IMPLEMENTAÇÃO DE PROXY UTILIZANDO O IPCOP

Rhavi Santos Silva1

Resumo. Este artigo tem por objetivo apresentar a distribuição Linux Ipcop como solução de otimização do uso da banda larga, onde será enfatizado, principalmente, o controle de acesso a Internet e o Proxy cache visando não somente a otimização da largura de banda mais também a integridade dos dados dentro da LAN.Palavras-Chaves: Ipcop, firewall, cache Proxy, Internet.

Abstract. This article aims to present the IPCop Linux distribution as a solution for optimizing the use of broadband, where it will be mainly emphasized the control of Internet access and Proxy cache aiming not only to optimize the bandwidth, but also the data integrity within the LAN.Keywords: Ipcop, Firewall, cache proxy, Internet.

1. INTRODUÇÃO

O número de usuários que se conectam a Internet vem crescendo de forma constante e

ocasionando, muitas vezes, congestionamento e redução do desempenho no acesso. Segundo

Hancock (2003, p.235), “Um dos principais atrativos da internet são os serviços e recursos

disponíveis, esses serviços incluem mensagens eletrônicas, logins remotos, transferência de

arquivos, jogos interativos, canais para vídeo e áudio [...]”. É muito comum dentro das

empresas usuários que fazem o uso da Internet em seu benefício pessoal, por meio de

downloads em geral, de streaming de vídeos, programas de bate-papo, redes sociais,

congestionando a rede com um excessivo tráfego de dados indesejados. Tudo isso além de

ocasionar lentidão na rede, traz elevados índices de improdutividade para as empresas abrindo

portas para que a rede sofra um eventual ataque comprometendo a confiabilidade e

integridade dos dados da mesma. Para minimizar tais ações, fazer uso de uma ferramenta que

restrinja o acesso a programas e sites que não sejam de interesse profissional torna-se

fundamental para que tenhamos um ambiente de trabalho mais dinâmico e seguro. A

distribuição Linux Ipcop visa justamente implementar tais políticas fazendo uso de métodos

de controle de acesso, bloqueando as páginas web indesejadas, proporcionando também o

armazenamento em cache das páginas acessadas, otimizando e muito o uso da banda larga.

1 Graduando do Curso de Tecnologia Superior de Redes de Computadores na Faculdade Jesus Maria José – FAJESU. E-mail: rhavvi@yahoo.com.br. Professor Orientador: Janilson Pereira do Nascimento. E-mail: janilson.pn@gmail.com

1

Esse artigo apresenta um estudo sobre a distribuição Linux Ipcop que é um software livre e

visa gerenciar o acesso a internet na rede. O mesmo possui diversas ferramentas integradas

como VPN, IDS, Proxy, Firewall, QOS entre outras. A administração do Ipcop é realizada via

browser, fechando conexão SSL segura e criptografada. Uma vez configurado passa a

permitir que o administrador de rede tenha controle tanto sobre os dados que entram quanto os

que saem da rede.

O Ipcop é uma distribuição Linux completa cujo propósito é de sozinho proteger a

rede na qual foi instalado mantendo a mesma segura. Sua configuração básica se dá de forma

simples e automatizada, tendo sempre a opção de recorrer à linha de comando para ajustes

específicos. Segundo a equipe de desenvolvedores do Ipcop, seu principal objetivo é torná-lo

a maior distribuição de firewall Linux. Para tal é necessário atingir alguns objetivos

específicos:

Prover uma distribuição Linux estável;

Prover uma distribuição Linux segura;

Prover uma distribuição Linux com código aberto;

Prover uma distribuição Linux de fácil configuração;

Prover uma distribuição Linux de fácil gestão;

Disponibilizar suporte confiável a sua base de usuários;

Proporcionar de forma simples, estável e segura suas atualizações.

Por padrão um sistema de firewall proprietário com essas características certamente

teria um custo elevado, por isso é bom ressaltar que os programas instalados são softwares

livre e possuem licença GPL (General Public License – Licença Pública Geral).

2. LARGURA DE BANDA

A Disponibilidade do acesso a Internet é de importância primordial para o bom

desenvolvimento das atividades do dia a dia dentro de uma empresa. Em sua maioria, a

demanda por acesso é maior que a disponibilidade e isso ocorre por vários fatores, sendo um

dos mais relevantes a largura de banda, ou bandwidth. De acordo com Hancock (2003, p.55),

“[...] é a quantidade de dados que pode ser transferida por um meio de comunicação em um

dado período, sendo medida em bits por segundo.”.

2

Para uma melhor compreensão desse conceito será utilizada uma analogia que

compara a largura de banda com a fluência do trânsito por uma rodovia. Onde as estradas com

muitas pistas são alimentadas por estradas menores e com menos pistas, quando temos poucos

veículos utilizando o sistema cada um deles está mais livre para se movimentar com maior

velocidade. Quando há mais tráfego nas pistas os veículos se movimentam mais lentamente,

especialmente em estradas com um menor número de pistas. Conforme ocorre o aumento no

tráfego até mesmo as estradas com várias pistas tornam-se lentas e congestionadas. Uma rede

de dados é bastante semelhante ao sistema de estradas. Os pacotes de dados equivalem aos

automóveis, os dispositivos de redes são comparáveis a semáforos e placas, e a largura de

banda equivale ao número de pistas na estrada.

