico desde una red conectada a uno de sus puertos hacia otra red conectada en otro de sus puertos. El router es un dispositivo que trabaja a nivel de red.
w w
requiere?
- Descubrir las rutas: Cules son las posibles rutas iniciales, o caminos, a los destinos de inters? - Seleccionar rutas: Cul es el mejor camino para el destino que se
- Mantener y verificar la informacin de routing: Est la informacin sobre el camino hacia el destino, actualizada?
.a lfe re z. es
www.alferez.es Pgina 3 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
La informacin de routing que el router obtiene del administrador de red o de otros routers, la sita en su tabla de rutas. El router se remitir a esta tabla para decidir por qu interfaz se manda la informacin en base a su direccin destino. Si la red destino est directamente conectada, el router ya conoce qu interfaz debe utilizar. Si la red destino no est directamente conectada, entonces el router debe aprender la mejor ruta
posible que debe utilizar para enviar los paquetes. Esta informacin puede aprenderla de las siguientes maneras:
puede ser la ms adecuada para redes locales o redes con un trfico limitado, y usar software que implemente los protocolos de red antes mencionados. Para dar funcionalidad de enrutador a un PC u otros
w w
ser GNU/Linux o BSD, es suficiente con aadirle al menos dos interfaces de red y activar el soporte de enrutamiento en el ncleo. Si se desea promocionarle la funcionalidad de un enrutador completo, y que soporte diversos protocolos de red o funcionalidades.
En el momento en que dotamos a nuestro router de funcionalidades y medidas de seguridad, lo convertimos en un Appliance.
.a lfe re z. es
www.alferez.es Pgina 4 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Un Appliance no es ms que un dispositivo fsico (en nuestro caso un ordenador) que se encarga de controlar todo lo que pasa por el desde el exterior hacia el interior o viceversa.
El objetivo de este proyecto es que nos construyamos nuestro propio router/appliance a nuestro gusto y con las funcionalidades que deseemos.
Para ello usaremos un ordenador como ya hemos comentado antes para este fin.
podemos darle utilidad a algn viejo equipo que tengamos olvidado en el trastero.
w w
HD Ide.
2 Tarjetas de red mnimo. 512 Mb de memoria ram recomendado. Monitor y teclado (slo para la instalacin). Router externo (siempre que la conexin no venga por red Ethernet, ej. ADSL)
.a lfe re z. es
www.alferez.es Pgina 5 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Todos estos Appliances estn fabricados sobres ordenadores enrackables de 1U o en mini equipos, guardando una esttica discreta.
Estos son algunos de los muchos dispositivos del mercado: Marca McAfee Modelo Secure Precio Imagen
Panda WatchWard
w w
IBM Astaro
.a lfe re z. es
3000 Internet Gateway 3100 Integra 300 3400 Firebox 5500 X5500e Proventia MFS MX3006 Security Gateway 220 4000 3000
www.alferez.es Pgina 6 de 76
precios.
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
A estos precios tenemos que aadirles las licencias anuales para actualizacin y de los mdulos, ya que aqu se paga por usuarios que tengan acceso.
funcional por si mismo, en el momento de instalarlo y configurarlo ya tendremos el 60 % de nuestro sistema operativo.
w w
instalacin.
instalarla usaremos la 1.4.15 que es la ms estndar para instalar los addons o expansiones que necesitaremos para completar nuestro proyecto y despus actualizaremos hasta la ms reciente.
.a lfe re z. es
Como sistema base usaremos un sistema Linux compacto que Para esta funcin usaremos un proyecto de creado por Jack Para obtenerlo es bastante con acceder a la web y bajarnos la Actualmente tenemos disponible hasta la 1.4.21 aunque para Nos descargaremos la ISO desde la web de ipcop
www.alferez.es Pgina 7 de 76
4. Instalacin
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
Aqu debemos dejarlo en Ingls, pues se ha comprobado que despus puede darnos fallo durante la configuracin, y tampoco hay que configurar tanto como para preocuparse por el idioma.
