Professional Documents
Culture Documents
EXAMEN PRCTICO:
INSTALACION, CONFIGURACION Y EJECUCION DEL FIREWALL IPCOP
PRESENTADO A:
ING JEAN POLO CEQUEDA
Historia IPCOP
IPCop creci por mltiples necesidades. La primera de esas necesidades era la
proteccin segura de nuestras redes personales y comerciales. Cuando IPCop empez,
en Octubre de 2001, haba otros cortafuegos disponibles. De todas formas, el equipo que
empez IPCop senta que las otras dos necesidades que IPCop cubre no estaban
conseguidas; GPL y un sentido de comunidad.
El grupo fundador de IPCop decidi hacer las cosas de forma diferente y ramific el
cdigo GPL de un cortafuegos existente para empezar uno nuevo, cuidando de mantener
las necesidades de la comunidad de usuarios en primer trmino. Entre estas necesidades
est la capacidad del usuario para hacer su propio IPCop, para instalar mejoras, para
simplemente aprender viendo lo que otros han hecho. A travs de estas necesidades es
donde el desarrollo aporta mejoras a IPCop, escuchando directamente y viendo lo que
se ha hecho y el porqu. Esta comunidad hace que IPCop crezca y IPCop la hace crecer.
Avanzamos hasta 2011. Unos 10 aos despus, millones de descargas y un nmero
incontable de instalaciones por todo el mundo, se ha liberado una nueva versin de
IPCop. Con IPCop v2.0.0, se han aadido algunas cosas estupendas, una interfaz
rediseada y un cortafuegos de salida, por nombrar algunas.
Que es IPCOP?
1. IPCop es un cortafuegos; de principio, de final y siempre.
2. IPCop es una Distribucin Linux especializada; completa, configurada y lista para
proteger su red. Adems, est distribuida bajo licencia GNU General Public
License, con todo el cdigo fuente disponible para descargarlo, revisarlo o incluso
ser modificado y/o recompilado por usted mismo para sus necesidades personales
o por razones de seguridad.
3. IPCop es una comunidad; donde los miembros se ayudan entre s, compartiendo
para mejorar el proyecto y entre ellos. Esta ayuda va desde simples instrucciones
y consejos del Networking bsico, hasta ayudar a los miembros a personalizar
su IPCop para cubrir una necesidad especial como los telfonos IP (VoIP) o la
integracin de mltiples oficinas.
Prestaciones de IPCOP
DMZ
En seguridad informtica, una zona desmilitarizada (conocida tambin como DMZ, sigla
en ingls dedemilitarized zone) o red perimetral es una red local que se ubica entre la red
interna de una organizacin y una red externa, generalmente en Internet. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn
permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la
red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto
permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la seguridad de los
equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un
callejn sin salida.
Portal cautivo
Un portal cautivo (o captivo) es un programa o mquina de una red informtica que vigila
el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren navegar
por Internet de forma normal
El programa intercepta todo el trfico HTTP hasta que el usuario se autentifica. El portal
se encargar de hacer que esta sesin caduque al cabo de un tiempo. Tambin puede
empezar a controlar el ancho de banda usado por cada cliente (haciendo lo que se
llama Calidad de Servicio).
Se usan sobre todo en redes inalmbricas abiertas, donde interesa mostrar un mensaje
de bienvenida a los usuarios y para informar de las condiciones del acceso
(puertos permitidos, responsabilidad legal, etc.). Los administradores suelen hacerlo para
que sean los propios usuarios quienes se responsabilicen de sus acciones, y as evitar
problemas mayores. Se discute si esta delegacin de responsabilidad es vlida
legalmente.
INSTALACION DE IPCOP
Para la instalacin de IPCOP seguir paso a paso los pantallazos mostrados a
continuacin
CONFIGURACION DE IPCOP
1. Iniciamos la mquina virtual con IPCOP
CONFIGURACION DE PROXY
En una maquina perteneciente a la red principal sea la roja distinta la que est instalado
el IPCOP iniciamos sesin, y le damos conectar para que el firewall se active.
En URL filter seleccionamos los dominios y los filtros que queremos denegarles el acceso
CONFIGURACION DE VPN
Para configurar una VPN con IPsec, haga lo siguiente:
1. Cree una Autoridad Certificadora.
2. Active IPsec en la(s) interfaz(es) de su eleccin en la seccin Ajustes Globales.
3. Aada o bien una conexin Host-a-Red (Roadwarrior) o bien una conexin Red-aRed.
4. Siguiente elemento...
5. Siguiente elemento...
La primera lnea en la seccin de Ajustes Globales indica si el servidor IPsec est parado
o corriendo.
IPsec en ROJA. Marque esta casilla para activar el servidor IPsec en ROJA.
IPsec en AZUL. Slo visible si tiene configurada una interfaz AZUL. Marque esta casilla
para activar el servidor IPsec en AZUL.
