IMPLEMENTAÇÃO-DE-PROXY-UTILIZANDO-O-IPCOP
-
Upload
paulo-santos -
Category
Documents
-
view
440 -
download
23
Transcript of IMPLEMENTAÇÃO-DE-PROXY-UTILIZANDO-O-IPCOP
IMPLEMENTAÇÃO DE PROXY UTILIZANDO O IPCOP
Rhavi Santos Silva1
Resumo. Este artigo tem por objetivo apresentar a distribuição Linux Ipcop como solução de otimização do uso da banda larga, onde será enfatizado, principalmente, o controle de acesso a Internet e o Proxy cache visando não somente a otimização da largura de banda mais também a integridade dos dados dentro da LAN.Palavras-Chaves: Ipcop, firewall, cache Proxy, Internet.
Abstract. This article aims to present the IPCop Linux distribution as a solution for optimizing the use of broadband, where it will be mainly emphasized the control of Internet access and Proxy cache aiming not only to optimize the bandwidth, but also the data integrity within the LAN.Keywords: Ipcop, Firewall, cache proxy, Internet.
1. INTRODUÇÃO
O número de usuários que se conectam a Internet vem crescendo de forma constante e
ocasionando, muitas vezes, congestionamento e redução do desempenho no acesso. Segundo
Hancock (2003, p.235), “Um dos principais atrativos da internet são os serviços e recursos
disponíveis, esses serviços incluem mensagens eletrônicas, logins remotos, transferência de
arquivos, jogos interativos, canais para vídeo e áudio [...]”. É muito comum dentro das
empresas usuários que fazem o uso da Internet em seu benefício pessoal, por meio de
downloads em geral, de streaming de vídeos, programas de bate-papo, redes sociais,
congestionando a rede com um excessivo tráfego de dados indesejados. Tudo isso além de
ocasionar lentidão na rede, traz elevados índices de improdutividade para as empresas abrindo
portas para que a rede sofra um eventual ataque comprometendo a confiabilidade e
integridade dos dados da mesma. Para minimizar tais ações, fazer uso de uma ferramenta que
restrinja o acesso a programas e sites que não sejam de interesse profissional torna-se
fundamental para que tenhamos um ambiente de trabalho mais dinâmico e seguro. A
distribuição Linux Ipcop visa justamente implementar tais políticas fazendo uso de métodos
de controle de acesso, bloqueando as páginas web indesejadas, proporcionando também o
armazenamento em cache das páginas acessadas, otimizando e muito o uso da banda larga.
1 Graduando do Curso de Tecnologia Superior de Redes de Computadores na Faculdade Jesus Maria José – FAJESU. E-mail: [email protected]. Professor Orientador: Janilson Pereira do Nascimento. E-mail: [email protected]
1
Esse artigo apresenta um estudo sobre a distribuição Linux Ipcop que é um software livre e
visa gerenciar o acesso a internet na rede. O mesmo possui diversas ferramentas integradas
como VPN, IDS, Proxy, Firewall, QOS entre outras. A administração do Ipcop é realizada via
browser, fechando conexão SSL segura e criptografada. Uma vez configurado passa a
permitir que o administrador de rede tenha controle tanto sobre os dados que entram quanto os
que saem da rede.
O Ipcop é uma distribuição Linux completa cujo propósito é de sozinho proteger a
rede na qual foi instalado mantendo a mesma segura. Sua configuração básica se dá de forma
simples e automatizada, tendo sempre a opção de recorrer à linha de comando para ajustes
específicos. Segundo a equipe de desenvolvedores do Ipcop, seu principal objetivo é torná-lo
a maior distribuição de firewall Linux. Para tal é necessário atingir alguns objetivos
específicos:
Prover uma distribuição Linux estável;
Prover uma distribuição Linux segura;
Prover uma distribuição Linux com código aberto;
Prover uma distribuição Linux de fácil configuração;
Prover uma distribuição Linux de fácil gestão;
Disponibilizar suporte confiável a sua base de usuários;
Proporcionar de forma simples, estável e segura suas atualizações.
Por padrão um sistema de firewall proprietário com essas características certamente
teria um custo elevado, por isso é bom ressaltar que os programas instalados são softwares
livre e possuem licença GPL (General Public License – Licença Pública Geral).
2. LARGURA DE BANDA
A Disponibilidade do acesso a Internet é de importância primordial para o bom
desenvolvimento das atividades do dia a dia dentro de uma empresa. Em sua maioria, a
demanda por acesso é maior que a disponibilidade e isso ocorre por vários fatores, sendo um
dos mais relevantes a largura de banda, ou bandwidth. De acordo com Hancock (2003, p.55),
“[...] é a quantidade de dados que pode ser transferida por um meio de comunicação em um
dado período, sendo medida em bits por segundo.”.
2
Para uma melhor compreensão desse conceito será utilizada uma analogia que
compara a largura de banda com a fluência do trânsito por uma rodovia. Onde as estradas com
muitas pistas são alimentadas por estradas menores e com menos pistas, quando temos poucos
veículos utilizando o sistema cada um deles está mais livre para se movimentar com maior
velocidade. Quando há mais tráfego nas pistas os veículos se movimentam mais lentamente,
especialmente em estradas com um menor número de pistas. Conforme ocorre o aumento no
tráfego até mesmo as estradas com várias pistas tornam-se lentas e congestionadas. Uma rede
de dados é bastante semelhante ao sistema de estradas. Os pacotes de dados equivalem aos
automóveis, os dispositivos de redes são comparáveis a semáforos e placas, e a largura de
banda equivale ao número de pistas na estrada.