.a lfe re z. es
www.alferez.es Pgina 8 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
hay que tener cuidado porque una vez aceptado nos quedaremos sin los datos existentes en el disco duro.
w w
.a lfe re z. es
Nos avisar que va a proceder a borrar las particiones y a
www.alferez.es Pgina 9 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Nos pregunta si tenemos algn backup de configuracin y como no es el caso seleccionamos Skip.
corresponde con la red local, nos da la opcin de seleccionar manualmente el controlador o que l busque automticamente (recomendado pulsar Probe).
w w
.a lfe re z. es
Ahora nos configurar el interfaz GREEN que es el
www.alferez.es Pgina 10 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
.a lfe re z. es
Nos pide que configuremos los parmetros IP de la tarjeta.
www.alferez.es Pgina 11 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Finalizado la configuracin de la red local (GREEN) se realiza la instalacin y nos da la enhorabuena por tener parte del proceso cumplido,
w w
.a lfe re z. es
Nos pide la configuracin de teclado. En este caso si podemos
www.alferez.es Pgina 12 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
.a lfe re z. es
Nos pedir el nombre de la maquina y el grupo de trabajo
www.alferez.es Pgina 13 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
tarjeta RSDI, este sistema ya est antiguo, por lo que desactivamos dicha opcin.
w w
.a lfe re z. es
Es posible que nuestro Router se conecte directamente por una
www.alferez.es Pgina 14 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
El prximo paso nos pide que sigamos configurando y seleccionamos el tipo de red.
hemos visto IPCop diferencia las conexines de red por color: GREEN -> Red Local RED -> Internet
w w
que vamos a tener por un lado el router conectado a la puerta RED y la red local en GREEN y en caso de querer tener red wireless lo haremos mediante puntos de acceso conectado a esa red GREEN.
.a lfe re z. es
El siguiente paso es de los ms importantes, porque como ya Blue -> Wireless Orange -> DMZ En nuestro caso vamos a seleccionar GREEN + RED, puesto
www.alferez.es Pgina 15 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
escoger ahora la opcin de asignar tarjetas de red, puerto que tenemos un tipo nuevo de red sin tener asociado ninguna tarjeta.
w w
.a lfe re z. es
www.alferez.es Pgina 16 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
En esta pantalla nos muestra lo anteriormente comentado, tenemos asignada una tarjeta a GREEN pero ninguna a RED.
indica que podemos asignrsela slo a RED que es la que no tena ninguna.
w w
.a lfe re z. es
Tras realizar la bsqueda y detectar la segunda tarjeta nos
www.alferez.es Pgina 17 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
.a lfe re z. es
La red GREEN ya le habamos asignado direccin
www.alferez.es Pgina 18 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Podemos asignarla de varios tipos segn la conexin que vayamos a realizar, pero lo mejor es ponerla esttica. Y asignarle una direccin ip segn el rango que tengamos en el router, no siendo nunca este rango igual al que asignamos a GREEN.
Una vez tenemos configurado los parmetros IP de RED volvemos con Done.
w w
.a lfe re z. es
www.alferez.es Pgina 19 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
.a lfe re z. es
Tras configurar los DNS introducimos la direccin del Router
www.alferez.es Pgina 20 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Como he comentado anteriormente nos pide si queremos activar el DHCP, en nuestro caso no lo haremos, pero podemos hacerlo ms adelante.
w w
.a lfe re z. es
www.alferez.es Pgina 21 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Nos pedir que introduzcamos las contraseas para Root, Admin y Backup.
w w
.a lfe re z. es
Finalizado esto ya tendremos nuestra base de IPCOP instalada
www.alferez.es Pgina 22 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2 Configuracin Una vez tengamos el sistema instalado, nos queda configurar los parmetros bsicos para que funcione correctamente y poder realizar la instalacin de addons que necesitaremos ms adelante.
Toda esta configuracin la haremos desde otra maquina de la red local atancando al servidor mediante explorador web a la direccin
w w
.a lfe re z. es
https://IPDELIPCOP:445
www.alferez.es Pgina 23 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.1 SSH Lo primero que debemos configurar es el servidor SSH para poder subir los paquetes que vamos a necesitar. Dentro del men System vamos a encontrarnos con el modulo SSH ACCESS y debemos activarlo, dejndolo de la siguiente forma:
w w
.a lfe re z. es
www.alferez.es Pgina 24 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.2 Shutdown Este mdulo lo encontraremos en el men System. Nos da la opcin de reiniciar o apagar el equipo instantneamente, pero tambin nos da la opcin de programar este proceso.
