IPCop. Ricardo Sá, a7536, Ruben Carneiro, a7855

Transcrição

1 1 IPCop Ricardo Sá, a7536, Ruben Carneiro, a7855 Resumo Ipcop, é uma solução gratuita para Firewall, com o objectivo de proteger a sua rede seja ela doméstica ou para pequenas e médias empresas. É uma distribuição Linux stand-alone, cujo propósito é de sozinha proteger a rede na qual foi instalada, mantendo a mesma segura e controlada. Trata- se de um software livre e possui GPL(General Public License Licença publica geral). A sua instalação, configuração e administração são muito simples, estando acessível a qualquer utilizador. O I. INTRODUÇÃO número de utilizadores que usam a Internet tem aumentado de forma constante, provocando, por vezes, congestionamento e redução do desempenho no acesso. Um dos principais atractivos da Internet são os serviços e recursos disponíveis, tais como mensagens electrónicas, logins remotos, transferências de arquivos, jogos interactivos, canais para vídeo e áudio, etc. É muito comum dentro das empresas os utilizadores usarem a Internet para beneficio próprio, seja downloads, streaming de vídeos, redes sociais, chats, o que provoca um congestionamento da rede, com excessivo tráfego de dados indesejados. Desta forma, a rede torna-se mais lenta, o que provoca baixos índices de produtividade nas empresas, além de aumentar o risco de eventuais ataques comprometendo a confiabilidade e integridade dos dados da mesma.para minimizar estes actos, usar uma ferramenta que restrinja o acesso a programas e sites que não sejam de interesse profissional e proteja a rede interna de ataques informáticos torna-se fundamental para que tenhamos um ambiente de trabalho mais dinâmico e seguro. A distribuição Linux Ipcop visa justamente implementar tais politicas, fazendo uso de métodos de controlo de acesso e protecção de invasões indesejadas, optimizando desta forma o uso da Internet. Este artigo apresenta a distribuição Linux Ipcop que é um software open source e que visa gerir o acesso à internet na rede. O mesmo possui diversas ferramentas integradas como VPN, IDS, Proxy, Firewall, QOS entre outras. A administração do Ipcop é realizada via interface web, com uma conexão SSL segura e criptografada. Uma vez configurado passa a permitir que o administrador obtenha controlo tanto sobre os dados que entram quanto os dados que saem da rede. O Ipcop é uma distribuição Linux stand-alone, cujo propósito é de sozinho proteger a rede na qual foi instalado mantendo a mesma segura e controlada. A sua configuração é básica, simples e automatizada, sendo possível recorrer a linha de comandos para ajustes específicos. Trata-se de um software livre e possui licença GPL (General Public License Licença publica geral). II. ORIGEM DO IPCOP Seguindo o caminho da maioria das distribuições Linux, o IPCop é, também ele, uma derivação de outro software distribuído, denominado de Smoothwall. O Smoothwall foi desenvolvido por um grupo de programadores Linux, no ano de 2000, de forma a apresentar uma solução firewall do tipo stand-alone, ou seja, de funcionamento autónomo. O objectivo do desenvolvimento deste software, era transformar um computador de baixos recursos, considerados por muitos de obsoleto, numa poderosa e robusta firewall Linux, de fácil gestão e apresentada de forma simplificada através de um interface web, permitindo a utilização, por parte do seu administrador, de uma forma intuitiva, eliminando o conhecimento das linhas de comando do terminal Linux para execução de tarefas e rotinas de administração. O crescimento do software desenvolvido e o sucesso obtido pelo mesmo, levou a que alguns dos seus programadores apostassem na criação de uma versão comercial expandida, denominada por Smoothwall Corporate Server. Apesar de continuarem a oferecer uma versão GPL do Smoothwall, após o lançamento da versão comercial, os programadores enveredaram por um maior esforço na implementação de diversas melhorias neste produto, sendo notórias as diferenças entre ambas as versões agora oferecidas pelo grupo. Devido à discordância de alguns programadores, que se mantinham comprometidos com a distribuição de uma firewall bem desenvolvida e regida pela GPL, novo grupo foi formado, criando um novo projecto, baseado na versão da Smoothwall GPL, denominado por IPCop. Este grupo de programadores implementou regras de forma a manter o desenvolvimento do IPCop em código fonte aberto, o que tem permitido uma enorme evolução do software, regras essas que todos os seus membros tem de obedecer : - Fornecer uma distribuição de firewall estável. - Fornecer uma distribuição de firewall seguro. - Fornecer uma distribuição de firewall que seja software livre. - Fornecer uma distribuição de firewall altamente configurável. - Fornecer suporte confiável. - Fornecer condições de forma a utilizador discutir e receber ajuda. - Fornecer updates/patches estáveis, assegurando a fácil implementação - Adpatar o IPCop às necessidades da internet.