Quando se faz essa comparação entre a rede de dados e um sistema de estradas, torna-

se fácil compreender como as conexões que possuem uma largura de banda pequena podem

causar um congestionamento através de toda a rede. Quando se faz uso de aplicações que

consomem grande quantidade de largura de banda, a rede fica muito congestionada,

ocasionando aos usuários uma considerável demora na resposta de suas requisições ou mesmo

a indisponibilidade dos serviços. Isso pode ser comparado com o que ocorre nas auto-estradas

nos horários de pico.

Figura 1 – Analogia entre a rede de dados e um sistema de estradas. Fonte: do próprio autor.

3

2.1 Largura de banda Interna

A largura de banda interna refere-se à capacidade dentro de uma LAN, ou seja, a

quantidade de informação que é fluída dentro da rede em um determinado intervalo de tempo.

2.2 Largura de banda Externa

É o que diz respeito à capacidade da WAN, ou seja, a conexão entre a LAN e a

internet que depende tanto dos equipamentos de infra-estrutura interna como da infra-

estrutura ISP que é o provedor do serviço de acesso a Internet.

3. FIREWALL

Primeiramente é bom esclarecer que existem diversos tipos de firewalls podendo

variar muito o nível de segurança que se deseja implementar. O Ipcop monitora o tráfego de

dados entre redes distintas, no caso a LAN e WAN gerenciando e restringindo o tráfego de

entrada e saída da sua rede local através da centralização do ponto de acesso, implementando

as políticas de acordo com o nível de segurança desejado. Segundo Hancock (2003, p.535),

“Em seu nível mais básico, um firewall é um equipamento de filtragem de

pacotes que pode restringir o número de pacotes de e para uma rede por um

conjunto de regras implementadas num dispositivo de interconexão. Em

resumo, um firewall é frequentemente uma soma de muitos componentes

diferentes que trabalham juntos para bloquear transmissão e recepção de

tráfego.”

4. PROXY

No geral ao acessar uma página da Internet o computador se conecta diretamente ao

site. Ao digitar o endereço solicitado o computador local obtém seu IP através do DNS e

fecha uma conexão ponto a ponto. Num ambiente corporativo não é interessante que se

permita que o usuário estabeleça essa conexão ponto a ponto, pois é exatamente aí que entra a

funcionalidade do Proxy, que nada mais é que um computador que passa a intermediar e

4

controlar todas as conexões da rede interna que se destinam a Internet, e também o caminho

inverso. Ao invés de cada computador local estabelecer essa conexão com a Internet, eles

farão a requisição ao Proxy que é quem de fato fará essa conexão.

A implementação de um Proxy com cache de navegação melhora muito a

disponibilidade do acesso a Internet em uma LAN. Pois, muitas vezes, um mesmo site é

requisitado por repetidas vezes por um mesmo ou por vários usuários. Entretanto, exceto a

primeira vez, na qual essas requisições são atendidas pelo servidor em que estão hospedadas

remotamente, as demais solicitações para o mesmo site serão atendidas localmente pelo Proxy

acelerando muito o carregamento das páginas solicitadas, pois evita que ocorram repetidas

requisições na Internet em busca de um mesmo site. Portanto quando um usuário solicita uma

página, essa solicitação irá para o servidor de Proxy local, e o mesmo fará a conexão com o

servidor onde o site esta hospedado. O Proxy receberá então a resposta com as informações da

página web, armazenará essas informações em seu cache e ao receber uma nova solicitação o

Proxy verificará em seu cache se ele possui uma cópia do site solicitado. Se a mesma esteja

disponível em cachê, e não tenha expirado, o Proxy responderá a solicitação localmente. Caso

essa não se encontre no cache do servidor, ele fechará uma conexão com o servidor remoto e

fará a transferência dos arquivos solicitados mantendo uma cópia em seu cache, enviando

outra para a máquina do usuário.

Outra função muito interessante do Proxy é chamada de filtro de pacotes e tem por

finalidade gerenciar o acesso a Internet permitindo ou negando a conexão com determinados

sites de acordo com a configuração efetuada pelo administrador de redes, que cria regras

filtrando as requisições de acesso baseando-se no endereço IP do cliente, domínio, rede, URL

solicitada evitando os acessos considerados impróprios às políticas de segurança adotadas, o

que se aplica muito bem a realidade diária de uma empresa ou escola, por exemplo.

5. IPCOP

O principal objetivo da implementação do Ipcop é instalar um firewall que seja de simples

administração e bastante versátil no que diz respeito às diferentes funcionalidades e recursos,

que credenciam o Ipcop a ser equiparado em um mesmo nível que as soluções proprietárias

que disputam o mercado. Sua fácil manutenção feita via interface web é de grande valia,

5

tendo em vista que a grande maioria das pequenas e médias empresas não possui uma equipe

especializada em TI. Mais raro ainda é que esses profissionais tenham conhecimento em

Linux. Além da sua interface amigável, a vasta documentação disponível na Internet são

grandes pontos favoráveis ao Ipcop cujas intenções são de ir bem mais além de uma

implementação iptables, netfilter. O Ipcop é um exemplo de firewall versátil, pois oferece

uma vasta gama de programas já incluídos em sua instalação padrão, dentre eles, merecem

destaque:

Cache web (baseado em squid)

Redirecionamento de portas

VPN (baseado no free swan)

DHCP Server

DNS Proxy Server

Sistema de detecção de intrusão (baseado em snort)

SSH login de administração

VPN pass through (pptp, ipsec)

Relatórios de acesso e tráfego

Sempre permitindo posteriores customizações através da instalação de addons que, no

geral, são plugins disponibilizados por terceiros.