Con esto conseguimos que tanto la memoria, como las conexiones de red, como la particin Swap se reinicien y no acumule entre varios das.
w w
.a lfe re z. es
www.alferez.es Pgina 25 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Este mdulo lo encontraremos en el men Services. Es muy til para atacar al sistema desde fuera para configurar servidores detrs de l (FTP,
que tengamos en ese momento (en caso de ser ip dinmica) transformndola en un nombre ms fcil de recordar y entender.
Para usarlo debemos darnos de alta en alguna de las webs que nos
Una vez accedamos a la web nos demos de alta un usuario, nos pedir que seleccionemos el nombre y dominio para su uso. Con estos datos procederemos a configurar nuestro servicio en el IPCop.
w w
marcar la opcin de Guess the real public IP ya que estamos detrs de un router y la direccin RED no es la externa, despus tendremos que minimizar las actualizaciones y salvar.
.a lfe re z. es
www.alferez.es Pgina 26 de 76
Web, VPN,)
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
.a lfe re z. es
www.alferez.es Pgina 27 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.4 Time Server Este mdulo lo encontraremos en el men Services. Aqu podremos configurar la fecha y hora correcta en nuestro sistema.
requisito indispensable para cualquier otro servicio, pero si es de gran utilidad que la fecha y hora sean siempre correctas, ya que en caso de necesitar visualizar los logs nos podemos perder si no tenemos estos datos correctamente configurados.
Nos da la opcin de actualizar estos datos manualmente o de configurarlo para que actualice desde un servidor de
(recomendado). En nuestro ejemplo le hemos puesto para que actualice desde el servidor de la universidad de Valencia
automticamente cada semana. Adems tiene la opcin de que sea servidor interno horario para nuestra red GREEN.
w w
.a lfe re z. es
Internet (hora.uv.es)
www.alferez.es Pgina 28 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.5 Intrusion Detection Este mdulo lo encontraremos en el men Services. La funcin de este mdulo no es otra que la de denegar el paso por el IPCop de cdigo malicioso, ya sea desde Internet (RED) a nuestra red local (GREEN) o viceversa.
apoya en unas tablas de ataques que obtiene a travs de la web www.snort.org. Tendremos que darnos de alta (gratuito) y una vez tengamos cuenta, acceder a nuestros datos y solicitar el OINK Code para introducirlo en la configuracin de nuestro IPCop.
w w
.a lfe re z. es
www.alferez.es Pgina 29 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.6 Port Forwarding Este mdulo lo encontraremos en el men Firewall. Desde este apartado configuraremos la redireccin de puertos que deseemos desde Internet (RED) hacia nuestra red local (GREEN).
Podemos abrir estos puertos para cualquiera o para una IP en concreto, definindola en Source IP.
Desde aqu daremos acceso a nuestro servidor web, ftp, desde el exterior en caso de disponer de alguno.
w w
.a lfe re z. es
www.alferez.es Pgina 30 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.7 Firewall Options Este mdulo lo encontraremos en el men Firewall. Desde este apartado podemos impedir que nuestro sistema responda a las peticiones de Ping formuladas ya sean desde Internet (RED) o desde cualquier interface
w w
.a lfe re z. es
www.alferez.es Pgina 31 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.1.2.8 Log Settings Este mdulo lo encontraremos en el men Logs. Desde este apartado configuraremos las opciones de los logs.
sea inverso, para que las ultimas entradas en el log sean las primeras en aparecer.
Adems podemos redireccionar estos logs a un servidor en caso que dispongamos de alguno destinado a este fin.
w w
.a lfe re z. es
www.alferez.es Pgina 32 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.2 Addons Los addons no son ms que paquetes o aplicaciones de terceros que se implementa a nuestro sistema para interactuar con l aportando caracteristicas o funcionalidades nuevas que no trae el sistema base.
Putty para atacarla por SSH en modo consola. Estas aplicaciones son gratuitas y podemos bajarlas desde Internet.