Quando se faz essa comparação entre a rede de dados e um sistema de estradas, torna-
se fácil compreender como as conexões que possuem uma largura de banda pequena podem
causar um congestionamento através de toda a rede. Quando se faz uso de aplicações que
consomem grande quantidade de largura de banda, a rede fica muito congestionada,
ocasionando aos usuários uma considerável demora na resposta de suas requisições ou mesmo
a indisponibilidade dos serviços. Isso pode ser comparado com o que ocorre nas auto-estradas
nos horários de pico.
Figura 1 – Analogia entre a rede de dados e um sistema de estradas. Fonte: do próprio autor.
3
2.1 Largura de banda Interna
A largura de banda interna refere-se à capacidade dentro de uma LAN, ou seja, a
quantidade de informação que é fluída dentro da rede em um determinado intervalo de tempo.
2.2 Largura de banda Externa
É o que diz respeito à capacidade da WAN, ou seja, a conexão entre a LAN e a
internet que depende tanto dos equipamentos de infra-estrutura interna como da infra-
estrutura ISP que é o provedor do serviço de acesso a Internet.
3. FIREWALL
Primeiramente é bom esclarecer que existem diversos tipos de firewalls podendo
variar muito o nível de segurança que se deseja implementar. O Ipcop monitora o tráfego de
dados entre redes distintas, no caso a LAN e WAN gerenciando e restringindo o tráfego de
entrada e saída da sua rede local através da centralização do ponto de acesso, implementando
as políticas de acordo com o nível de segurança desejado. Segundo Hancock (2003, p.535),
“Em seu nível mais básico, um firewall é um equipamento de filtragem de
pacotes que pode restringir o número de pacotes de e para uma rede por um
conjunto de regras implementadas num dispositivo de interconexão. Em
resumo, um firewall é frequentemente uma soma de muitos componentes
diferentes que trabalham juntos para bloquear transmissão e recepção de
tráfego.”
4. PROXY
No geral ao acessar uma página da Internet o computador se conecta diretamente ao
site. Ao digitar o endereço solicitado o computador local obtém seu IP através do DNS e
fecha uma conexão ponto a ponto. Num ambiente corporativo não é interessante que se
permita que o usuário estabeleça essa conexão ponto a ponto, pois é exatamente aí que entra a
funcionalidade do Proxy, que nada mais é que um computador que passa a intermediar e
4
controlar todas as conexões da rede interna que se destinam a Internet, e também o caminho
inverso. Ao invés de cada computador local estabelecer essa conexão com a Internet, eles
farão a requisição ao Proxy que é quem de fato fará essa conexão.
A implementação de um Proxy com cache de navegação melhora muito a
disponibilidade do acesso a Internet em uma LAN. Pois, muitas vezes, um mesmo site é
requisitado por repetidas vezes por um mesmo ou por vários usuários. Entretanto, exceto a
primeira vez, na qual essas requisições são atendidas pelo servidor em que estão hospedadas
remotamente, as demais solicitações para o mesmo site serão atendidas localmente pelo Proxy
acelerando muito o carregamento das páginas solicitadas, pois evita que ocorram repetidas
requisições na Internet em busca de um mesmo site. Portanto quando um usuário solicita uma
página, essa solicitação irá para o servidor de Proxy local, e o mesmo fará a conexão com o
servidor onde o site esta hospedado. O Proxy receberá então a resposta com as informações da
página web, armazenará essas informações em seu cache e ao receber uma nova solicitação o
Proxy verificará em seu cache se ele possui uma cópia do site solicitado. Se a mesma esteja
disponível em cachê, e não tenha expirado, o Proxy responderá a solicitação localmente. Caso
essa não se encontre no cache do servidor, ele fechará uma conexão com o servidor remoto e
fará a transferência dos arquivos solicitados mantendo uma cópia em seu cache, enviando
outra para a máquina do usuário.
Outra função muito interessante do Proxy é chamada de filtro de pacotes e tem por
finalidade gerenciar o acesso a Internet permitindo ou negando a conexão com determinados
sites de acordo com a configuração efetuada pelo administrador de redes, que cria regras
filtrando as requisições de acesso baseando-se no endereço IP do cliente, domínio, rede, URL
solicitada evitando os acessos considerados impróprios às políticas de segurança adotadas, o
que se aplica muito bem a realidade diária de uma empresa ou escola, por exemplo.
5. IPCOP
O principal objetivo da implementação do Ipcop é instalar um firewall que seja de simples
administração e bastante versátil no que diz respeito às diferentes funcionalidades e recursos,
que credenciam o Ipcop a ser equiparado em um mesmo nível que as soluções proprietárias
que disputam o mercado. Sua fácil manutenção feita via interface web é de grande valia,
5
tendo em vista que a grande maioria das pequenas e médias empresas não possui uma equipe
especializada em TI. Mais raro ainda é que esses profissionais tenham conhecimento em
Linux. Além da sua interface amigável, a vasta documentação disponível na Internet são
grandes pontos favoráveis ao Ipcop cujas intenções são de ir bem mais além de uma
implementação iptables, netfilter. O Ipcop é um exemplo de firewall versátil, pois oferece
uma vasta gama de programas já incluídos em sua instalação padrão, dentre eles, merecem
destaque:
Cache web (baseado em squid)
Redirecionamento de portas
VPN (baseado no free swan)
DHCP Server
DNS Proxy Server
Sistema de detecção de intrusão (baseado em snort)
SSH login de administração
VPN pass through (pptp, ipsec)
Relatórios de acesso e tráfego
Sempre permitindo posteriores customizações através da instalação de addons que, no
geral, são plugins disponibilizados por terceiros.