2 2 III. FIREWALL Uma firewall consiste numa ferramenta de protecção para computadores e redes baseada em hardware ou de forma mais comum num software. A mesma analisa o tráfego da rede, partindo de um conjunto de regras ou instruções estabelecidas previamente, determinando desta forma quais as operações de transmissão ou recepção de dados podem ser executadas. De uma forma muito geral, podemos afirmar que a sua função consiste basicamente em bloquear tráfego de dados indesejados permitindo apenas os acessos autorizados. Os aspectos mencionados são implementados através da sua configuração, tendo como base dois principios iniciais: todo o tráfego é bloqueado, excepto o que está explicitamente autorizado e todo o tráfego é permitido, excepto o que está explicitamente bloqueado. Critérios dos programadores, necessidades especificas da rede a ser protegida, caracteristicas do sistema operativo, estrutura da rede, etc, definem a metodologia a ser adoptada pela firewall, existindo para esse efeito vários tipos de firewall. De seguida, são apresentados os tipos mais conhecidos, de uma forma muito geral: - Packet Filtering Tal como o nome indica, este tipo de firewall utiliza regras que consistem na filtragem de pacotes, inspeccionando cada pacote que passa pela rede aceitando, ou não, a sua circulação, baseado em regras previamente definidas pelo utilizador. Apesar das vulnerabilidades a ataques que exploram as deficiências do protocolo TCP/IP, esta firewall é bastante eficaz e transparente, tendo como as suas principais vantagens o seu baixo custo, simplicidade e flexibilidade, uma boa gestão de tráfego e facilidade na criação de regras. - Stateful Inspection Esta firewall é na verdade uma evolução da Packet Filtering, possuindo uma tabela de estados que é associada à tabela de regras, auxiliando desta forma na tomada de decisões. As conexões são monitorizadas constantemente e um pacote apenas é aceite pela firewall se fizer parte da tabela de estados. - Proxy Através de uma intermediação entre o host externo e o host interno, de forma a não permitir uma comunicação directa entre eles, este tipo de firewall intercepta todas as mensagens que circulam entre ambos. Toda a comunicação entre o interior e o exterior da rede é realizada através do proxy, ou seja, o host externo comunica com o proxy e apenas com autorização do mesmo obtém uma conexão com o host interno. IV. OBJECTIVOS DO IPCOP O IPCop é uma firewall do tipo Stateful Firewall, que na sua composição padrão oferece imensas funcionalidades, tais como, Servidor Proxy, DHCP, NTP, DNS, SSH, ferramentas de conexão PPPoe e VPN, além da possibilidade de gerar relatórios de vários tipo. Para além destas funcionalidades padrão, outras poderão ser acrescentadas utilizando para isso Add-ons, normalmente fornecidos por terceiros. O principal objectivo da implementação do Ipcop é instalar um firewall que seja de simples administração e bastante versátil no que diz respeito às várias funcionalidades e recursos, que tornam o Ipcop uma solução comparável com as existentes no mercado comercial. A sua fácil utilização e manutenção efectuada via interface web é de grande valia, tendo em conta que a maioria das pequenas médias empresas, para o qual está dirigido, não possui uma equipa especializada em TI. Além da sua interface simples e intuitiva, a vasta documentação disponível na Internet para a sua instalação e configuração são aspectos favoráveis à sua instalação. Refira-se que o Ipcop Firewall é um software, que deve ser instalado numa máquina dedicada como Firewall, não sendo recomendável a sua instalação numa máquina com outro sistema operativo, pois esta instalação irá eliminar todos os dados do HD. V. RECURSOS Os principais recursos do Ipcop são os seguintes: - Web Interface: Muitas das firewalls são compostas por interfaces complexas e confusas, exigindo algum conhecimento e experiência da parte do utilizador. O interface que encontramos no IPCop é muito fácil de utilizar e bastante intuitivo. Os programadores optaram por uma interface baseada num site e a maioria das funções da gestão da firewall consistem no preenchimento de formulários simples, de forma a que todos os seus utilizadores se sintam num ambiente familiar e comum ao dia à dia. - Network Interfaces: IPCop fornece até quatro interfaces de rede, cada uma das quais está normalmente ligada a uma rede separada. Este é um número suficiente para a maioria das implementações do