5.1 Origem do Ipcop

Do mesmo modo que a maioria das distribuições Linux, o Ipcop é, na verdade, uma

derivação de outra distribuição chamada de Smothwall. No ano de 2000 um grupo de

programadores Linux desenvolveu o Smothwall para ser uma solução de firewall tipo (stand

alone), ou seja, uma caixa fechada. Em sua essência ele foi desenvolvido para transformar um

computador “X86” comum, e já na época considerado obsoleto, em um robusto firewall

Linux, que poderia ser gerenciado de forma eficaz através da interface web.

Conseqüentemente o administrador do firewall não teria que, necessariamente, ser um grande

conhecedor das linhas de comando do terminal Linux para executar as tarefas e rotinas de

administração.

6

Motivados pelo sucesso inicial do produto alguns de seus desenvolvedores acabaram

optando por uma versão comercial expandida, que levou o nome de Smoothwall Corporate

Server. Com o lançamento desse produto os programadores concentraram mais esforços e

implementaram diversas melhorias em sua versão comercial. Embora ainda estivessem

oferecendo a versão GPL do Smothwall, que passou a ser conhecida como Smothwall GPL,

era notadamente uma variação do produto Corporate Server.

O número de desenvolvedores que permaneciam comprometidos com a idéia de uma

distribuição de firewall bem completa que fosse regida pela GPL era grande. Então os

mesmos acabaram optando por sair do projeto e criar um novo produto baseado na versão

0.9.9.9 do Smothwall GPL, a mais atual até então. O resultado disso foi o Ipcop que

rapidamente ultrapassou o Smothwall GPL em termos de desenvolvimento, pois poderia ser

livremente baixado, instalado e customizado sem nenhum custo, e por possuir uma boa

variedade de funcionalidades possíveis oferecidas em um firewall.

6. OBTENDO O IPCOP

Uma copia do Ipcop pode ser obtida no site do desenvolvedor através do link :

http://sourceforge.net/projects/ipcop/files/IPCop/ipcop-1.4.20-install-cd.i386.iso que é a

última versão estável do Ipcop 1.4.20 i386, uma ISO que tem o tamanho total de 50,3 MB. A

instalação do Ipcop leva geralmente em torno de 25 minutos. Em seu decorrer serão

configurados diversos parâmetros como endereço e máscara de rede, DHCP,DNS.

O Ipcop funciona sem restrições em máquinas antigas que possuem um hardware

modesto, comumente depreciado nos dias de hoje. Para uma rede com em media 20 a 30

computadores basta um computador com um processador Pentium III 450mhz e 256mb de

memória RAM que já funciona razoavelmente bem. Já com relação ao espaço em disco

necessário, se for levado em conta que a instalação padrão do Ipcop ocupa apenas 400mb em

disco, é importante lembrar que a expansão desse espaço ocorrerá à medida que começarão a

ser gerados os arquivos de log. Após o download ser concluído, basta usar um programa de

sua preferência para gravar a imagem ISO no cd que irá se transformar em um cd de

instalação inicializável.

7

7. INSTALAÇÃO

A instalação é feita diretamente com a inicialização a partir do CD. Durante a

instalação, onde todo o processo de particionamento é automático, o HD será formatado por

inteiro, mas se tratando de um firewall não era de se esperar que houvesse a intenção de ter

outros sistemas operacionais em uso na máquina. Não é permitido fazer seleção de pacotes e

as únicas interações com o usuário são a título de configuração. Ao iniciar a instalação,

primeiramente o sistema solicitará configurações de idioma, oferecendo uma boa variedade de

idiomas trinta e seta ao todo, sendo assim o Ipcop pode ser instalado e configurado em

português. Após o particionamento, os arquivos de instalação são copiados para o HD. Ao

final desse processo aparecerá uma caixa de seleção com as opções restore e skip, então

selecione com a tecla Tab o botão skip e pressione Enter.

O próximo passo da instalação requer alguma atenção, entretanto primeiramente será

necessário explicar como o Ipcop trabalha na definição da estrutura de rede. O Ipcop trata as

interfaces de rede de acordo com sua aplicabilidade fazendo uso de cores código para facilitar

o entendimento do funcionamento e a definição das diferentes interfaces de rede e os níveis de

permissão, sendo as interfaces representadas por quatro cores, Red, Green, Blue e Orange. A

interface Red é a não confiável, no caso a rede externa ou a Internet. A rede interna que é

considerada um segmento confiável, utiliza-se da cor Green. A interface Blue é reservada para

redes wireless e a Orange é a DMZ ou qualquer serviço que necessite ser acessado fora da

rede Interna, via internet.

No desenvolvimento do artigo foi usada a configuração mais básica com apenas duas

interfaces de rede Red e Green, que é a configuração mais frequentemente utilizada por

usuários domésticos e pequenas empresas como ilustra a figura a seguir:

8

Figura2 – Modelo de interfaces de rede Ipcop (Red e Green)

Fonte: http://www.vivaolinux.com.br/artigo/Uso-eficiente-do-IPCOP-firewall.

O próximo passo da instalação é a detecção das placas de rede feita pelo kernel 2.4.6

do Ipcop 20. Para concluir a instalação ainda serão configurados o layout de teclado, timezone

e 3 senhas diferentes (root, admin e setup). Ao final da instalação o sistema irá reiniciar.

