IPCop, Máquina como Cortafuegos del Dominio (Zentyal-WS2K8) 1. IpCop IPCop es un cortafuegos (firewall) de distribución Linux, permite crear redes virtuales VPN, dentro de ellas podemos administrar o limitar el uso de la red a los usuarios. Tiene una interfaz Web desde la cual podemos gestionar y administrar el cortafuego. Estas son unas cuantas opciones con las que nos podemos encontrar. • Restringir el acceso a diferentes Web’s • Definir días de uso y tiempo de conexión • Limitar la velocidad de conectividad y descarga Cuenta con zonas de colores para las diferentes topologías de red. • Roja: Servicio de Internet • Verde: LAN Red de Área Local • Azul: Wireless (Inalámbrica) • Naranja: Zona demitalirizada (granja de servidores) 2. Requisitos No hace falta tener una máquina con demasiados recursos. • CD instalación • Mínimo 2 tarjetas de red • 512 Mb de memoria RAM • Disco duro con 100 Mb de capacidad (SATA) • Monitor y teclado • Router que nos abastezca la conexión a internet • Switch para dar servicio a más de un equipo (opcional) Linux Other Linyx 3.0 Kernel 64-bit
3. Descarga Nos dirigimos a la página www.ipcop.org en el apartado Download. • Descargamos la instalación CD (Latest installation CD (i486 2.0.8)) • Una vea descargada la instalación CD la grabamos.
4. Instalación Comenzaremos con la instalación, si tenemos los requisitos detallados en el punto 2 nos dispondremos a instalar. Para ello prepararemos nuestro equipo con el arranque principal desde CD. • Pantalla principal instalación
• Seleccionamos el lenguaje
• Mensaje de bienvenida
• Elegimos teclado o podemos saltar esta opción
• Seleccionamos o saltamos la zona horaria
• Introducimos fecha y hora
• Seleccionamos el disco duro donde haremos la instalación
• Si estamos seguros, adelante…
• Elegimos en qué tipo de disco lo vamos a instalar
• Si tenemos un respaldo de la configuración elegimos donde lo tenemos, de caso contrario como es el nuestro, saltamos…
• La instalación ha sido un éxito…
Al finalizar parte de la instalación vemos este mensaje, de aquí debemos tomar dos datos que serán muy importantes para la posterior configuración vía web. • https://192.168.1.1:8443 la ip que aquí marca es de referencia o de muestra, para acceder vía web pondremos la que asignemos a la VPN, la que pongamos para la tarjeta de red GREEN. • https://ipcop:8443 así también accederemos a la interfaz gráfica vía web. 5. Configuración Comenzaremos la configuración de nombres, ip’s… • Nombre del host, ponemos el que queramos, nosotros dejaremos ipcop
• Nombre de dominio, igual paso anterior, podemos dejar el que viene por defecto localdomain, nosotros metemos el nombre de nuestro dominio iso.org
• En la interfaz roja, como ya sabemos, es la que nos da servicio de conexión a internet, le podemos poner una ip fija (Estático) de nuestra propia red de casa, o en este caso vamos a dejar que nos la de por DHCP
• Seleccionamos que tarjeta de red queremos usar para la interfaz roja y comprobamos la MAC que nos da IPCop con la que tiene el VMware para cerciorarnos de que estamos realizando la configuración en la interfaz correspondientes, en este caso la que hemos asignado como Bridged
• Asignamos color
• Seleccionamos la otra tarjeta de red para asignarle otro rol (color) y comprobamos la MAC que nos da IPCop con la que tiene el VMware para cerciorarnos de que estamos realizando la configuración en la interfaz correspondientes, en este caso la que hemos asignado como Custom
• En este caso será la verde, interfaz LAN, con la que crearemos la VPN
• Asignados los roles a las tarjetas de red
5.1 VPN (RED GREEN) Aquí le daremos una dirección IP a la tarjeta para todos los equipos que se conecten, lo haremos con una IP Estática. • Dirección IP: 192.168.2.254 • Mascara de Red: 255.255.255.0
“La ip que aquí asignemos será con la cual accederemos a la interfaz gráfica vía web” • https://192.168.2.254:8443 5.2 Tarjeta de red ROJA En el paso 5 cuando configuramos por primera vez las tarjetas, dijimos que esta sería por DHCP, nos pide el nombre de host. Lo dejamos por defecto ipcop
5.3 DNS y puerta de enlace Dejaremos las DNS’s de google • DNS primario: 8.8.8.8 • DNS secundario: 8.8.4.4 • Puerta de enlace: Podríamos poner como puerta de enlace, la de la red a la cual estemos conectados, la IP de nuestro router.
5.4 Servidor DHCP (RED GREEN) Esto servirá para que nos asigne IP automáticas a los diferentes clientes que se conecten en la red. (VPN) • Activamos DHCP • Marcamos el rango de IP que queremos asignar a los diferentes equipos de inicio a fin
6. Contraseñas para los diferentes usuarios Definiremos las contraseñas para los distintos usuarios con los gestionaremos IPCop 6.1 Root • Con el usuario root accederemos desde consola (contraseña roberto)
6.2 Admin • Con el usuario admin accederemos a la interfaz gráfica vía web (contraseña roberto)
6.3 BackUp • El usuario backup lo utilizaremos para realizar respaldos de IPCop y en caso de error poder restaurarlo al momento en que realizamos la copia de seguridad. (contraseña roberto)
Con esto concluiremos la configuración de IPCop.