5.1 Origem do Ipcop
Do mesmo modo que a maioria das distribuições Linux, o Ipcop é, na verdade, uma
derivação de outra distribuição chamada de Smothwall. No ano de 2000 um grupo de
programadores Linux desenvolveu o Smothwall para ser uma solução de firewall tipo (stand
alone), ou seja, uma caixa fechada. Em sua essência ele foi desenvolvido para transformar um
computador “X86” comum, e já na época considerado obsoleto, em um robusto firewall
Linux, que poderia ser gerenciado de forma eficaz através da interface web.
Conseqüentemente o administrador do firewall não teria que, necessariamente, ser um grande
conhecedor das linhas de comando do terminal Linux para executar as tarefas e rotinas de
administração.
6
Motivados pelo sucesso inicial do produto alguns de seus desenvolvedores acabaram
optando por uma versão comercial expandida, que levou o nome de Smoothwall Corporate
Server. Com o lançamento desse produto os programadores concentraram mais esforços e
implementaram diversas melhorias em sua versão comercial. Embora ainda estivessem
oferecendo a versão GPL do Smothwall, que passou a ser conhecida como Smothwall GPL,
era notadamente uma variação do produto Corporate Server.
O número de desenvolvedores que permaneciam comprometidos com a idéia de uma
distribuição de firewall bem completa que fosse regida pela GPL era grande. Então os
mesmos acabaram optando por sair do projeto e criar um novo produto baseado na versão
0.9.9.9 do Smothwall GPL, a mais atual até então. O resultado disso foi o Ipcop que
rapidamente ultrapassou o Smothwall GPL em termos de desenvolvimento, pois poderia ser
livremente baixado, instalado e customizado sem nenhum custo, e por possuir uma boa
variedade de funcionalidades possíveis oferecidas em um firewall.
6. OBTENDO O IPCOP
Uma copia do Ipcop pode ser obtida no site do desenvolvedor através do link :
http://sourceforge.net/projects/ipcop/files/IPCop/ipcop-1.4.20-install-cd.i386.iso que é a
última versão estável do Ipcop 1.4.20 i386, uma ISO que tem o tamanho total de 50,3 MB. A
instalação do Ipcop leva geralmente em torno de 25 minutos. Em seu decorrer serão
configurados diversos parâmetros como endereço e máscara de rede, DHCP,DNS.
O Ipcop funciona sem restrições em máquinas antigas que possuem um hardware
modesto, comumente depreciado nos dias de hoje. Para uma rede com em media 20 a 30
computadores basta um computador com um processador Pentium III 450mhz e 256mb de
memória RAM que já funciona razoavelmente bem. Já com relação ao espaço em disco
necessário, se for levado em conta que a instalação padrão do Ipcop ocupa apenas 400mb em
disco, é importante lembrar que a expansão desse espaço ocorrerá à medida que começarão a
ser gerados os arquivos de log. Após o download ser concluído, basta usar um programa de
sua preferência para gravar a imagem ISO no cd que irá se transformar em um cd de
instalação inicializável.
7
7. INSTALAÇÃO
A instalação é feita diretamente com a inicialização a partir do CD. Durante a
instalação, onde todo o processo de particionamento é automático, o HD será formatado por
inteiro, mas se tratando de um firewall não era de se esperar que houvesse a intenção de ter
outros sistemas operacionais em uso na máquina. Não é permitido fazer seleção de pacotes e
as únicas interações com o usuário são a título de configuração. Ao iniciar a instalação,
primeiramente o sistema solicitará configurações de idioma, oferecendo uma boa variedade de
idiomas trinta e seta ao todo, sendo assim o Ipcop pode ser instalado e configurado em
português. Após o particionamento, os arquivos de instalação são copiados para o HD. Ao
final desse processo aparecerá uma caixa de seleção com as opções restore e skip, então
selecione com a tecla Tab o botão skip e pressione Enter.
O próximo passo da instalação requer alguma atenção, entretanto primeiramente será
necessário explicar como o Ipcop trabalha na definição da estrutura de rede. O Ipcop trata as
interfaces de rede de acordo com sua aplicabilidade fazendo uso de cores código para facilitar
o entendimento do funcionamento e a definição das diferentes interfaces de rede e os níveis de
permissão, sendo as interfaces representadas por quatro cores, Red, Green, Blue e Orange. A
interface Red é a não confiável, no caso a rede externa ou a Internet. A rede interna que é
considerada um segmento confiável, utiliza-se da cor Green. A interface Blue é reservada para
redes wireless e a Orange é a DMZ ou qualquer serviço que necessite ser acessado fora da
rede Interna, via internet.
No desenvolvimento do artigo foi usada a configuração mais básica com apenas duas
interfaces de rede Red e Green, que é a configuração mais frequentemente utilizada por
usuários domésticos e pequenas empresas como ilustra a figura a seguir:
8
Figura2 – Modelo de interfaces de rede Ipcop (Red e Green)
Fonte: http://www.vivaolinux.com.br/artigo/Uso-eficiente-do-IPCOP-firewall.