Una vez las tengamos instalada en el equipo que estamos usando para administrar nuestro IPCop procederemos a configurarla.
Para ello necesitaremos la direccin IP, usuario (root) y password as como el puerto ssh y el marcar el tipo de conexin ssh. Recordemos que nuestro puerto ssh es el 222.
w w
.a lfe re z. es
www.alferez.es Pgina 33 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.2.1 Instalacion de Addons Una vez lo tengamos tenemos que usar el winscp para conectarnos como root con el IPCop y pasamos el fichero que nos hemos descargado del addon comprimido.
w w
.a lfe re z. es
tar zxvf ./nombreficherocomprimido www.alferez.es Pgina 34 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Esto nos crear una carpeta segn el addon descomprimido, aunque en ocasiones no la crea (como es el caso del Zerina), y descomprime en el directorio actual (/root/). Para realizar la instalacin debemos acceder a dicha y ejecutar el fichero de instalacin (normalmente install o setup) de la siguiente manera:
configurarlo. La instalacin de los addons es igual para todos, ahora tan slo nos queda realizar la configuracin.
w w
.a lfe re z. es
cd nombredirectorio ./setup www.alferez.es Pgina 35 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.2.2 Advanced Proxy Debemos bajarnos la ultima versin desde www.advproxy.net, en nuestro caso es la 3.0.2 y realizar la instalacin como hemos visto en el apartado anterior.
Una vez tengamos la instalacin realizada accederemos a la configuracin a travs de web en el men Services.
w w
Debemos activar Enabled on GREEN y Transparen on GREEN. Upstream Proxy: Proxy de subida Log Settings: Configuracin de logs Debemos activarlo para registrar si se produce algn error. Cache management: Configuracin de Cache Destination Ports: Puertos de destino
.a lfe re z. es
www.alferez.es Pgina 36 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Network Base Access Control: Control de acceso de red Debemos indicar la IP si queremos que algn equipo no pase por el Proxy o si deseamos denegar el acceso.
Time Restriction: Restriccin horaria Indicamos el periodo horario y los das que queremos que funcione, por ejemplo que slo est operativo en el horario laboral.
Podemos limitar que los equipos no naveguen a mas velocidad o no puedan acceder pasado un caudal.
Privacy: Privacidad
w w
.a lfe re z. es
www.alferez.es Pgina 37 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.2.3 URL Filter Debemos bajarnos la ultima versin desde www.urlfilter.net, en nuestro caso es la 1.9.3 y realizar la instalacin como hemos visto en el apartado anterior.
Una vez tengamos la instalacin realizada accederemos a la configuracin a travs de web en el men Services.
w w
direcciones, para ello nos vamos al apartado URL Filter maintenance y configuramos las actualizaciones.
aparecen en la lista (Recomiendo el de la Universidad de Toulouse), guardamos la configuracin y le damos a que actualice ahora (Update
.a lfe re z. es
www.alferez.es Pgina 38 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Now), este proceso tarda un poco pero nos daremos cuenta que ha terminado de actualizar cuando en la barra del navegador deje de transferir la pgina.
Una vez est actualizado volvemos a cargar la pgina y nos aparece un listado mucho mayor en Block Categories, ahora es cuestin de gustos la seleccin de las categoras a bloquear.
Otro apartado importante es el de las Custom List, aqu podemos forzar manualmente direcciones web que queremos o no que se accedan.
Debemos tener en cuenta que por defecto estas listas estn desactivadas por lo que si queremos activarlas debemos marcar la casilla correspondiente.
En File Extension Blocking podemos bloquear las extensiones de distintos tipos de archivos, impidiendo que se descargen. Estos archivos
son los relacionados con archivos ejecutables, audio y video y ficheros comprimidos.
w w
acceso a nada. uso.
ficheros que ms se descarguen, consiguiendo que en vez de descargarse cuando alguien lo pida, sea l quien lo sirva.
.a lfe re z. es
www.alferez.es Pgina 39 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
En Block Page Settings configuramos el mensaje de acceso denegado que le saldr a los usuarios cuando intenten acceder a una web que no tienen permitido.
