FIREWALL
La seguridad es el punto principal del uso de un Firewall, sin tomar en cuenta el tipo de usuario. Los administradores de Red tienen que incrementar la seguridad todo lo que sea posible, para frenar todo tipo de software malicioso y ataques externos a nuestra red, por eso se implementa un Firewall. Para evitar problemas al momento de implementar un Firewall se necesitan seguir al pié de la letra las políticas de seguridad interna de la empresa a la cual se le coloque un Firewall.
Un Firewall es un cortafuego utilizado en redes de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas. Se localiza entre una red local y una red de internet como dispositivo de seguridad. Recordar que los Firewall pueden ser Software como IPCOP o Hardware.
IPCOP
IPCOP es una distribución de Linux gratuita de administración de cortafuegos que se instala en una PC permitiendo la implementación de diferentes tipos de topologías de Red como LAN, WAN, Wireless.
Las zonas o topologías son las siguientes.
Roja: Zona de internet.
Verde: Red de Área Local cableada (WAN).
Naranja: Zona desmilitarizada (Servidores)
Azul: Zona inalámbrica.
INSTALACION
Requisitos mínimos (como para ejecutar pruebas o redes sumamente pequeñas):
· Procesador: Pentium III.
· RAM: 512 MB.
· Disco Duro: 60 GB.
· Red: Preferencia chips RTL-8130. Recuerda una placa de red por cada zona o topología que uses.
Requisitos recomendados:
· Procesador: Intel o AMD dual core, quad core.
· RAM: 4 GB.
· Disco Duro: 500 GB o 1 TB.
· Red: Preferencia chips RTL-8130 10/100/1000. Recuerda una placa de red por cada zona o topología que uses.
Se entra a la página de IPCOP y se baja la última versión en ISO que actualmente es la 1.4.20 y se quema en un CD, pesa aproximadamente unos 50 MB.
RECOMENDACIONES
Es recomendable entrar a la Bios antes de la instalación y deshabilitar todas las opciones que no requerimos, como puertos seriales, USB, etc. También reconfigurarlo para que por un corte de luz el Firewall vuelva a encenderse al momento de que vuelva la luz.
PANTALLAS DE INSTALACIÓN
En esta pantalla que pertenece a la zona verde de preferencia dejen una NM (mascara de subred) diferente a la zona roja que es la zona de internet, para que se les complique un poco al momento de que una persona quiera hackear la red. Si una es 255.255.255.0 que la otra sea 255.255.0.0 (ya después hago otro post de como subnetear redes).
Entramos y activamos el SSH para poder usar los programas como Winscp o Putty.
Seleccionamos los Checkbox habilitado en Green, proxy y el registro permitio, para crear logs y programas como SARG utiliza.
Ya tenemos listo nuestro IPCOP, pero hay unos programas aparte que hacen aún más potente a nuestro Firewall, como el URL-Filter y el SARG.
URL-Filter: filtro de URL es un módulo add-on para la popular distribución de Linux basada en firewall IPCop y SmoothWall, extendiendo su funcionalidad con la habilidad para bloquear dominios no deseados, las direcciones URL y archivos.
Una vez instalado podemos acceder a listas negras de páginas WEB maliciosas, crear listas blancas, bloquear usuarios, poner mensajes, bloquear de muchas maneras. Pasamos el archivo de instalación con Winscp y con putty lo instalamos.
URL-Filter: Descargar
SARG: Es una herramienta que nos permitirá ver donde los usuarios van en internet utilizando los Log´s creados por IPCOP.
SARG: Descargar
Bueno gente cualquier duda no dejen de pasar por Contacto (blog bizku) y ahi dejan cualquier tipo de duda o pregunta. Comenten, hablen lo que sea todo es muy útil para mi. Gracias!!!!
Antes de que digan algo sobre los requisitos recomentados de que si son algo altos, recuerden que es un Firewall y si esta instalado en un lugar con miles de entradas y salidas al dia se requiere mucha pulenta para procesar tantos datos, si no es un servidor DNS!!!!! jaja
También están Firestarter y UFW, los dos bastante amigables y fácil para configurar. Los probé a los dos, y no me decepcionaron.
Firewall para Linux hay uno solo: iptables.
Tanto ipcop como firestarter o ufw, lo mismo que coyote, smoothwall, brazilfw y un largo etcétera no son mas que un frontend para iptables.
iptables por otro lado podría ser considerado a su vez hasta un cierto punto como un frontend para el kernel de linux, que es quien en definitiva hace toda la magia manejando los paquetes de datos.
Controlar todo el tráfico hablando directamente con el kernel, sin iptables de por medio sería un reverendísimo dolor de bolas, por eso iptables, controlar todo el tráfico hablando con iptables no es tan complicado una vez que entendés como funciona pero es bastante complejo también, no es para el usuario de a pié, digamos. Por eso es que hay tantos millones de frontends distintos para iptables.
¡Saludos!
IPTables para mí es un «revenderísimo dolor de huevos». Aguante los frontends!
¿Te parece?
Un ejemplo: Conectás una segunda PC en tu casa, cable cruzado desde eth1 en la PC que tiene internet hasta la placa de red de la segunda PC que todavía no tiene internet.
Si no tenés iptables, lo instalás en dos patadas y ejecutas en la PC con internet:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Y listo, la segunda PC ya tiene internet y flor de firewall que la protege… Me parece mucho mas simple eso que andar haciendo el semejante despelote de instalar iptables + un frontend y configurar todo.
