viernes, 10 de agosto de 2012

IPCOP Parte II



Hola a todos continuando con la configuración de BackupPC ahora los dejare con la segunda parte, en esta segunda parte veremos como aumentar las funcionalidades a nuestro firewall con el uso de Addons (estos son programas desarrollados para brindar funciones avanzadas).


Utilizaremos el addon "Advanced Web Proxy" , este programa permite que IPCop se convierta en un excelente Proxy que nos permitirá realizar tareas administrativas como limitar el ancho de banda de los clientes, el tamaño de sus descargas, asignar acceso a internet a determinadas redes, restrigir los archivos que el cliente puede descargar y mucho más.


I) Actualización de IPCop

Recordemos la infraestructura de red que nos planteamos para el tutorial; accedemos a internet por la interfaz RED que tiene la IP privada 192.168.11.201, y nuestra interfaz segura o GREEN tiene la IP 192.168.197.1, además tenemos una PC Administrador dentro de segmento GREEN que utilizaremos para acceder al Administrador Web de IPCop.

Escenario para Firewall


Accedemos al administrador web desde el PC Administrador para eso escribimos en el navegador http://192.168.197.1:81/ ó https://192.168.197.1:445/ y nos logueamos como Admin y la contraseña que colocamos, una vez en el menú principal del IPCop lo primero que haremos será actualizar IPCop para eso descargamos el archivo necesario "ipcop-1.4.21-update.i386.tgz.gpg".
Este archivo lo pueden descargar a través del link: http://www.mediafire.com/?gee3k3253brvain
o lo pueden descargar desde de la pagina oficial: http://www.ipcop.org/download.php

Les recomiendo que lo descarguen ingresando al link http://www.mediafire.com/?gee3k3253brvain ,  ya que en este archivo les deje todos los paquetes necesarios que utilizaremos más adelante.

Una vez descargado el archivo van a la pestaña Sistema - Actualizaciones, en este caso realizare la actualización de manera manual utilizando el botón Examinar donde buscare el archivo de actualización ipcop-1.4.21-update.i386.tgz.gpg.

Actualizacion IPCop


Ubicamos la carpeta donde esta el archivo de actualización:

Update


Luego le damos click en Cargar, una vez cargado click en Aplicar ahora:

Cargar


Con lo que ya esta actualizado y listo para configurar, notaran que en la pagina de inicio ya no esta la sugerencia de actualización.

Actualizado



II) Configuración e Instalación de Addons Servidor Proxy:


Lo primero que veremos será cómo configurar nuestro IPCop como servidor Proxy el cual actuará como intermediario entre el explorador web de nuestras estaciones de trabajo, e Internet.
Para esto instalaremos un Addon llamado "Advanced Proxy", un addon es un paquete que le da funcionalidades adicionales a nuestro Firewall y la razón de instalar este Addon es que las opciones Proxy que viene con el IPCop son muy simples, claro que en algún caso podría ser suficiente. Primero descargamos el archivo "ipcop-advproxy-3.0.6.tar.gz", este archivo esta incluido en el link: http://www.mediafire.com/?gee3k3253brvain o lo pueden descargar desde el sitio http://www.advproxy.net/ , en el PC de trabajo donde accedimos al firewall vía Web (PC Administrador), el lugar donde lo guarden es indistinto.

Proxy


Ahora necesitaremos dos herramientas muy útiles, El WinSCP que es una aplicación de software libre para facilitar la transferencia segura de archivos entre nuestro sistema operativo Windows y nuestra distribución basada en Linux y el PuTTy que es un cliente de red que soporta protocolo SSH (entre otros) que utilizaremos para iniciar sesión de forma remota a nuestro firewall IPCop. (Estos programas están incluidos en el link: http://www.mediafire.com/?gee3k3253brvain ).