En Advanced Settings configuraremos las opciones avanzadas que nos da, pero no por ello menos importantes. Aqu es donde debemos activar la lista de expresiones, que nos active el SafeSearch (para que los
w w
.a lfe re z. es
www.alferez.es Pgina 40 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Debemos bajarnos la ultima versin desde www.advproxy.net, en nuestro caso es la 2.1.2 y realizar la instalacin como hemos visto en el apartado anterior.
Una vez tengamos la instalacin realizada accederemos a la configuracin a travs de web en el men Services.
w w
por defecto nos vale. usar para ese fin.
.a lfe re z. es
www.alferez.es Pgina 41 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Debemos bajarnos la ultima versin desde www.zerina.de, en nuestro caso es la 0.9.7a14 y realizar la instalacin como hemos visto en el apartado anterior.
Una vez tengamos la instalacin realizada accederemos a la configuracin a travs de web en el men VPN.
w w
Lo primero que debemos hacer es generar el cerficado del propio servidor, para ello nos en el apartado que aparece marcado como 1 pinchamos en Generate Root/Host Certificates.
.a lfe re z. es
www.alferez.es Pgina 42 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Una vez que tengamos ese certificado generado podremos configurar el segundo apartado. Lo primero es activar OpenVPN sobre el interface RED para que podamos conectarnos desde Internet. En Local VPN HostName pondremos el nombre que dimos de alta en Dynamic DNS y activaremos la compresin LZO.
Una vez que tengamos el cliente creado nos aparecer en la lista su nombre, descripcin y nos dar opcin a descargarlo:
w w
OpenVPN GUI que nos permite realizar conexiones VPN hacia servidores OpenVPN como el que acabamos de instalar en nuestro IPCop. Esta aplicacin nos la podemos descargar desde www.openvpn.se.
.a lfe re z. es
nos permitir directamente
www.alferez.es Pgina 43 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Una vez instalada esta aplicacin debemos descomprimir el paquete de configuracin que obtuvimos del IPCop en la carpeta C:\Archivos de Programa\OpenVPN\Config
Con todo esto instalado y configurado tan slo nos queda darle doble clic al icono
w w
.a lfe re z. es
que nos apareci en la barra de tareas y ponerle la y esto nos
www.alferez.es Pgina 44 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.2.6 Copfilter Debemos bajarnos la ultima versin desde www.copfilter.de, en nuestro caso es la 0.84beta3a y realizar la instalacin como hemos visto en el apartado anterior.
configuracin a travs de web, slo que en este caso nos aparecer el men Copfilter y desde aqu tendremos varios apartados.
w w
.a lfe re z. es
www.alferez.es Pgina 45 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
EMAIL: Configuracin del correo del administrador del sistema para recibir todos los mensajes que Copfilter necesite avisarle. Es la primera opcin que debemos activar.
w w
.a lfe re z. es
www.alferez.es Pgina 46 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
MONITORING: Configuracin del sistema de monitoreo, en caso de que alguno de los servicios falle, vuelve a activarlo.
w w
.a lfe re z. es
www.alferez.es Pgina 47 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
POP3 FILTER: Configuracin del escaner de correo entrante, aqu debemos activarlo en el interface GREEN, adems de varias opciones como modificar el Asunto del correo, renombrar los adjuntos peligrosos,... Uno de los puntos ms importantes es el tema de la
w w
SMTP FILTER: Es la misma configuracin que vimos para Pop3 pero esta vez para el correo saliente.
.a lfe re z. es
puntuacin para el spam (Score is greater than) ya que el correo recibe una puntuacin segn varias reglas y si supera la puntuacin que le indiquemos lo introducir en Cuarentena.
www.alferez.es Pgina 48 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
HTTP FILTER: Desde aqu configuraremos el filtro web para activar el antivirus.
w w
.a lfe re z. es
En caso de acceder a alguna web con virus recibiremos una pantalla como esta:
www.alferez.es Pgina 49 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
FTP FILTER: Desde aqu podremos activar el filtro para FTP aunque esta tarea ralentizar la descarga ftp, ya que los ficheros ftp suelen ser grandes.
w w
.a lfe re z. es
antispam como la puntuacin que consideramos vlida para que sea spam o los tipos de reglas que queremos que use.
www.alferez.es Pgina 50 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
ANTIVIRUS: Desde aqu podremos configurar las opciones del antivirus y configurar sus actualizaciones (No es recomendable que estas actualizaciones sean ms recientes de 24 horas).