Durante a primeira inicialização pode se observar o sistema criando as chaves RSA1,

RSA2 e DAS relativas ao acesso SSH, e o certificado SSL para web ressaltando que as chaves

RSA são de 2048 bits e a chave SSL é de 128 bits. Feito isso basta usar uma estação de

trabalho qualquer que esteja configurada na mesma rede do Ipcop e, através do browser, basta

inserir o endereço de ip da interface Green mais a porta para estabelecer a conexão. Ao digitar

o endereço https://endereçoip:445, você terá acesso as guias de configuração do Ipcop, como

ilustra a figura 3:

9

Figura 3 – Guias de configuração do Ipcop. Fonte: do próprio autor.

A partir daí os ajustes das configurações serão feitos usando a interface web que é

muito versátil com diversas opções, mas infelizmente incompleta, pois muitas das

configurações somente são possíveis via console e, outras, via web. Sendo assim, o usuário é

forçado a usar os dois configuradores alternando entre a interface web e as linhas de comando

no console. Ou seja, apesar de ser desenvolvido visando facilitar a administração do firewall

pela interface web seus recursos são restritos o que torna necessário recorrer a linha de

comando para fazer algum ajuste específico ou alterar alguma das configurações definidas

durante a instalação. Para que possamos instalar os addons é necessário acessar o Ipcop via

web, entrar no administrador e habilitar o acesso SSH como ilustra a figura 4.

Figura 4 – Habilitando acesso SSH. Fonte: do próprio autor

10

A partir desse ponto podemos copiar e instalar os addons, que serão explicados em

maiores detalhes no capítulo 9 do artigo. Agora falaremos um pouco sobre as opções de

configuração que a interface web oferece.

8. INTERFACE WEB

Conforme dito anteriormente, a intenção do firewall Ipcop é viabilizar uma boa

segurança de rede implementando Proxy de forma eficaz. Além disso, tendo em vista a

administração facilitada por meio da interface web, vamos agora falar um pouco sobre as

opções de configuração disponíveis.

Ao acessar a interface web temos diferentes guias de configuração e arquivos de logs

do sistema, essas guias são: Sistema, Situação, Redes, Serviços, Firewall, VPNs e logs. Cada

um desses, divididos em sub menus, dão acesso a variadas opções de configuração existentes

dentro do guia sistema.

8.1 Sistema

Dento de sistema temos as opções: Principal, Atualizações, Senhas, Acesso SSH,

Configurações da GUI, Copia de segurança, Desligar e Créditos. Aqui merecem destaque

algumas opções:

Atualizações: onde, caso esteja disponível, poderemos fazer a atualização do sistema

através do link disponibilizado para o mesmo. Nessa guia é possível também fazer a limpeza

do cache do Proxy (squid).

Senhas: aqui podem ser alteradas as senhas de Admin e de usuário de conexão de

discagem.

Acesso SSH: como o nome diz, habilita ou não a conexão SSH ao Ipcop.

Copia de segurança: pode ser feito um backup das configurações do firewall, podendo

ser essa copia feita em disquetes, no HD ou em mídias removíveis.

11

Na opção desligar podemos desligar ou programar o sistema para fazer um reinício ou

desligamento automático, escolhendo dia e hora para tal.

8.2 Situação

Dentro de Situação temos as opções: Situação do sistema, Situação da rede, Gráfico do

sistema, Gráfico de tráfego e Conexões, onde destacaremos a Situação do sistema que mostra

os serviços disponibilizados pelo sistema indicando quais estão sendo executados e quais

estão parados. Mostra também o quanto está sendo usado de disco e da memória e, ainda,

permite saber quais usuários e por quanto tempo estão logados. Aqui temos também a opção

de saber a versão do kernel em utilização e quais os módulos estão carregados.

Figura 5 – Visualização do estado dos Serviços. Fonte: do próprio autor.

Situação da rede: apresenta, de forma detalhada, informações tais como endereços

MAC e IP, tabela de roteamento e tabela de entrada ARP.

Gráfico do sistema: mostra estatísticas sobre o uso do HD, CPU, memória RAM e da

SWAP. Ao clicar eu uma dessas opções podemos ver as estatísticas com a opção de

selecionar por dia, mês e ano.

Gráficos de tráfego: mostra o tráfego de cada uma das interfaces de rede, tendo

também as opções de filtragem dos dados por mês, dia e ano.

12

8.3 Rede

Aqui temos uma série de opções de configuração de vários itens relativos ao uso de

modems, entretanto, em sua maioria, referem-se a usuários que utilizam conexão discada, não

sendo esse o caso do artigo.

8.4 Serviços

No menu serviços temos as opções: Proxy avançado, Url filter, servidor DHCP, DNS

Dinâmico, Editar hosts, servidor de horário, Controle de trafego e Detecção de Intrusão

(Snort). Esse pode certamente ser considerado o mais útil dos guias de configuração para esse

artigo. É aqui que estão as configurações que tornarão possíveis serem efetuados os bloqueios

de sites, navegadores indesejados, extensões de arquivos como .rar ou .exe, restrições por

horários limites de taxa de transferência a definição de tamanho do cache do Proxy,

atualização das blacklists. Muitas dessas opções são disponíveis com a instalação dos addons

Advanced Proxy e URL filter que serão detalhadas mais a frente no capítulo 9.

Figura 5 – Guias de configuração. Fonte: do próprio autor.