O próximo passo da instalação é a detecção das placas de rede feita pelo kernel 2.4.6
do Ipcop 20. Para concluir a instalação ainda serão configurados o layout de teclado, timezone
e 3 senhas diferentes (root, admin e setup). Ao final da instalação o sistema irá reiniciar.
Durante a primeira inicialização pode se observar o sistema criando as chaves RSA1,
RSA2 e DAS relativas ao acesso SSH, e o certificado SSL para web ressaltando que as chaves
RSA são de 2048 bits e a chave SSL é de 128 bits. Feito isso basta usar uma estação de
trabalho qualquer que esteja configurada na mesma rede do Ipcop e, através do browser, basta
inserir o endereço de ip da interface Green mais a porta para estabelecer a conexão. Ao digitar
o endereço https://endereçoip:445, você terá acesso as guias de configuração do Ipcop, como
ilustra a figura 3:
9
Figura 3 – Guias de configuração do Ipcop. Fonte: do próprio autor.
A partir daí os ajustes das configurações serão feitos usando a interface web que é
muito versátil com diversas opções, mas infelizmente incompleta, pois muitas das
configurações somente são possíveis via console e, outras, via web. Sendo assim, o usuário é
forçado a usar os dois configuradores alternando entre a interface web e as linhas de comando
no console. Ou seja, apesar de ser desenvolvido visando facilitar a administração do firewall
pela interface web seus recursos são restritos o que torna necessário recorrer a linha de
comando para fazer algum ajuste específico ou alterar alguma das configurações definidas
durante a instalação. Para que possamos instalar os addons é necessário acessar o Ipcop via
web, entrar no administrador e habilitar o acesso SSH como ilustra a figura 4.
Figura 4 – Habilitando acesso SSH. Fonte: do próprio autor
10
A partir desse ponto podemos copiar e instalar os addons, que serão explicados em
maiores detalhes no capítulo 9 do artigo. Agora falaremos um pouco sobre as opções de
configuração que a interface web oferece.
8. INTERFACE WEB
Conforme dito anteriormente, a intenção do firewall Ipcop é viabilizar uma boa
segurança de rede implementando Proxy de forma eficaz. Além disso, tendo em vista a
administração facilitada por meio da interface web, vamos agora falar um pouco sobre as
opções de configuração disponíveis.
Ao acessar a interface web temos diferentes guias de configuração e arquivos de logs
do sistema, essas guias são: Sistema, Situação, Redes, Serviços, Firewall, VPNs e logs. Cada
um desses, divididos em sub menus, dão acesso a variadas opções de configuração existentes
dentro do guia sistema.
8.1 Sistema
Dento de sistema temos as opções: Principal, Atualizações, Senhas, Acesso SSH,
Configurações da GUI, Copia de segurança, Desligar e Créditos. Aqui merecem destaque
algumas opções:
Atualizações: onde, caso esteja disponível, poderemos fazer a atualização do sistema
através do link disponibilizado para o mesmo. Nessa guia é possível também fazer a limpeza
do cache do Proxy (squid).
Senhas: aqui podem ser alteradas as senhas de Admin e de usuário de conexão de
discagem.
Acesso SSH: como o nome diz, habilita ou não a conexão SSH ao Ipcop.
Copia de segurança: pode ser feito um backup das configurações do firewall, podendo
ser essa copia feita em disquetes, no HD ou em mídias removíveis.
11
Na opção desligar podemos desligar ou programar o sistema para fazer um reinício ou
desligamento automático, escolhendo dia e hora para tal.
8.2 Situação
Dentro de Situação temos as opções: Situação do sistema, Situação da rede, Gráfico do
sistema, Gráfico de tráfego e Conexões, onde destacaremos a Situação do sistema que mostra
os serviços disponibilizados pelo sistema indicando quais estão sendo executados e quais
estão parados. Mostra também o quanto está sendo usado de disco e da memória e, ainda,
permite saber quais usuários e por quanto tempo estão logados. Aqui temos também a opção
de saber a versão do kernel em utilização e quais os módulos estão carregados.
Figura 5 – Visualização do estado dos Serviços. Fonte: do próprio autor.
Situação da rede: apresenta, de forma detalhada, informações tais como endereços
MAC e IP, tabela de roteamento e tabela de entrada ARP.
Gráfico do sistema: mostra estatísticas sobre o uso do HD, CPU, memória RAM e da
SWAP. Ao clicar eu uma dessas opções podemos ver as estatísticas com a opção de
selecionar por dia, mês e ano.
Gráficos de tráfego: mostra o tráfego de cada uma das interfaces de rede, tendo
também as opções de filtragem dos dados por mês, dia e ano.
12
8.3 Rede
Aqui temos uma série de opções de configuração de vários itens relativos ao uso de
modems, entretanto, em sua maioria, referem-se a usuários que utilizam conexão discada, não
sendo esse o caso do artigo.
8.4 Serviços
No menu serviços temos as opções: Proxy avançado, Url filter, servidor DHCP, DNS
Dinâmico, Editar hosts, servidor de horário, Controle de trafego e Detecção de Intrusão
(Snort). Esse pode certamente ser considerado o mais útil dos guias de configuração para esse
artigo. É aqui que estão as configurações que tornarão possíveis serem efetuados os bloqueios
de sites, navegadores indesejados, extensões de arquivos como .rar ou .exe, restrições por
horários limites de taxa de transferência a definição de tamanho do cache do Proxy,
atualização das blacklists. Muitas dessas opções são disponíveis com a instalação dos addons
Advanced Proxy e URL filter que serão detalhadas mais a frente no capítulo 9.