3 3 IPCop, isto porque é raro existirem muitas redes convergentes num ponto em redes de médio porte, mas caso seja necessário o IPCop está preparado para acomodar mais conexões utilizando para esse efeito uma Virtual Private Network(VPN). As quatro redes disponíveis são identificadas por cores de forma a facilitar a sua administração. Network Interface Card (NIC). Este segmento pode ser uma interface de rede Ethernet alocada estáticamente ou usando DHCP, pode ser um modem USB ADSL, uma placa RDIS ou mesmo uma conexão dial-up com modem analógico. Outros tipos de hardware que o IPCop pode suportar neste interface, são: - USB e PCI ADSL MODEMS - ISDN MODEMS - Analog (Pots) Modems - Cable e Satellite Internet - The Orange Network Interface - The Green Network Interface: O segmento The Green Network de uma implementação IPCop representa a rede interna, e é implicitamente confiável. Uma firewall IPCop permitirá automaticamente todas as ligações deste segmento para todos os outros segmentos. O segmento The Green Network é sempre uma Ethernet Network Interface Card (NIC), e não há suporte para qualquer outro dispositivo utilizado. Uma rede local pode ser tão simples como um pequeno hub conectado, ou pode abranger vários switches, uma camada de duas bridges para um outro site ou até mesmo um router. - The Red Network Interface Semelhante à The Green Network, a The Red Network Interface está sempre presente. Esta interface representa a Internet ou um segmento de rede não confiável. O objectivo principal da firewall IPCop é proteger os segmentos The Green, The Blue e The Orange Networks e os hosts em rede, o seu tráfego, utilizadores e hosts no segmento The Red Network. O segmento desta interface é normalmente bem protegido e não vai abrir um grande número de portas para os segmentos de rede interna, sendo como padrão nenhuma abertura. O segmento The Red Network é o único segmento de rede em que o IPCop tem suporte para hardware para além do Ethernet A interface The Orange Network, opcional, é concebida como uma rede DMZ. Na terminologia militar, uma DMZ (DeMiliatized Zone) é uma área onde a actividade militar não é permitida, como uma fronteira entre dois países distintos e hostis. Na terminologia de firewall, o termo DMZ assume um significado semelhante, como um segmento de rede entre a rede interna de uma empresa e uma rede externa tal como a Internet. Neste segmento, os servidores estão protegidos contra os perigos da Internet por firewalls, separando as redes internas situando-as numa zona mais protegida atrás da linha de frente. É nesta rede não confiável, mas segregada que uma organização geralmente coloca qualquer serviço destinado a enfrentar o mundo lá fora, como um servidor web (que atende a clientes de fora para solicitações de sites), ou mais comumente um servidor de correio (para os servidores que realizam conexões de forma a entregar mensagens via SMTP). A DMZ é considerada um segmento de rede não confiável, perdendo apenas para a interface The Red Network. Hosts neste segmento não podem conectar-se à The Green Network ou The Blue Network - todo o tráfego do segmento The Orange Network para esses segmentos internos devem ser explicitamente permitidos pela DMZ. O tráfego do segmento The Red Network para o segmento The Orange Network é permitido através do encaminhamento de portas. - The Blue Network Interface A interface The Blue Network, também ela opcional, é uma adição relativamente recente ao IPCop, chegando com a série versão 1.4. Esta rede é projetado especificamente para um segmento wireless. Hosts neste segmento não podem chegar é The Green Network a não ser através de uma forma semelhante à The Orange Network. O IPCop também permite a capacidade de conectar-se à The Green Network através de uma Virtual Private Network, permitindo os utilizadores aceder plenamente aos recursos neste segmento de rede. Caso sejam necessários mais hosts do que os disponíveis na The Green Network, o segmento The Blue Network pode ser utilizado como uma sub-rede.