As configurações de endereços de rede no caso do uso do servidor DHCP do Ipcop

também são definidas no guia serviços, do mesmo modo que o serviço de DNS. Para o caso

do uso de Proxy não transparente a configuração dos métodos de autenticação é feita por aqui

no menu Proxy avançado.

13

Em controle de tráfego temos a opção de priorizar o tráfego de alguns serviços,

selecionando entre as opções de prioridades alta, média e baixa e adicionando a porta e o

protocolo usado pelo serviço.

Em Detecção de intrusão o Ipcop trabalha com o Snort, que irá efetuar análise no

conteúdo dos pacotes recebidos pelo firewall buscando conhecidos códigos maliciosos e

filtrando eventuais tentativas de ataque a rede.

Figura 7 – Guia de configuração dos serviços .Fonte: do próprio autor.

8.5 Firewall

Dentro de firewall temos as opções Forwarding de porta, acesso externo e opções do

firewall. O mais usual é o forwarding de porta, onde caso haja necessidade faremos o

redirecionamento de portas através das opções de protocolo a ser trafegado e portas de origem

e destino.

8.6 VPNS

As configurações relativas à implementação de VPN (Virtual Private Network) rede

privada virtual, que cria em um meio inseguro, como a Internet, um túnel onde o tráfego de

dados possa ser feito de forma segura, fazendo uso de protocolos criptografados por

14

tunelamento oferecendo a confidencialidade, autenticação e integridade necessárias para troca

segura de dados.

8.7 Logs

As opções disponíveis em guias de gerenciamento de logs são Configuração de log,

Resumo do log, Logs do Proxy, Logs do firewall, Logs de filtro url, Logs do sistema. É

importante ressaltar que algumas dessas opções somente estarão disponíveis após a instalação

de addons como logs de filtros Url que foram acrescentados após a instalação do addon Url

Filter.

Os logs são parte essencial no trabalho do administrador de redes, pois fazendo sua

análise pode se vigiar o que trafega entre a rede interna e a internet, observar o que os

usuários da rede têm acessado ou simplesmente observar o desempenho geral do

funcionamento do firewall. As opções de gerenciamento dos logs do Ipcop são bem feitas

com várias opções de filtragem e pesquisa.

Em configuração do log temos mais três opções: Opções de visualização dos logs,

Resumo dos logs e Registro dos logs. Em opções de visualização dos logs podemos ordenar

as pesquisas por ordem cronológica inversa, temos também a opção linhas por página que é a

quantidade de linhas que serão apresentadas no resumo do log. Em resumos do log

selecionamos a quantidade de dias que os logs serão mantidos no sistema, temos também a

opção de níveis de detalhe que pode variar entre alto, médio e baixo. Em registro remoto pode

ser habilitado o envio dos logs para um servidor de log remoto. Em seguida temos o guia

resumo do log, onde se pode observar os pacotes TCP, UDP, ICMP que transitaram na rede,

qual é o destino do pacote e onde o mesmo foi originado. Podem ser obtidas também

informações sobre as portas usadas a interface de origem e o IP de destino. Em Logs do Proxy

teremos informações sobre os acessos à internet originados da rede interna com informações

de hora e endereço IP da máquina local que fez o acesso a internet e quais foram os sites

acessados ou bloqueados. Em Logs do firewall estão disponíveis informações detalhadas

sobre o que trafegou pelo firewall, é possível ver a política adotada, qual a interface que

originou o tráfego, qual foi o protocolo usado , qual IP originou o tráfego, qual a porta de

15

origem. Caso tenha sido originado na rede interna temos o endereço MAC da máquina de

origem, o endereço IP do destino a porta e o serviço do destino.

Figura 8 – Logs .Fonte: do próprio autor.

9. ADDONS

Depois de terminada a instalação padrão do Ipcop, o mesmo está pronto para ser

utilizado, porém essa configuração é muito básica. Para que ele se torne mais robusto e

confiável é necessário fazer a implementação de novas funcionalidades e, até mesmo, novos

programas. Nesse ponto o Ipcop possui uma particularidade que o difere da maioria das

distribuições Linux. No geral para que seja instalado um novo programa no Linux é utilizado

o comando “apt-get”, para fazer a busca e instalação do programa desejado. No entanto, no

Ipcop o comando “apt-get” não é reconhecido conforme ilustra a figura 9 abaixo. Dessa forma

os novos programas e funcionalidades que devem ser implementados são feitos por meio de

addons.

16

Figura 9 – Comando “apt-get” não existe no Ipcop. Fonte: do próprio autor.

Addons são programas que implementam melhorias e funcionalidades essenciais ao

bom desempenho do firewall, entretanto, não fazem parte do Ipcop. Esses addons são

disponibilizados por terceiros por isso é sempre prudente certificar-se sobre a confiabilidade

da fonte que o disponibiliza e, de preferência, nunca instalar um addon no servidor principal

sem antes efetuar testes, pois caso aja alguma incompatibilidade entre o addon e a versão do

Ipcop, o mesmo pode apresentar uma série de erros ou, até mesmo, inviabilizar o

funcionamento do firewall. A importância dos addons é crucial para o bom funcionamento do

firewall, sendo reconhecida pelos desenvolvedores, tanto que no site do ipcop se disponibiliza

o link para o download dos addons mais populares, dentre os quais merecem destaque:

9.1 Advanced Web Proxy

  O advanced Proxy é na verdade o binário do squid recompilado de modo a habilitar

opções de configuração avançadas por meio da interface gráfica. É um dos mais populares

addons, funciona tanto no Ipcop como no Smothwall, extendendo as funcionalidades ao

servidor proxy já previamente configurado durante a instalação padrão do Ipcop. As

principais implementações oferecidas são:

17

Autenticação de usuário local, incluindo gerenciamento por grupo;

Autenticação identd (RFC 1413);

Autenticação LDAP, incluindo active directory, edirectoty e open LDAP;

Autenticação em Windows, incluindo domínios nativos do Windows e samba;

Autenticação Radius;

Gerenciamento extensivo de cachê;

Controle do acesso WEB, pelos endereços IP e MAC;

Controle de download;

Controle do acesso por horário;

Filtro de MIME;

Bloqueio de navegadores não autorizados, ou software cliente;

Suporte a configuração automática de cliente ( PAC, WPAD).

9.2 URL filter

Esse addon é baseado no popular Squidguard, que torna bem vasta as opções da

configuração web, adicionando um maior controle no tráfego da rede, sendo com esse addon

possível bloquear sites por categoria, por domínio, URL ou arquivo. Com ele é possível

também integrar a sistemas de terceiros para atualizar suas blacklists, buscando atualizações

automaticamente sendo totalmente compatíveis com as blacklists do Squidguard. Suas

principais vantagens são a não necessidade de reinício do firewall nem mesmo na instalação,

desinstalação ou configuração que, por sinal, pode ser feita de maneira funcional pela

interface web, não necessitando de ajustes via linha de comando para tais bloqueios.

9.3 BlockOutTraffic (BOT)

Este adiciona funcionalidades como política de segurança padrão para o tráfego de

saída, assim você pode definir quais máquinas têm ou não permissão para  executar a tarefa

solicitada. Possibilitando um sistema de controle muito mais efetivo.

9.4 Zerina (OpenVPN)

18

Addon que acrescenta uma opção a solução de VPN já previamente instalada com o

IPCop, com configuração muito intuitiva, apresentado clientes para diversas plataformas,

inclusive o Windows.

São muitos os addons disponíveis para o Ipcop e esses citados aqui são somente alguns

dos mais populares, mas cada um deve buscar pelos addons para atender a necessidades

específicas. Agora será apresentado um método de como instalar duas das principais addons

do Ipcop: Advanced Proxy e Url Filter.

Serão necessários dois programas fazer a instalação, sendo um deles para fazer o

acesso remoto no Ipcop e copiar as addons, e outro para acessar o console como root,

descompactar e instalar de fato. No Windows os programas mais comumente usados são o

Putty e Winscp, e no Linux entre outro temos o Putty e Filezilla.

Para fazer o download dos addons temos inúmeros sites que os diponibilizam,

entretanto, é bom ter uma fonte confiável para fazer o download. Na dúvida, no site do Ipcop

temos a indicação para vários endereços de addons confiáveis e tem ainda uma breve

descrição em inglês sobre cada um deles. O endereço do site é:

http://sourceforge.net/apps/trac/ipcop/wiki/Addons. Em nosso trabalho, especificamente,

serão instalados os addons: Advanced Proxy, Url Filter, que poderão ser obtidos pelo

endereço http://www.advproxy.net/.

Vamos primeiramente fazer o download do Advanced Proxy. Na seqüência faremos o

download do URL filter, basta procurar no mesmo site no menu a esquerda por “More add-

nos” como ilustra a figura 10.

19

Figura 10 – Site do Advanced Proxy . Fonte: do próprio autor.

Uma vez feito o download do addon a ser instalado, basta seguir mais alguns passos

que serão mostrados adiante para concluir a instalação. Sendo esse procedimento basicamente

o mesmo pra qualquer addon que se queira instalar no Ipcop.

Depois de baixar os addons, vamos entrar no Filezilla ou WinSCP dependendo do

sistema operacional instalado. Lembrando que a porta padrão do Ipcop é a 222 e que no

filezilla devemos mudar a opção de conexão, chamada server type para "SFTP using SSH2".

Para que possamos estabelecer a conexão com o firewall. Logo que for efetuado o login

remoto teremos uma tela, similar a figura11 abaixo:

20

Figura 11 – Fazendo login remoto no Ipcop. Fonte: do próprio autor.

O próximo passo é criar uma pasta no Ipcop onde copiaremos os addons, no exemplo

desse artigo essa pasta será chamada de pacotes. Para nela copiarmos os addons baixados,

basta clicar e arrastar de uma janela pra outra, ou seja, do computador local para o firewall.

Depois disso será usado o Putty para fazer acesso remoto ao console do Ipcop, ir até a pasta

aonde foram copiadas as addons, descompactar e instalar os mesmos. Uma vez estabelecida a

conexão usando o Putty, vamos entrar na pasta que criamos para colocar as addons, digitando

o comando:

#cd pacotes.

Para conferir o conteúdo da pasta pacotes, o comando é “ls” que irá listar o conteúdo

da pasta. Como pode ser observado na figura 12.

21

Figura 12 – Listando a Pasta Pacotes. Fonte: do próprio autor.