Herramientas

Antes de comenzar a utilizar estos programas debemos configurar IPCop para que permita el acceso utilizando el protocolo SSH, para eso accedemos vía Web vamos a Sistema - Acceso SSH:

SSH


Marcamos Acceso SSH y la opción Se admite autentificación basada en contraseña, También debemos anotar que IPCop usa el puerto 222 para SSH, Finalmente click en Guardar:

ConfigSSH


Iniciamos WinSCP, en Host name colocamos la dirección IP del firewall (192.168.197.1) el Port number: 222, que es el puerto que utiliza el IPCop, como User name: root y el password que asignamos a este usuario:

WinSCP


Tal vez se muestre una advertencia la primera vez que se conecte la que tiene que ver con la autenticación con la llave a la que daremos click en Yes:

key


Ahora podemos copiar los addons desde nuestro host Windows al Firewall, en el lado izquierdo ubicamos la carpeta donde esta el archivo "ipcop-advproxy-3.0.6.tar.gz" y en el lado derecho dando doble click en la carpeta arriba (la que tiene 2 puntos ..) vamos a las carpeta raíz y abrimos la carpeta tmp (con doble click) que será donde copiaremos el addon:

TMP


Lo copiaremos únicamente arrastrando el archivo ipcop-advproxy-3.0.6.tar.gz del lado izquierdo al derecho, nos mostrara la pantalla de confirmación, la que aceptaremos con el botón Copy:

Copy


Con lo que ya tenemos copiado el archivo en nuestro Firewall:

Copy


Una vez hecho esto procederemos a instalar el Addon para eso accedemos al Firewall IPCop utilizando PuTTy en el Host Name el firewall (192.168.197.1), el puerto 222, tipo de conexión SSH y click en Open:

Putty


Podría aparecernos alguna advertencia también referida al key del servidor a la que solo le daremos click en Si y luego volver a ejecutar el programa Putty.
Desde el PuTTy nos logueamos como root con nuestra contraseña:

Loguear Putty


Con lo que accedemos al IPCop como superusuario (root), como lo habrán notado el uso del PuTTy es únicamente por comodidad de acceso, naturalmente lo que sigue lo podríamos hacer directamente en el firewall IPCop:

Logueado Putty


Primero limpiaremos la pantalla (Ctrl+l o Ctrl+L), luego escribimos cd .. (note el espacio entre cd y ..) para volver un directorio y luego el comando ls para mostrar el contenido del directorio (las palabras en azul son directorios o carpetas y los de color blanco son archivos o ficheros), donde veremos la carpeta tmp a la que accederemos con cd tmp, (después de cada comando presionar Enter) luego ls y veremos el archivo que copiamos con WinSCP:

Tmp en Putty


Ahora para descomprimir utilizamos el comando tar -xzf ipcop-advproxy-3.0.6.tar.gz, (podemos utilizar autocompletar con la tecla TAB, ponemos por ejemplotar -xzf ip y TAB y se completara a tar -xzf ipcop-advproxy-3.0.6.tar.gz) luego ls para ver el contenido y como vemos se creo una carpeta llamada ipcop-advproxy (en azul) a la que ingresaremos con cd ipcop-advproxy, luego escribimos ls para ver el contenido, con lo que veremos los ficheros de la carpeta entre los que están (en verde) install y uninstall, para instalar escribimos ./install y enter:

Instalando Proxy


Instalara de forma automática con lo que ya tenemos instalado el Advanced Web Proxy en nuestro Firewall IPCop, el procedimiento para instalar otros Addons es muy parecido solo cambian los nombres de los archivos pero solo será eso.