Figura 5 – Guias de configuração. Fonte: do próprio autor.
As configurações de endereços de rede no caso do uso do servidor DHCP do Ipcop
também são definidas no guia serviços, do mesmo modo que o serviço de DNS. Para o caso
do uso de Proxy não transparente a configuração dos métodos de autenticação é feita por aqui
no menu Proxy avançado.
13
Em controle de tráfego temos a opção de priorizar o tráfego de alguns serviços,
selecionando entre as opções de prioridades alta, média e baixa e adicionando a porta e o
protocolo usado pelo serviço.
Em Detecção de intrusão o Ipcop trabalha com o Snort, que irá efetuar análise no
conteúdo dos pacotes recebidos pelo firewall buscando conhecidos códigos maliciosos e
filtrando eventuais tentativas de ataque a rede.
Figura 7 – Guia de configuração dos serviços .Fonte: do próprio autor.
8.5 Firewall
Dentro de firewall temos as opções Forwarding de porta, acesso externo e opções do
firewall. O mais usual é o forwarding de porta, onde caso haja necessidade faremos o
redirecionamento de portas através das opções de protocolo a ser trafegado e portas de origem
e destino.
8.6 VPNS
As configurações relativas à implementação de VPN (Virtual Private Network) rede
privada virtual, que cria em um meio inseguro, como a Internet, um túnel onde o tráfego de
dados possa ser feito de forma segura, fazendo uso de protocolos criptografados por
14
tunelamento oferecendo a confidencialidade, autenticação e integridade necessárias para troca
segura de dados.
8.7 Logs
As opções disponíveis em guias de gerenciamento de logs são Configuração de log,
Resumo do log, Logs do Proxy, Logs do firewall, Logs de filtro url, Logs do sistema. É
importante ressaltar que algumas dessas opções somente estarão disponíveis após a instalação
de addons como logs de filtros Url que foram acrescentados após a instalação do addon Url
Filter.
Os logs são parte essencial no trabalho do administrador de redes, pois fazendo sua
análise pode se vigiar o que trafega entre a rede interna e a internet, observar o que os
usuários da rede têm acessado ou simplesmente observar o desempenho geral do
funcionamento do firewall. As opções de gerenciamento dos logs do Ipcop são bem feitas
com várias opções de filtragem e pesquisa.
Em configuração do log temos mais três opções: Opções de visualização dos logs,
Resumo dos logs e Registro dos logs. Em opções de visualização dos logs podemos ordenar
as pesquisas por ordem cronológica inversa, temos também a opção linhas por página que é a
quantidade de linhas que serão apresentadas no resumo do log. Em resumos do log
selecionamos a quantidade de dias que os logs serão mantidos no sistema, temos também a
opção de níveis de detalhe que pode variar entre alto, médio e baixo. Em registro remoto pode
ser habilitado o envio dos logs para um servidor de log remoto. Em seguida temos o guia
resumo do log, onde se pode observar os pacotes TCP, UDP, ICMP que transitaram na rede,
qual é o destino do pacote e onde o mesmo foi originado. Podem ser obtidas também
informações sobre as portas usadas a interface de origem e o IP de destino. Em Logs do Proxy
teremos informações sobre os acessos à internet originados da rede interna com informações
de hora e endereço IP da máquina local que fez o acesso a internet e quais foram os sites
acessados ou bloqueados. Em Logs do firewall estão disponíveis informações detalhadas
sobre o que trafegou pelo firewall, é possível ver a política adotada, qual a interface que
originou o tráfego, qual foi o protocolo usado , qual IP originou o tráfego, qual a porta de
15
origem. Caso tenha sido originado na rede interna temos o endereço MAC da máquina de
origem, o endereço IP do destino a porta e o serviço do destino.
Figura 8 – Logs .Fonte: do próprio autor.
9. ADDONS
Depois de terminada a instalação padrão do Ipcop, o mesmo está pronto para ser
utilizado, porém essa configuração é muito básica. Para que ele se torne mais robusto e
confiável é necessário fazer a implementação de novas funcionalidades e, até mesmo, novos
programas. Nesse ponto o Ipcop possui uma particularidade que o difere da maioria das
distribuições Linux. No geral para que seja instalado um novo programa no Linux é utilizado
o comando “apt-get”, para fazer a busca e instalação do programa desejado. No entanto, no
Ipcop o comando “apt-get” não é reconhecido conforme ilustra a figura 9 abaixo. Dessa forma
os novos programas e funcionalidades que devem ser implementados são feitos por meio de
addons.
16
Figura 9 – Comando “apt-get” não existe no Ipcop. Fonte: do próprio autor.