TEST & LOGS: Aqu podremos realizar distintos test para comprobar que
w w
las configuraciones que hemos realizado son vlidas y que el antivirus se activa cuando debe o que el antispam detecta los correos correctamente.
.a lfe re z. es
www.alferez.es Pgina 51 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
4.2.7 Block Out Traffic Debemos bajarnos la ultima versin desde www.blockouttraffic.de, en nuestro caso es la 3.0.0 y realizar la instalacin como hemos visto en el apartado anterior.
complicada, ya que como su propio nombre indica su funcin es bloquear todo el trfico saliente.
Este addon nos servir para bloquear todo lo que no salga por los
puertos que le indiquemos y debemos especificar tanto los rangos de puertos, servicios y mquinas o grupos de mquinas que vamos a darle
acceso, por lo que si no desea realizar esta funcin les recomiendo que no lo instalen, ya que si lo instalan y no lo configuran correctamente es posible que no puedan acceder a la administracin de su IPCop.
Una vez tengamos la instalacin realizada accederemos a la configuracin a travs de web en el men Firewall. Nos aparecern dos
w w
nuevas entradas:
.a lfe re z. es
www.alferez.es Pgina 52 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Lo primero que debemos hacer es configurar los parmetros generales de configuracin. Para ello entramos en Block Outgoing Traffic y nos saldr esta pantalla:
Como nos indica no tenemos definida la configuracin, por lo que deberemos editarla y nos aparecer esta pantalla:
w w
.a lfe re z. es
www.alferez.es Pgina 53 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
En esta pantalla nos piden dos datos muy simples pero con los que hay que tener mucho cuidado y es la MAC de administracin y el puerto HTTPS.
En el lugar de la direccin MAC debemos indicar la direccin MAC del ordenador que usaremos para administrarlo, ya que una vez activado y si no se crea la regla ningn ordenador excepto este tendr acceso a la administracin de nuestro IPCop.
Lgicamente debemos marcar la activacin de logs, ya que nos puede ser til para detectar posibles fallos.
Otro punto importante es que hacer si no tenemos una regla establecida y por defecto tiene REJECT pero es recomendable cambiarlo a DROP, ya que si no existe regla lo mejor es denegarlo directamente.
Con estos puntos ya tenemos configurado nuestro BOT (Block Out Traffic) pero lgicamente no tenemos ninguna regla definida as que debemos hacerlo por partes.
w w
.a lfe re z. es
www.alferez.es Pgina 54 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
CREACIN DE SERVICIOS:
Lo primero que debemos hacer es entrar en Advanced BOT Config y nos aseguramos que tenemos activo el Service Settings, por lo que nos aparecer una pantalla como la siguiente:
w w
.a lfe re z. es
Service Name: Ping Protocol: ICMP ICMP Type: All ICMP Types Service Name: COPFILTER Antivirus Ports: 8110 Protocol: TCP
www.alferez.es Pgina 55 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
Con estos puertos lo que hemos creado han sido los servicios de
administracin y acceso ofrecidos por el IPCop y COPFILTER ya que si no tampoco tendramos acceso.
.a lfe re z. es
Ports: 10025 Protocol: TCP Service Name: IPCOP ssh Ports: 222 Protocol: TCP Service Name: IPCOP https Ports: 445 Protocol: TCP Service Name: IPCOP proxy Ports: 800 Protocol: TCP
www.alferez.es Pgina 56 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Para esto nos cambiamos ha Service Grouping y mediante el formulario creamos los siguientes grupos con los siguientes servicios:
Administracin
Internet
Servicios
w w
Los servicios que estn marcados como Custom son los que hemos
creado anteriormente.
.a lfe re z. es
Smtp Smtps Pop3 Pop3s Imap Imaps Domain Ping (Custom) https http ftp Ntp Domain IPCOP Proxy (Custom) COPFILTER Antivirus (Custom) COPFILTER ftp (Custom) COPFILTER smtp (Custom)
www.alferez.es Pgina 57 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
configurar, pero aadimos mayor seguridad a nuestra red, ya que si alguien conectase no tendra salida a Internet.
maneras posibles, aadindolo por direccin IP o por direccin MAC (lo que aade una seguridad extra a la ya existente).