IP pblica o FQDN de la interfaz ROJA o <%defaultroute>. Introduzca los detalles del
servidor IPsec, su FQDN o la direccin IP pblica de la interfaz roja. Si est utilizando un
servicio de DNS dinmico, aqu debera usar su nombre DNS dinmico.
VPNs y DNS dinmico
Si su ISP cambia su direccin IP, tenga en cuenta que las VPNs Red-a-Red pueden
necesitar ser reiniciadas desde ambos extremos del tnel. Los roadwarriors tambin
tendrn que reiniciar sus conexiones en tal caso.
Saltar MTU por defecto - opcional. El MTU (Maximum Transmission Units) es el
tamao mximo del datagrama en bytes que puede ser enviado sin fragmentar sobre un
camino de red concreto.
Retraso antes de lanzar la VPN (segundos). Si tiene una direccin IP pblica fija en
ROJA, debera mantener el valor 0. Si utiliza un servicio de DNS dinmico, debera usar
un valor mnimo de 60 segundos para que la entrada de DNS dinmico tenga tiempo
suficiente de propagarse a todos los servidores DNS.
Reiniciar VPN Red-a-Red cuando la IP remota cambie... Reinicia la VPN Red-a-Red
cuando la IP remota cambia (dyndns). Esto ayuda al Dead Peer Detection (DPD). Aadir
contenido...
PLUTO DEBUG. Varias opciones de depuracin que pueden ayudar a resolver
problemas. Utilcelo con cuidado, los muchos mensajes de registro adicionales suelen
ser confusos.
Para crear una conexin VPN IPsec utilice el botn Aadir. Aparecer la pgina de tipo
de conexin VPN.
Seleccione VPN Host-a-Red (Roadwarrior) para usuarios mviles que necesitan acceso
a la red VERDE o VPN Red-a-Red para dar a usuarios en otra red acceso a su red
VERDE y dar a usuarios de su red VERDE acceso a la otra red.
Elija el tipo de conexin que desea crear y pulse el botn Aadir.
La siguiente pgina que aparece contiene dos secciones. La seccin Conexin variar
dependiendo del tipo de conexin que est aadiendo. La seccinAutenticacin ser
igual.
Nombre. Un nombre simple (slo minsculas, sin espacios) para identificar esta
conexin.
Activado. Marque la casilla Activado para activar esta conexin.
Direccin IP del host. Escribir contenido...
Host remoto/IP - opcional. Introduzca la direccin IP fija del servidor IPsec de la red
remota. Tambin puede introducir el FQDN del servidor remoto. Si el servidor remoto est
usando un servicio de DNS dinmico, puede que tenga que reiniciar IPsec si su direccin
IP cambia. Hay varios scripts disponibles en los grupos de noticias de IPCop que harn
esto por usted.
Subred Local. Subred Local es por defecto su red VERDE. Si lo desea, puede crear una
subred de su red VERDE para limitar el acceso roadwarrior a su red VERDE.
ID local - opcional. Escribir contenido...
ID remota - opcional. Escribir contenido...
Nombre. Un nombre simple (slo minsculas, sin espacios) para identificar esta
conexin.
Activado. Marque la casilla Activado para activar esta conexin.
Direccin IP del host. Escribir contenido...
Host remoto/IP. Introduzca la direccin IP fija del servidor IPsec de la red remota.
Tambin puede introducir el FQDN del servidor remoto. Si el servidor remoto est usando
un servicio de DNS dinmico, puede que tenga que reiniciar IPsec si su direccin IP
cambia. Hay varios scripts disponibles en los grupos de noticias de IPCop que harn esto
por usted.
Subred Local. Subred Local es por defecto su red VERDE. Si lo desea, puede crear una
subred de su red VERDE para limitar el acceso roadwarrior a su red VERDE.
Subred remota. Introduzca la direccin de red y la mscara de red la red remota en el
mismo formato que el campo Subred Local. Esta red debe ser diferente a la Subred
Local ya que IPsec configura entradas en la tabla de rutas para enviar paquetes IP a la
red remota correcta.
ID local - opcional. Escribir contenido...
ID remota - opcional. Escribir contenido...
Accin de Dead Peer Detection. Elija entre limpiar, mantener o reiniciar.
Openswan recomienda en su archivo README.DPD que se use mantener para tneles
definidos estticamente, y limpiar para tneles roadwarrior.
Operacin al iniciar IPsec. Elija entre aadir, enrutar o iniciar.
Resea - opcional. El campo Resea le permite aadir un comentario opcional que
aparecer en la ventana de conexin VPN de IPCop para esta conexin.
Editar ajustes avanzados al terminar. Marque la casilla Editar ajustes avanzados al
terminar si necesita modificar los ajustes por defecto de IPCop para IPsec.
La segunda seccin de la pgina web trata sobre la autenticacin. En otras palabras, as
es como este IPCop se asegurar de que el tnel establecido por ambas partes de la
interfaz est hablando a su opuesto. IPCop ha hecho todo lo posible para soportar
certificados tanto PSK como X.509. Hay cuatro elecciones, mutuamente excluyentes, que
se pueden emplear para autenticar una conexin.