Addons são programas que implementam melhorias e funcionalidades essenciais ao
bom desempenho do firewall, entretanto, não fazem parte do Ipcop. Esses addons são
disponibilizados por terceiros por isso é sempre prudente certificar-se sobre a confiabilidade
da fonte que o disponibiliza e, de preferência, nunca instalar um addon no servidor principal
sem antes efetuar testes, pois caso aja alguma incompatibilidade entre o addon e a versão do
Ipcop, o mesmo pode apresentar uma série de erros ou, até mesmo, inviabilizar o
funcionamento do firewall. A importância dos addons é crucial para o bom funcionamento do
firewall, sendo reconhecida pelos desenvolvedores, tanto que no site do ipcop se disponibiliza
o link para o download dos addons mais populares, dentre os quais merecem destaque:
9.1 Advanced Web Proxy
O advanced Proxy é na verdade o binário do squid recompilado de modo a habilitar
opções de configuração avançadas por meio da interface gráfica. É um dos mais populares
addons, funciona tanto no Ipcop como no Smothwall, extendendo as funcionalidades ao
servidor proxy já previamente configurado durante a instalação padrão do Ipcop. As
principais implementações oferecidas são:
17
Autenticação de usuário local, incluindo gerenciamento por grupo;
Autenticação identd (RFC 1413);
Autenticação LDAP, incluindo active directory, edirectoty e open LDAP;
Autenticação em Windows, incluindo domínios nativos do Windows e samba;
Autenticação Radius;
Gerenciamento extensivo de cachê;
Controle do acesso WEB, pelos endereços IP e MAC;
Controle de download;
Controle do acesso por horário;
Filtro de MIME;
Bloqueio de navegadores não autorizados, ou software cliente;
Suporte a configuração automática de cliente ( PAC, WPAD).
9.2 URL filter
Esse addon é baseado no popular Squidguard, que torna bem vasta as opções da
configuração web, adicionando um maior controle no tráfego da rede, sendo com esse addon
possível bloquear sites por categoria, por domínio, URL ou arquivo. Com ele é possível
também integrar a sistemas de terceiros para atualizar suas blacklists, buscando atualizações
automaticamente sendo totalmente compatíveis com as blacklists do Squidguard. Suas
principais vantagens são a não necessidade de reinício do firewall nem mesmo na instalação,
desinstalação ou configuração que, por sinal, pode ser feita de maneira funcional pela
interface web, não necessitando de ajustes via linha de comando para tais bloqueios.
9.3 BlockOutTraffic (BOT)
Este adiciona funcionalidades como política de segurança padrão para o tráfego de
saída, assim você pode definir quais máquinas têm ou não permissão para executar a tarefa
solicitada. Possibilitando um sistema de controle muito mais efetivo.
9.4 Zerina (OpenVPN)
18
Addon que acrescenta uma opção a solução de VPN já previamente instalada com o
IPCop, com configuração muito intuitiva, apresentado clientes para diversas plataformas,
inclusive o Windows.
São muitos os addons disponíveis para o Ipcop e esses citados aqui são somente alguns
dos mais populares, mas cada um deve buscar pelos addons para atender a necessidades
específicas. Agora será apresentado um método de como instalar duas das principais addons
do Ipcop: Advanced Proxy e Url Filter.
Serão necessários dois programas fazer a instalação, sendo um deles para fazer o
acesso remoto no Ipcop e copiar as addons, e outro para acessar o console como root,
descompactar e instalar de fato. No Windows os programas mais comumente usados são o
Putty e Winscp, e no Linux entre outro temos o Putty e Filezilla.
Para fazer o download dos addons temos inúmeros sites que os diponibilizam,
entretanto, é bom ter uma fonte confiável para fazer o download. Na dúvida, no site do Ipcop
temos a indicação para vários endereços de addons confiáveis e tem ainda uma breve
descrição em inglês sobre cada um deles. O endereço do site é:
http://sourceforge.net/apps/trac/ipcop/wiki/Addons. Em nosso trabalho, especificamente,
serão instalados os addons: Advanced Proxy, Url Filter, que poderão ser obtidos pelo
endereço http://www.advproxy.net/.
Vamos primeiramente fazer o download do Advanced Proxy. Na seqüência faremos o
download do URL filter, basta procurar no mesmo site no menu a esquerda por “More add-
nos” como ilustra a figura 10.
19
Figura 10 – Site do Advanced Proxy . Fonte: do próprio autor.
Uma vez feito o download do addon a ser instalado, basta seguir mais alguns passos
que serão mostrados adiante para concluir a instalação. Sendo esse procedimento basicamente
o mesmo pra qualquer addon que se queira instalar no Ipcop.
Depois de baixar os addons, vamos entrar no Filezilla ou WinSCP dependendo do
sistema operacional instalado. Lembrando que a porta padrão do Ipcop é a 222 e que no
filezilla devemos mudar a opção de conexão, chamada server type para "SFTP using SSH2".
Para que possamos estabelecer a conexão com o firewall. Logo que for efetuado o login
remoto teremos uma tela, similar a figura11 abaixo:
20
Figura 11 – Fazendo login remoto no Ipcop. Fonte: do próprio autor.
O próximo passo é criar uma pasta no Ipcop onde copiaremos os addons, no exemplo
desse artigo essa pasta será chamada de pacotes. Para nela copiarmos os addons baixados,
basta clicar e arrastar de uma janela pra outra, ou seja, do computador local para o firewall.
Depois disso será usado o Putty para fazer acesso remoto ao console do Ipcop, ir até a pasta
aonde foram copiadas as addons, descompactar e instalar os mesmos. Uma vez estabelecida a
conexão usando o Putty, vamos entrar na pasta que criamos para colocar as addons, digitando
o comando:
#cd pacotes.
Para conferir o conteúdo da pasta pacotes, o comando é “ls” que irá listar o conteúdo
da pasta. Como pode ser observado na figura 12.
21
Figura 12 – Listando a Pasta Pacotes. Fonte: do próprio autor.