.a lfe re z. es
www.alferez.es Pgina 58 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Para esto tenemos que cambiar a Address Settings y dar de alta equipo por equipo, teniendo que saber con anterioridad cada uno de los equipos que tenemos en la red con su direccin IP o direccin MAC.
Para aadir los equipos tendremos que hacerlo mediante el formulario que tenemos, seleccionando previamente si queremos IP o MAC:
En caso de que seleccionemos direccin MAC dejaremos en blanco el campo Netmask, en caso de usar direccin IP en Netmask
w w
.a lfe re z. es
www.alferez.es Pgina 59 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Una vez que tengamos dado de alta los equipos vamos a organizarlos por grupos. Para ello accedemos al apartado Adress Groupoing.
Como se puede ver en la imagen se han creado varios grupos y se han ido asignando los equipos que hemos seleccionado.
w w
Out Traffic, ahora tan slo nos queda aadir las reglas que deseemos, para eso nos vamos al men Firewall y entramos en el apartado BLOCK OUTGOING TRAFFIC.
realicemos una conexin VPN podamos acceder a la red GREEN sin complicaciones, para ello crearemos estas dos reglas:
.a lfe re z. es
www.alferez.es Pgina 60 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Para crearlas pulsamos sobre el boton NEW RULE y en la siguiente pantalla introducimos los datos correspondiente a la regla que vamos a necesitar.
Source:
w w
Destination:
Default Interface: OpenVPN-RED (Interface Destino defecto: VPN) Default Networks: Any (Red Origen por defecto: Cualquiera)
Con estos datos crearemos la regla para acceder desde GREEN hasta
.a lfe re z. es
www.alferez.es Pgina 61 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
El siguiente paso es dar acceso a cada grupo de usuarios que creamos anteriormente tanto a Internet como a los servicios gestionados por el IPCop.
w w
GR_Administracion que provienen por la interface GREEN acceso al IPCop y el uso de los servicios que hemos nombrado como Servicios.
.a lfe re z. es
www.alferez.es Pgina 62 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Para ello cumplimentamos los siguientes datos: Source: Default Interface: GREEN Addess Group: GR_Administracion Destinatiom:
Este paso debemos repetirlo con cada uno de los grupos que deseemos que tengan acceso a Internet, ya que mucho de los servicios paran por l.
El siguiente paso es dar de alta los servicios que no son propios del IPCop.
w w
.a lfe re z. es
IPCop Access Use Service Service Groups: Servicios
www.alferez.es Pgina 63 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
El ejemplo anterior da acceso a los servicios de Internet que no gestiona el IPCop. Los parmetros a cumplimentar seran los siguientes:
Source:
Destinatiom:
w w
.a lfe re z. es
Default Interface: GREEN Addess Group: GR_Administracion Other Network/Outside Default Interface: Red Default Networks: Any Use Service Service Groups: Internet
www.alferez.es Pgina 64 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Adicionalmente todas las reglas del Block Out Traffic tienen una serie de opciones avanzadas.
w w
dos formas:
adems de si queremos que se registren los logs y la accin a realizar (Aceptar o denegar) tenemos la opcin de establecer una franja horaria y de das en los que esas reglas van a estar activas (lgicamente la fecha y hora del sistema deben ser correctas). Esta configuracin podemos realizarlas de
Indicando la franja de das del mes que queremos Indicando los das de la semana que queremos
.a lfe re z. es
www.alferez.es Pgina 65 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
A Parte de esto lo que si podemos aadirle es la franja horaria que deseemos para esa regla.
Con todas las reglas creadas ya podemos aventurarnos a activar el Block Out Traffic.
administracin (de aqu la importancia de que la direccin MAC estuviese bien puesta) slo tenemos una opcin y es desinstalarlo.