4 4 - Simple Administration Monitoring Como um dispositivo que pretende ser de fácil utilização, não seria de muita utilidade para o utilizador se o mesmo tivesse que reinstalar o software de cada vez que um update surgisse, da mesma forma que seria extremamente benéfico se o utilizador não tivesse que realizar o login na consola Linux para este efeito. Os programadores do IPCop, atentos a isso, contruiram um sistema de atualização simples que pode ser gerido inteiramente a partir da interface web. Caso o utilizador pretenda fazer login na consola do Linux e realizar as alterações pretendidas, as mesmas podem ser efectuadas, usando SSH(Secure Shell, protocolo de rede que permite a conexão com outro computador na rede de forma a permitir execução de comandos de uma unidade remota) a partir de um computador na rede local, ou seja, localizado na The Green Network. Por defeito, garantindo uma maior segurança, a SSH está desactivada, sendo necessário a sua activação de forma a possibilitar a sua utilização. Para além disso podemos realizar backup s ou restaurar as configurações a partir desta mesma interface, o que garante que todas as tarefas administrativas comuns para a firewall possam ser geridas de forma muito fácil e eficiente, isto tudo sem a necessidade de qualquer conhecimento sobre o Linux ou o shell bash. Rapidamente podemos aceder a informações importantes do sistema, através de um shell interactivo, sem efetuar login no mesmo. Logs também podem ser vistos usando o visualizador de log baseado em web, o que significa que podemos controlar o sistema facilmente, sempre sem a necessidade de entrar diretamente no sistema. O IPCop também tem a capacidade de exportar esses logs para um servidor syslog remoto gerindo de forma simplificada a agregação de registo, principalmente se existirem alguns dispositivos para monitorizar. Mais uma vez, todas estas características mostram o poder da interface baseada na web e a razão da sua escolha. - Modem Settings Como muitos utilizadores domésticos utilizam modems ISDN ou ADSL para conexão dial-up (incluindo USB / modems ADSL), é importante que o IPCop possa suportá-los. Uma variedade de modems comuns são suportados e o IPCop tem a funcionalidade de ter drivers adicionais carregados para modems não suportados por padrão sendo as opções de configuração bastante flexíveis. Não é muito comum que as firewalls suportem modems e todos os seus drivers desta forma, sendo esta uma das características mais originais do IPCop e a razão da sua perfeita utilização em redes do tipo SOHO (Small Office / Home Office). - Services IPCop fornece uma variedade de serviços essenciais para uma pequena rede. Não é uma das melhores práticas prestar todos esses serviços de firewall no mesmo local quando é suposto ser um mecanismo de proteção de rede, mas em redes pequenas é muito útil ter todos os serviços básicos de rede fornecidos por uma única máquina. - Web Proxy O IPCop pode ser utilizado como proxy, bem como firewall. Permite com enorme facilidade gerir o cache e configurar o proxy na interface The Green Network. O benefício das interfaces definidas torna-se bastante evidente aqui pois uma simples selecção é tudo o que é necessário para configurar o proxy no IPCop. - DHCP Consoante uma rede cresce, a alocação e configuração da rede manualmente torna-se extremamente dificil para os utilizadores, sendo bastante importante ser capaz de automatizar esse processo, bem como gerir uso dos endereços

5 5 de rede utilizados. A configuração do protocolo Dinamic Host Configuration Protocol (DHCP) no IPCop, facilita o fornecimento dos serviços de DHCP para os utilizadores na interface The Green Network, pois o mesmo irá permitir qua a maioria dos computadores possam conectar-se à rede e ter acesso automático à internet sem a necessidade de qualquer configuração no host. - Time Server - Dynamic DNS Utilizando um sistema de DNS dinâmico, um pequeno software dentro da firewall, ou um utilizador ligado à internet irão actualizar um servidor na internet (um servidor DNS dinâmico) com o endereço IP, redireccionando ainda um hostname fixo (como