7. Acceder desde consola Una vez finalizada la instalación automáticamente se reinicia, ahora será cuando lo tenemos listo para administrar.
• Introducimos el nombre de usuario root • Seguidamente insertamos la contraseña
7.1 Comprobar Ip Comprobaremos si las Ip que anteriormente configuramos, esto lo haremos mediante el comando ifconfig. • Tecleamos el comando ifconfig • Y como no nos muestra toda la configuración de las tarjetas de red pondremos ifconfig lan-1 (lan-1 es específicamente para lan-1, para wan-1, pondremos wan-1)
Ahora tenemos dos servidores como DHCP, Zentyal e IPCop. Vamos a desactivar el DHCP del Zentyal Sobre Red Interfaces En el interfaz eth0 desmarcamos la opci贸n Externo (WAN) y le damos a Cambiar
Desmarcamos el DHCP sobre la interfaz eth1 y Guardamos cambios
Ahora en los m贸dulos, desmarcamos el del DHCP y el del Firewall y Guardamos cambios. Porque ahora es el IPCop el que va a hacer de los dos, tanto de cortafuegos como de DHCP
Tambi茅n desactivamos totalmente la interfaz que nos daba la WAN en el Zentyal desde la configuraci贸n de VMware
Ahora podemos hacer un ifdown eth0 sobre el Zentyal para que esta interfaz nos deje de dar direcci贸n IP, o podemos reiniciar el equipo Zentyal. En nuestro caso hacemos las dos cosas
Una vez reiniciado Zentyal, a帽adimos una puerta de enlace a ipcop con la ip 192.168.2.254
Una vez hecho esto, pasamos a cambiar la puerta de enlace en el Server 2008 a la IP de IPCop 192.168.2.254
8. Interfaz Web Antes de entrar a la interfaz web, comprobaremos si el DHCP está haciendo su función sobre los clientes. 8.1 Comprobar IP Como podemos ver tenemos asignada una IP dentro del rango que hemos configurado en pasos anteriores. • Ifconfig (en Ubuntu)
• Ipconfig (en Windows)
8.2 Acceder a la interfaz web • Abrimos un navegador desde la máquina W7 y tecleamos en la barra de direcciones https://ipcop:8443 • Una vez dentro, nos pedirá un certificado de confirmación, si deseamos seguir adelante, añadimos excepción. • Se nos abre otra ventana en la cual confirmaremos excepción de seguridad • Ahora nos logueamos, usaremos el usuario admin que es el que gestionará desde la interfaz web
• Y está será la página principal de IPCop
8.3 Actualización • Desde la pestaña Sistema – Actualizaciones • En actualizaciones disponibles, le damos a refrescar lista de actualizaciones, veremos que nos sale un listado • Pulsamos el cuadrado verde con flecha blanca y a continuación nos aparecerá debajo de la flecha un botón que pone aplicar ahora, le damos y se actualizara • Así lo haremos contadas las que tengamos en la lista, y en terminar, guardar.
8.4 Activar servidor proxy • Entramos en Servicios – Proxy • Vemos que lo tenemos parado, vamos a activarlo • Activamos las casillas Habilitado en VERDE y Transparente en VERDE • También le cambiamos el idioma a Spanish • Y seguidamente guardamos y veremos con nos cambia el mensaje de PARADO a EN MARCHA
• Volvemos a Sistema – Inicio • Refrescamos y volvemos a Conectar 8.4.1 Activar redirecciones • Vamos a Servicios – Proxy • Casi al final de la página vemos que nos aparece un apartado que pone Redirecciones, lo activamos y guardamos
8.5 Restringir acceso a Web’s y búsquedas • Escribimos en el navegador https://ipcop:8443/cgi-bin/urlfilter.cgi • Activamos Filtro de URL • Y activamos Custom blacklist • Activamos Custom expression list • Ponemos nombres que queremos denegar en el buscador
• Guardar y reiniciar • Accedemos a la web que hemos restringido el acceso • Y nos muestra el mensaje que podemos ver en la imagen www.facebook.com
www.twitter.com
www.youtube.com
8.5.1 Cargar blacklist • Vamos a URL filter maintenance – Blacklist update • Damos a Examinar y cargamos la blacklist que hayamos descargado o podemos activar con una por defecto
• Vemos que al principio de la sección nos dice que se ha cargado la blacklist • Ahora nos aparece una sección de categorías, las cuales podemos marcar para restringir el acceso a las páginas que sean de las categorías marcadas • La activamos y marcamos las secciones que queramos 8.5.2 Mensaje de restricción • En Block page settings podemos poner el mensaje que queramos que se vea cuando se restringe el acceso a una página Ahora accederemos a cualquier página que este dentro de las secciones anteriormente señaladas. 8.6 Limitar días y velocidad de conexión • En límite de transferencia indicamos el máximo de descarga y de subida • Podemos delimitar los días y en qué horas nos podremos conectar Podemos también activar el servicio NTP para que nos coja directamente la hora de internet