Feito isso o próximo passo é descompactar os arquivos, para tal basta usar o seguinte
comando:
#tar zpfx nome-do-arquivo
No exemplo do artigo:
#tar zpfx ipcop-advproxy-3.0.4.tar.gz
Faça esse mesmo procedimento para descompactar o, URL Filter. Para de fato instalar
o Advanced Proxy, entre na pasta onde o mesmo foi descompactado, e execute o comando:
#./install –i
Fazendo o mesmo com o URL Filter. Lembrando que para qualquer outro addon que
se queira instalar basta seguir esse mesmo procedimento de copiar, descompactar e instalar o
arquivo. Agora vamos conferir, dentro do Ipcop, as novas opções.
22
Figura 13 – Novas opções após a instalação do Url Filter. Fonte: do próprio autor.
9.1 Proxy Avancado
Essa guia se torna disponível a partir do momento em que for instalado o addon
advanced Proxy, que irá sobrepor a instalação de Proxy padrão do Ipcop tornando o firewall
mais seguro e eficaz. Aqui estarão disponíveis opções de gerenciamento do cache do proxy
como o tamanho em disco disponível para cache, sendo que por padrão são disponíveis 50Mb
podendo alterar esse valor de acordo com a necessidade, lembrando de procurar não
ultrapassar 20% do tamanho total do disco para manter um bom desempenho.
Pode se definir também tamanho mínino e máximo para os objetos armazenados em
cachê. Caso não queira fazer cachê de um determinado domínio isso também pode ser
definido por aqui. Outra opção interessante se chama portas de destino que enumera as portas
de destino permitidas para os padrões HTTP e SSL e a codificação dos pedidos HTTPS. As
portas podem ser definidas como um número de porta única ou várias portas.
23
Figura 14 – Configurações do Advanced Proxy. Fonte: do próprio autor.
Na opção Limites de transferência podem ser restringidos os tamanhos máximos dos
arquivos de download e upload da internet, sendo 0 o padrão de ambos. Se esse valor for
alterado para 1Mb, por exemplo, arquivos maiores que isso não serão recebidos ou enviados.
Na opção Filtros de MIME pode ser feito o bloqueio de arquivos por extensão, basta
colocar um por linha a extenção que se deseja evitar o trafego na rede como .exe, .rar, .zip. Já
em web browser pode ser determinado o navegador específico que terá acesso a internet
autorizado, bloqueando o uso dos demais.
Apesar de não ser configurado quando é usado Proxy transparente, variados métodos
de autenticação estão disponíveis no Ipcop e poderão ser configurados por aqui na guia
Advanced Proxy que, como foi apresentada aqui, mostrou diversas opções de configuração e
ajustes disponíveis para gerenciar o funcionamento do Proxy cachê do ipcop como ilustra a
figura 15.
24
Figura 15 – Outras opções de configuração do Advanced Proxy. Fonte: do próprio autor.
Agora já com o cache em funcionamento, parte da otimização da banda larga está
feita. As requisições de acesso a Internet a partir de então serão feitas pelo intermédio do
cache completando a otimização do uso da banda larga evitando acessos que não sejam de
interesse profissional. Para isso, a seguir, serão mostradas as opões de configuração do addon
Url Filter que é crucial e só funciona em conjunto com o Advanced Proxy, que inclusive deve
ser instalado primeiramente e depois o Url Filter para que ambos funcionem corretamente.
9.1 URL Filter
Esse é certamente um dos addons mais importantes dentro da proposta do Ipcop, pois
é por meio dele que são feitos os bloqueios, como os de domínios, urls, palavras, arquivos,
sendo possível, por exemplo, bloquear todo o acesso aos sites da internet exceto aqueles
especificamente autorizados pela empresa. Essa medida por si só já resultaria em uma
mudança radical na produtividade dentro de um ambiente corporativo. Em seguida
mostraremos algumas das mais interessantes opções de configuração do Url Filter.
25
Primeiramente temos a opção bloquear categorias. Nela temos um banco de dados
contendo várias opções de bloqueio a ser efetuado em uma espécie de blacklist dividida em
várias categorias, bastando marcar as opções que queira efetuar o bloqueio.
Figura 16 – Habilitação do Filtro URL por categoria. Fonte: do próprio autor.
Em seguida temos a opção Blacklist personalizada, aonde podem ser feitos os
bloqueios de domínios e urls, bastando inicialmente marcar a opção habilitar blacklist
personalizada. Em seguida para bloquear um domínio, basta adicioná-lo na opção domínios
bloqueados, inserindo um domínio por linha.
Figura 17 – Blacklist e Whitelist Personalizada. Fonte: do próprio autor.
26
Na opção urls bloqueadas, podemos bloquear uma url dentro de um domínio e não um
domínio inteiro, então, por exemplo, é possível bloquear somente a parte de vídeos ou fotos
dentro um portal. Para tal, basta inserir a url que deve ter seu acesso restringido na opção urls
bloqueadas que também deve conter apenas uma url por linha.
Na opção Whitelist personalizada são inseridos os endereços dos sites que devem ter
seu acesso permitido dentro da rede, que passa a ser habilitado ao marcar essa opção. Basta
inserir os endereços e liberar os sites de forma similar as blacklists trabalhando com a opção
de domínio geral ou url específica.
A opção Lista personalizada de expressões é bastante interessante e útil, pois efetua
bloqueio por expressões ou palavras, ou seja, se quiser bloquear palavras como jogos, sexo,
vídeos, rádios, basta adicionar as mesmas no campo expressões bloqueadas. A partir desse
momento quando algum usuário tentar acessar um endereço da internet que contenha uma
dessas palavras ou mesmo fazer uma pesquisa delas por meio de sites de busca, sua
navegação será bloqueada.