Feito isso o próximo passo é descompactar os arquivos, para tal basta usar o seguinte

comando:

#tar zpfx nome-do-arquivo

No exemplo do artigo:

#tar zpfx ipcop-advproxy-3.0.4.tar.gz

Faça esse mesmo procedimento para descompactar o, URL Filter. Para de fato instalar

o Advanced Proxy, entre na pasta onde o mesmo foi descompactado, e execute o comando:

#./install –i

Fazendo o mesmo com o URL Filter. Lembrando que para qualquer outro addon que

se queira instalar basta seguir esse mesmo procedimento de copiar, descompactar e instalar o

arquivo. Agora vamos conferir, dentro do Ipcop, as novas opções.

22

Figura 13 – Novas opções após a instalação do Url Filter. Fonte: do próprio autor.

9.1 Proxy Avancado

Essa guia se torna disponível a partir do momento em que for instalado o addon

advanced Proxy, que irá sobrepor a instalação de Proxy padrão do Ipcop tornando o firewall

mais seguro e eficaz. Aqui estarão disponíveis opções de gerenciamento do cache do proxy

como o tamanho em disco disponível para cache, sendo que por padrão são disponíveis 50Mb

podendo alterar esse valor de acordo com a necessidade, lembrando de procurar não

ultrapassar 20% do tamanho total do disco para manter um bom desempenho.

Pode se definir também tamanho mínino e máximo para os objetos armazenados em

cachê. Caso não queira fazer cachê de um determinado domínio isso também pode ser

definido por aqui. Outra opção interessante se chama portas de destino que enumera as portas

de destino permitidas para os padrões HTTP e SSL e a codificação dos pedidos HTTPS. As

portas podem ser definidas como um número de porta única ou várias portas.

23

Figura 14 – Configurações do Advanced Proxy. Fonte: do próprio autor.

Na opção Limites de transferência podem ser restringidos os tamanhos máximos dos

arquivos de download e upload da internet, sendo 0 o padrão de ambos. Se esse valor for

alterado para 1Mb, por exemplo, arquivos maiores que isso não serão recebidos ou enviados.

Na opção Filtros de MIME pode ser feito o bloqueio de arquivos por extensão, basta

colocar um por linha a extenção que se deseja evitar o trafego na rede como .exe, .rar, .zip. Já

em web browser pode ser determinado o navegador específico que terá acesso a internet

autorizado, bloqueando o uso dos demais.

Apesar de não ser configurado quando é usado Proxy transparente, variados métodos

de autenticação estão disponíveis no Ipcop e poderão ser configurados por aqui na guia

Advanced Proxy que, como foi apresentada aqui, mostrou diversas opções de configuração e

ajustes disponíveis para gerenciar o funcionamento do Proxy cachê do ipcop como ilustra a

figura 15.

24

Figura 15 – Outras opções de configuração do Advanced Proxy. Fonte: do próprio autor.

Agora já com o cache em funcionamento, parte da otimização da banda larga está

feita. As requisições de acesso a Internet a partir de então serão feitas pelo intermédio do

cache completando a otimização do uso da banda larga evitando acessos que não sejam de

interesse profissional. Para isso, a seguir, serão mostradas as opões de configuração do addon

Url Filter que é crucial e só funciona em conjunto com o Advanced Proxy, que inclusive deve

ser instalado primeiramente e depois o Url Filter para que ambos funcionem corretamente.

9.1 URL Filter

Esse é certamente um dos addons mais importantes dentro da proposta do Ipcop, pois

é por meio dele que são feitos os bloqueios, como os de domínios, urls, palavras, arquivos,

sendo possível, por exemplo, bloquear todo o acesso aos sites da internet exceto aqueles

especificamente autorizados pela empresa. Essa medida por si só já resultaria em uma

mudança radical na produtividade dentro de um ambiente corporativo. Em seguida

mostraremos algumas das mais interessantes opções de configuração do Url Filter.

25

Primeiramente temos a opção bloquear categorias. Nela temos um banco de dados

contendo várias opções de bloqueio a ser efetuado em uma espécie de blacklist dividida em

várias categorias, bastando marcar as opções que queira efetuar o bloqueio.

Figura 16 – Habilitação do Filtro URL por categoria. Fonte: do próprio autor.

Em seguida temos a opção Blacklist personalizada, aonde podem ser feitos os

bloqueios de domínios e urls, bastando inicialmente marcar a opção habilitar blacklist

personalizada. Em seguida para bloquear um domínio, basta adicioná-lo na opção domínios

bloqueados, inserindo um domínio por linha.

Figura 17 – Blacklist e Whitelist Personalizada. Fonte: do próprio autor.

26

Na opção urls bloqueadas, podemos bloquear uma url dentro de um domínio e não um

domínio inteiro, então, por exemplo, é possível bloquear somente a parte de vídeos ou fotos

dentro um portal. Para tal, basta inserir a url que deve ter seu acesso restringido na opção urls

bloqueadas que também deve conter apenas uma url por linha.

Na opção Whitelist personalizada são inseridos os endereços dos sites que devem ter

seu acesso permitido dentro da rede, que passa a ser habilitado ao marcar essa opção. Basta

inserir os endereços e liberar os sites de forma similar as blacklists trabalhando com a opção

de domínio geral ou url específica.

A opção Lista personalizada de expressões é bastante interessante e útil, pois efetua

bloqueio por expressões ou palavras, ou seja, se quiser bloquear palavras como jogos, sexo,

vídeos, rádios, basta adicionar as mesmas no campo expressões bloqueadas. A partir desse

momento quando algum usuário tentar acessar um endereço da internet que contenha uma

dessas palavras ou mesmo fazer uma pesquisa delas por meio de sites de busca, sua

navegação será bloqueada.