Para desinstalarlo tendremos que hacerlo en modo consola desde el propio IPCop. Para ello seguiremos los mismos pasos que para instalar el mdulo pero en vez de usar el comando install usaremos unistall.
pero el servicio no estar activado y podremos acceder a reconfigurarlo antes de volver a activarlo.
w w
.a lfe re z. es
www.alferez.es Pgina 66 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
5. Logs
Para un administrador una de las herramientas ms importantes son los logs.
va teniendo el ipcop. A travs de estos movimientos podremos saber en todo momento lo que ha ocurrido o est ocurriendo.
Log Settings: Configuracin de Logs (Ya lo vimos anteriormente) Log Summary Logs: Eventos de Kernel y estado de discos.
w w
Proxy Log: Desde aqu podremos ver que pginas han visto cada usuario en cualquier momento.
Firewall Logs: Registra los eventos de Firewall IDS Logs: Eventos del Intrusion Detection URL Filter Logs: Pginas que han sido bloqueadas por URL Filter indicando la mquina y el motivo del bloqueo. System Logs: Eventos del sistema.
.a lfe re z. es
www.alferez.es Pgina 67 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Proxy Logs:
w w
.a lfe re z. es
Podemos filtrar desde Source IP la direccin de la mquina
www.alferez.es Pgina 68 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
Firewall Logs:
w w
.a lfe re z. es
Nos aparecen los Eventos del Firewall con la direccin de
www.alferez.es Pgina 69 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
IDS Logs:
w w
aparece la fecha y hora, as como el origen y destino adems del tipo de ataque o amenaza que ha detectado.
.a lfe re z. es
www.alferez.es Pgina 70 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
URL Filter:
w w
IP del usuario.
las pginas webs tienen imgenes llamadas tit_pagina, tit de ttulo y el problema es que el lo traduce como tit de teta en ingles, por lo que nos da un mensaje y lo bloquea como se puede ver en la imagen.
.a lfe re z. es
Nos aparece la fecha, el motivo del bloqueo, la direccin IP Nos permite filtrar tanto por categora como por la direccin Un inconveniente que he podido observar es que normalmente
www.alferez.es Pgina 71 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
System Logs
w w
servicios:
.a lfe re z. es
Es el logs ms genrico, ya que nos permite seleccionar sobre Si pulsamos sobre Section nos muestra estas opciones de
www.alferez.es Pgina 72 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
NTP: Se muestran los sucesos del servidor horario. DNS: Sucesos del cliente DNS Update Transcript: Eventos del proceso de actualizacin IPSec: Eventos del cliente IPSec. SSH: Eventos del servidos SSH
Snort: Eventos del cliente Snort para el servicio Intrusion Detection Login/Logout: Eventos de acceso al IPCop IPCop: Eventos generales.
Cron: Eventos de tareas programadas. Kernel: Eventos del Kernel. RED: Eventos del Interface
w w
.a lfe re z. es
www.alferez.es Pgina 73 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
6. Mantenimiento
El mantenimiento que requiere IPCop es muy simple. Basta con tener actualizado los mdulos y las bases de datos de los mismos.
Algunos mdulos como Advanced Proxy nos avisa ellos mismos como se puede ver en esta imagen:
w w
el foro:
http://copfilter.endlich-mail.de/viewforum.php?f=12
.a lfe re z. es
www.alferez.es Pgina 74 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
w w
Las actualizaciones podemos realizarlas de dos formas: Descargando y subiendo los paquetes manualmente. Descargar los mdulos automticamente desde el interface web y despus aplicar las actualizaciones (Recomendado)
Si decidimos realizar estas actualizaciones por el interface nos aparecer un botn Download y una vez descargadas debemos aplicarlas hasta actualizarlo hasta la ltima versin 1.4.21 que es la ltima.
.a lfe re z. es
www.alferez.es Pgina 75 de 76
Instalacin de router con funciones de firewall, vpn, proteccin de ataques, antispam y antivirus perimetral.
8. Bibliografa
La informacin que aqu se recopila ha sido obtenida de distintas pginas de Internet y de la propia experiencia profesional.
w w
.a lfe re z. es
www.ipcop.org www.ipcops.com www.copfilter.de www.zerina.de www.urlfilter.net www.advproxy.net www.blockouttrafic.de copfilter.endlich-mail.de
www.alferez.es Pgina 76 de 76