yourname.dynamicdnsprovider.com) para todo o lado em que o endereço IP encontrar-se. Se a conexão for efectuada a um IPSec VPN, ou a outro serviço como HTTP, VNC, a um terminal ou se um utilizador conectar-se remotamente usando estes protocolos, as conexões poderão ser efectuadas a este dinâmico DNS hostname e irão perfeitamente para o IP actualizado através do servidor DNS dinâmico. Uma vez que estes serviços exigem a atualização constante de um servidor com o seu atual endereço de IP, o uso de DNS dinâmico requer um computador ou outro dispositivo que esteja continuamente a executar o software ligado ao DNS dinâmico. Os hosts de uma rede, normalmente estão configurados de forma a manterem o mesmo sistema horário, quer seja pela necessidade de autenticação em protocolos de rede seguras como o Kerberos, quer seja por conveniência. O IPCop fornece o serviço Network Time Protocol (NTP), de forma a manter todos os hosts da rede sincronizados. Usando este protocolo, o servidor do IPCop conecta-se a um timeserver na internet, a partir do qual verifica a hora correcta. De seguida, mantem esta hora internamente utilizando o relógio do computador passando a funcionar como um servidor NTP para clientes dentro da rede. - Advanced Network Services Modelação de tráfego e detecção de intrusão são serviços de rede bastante avançados que normalmente não se encontram na maioria dos dispositivos SOHO. IPCop não só fornece estes, mas também torna-os muito fácil de gerir.

6 6 - Post Fowarding Esta é uma característica que é bastante comum em firewall de SOHO para grandes empresas. Os benefícios do IPCop aqui são de dois tipos. Em primeiro lugar, não têm quaisquer limitações quanto ao número de encaminhamentos que podem ser adicionados e em segundo lugar, são de muito fácil configuração. - Virtual Private Networking A Virtual Private Networking permite juntar-se a mais redes através da Internet com um (virtual) link privado. Esta é uma das principais características do IPCop, o que significa que pode também ser utilizado num negócio de tamanho médio, e não apenas numa rede do tipo SOHO. - ProPolice Stack Protection O IPCop foi construído para usar ProPolice, que é um mecanismo usado para proteger os serviços na firewall que possam ser atacados através da Internet. A protecção stack fornecida pelo ProPolice é um mecanismo bastante eficaz para impedir um tipo particular de vulnerabilidade comum em serviços de rede. VI. CONCLUSÃO Este artigo destacou a importância e a necessidade de um mecanismo para gestão do acesso à Internet, apresentando uma solução para os seguidores de sistemas Linux. O Ipcop surge como uma solução gratuita para Firewall, tendo como objectivo proteger a rede, seja ela doméstica ou de pequenas e médias empresas. É uma distribuição Linux stand-alone, que sozinha é capaz de proteger a rede na qual foi instalada mantendo a mesma segura e controlada. Trata- se de um software livre e possui GPL. Proporciona uma instalação, configuração e gestão extremamente acessível, simplificando e permitindo a sua utilização por qualquer tipo de utilizador. Em suma, podemos referir que com o desenvolvimento deste trabalho foi possível aprofundar os nossos conhecimentos relativamente aos mecanismos de segurança de redes, nomeadamente o software Ipcop, uma distribuição Linux. Para

7 7 além disso, permitiu-nos conhecer os diversos recursos deste sistema de segurança e as suas aplicabilidades. VII. REFERÊNCIAS Cota, A. (s.d.). IPCop Firewall - Uma ótima opção de proteção para sua rede ADSL. Obtido em 24 de Maio de 2013, de Viva o Linux: Uma-otima-opcao-de-protecao-para-sua-rede- ADSL/?pagina=2 Hancock, M. A. (2003). "Comunicação entre computadores e tecnologias de rede". São Paulo: Cengage Learning. IpcopFirewall. (s.d.). Obtido em 25 de Maio de 2013, de pplware. (s.d.). Obtido em 24 de Maio de 2013, de Rodrigues, E. L. (08 de 08 de 2012). IpCop Um Firewall Personalizado: Configuração básica. Obtido em 24 de 05 de 2013, de MCT BLAZE Information Techonology - IT: Uma ótima opção de proteção para sua rede ADSL. (s.d.). Obtido em 26 de Maio de 2013, de linuxsecurity: 53