-o se refiere a la interface de salida a internet, que puede ser eth0 como en el ejemplo, wlan0 si el enlace fuera inalámbrico, ppp0 para conexiones 3G o de ADSL con autenticación PAP/CHAP, etc…
Una vez que entendiste un poco la sintaxis, es simple dentro de todo.
Para que funcione el ejemplo el kernel tiene que permitir el reenvío de paquetes:
echo 1 > /proc/sys/net/ipv4/ip_forward
Eso te da solo ruteado por lo que tendrás que depender de un servidor DNS externo, los de google por ejemplo que vuelan sobre 8.8.8.8 y 8.8.8.4.
¡eso es para hacer un router de una PC! Ya lo hice una vez. el comando es para hacer NAT, y cambiar ip_forward a 1 es para reenvió de paquetes. También usé dnsmasq para servidor DHCP y DNS. Acá está el tutorial que alguna vez seguí:
http://crysol.org/node/96
El tema es… ¿y los puertos? ¿Reglas de salida? ¿Respuesta a ICMPs? ¿Etcétera? Se que una vez que tenés los comandos en la cabeza sale con fritas, pero el tema es justamente ese, acordarte que significa los «-o», «-l», «-L» e interminables etcéteras
Esa es la base, de ahí en mas es solo cuestión de cuanta complejidad quieras agregarle al asunto. Muchas veces esta complejidad es totalmente innecesaria.
Hace un par de meses me llamaron de una empresa en donde se fué en anterior encargado de la red, un analista de sistemas. Se fué sin dejar asentado nada, ni nombres de usuario, contraseñas, números de IP, nada… Necesitaban implementar un par de puntos de venta adicionales y no sabían como, por que los enchufaban a la red y no tenían conectividad.
El router corre Linux, tenía como política por defecto denegar en todas las cadenas, luego aceptar, así que todo el script que hacía funcionar internet constaba de mas de 400 líneas. Además usaba SNAT en lugar de DNAT.
Borré todo y escribí uno nuevo, mi script hace lo mismo en casi 40 líneas, además lo dejé bien comentariado por si me pisa un auto, para que el que venga detrás mío entienda que hice.
Un poco de paranoia nunca está de mas, pero hay que ver hasta donde se justifica.
Yo no Nadius si escuché de ellos pero ya con IPCop tengo suficiente jajaja. Igual no está de más ver que tal andan esos 2 que decís!!!!
ppppppuuuuuuuuuufff eso si es un dolor de bolas che nunca manejé algo semejante pero IPCop con sus módulos correspondientes funca muy bien imaginate que en el Centro Nacional de Desarrollo e Investigaciones Tecnológicas (Cenidet) que está aca en Cuernavaca tienen IPCop!!!!
IPCop corre con una ventaja gigante: Fué uno de los primeros frontends para iptables. No te sé decir con certeza cuando fué que lo ví por primera vez pero debe hacer mas de diez años por lo menos, claro que funciona a la perfección por que a esta altura del partido debe estar pulidísimo me imagino. Que lo veas por todos lados obedece a la popularidad que le dá el hecho de haber sido pionero.
Hace bastante que no instalo ningún frontend pero viendo todo tu tutorial me han entrado ganas de probar algo similar a esto, mas que nada por que estoy realmente cansado de lidiar con las reglas de filtrado para QoS. Ya aprendí todo lo que quería aprender, ahora la quiero facil. 😀
¡Saludos!
A mi dejame con Blogspot y sus Gadgets jajajaja!!!!
Dale ponelo y algún día me mostrás como manejar las iptables, solo dejá que este pequeño padawam se prepare!!!!
Podriamos estar años hablando de iptables. El mismo manual de iptables que podés consultar con el comando: «man iptables» lo podés consultar online si te interesa: http://ipset.netfilter.org/iptables.man.html como para que te des una idea de la potencia que tiene.
Googleá que está lleno de manuales en internet. Si querés ver como lo hace ipcop:
iptables -L
Y:
iptables -t nat -L
Te van a dar un pantallazo generalizado de las cadenas por donde pasan los paquetes y que políticas se le aplican seguramente.
¡Saludos!
gracias a ti por fin pude hacer funcionar al bendito IPCop, gracias!!!
Que bueno che me re contra alegro. Saludos!!!!
Se agradece un monton compadre, estoy armando un pc para montar IPCop en la oficina, este tutorial me va a ayudar bastante, gracias!
Tengo un problema con IPcop, lo instale en un equipo, le instale unos plugin y todo, pero a la hora de instalarlo en la red los equipos me dan conectividad limitada, si le pongo un cable cruzado hacia un equipo puedo ver la interfaz grafica del firewall pero si lo mando normal me da ese problema, alguien me puede ayudar?
SI de equipo a equipo es cable cruzado pero todos los demás cables no tienen por que ser cruzados. Solo cruzado si haces una conexión directa al equipo que tiene instalado el IPCop!!!!
Al momento de instalarlo le pusiste DHCP o IP estática para configurar la placa de red de cada equipo como como pusiste????
Le puse DHCP a la interfaz verde y a la roja le puse la ip estatica de la empresa
El gateway de cada computadora, cual le pusiste????
le puse la direccion de la interfaz verde
Conectividad limitada = No funcionó el DHCP
¿Por que no funcionó? Esa es la pregunta. Poné IP fijo en alguno de los clientes y verificá conectividad. Si no hay, entonces puede que tu problema sea de cableado.
¡Saludos!
Probe con IP fija en un equipo y sigue el mismo problema =(