Instalado Proxy


Accedemos nuevamente a la Página de administración, donde podemos ver que (F5 para actualizar) se añadió una opción en el menú Servicios llamada "Advanced Proxy", al que accedemos para hacer algunas configuraciones:

Proxy Instalado


En Opciones generales marcamos Habilitado en Green, esto permite al servidor proxy escuchar las peticiones de los clientes en esta interfaz. En nuestro caso solo tenemos la interfaz Green, si hubiera una interfaz Blue, también la marcariamos, luego habilitaremos el modo Transparente en Green, activamos esto para que todas las solicitudes para el puerto de destino 80 (HTTP) sean enviados al servidor proxy sin necesidad de ningún cambio de configuración especial para los clientes. El puerto del proxy es por el que escuchará las peticiones de los clientes. El valor por defecto es 800, en modo transparente las solicitudes del puerto 80 son automáticamente redirigidas a este puerto. Las demás opciones permiten configurar datos de las pantallas de error que aparecerán en nuestros clientes: Nombre del Host, Idioma de los mensajes, información de la versión, y el formato, IPCop (muestra una pantalla con el logo del IPCop) y el formato standard (sin logo IPCop).
Las opciones de Proxy de subida se podrían utilizar para entornos proxy encadenado o en cascada que para este tutorial no utilizaremos. En Configuración del Log habilitamos el log para que el proxy grabe en un archivo de registro las solicitudes de los clientes:

Proxy Configurado


La caché es un espacio que se utiliza como memoria para agilizar ciertos procesos, aquí es donde se almacenarán paginas y/o documentos web para reducir el ancho de banda consumido y la carga de trabajo del proxy, esto lo hace respondiendo algunas peticiones con información en la caché, para nuestro ejemplo dejaremos los valores por defecto pero en algún caso podríamos incrementar los valores, tomando en cuenta siempre el hardware donde instalamos IPCop, agregare el dominio http://news.google.com/ para que no se almacene en caché porque queremos que siempre nos muestre esta página actualizada.
En Puertos de destino se enumeran los puertos permitidos para HTTP y SSL, aquí podemos añadir o quitar puertos para nuestras aplicaciones, por ahora los que tiene agregados son suficientes para nuestra infraestructura:

Proxy Cache


Lo siguiente es el Control de acceso basado en la red, aquí definiremos quienes utilizarán el servidor proxy basado en la dirección de red del cliente, todas las subredes que figuran se les permite acceder al servidor proxy. Por defecto, las subredes de GREEN (verde) y BLUE (azul) (si está disponible) figuran en esta lista. Usted puede agregar otras subredes a esta lista en entornos más grandes. Todas las subredes que no figuran en esta lista serán bloqueadas al acceso web.
Las direcciones IP sin restricciones anulan las siguientes restricciones:
  • Restricciones de tiempo
  • Limites de tamaño máximo de descargas
  • Limite del ancho de banda de descargas
  • Filtros MIME
  • Verificación del navegador
  • Autenticación (si habilitamos)
Nota: Dentro de las restricciones anuladas no se encuentra el límite de tamaño máximo de subida, por lo que si limitamos este parámetro será para todos incluyendo las IP sin restricciones.
Agregare la IP 192.168.197.2 que es la de PC-Administrador, para que no tenga ninguna restricción, cabe destacar que también se pueden agregar direcciones MAC. Las direcciones IP Banneadas son los clientes que serán bloqueados, y no tendrán nigún acceso al proxy, agregare algunas direcciones MAC para que estos clientes no tengan acceso a internet a través de nuestro Proxy, el uso de las direcciones MAC puede ser muy útiles cuando se trabaja con DHCP (direcciones IP otorgadas dinámicamente):