Figura 18 – Bloqueio por lista personalizada de expressões e extensão de arquivo. Fonte: do próprio autor.

A próxima opção é o bloqueio por extensão, que é habilitada visando o bloqueio de

download de arquivos executáveis, compactados ou de áudio e vídeo por exemplo.

Em controle de acesso à rede temos a opção de endereços de ip não filtrados, onde

devem ser inseridos os endereços de ip dos usuários que não devem passar pelas regras do

firewall tendo seu acesso irrestrito a qualquer site da internet, privilégio esse geralmente

concedido a diretores e presidentes nas empresas. Em seguida temos uma opção para bloquear

27

totalmente o acesso do usuário através do seu endereço IP, bastando colocar o mesmo na

opção endereços IP descartados.

Em controle de tempo de acesso e definir cota de usuário, podem ser definidas dias,

horas e minutos de acesso individualmente para cada usuário.

Em configuração das páginas bloqueadas são definidas as mensagens que aparecerão

quando o usuário tiver seu acesso bloqueado pelo firewall, contando com uma boa variedade

de opções de customização da mensagem a ser apresentada.

Em configurações avançadas encontram-se várias opções de ativações de serviços

como a ativação da lista de expressões personalizada. Bloquear ads com janelas em branco faz

o bloqueio de anúncios e banners conhecidos como popups. Outra opção que merece destaque

é bloquear todas as urls não explicitamente permitidas, que faz o bloqueio a todos os sites

exceto aqueles que constarem na whitelist personalizada.

Figura 19 – Controle de acesso a rede. Fonte: do próprio autor.

Outra função que não pode ser esquecida é Habilitar log que ativa os logs do Url

Filter. Ainda sobre os logs temos a opção Filtrar logs por categoria que facilita na hora da

análise dos mesmos. Enfim pode se habilitar ou não vários serviços configurados

28

anteriormente no url filter. Ainda tem-se aqui a opção de salvar as opções efetuadas e reiniciar

o serviço para ativar as novas regras.

Em Opções de manutenção de filtro url encontram-se duas opções. A primeira

atualização de blacklist faz a atualização da blacklist a partir de um arquivo tar.gz localizado

no HD do sistema. A segunda Atualização automática de blacklist permite que o sistema

automaticamente procure uma blacklist na internet podendo optar por uma atualização diária

semanal ou mensal. Já existem quatro fontes para fazer o download das atualizações, mas

caso queira escolher uma fonte manualmente basta inserir o endereço na opção “fonte url

customizada”. Lembrando de ao final clicar em “salvar configurações atualizadas” para

validar as alterações efetuadas.

Por fim, no guia Editor de blacklist é onde podemos fazer ou restaurar o backup de

toda a blacklist, incluídas as listas whitelist e blacklist personalizadas. Poupando bastante

tempo no caso de uma eventual reinstalação do firewall.

Figura 20 – Guia de configuração editor de blacklist. Fonte: do próprio autor.

29

10. CONCLUSÃO

O artigo mostrou a importância da utilização de algum mecanismo que gerencie o

acesso a Internet dentro de um ambiente corporativo propiciando então um aumento na

produtividade, minimizando os acessos a sites que não sejam de interesse profissional e

também a otimização do uso da banda larga. Ressaltamos que o firewall Ipcop, solução

apresentada nesse artigo foi inteiramente desenvolvida em software livre sendo seu download

e instalação feitos sem custo algum. Podem ser feitas mudanças significativas nas políticas de

acesso a Internet dentro de uma empresa sem utilizar-se de softwares proprietários que tem

um custo elevado, ou fazendo uso de software pirata. O Ipcop é um firewall que não deixa em

nada a desejar se comparado as soluções proprietárias encontradas no mercado. Observamos

que podemos fazer bloqueios a sites indesejados e usando o Proxy cache para otimização do

acesso a Internet, entretanto o Ipcop pode ser configurado de modo a atender necessidades

específicas de acordo com as políticas de acesso e segurança de cada empresa e o mesmo

possui os mais diversos tipos de addons para que o Ipcop seja customizado atendendo a

necessidades diferentes, específicas de cada empresa.

9. REFERÊNCIAS BIBLIOGRÁFICAS

HANCOCK, Michael A. Gallo e William M. (2003) “Comunicação entre computadores e tecnologias de rede”, São Paulo: Cengage Learning.

COTA, Alan. Ipcop firewall uma ótima opção de proteção para sua rede ADSL. 2005. Disponivel em <http://www.vivaolinux.com.br/artigo/IPCop-Firewall-Uma-otima-opcao-de-protecao-para-sua-rede-ADSL> Acesso em: 15 mar. 2010.

SANTOS. Luiz Gaspar de F. Uso eficiente do Ipcop firewall. 2006. Disponivel em <http://www.vivaolinux.com.br/artigo/Uso-eficiente-do-IPCOP-firewall> Acesso em: 15 mar. 2010.

ROCHA. Neill. Open VPN no Ipcop. 2009. Dsiponivel em <http://neillrocha.redeaberta.com.br/?p=31>. Acesso 23 de maio. 2010.

<http://www.urlfilter.net/> Acesso em 13 mar. 2010

<http://www.advproxy.net/> Acesso em 13 mar. 2010

<http://sourceforge.net/apps/trac/ipcop/wiki> Acesso em 13 mar. 2010

30