F
Utilizar una clave precompartida. Introduzca una frase de paso que se usar para
autenticar al otro lado del tnel. Escoja esto si quiere una VPN Red-a-Red simple.
Tambin puede emplear PSKs mientras experimenta en la creacin de VPNs. No utilice
PSKs para autenticar tneles de roadwarriors.
Subir peticin de certificado. Algunas implementaciones IPsec de roadwarrior no
tienen su propia CA. Si quieren utilizar la CA integrada en IPCop, pueden generar lo que
se llama una peticin de certificado. Esto es un certificado X.509 parcial que debe ser
firmado por una CA para ser un certificado completo. Durante la subida de la peticin de
certificado, la peticin es firmada y el nuevo certificado estar disponible en la pgina web
principal de VPNs.
Subir un certificado. En este caso, el par IPsec tiene una CA disponible para usar. Se
deben subir tanto el certificado del par como el certificado del host.
Generar un certificado. En este caso, el par IPsec podr ofrecer un certificado X.509,
pero no tiene la capacidad ni siquiera de generar una peticin de certificado. En este
caso, rellene los campos requeridos. Los campos opcionales estn indicados con puntos
rojos. Si este certificado es para una conexin Red-a-Red, el campo Nombre de usuario
completo o Nombre del sistema pueden ser el FQDN de Internet del par. El nombre de
organizacin opcional es para aislar diferentes porciones de una organizacin del acceso
a la red VERDE completa haciendo subredes de la Subred local en el apartado de
definicin de conexin de esta pgina web. El campo Contrasea del archivo
PKCS12 asegura que los certificados de host generados no puedan ser interceptados y
comprometidos mientras se transmiten al par IPsec.
CONFIGURACION DMZ
Ipcop nos define una red exclusiva para esta funcin, con lo cual solo hay que crear la
red, configurarla y anexar las reglas nuevas del firewall.
Por lo cual vamos al submen reglas de firewall
Debido a que vamos a definir una regla que permita comunicar a la red verde (interna)
con la red naranja (DMZ), vamos a crear una regla de trafico interno.
Como podemos ver las reglas que van de naranja a verde estn indicadas, ya que
abran el cortafuego.
Con esto la DMZ ya cumple con los requisitos exigidos.
Puede mantener listas con nombres de usuario autorizados (lista blanca) o con
nombres de usuario denegados (lista negra).
La autenticacin basada en Grupo de Trabajo probablemente funcione, pero ni se
recomienda ni est soportada.
Para permitir acceder a Windows Update sin autenticacin aada estos destinos a la
lista:
*.download.microsoft.com
*.windowsupdate.com
windowsupdate.microsoft.com
Dominio. Introduzca el nombre del dominio que quiere utilizar para la autenticacin. Si
est corriendo un Directorio Activo de Windows 2000 o Windows 2003, deber
introducir el nombre de dominio NetBIOS.
Nombre del CPD. Introduzca el nombre NetBIOS del Controlador Primario de Dominio
aqu. Si est corriendo un Directorio Activo de Windows 2000 o Windows 2003, puede
introducir el nombre de cualquier Controlador de Dominio.
En Windows 2000 y posteriores, el Controlador Primario de Dominio no est asignado a
un servidor especfico. El emulador de CPD de Directorio Activo es un rol lgico y puede
estar asignado a cualquier servidor.
Importante
El nombre del CPD debe poder resolverse por IPCop. Esto se puede lograr aadiendo
el nombre de host en Servicios > Editar Hosts(recomendado) o editando el
archivo /etc/hosts directamente.
Nombre del CDR (opcional). Introduzca el nombre NetBIOS del Controlador de
Dominio de Reserva aqu. Si est corriendo un Directorio Activo de Windows 2000 o
Windows 2003, puede introducir el nombre de cualquier Controlador de Dominio. Si el
CPD no responde a las peticiones de autenticacin, el proceso de autenticacin
consultar al CDR en su lugar.
Importante
El nombre del CDR debe poder resolverse por IPCop. Esto se puede lograr aadiendo
el nombre de host en Servicios > Editar Hosts(recomendado) o editando el
archivo /etc/hosts directamente.
dominio\administrador
dominio\bruno
dominio\juana
dominio\maria
dominio\pablo
dominio\esteban
Cuando se usa la autenticacin integrada, el usuario tiene que estar logeado en el
dominio, de lo contrario, se aadir el nombre de la mquina al nombre de usuario, en
vez de el nombre de dominio.
Ejemplo de listas de control de acceso por usuario usando autenticacin explcita:
administrador
bruno
juana
maria
pablo
esteban
La autenticacin explcita proporciona acceso al usario, incluso si el usuario no est
logeado en el dominio, siempre que el nombre de usuario sea el mismo y que la
contrasea de la mquina local y la contrasea de dominio no coincidan.