Figura 18 – Bloqueio por lista personalizada de expressões e extensão de arquivo. Fonte: do próprio autor.
A próxima opção é o bloqueio por extensão, que é habilitada visando o bloqueio de
download de arquivos executáveis, compactados ou de áudio e vídeo por exemplo.
Em controle de acesso à rede temos a opção de endereços de ip não filtrados, onde
devem ser inseridos os endereços de ip dos usuários que não devem passar pelas regras do
firewall tendo seu acesso irrestrito a qualquer site da internet, privilégio esse geralmente
concedido a diretores e presidentes nas empresas. Em seguida temos uma opção para bloquear
27
totalmente o acesso do usuário através do seu endereço IP, bastando colocar o mesmo na
opção endereços IP descartados.
Em controle de tempo de acesso e definir cota de usuário, podem ser definidas dias,
horas e minutos de acesso individualmente para cada usuário.
Em configuração das páginas bloqueadas são definidas as mensagens que aparecerão
quando o usuário tiver seu acesso bloqueado pelo firewall, contando com uma boa variedade
de opções de customização da mensagem a ser apresentada.
Em configurações avançadas encontram-se várias opções de ativações de serviços
como a ativação da lista de expressões personalizada. Bloquear ads com janelas em branco faz
o bloqueio de anúncios e banners conhecidos como popups. Outra opção que merece destaque
é bloquear todas as urls não explicitamente permitidas, que faz o bloqueio a todos os sites
exceto aqueles que constarem na whitelist personalizada.
Figura 19 – Controle de acesso a rede. Fonte: do próprio autor.
Outra função que não pode ser esquecida é Habilitar log que ativa os logs do Url
Filter. Ainda sobre os logs temos a opção Filtrar logs por categoria que facilita na hora da
análise dos mesmos. Enfim pode se habilitar ou não vários serviços configurados
28
anteriormente no url filter. Ainda tem-se aqui a opção de salvar as opções efetuadas e reiniciar
o serviço para ativar as novas regras.
Em Opções de manutenção de filtro url encontram-se duas opções. A primeira
atualização de blacklist faz a atualização da blacklist a partir de um arquivo tar.gz localizado
no HD do sistema. A segunda Atualização automática de blacklist permite que o sistema
automaticamente procure uma blacklist na internet podendo optar por uma atualização diária
semanal ou mensal. Já existem quatro fontes para fazer o download das atualizações, mas
caso queira escolher uma fonte manualmente basta inserir o endereço na opção “fonte url
customizada”. Lembrando de ao final clicar em “salvar configurações atualizadas” para
validar as alterações efetuadas.
Por fim, no guia Editor de blacklist é onde podemos fazer ou restaurar o backup de
toda a blacklist, incluídas as listas whitelist e blacklist personalizadas. Poupando bastante
tempo no caso de uma eventual reinstalação do firewall.
Figura 20 – Guia de configuração editor de blacklist. Fonte: do próprio autor.
29
10. CONCLUSÃO
O artigo mostrou a importância da utilização de algum mecanismo que gerencie o
acesso a Internet dentro de um ambiente corporativo propiciando então um aumento na
produtividade, minimizando os acessos a sites que não sejam de interesse profissional e
também a otimização do uso da banda larga. Ressaltamos que o firewall Ipcop, solução
apresentada nesse artigo foi inteiramente desenvolvida em software livre sendo seu download
e instalação feitos sem custo algum. Podem ser feitas mudanças significativas nas políticas de
acesso a Internet dentro de uma empresa sem utilizar-se de softwares proprietários que tem
um custo elevado, ou fazendo uso de software pirata. O Ipcop é um firewall que não deixa em
nada a desejar se comparado as soluções proprietárias encontradas no mercado. Observamos
que podemos fazer bloqueios a sites indesejados e usando o Proxy cache para otimização do
acesso a Internet, entretanto o Ipcop pode ser configurado de modo a atender necessidades
específicas de acordo com as políticas de acesso e segurança de cada empresa e o mesmo
possui os mais diversos tipos de addons para que o Ipcop seja customizado atendendo a
necessidades diferentes, específicas de cada empresa.
9. REFERÊNCIAS BIBLIOGRÁFICAS
HANCOCK, Michael A. Gallo e William M. (2003) “Comunicação entre computadores e tecnologias de rede”, São Paulo: Cengage Learning.
COTA, Alan. Ipcop firewall uma ótima opção de proteção para sua rede ADSL. 2005. Disponivel em <http://www.vivaolinux.com.br/artigo/IPCop-Firewall-Uma-otima-opcao-de-protecao-para-sua-rede-ADSL> Acesso em: 15 mar. 2010.
SANTOS. Luiz Gaspar de F. Uso eficiente do Ipcop firewall. 2006. Disponivel em <http://www.vivaolinux.com.br/artigo/Uso-eficiente-do-IPCOP-firewall> Acesso em: 15 mar. 2010.
ROCHA. Neill. Open VPN no Ipcop. 2009. Dsiponivel em <http://neillrocha.redeaberta.com.br/?p=31>. Acesso 23 de maio. 2010.
<http://www.urlfilter.net/> Acesso em 13 mar. 2010
<http://www.advproxy.net/> Acesso em 13 mar. 2010
<http://sourceforge.net/apps/trac/ipcop/wiki> Acesso em 13 mar. 2010
30