Control de acceso


Las Restricciones de tiempo permiten bloquear el acceso web en días y horas determinadas, en este caso bloquearemos el acceso web el día Domingo y lo permitiremos de lunes a sábado de 8:00 am hasta 20:00.
El Límite para transferencias se refiere al tamaño máximo de un archivo que nos permitirá descargar o cargar, limitaremos el tamaño máximo de una descarga a204800KB (200MB) y carga a 204800KB (200MB) con lo que evitamos que los clientes suban ó descarguen archivos que superen los 200 MB.
La Limitación de descargas es algo muy útil cuando queremos administrar el ancho de banda, podemos limitar cuanto ancho de banda queremos que utilice cada cliente, en este caso permitiré que al servidor ingrese todo el ancho de banda disponible pero que a los clientes solo se les permita 128 Kbps como máximo, también se puede habilitar limites basados en el contenido.
Un MIME de un archivo es una descripción de lo que es el archivo y que nos sirven para decirle al servidor de que archivo se trata, IPCop nos permite utilizar esta descripción para filtrar contenido, para ejemplo bloqueare la descarga de videos quicktime y los documentos PDF utilizando sus respectivos MIME, en esta pagina pueden encontrar todos los MIME, los que están normados por la IANA (Internet Assigned Numbers Authority) http://www.iana.org/assignments/media-types/index.html si utilizan esta opción no olviden marcar Habilitado:

Control de tiempo


Las opciones Navegador Web permiten controlar con qué software el cliente puede tener acceso a los sitios web. Primero Habilitare chequeo de navegador y marcaré los programas que podrá usar el usuario para acceder a sitios web, como se ve no podrá ingresar por ejemplo a través de la aplicación de Google Earth y otros.Estas limitaciones no se aplican a las IP sin restricción.
Las opciones Privacidad permiten la modificación de algunos campos de la cabecera HTTP para proteger su privacidad, por ahora dejaremos los campos en blancos.
Por ahora no utilizaremos ningún Tipo de Autenticación, pero lo veremos mas adelante:

Navegador Web


Para que toda la configuración tenga efecto presionamos el botón Guardar y reiniciar y tenemos el proxy configurado.
Ahora configuremos las propiedades del protocolo internet TCP/IP en la PC Administrador para poder navegar, naturalmente para los demás clientes la configuración de red será similar cambiando únicamente la dirección IP (192.168.197.x), no olvidemos que la IP 192.168.197.2 está dentro de las IPs sin restricciones así que configuremos una PC Cliente con la dirección IP 192.168.197.3 para ver el funcionamiento del proxy.

Configuracion TCPIP


Probemos el ancho de banda, desde la PC cliente (192.168.197.3) utilizaremos el medidor de http://speedtest.net/ que nos servirá como parámetro, recordemos que habilitamos 128Kbps para cada cliente, lo que nos refleja el testeo es bastante cercano a lo deseado (0.12*1024 = 122.88 Kbps).

testeo de velocidad

La pantalla de error que nos muestra en el explorador Firefox cuando queremos descargar un archivo PDF, bloqueado con filtro MIME:

PDF

La pantalla que despliega Internet Explorer, porque no se encuentra en los programas permitidos para acceder a sitios web, y de esta manera aparecerán, en los clientes, las políticas que nosotros implementemos:

iexplorer

Para terminar esta segunda parte del tutorial de IPCop veremos los registros del Proxy, para lo que elegimos la pestaña Logs - Registros del Proxy:

logs


Aquí podemos ver las paginas que fueron accedidas por las diferentes direcciones IP de nuestra red, por ejemplo veremos las paginas que accedió la PC con la IP 192.168.197.3, elegimos en IP de Origen la IP deseada, la fecha, marcaremos la opción Activar ignorar filtro para que en los resultados no esten las URL de las imagenes con las extensiones de Ignorar filtro y click en Actualizar:

Origen


Con lo que nos muestra las paginas visitadas por esta PC con la IP 192.168.197.3:

Resultados


Con esto terminamos esta parte del tutorial, en la próxima parte veremos como configurar autenticaciones, una configuración de este tipo podría permitir el acceso a internet con un nombre de usuario y una contraseña, también veremos como filtrar contenido en las URL con lo que bloquearemos el acceso a paginas por ejemplo con contenido sexual y otros.
Mis Agradecimientos a la pagina: http://www.desarrollandosoftware.com , ya que de ella saque este tutorial para mostrárselo a ustedes.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)