Você está na página 1de 30

IMPLEMENTAO DE PROXY UTILIZANDO O IPCOP

Rhavi Santos Silva1 Resumo. Este artigo tem por objetivo apresentar a distribuio Linux Ipcop como soluo de otimizao do uso da banda larga, onde ser enfatizado, principalmente, o controle de acesso a Internet e o Proxy cache visando no somente a otimizao da largura de banda mais tambm a integridade dos dados dentro da LAN. Palavras-Chaves: Ipcop, firewall, cache Proxy, Internet. Abstract. This article aims to present the IPCop Linux distribution as a solution for optimizing the use of broadband, where it will be mainly emphasized the control of Internet access and Proxy cache aiming not only to optimize the bandwidth, but also the data integrity within the LAN. Keywords: Ipcop, Firewall, cache proxy, Internet.

1. INTRODUO
O nmero de usurios que se conectam a Internet vem crescendo de forma constante e ocasionando, muitas vezes, congestionamento e reduo do desempenho no acesso. Segundo Hancock (2003, p.235), Um dos principais atrativos da internet so os servios e recursos disponveis, esses servios incluem mensagens eletrnicas, logins remotos, transferncia de arquivos, jogos interativos, canais para vdeo e udio [...]. muito comum dentro das empresas usurios que fazem o uso da Internet em seu benefcio pessoal, por meio de downloads em geral, de streaming de vdeos, programas de bate-papo, redes sociais, congestionando a rede com um excessivo trfego de dados indesejados. Tudo isso alm de ocasionar lentido na rede, traz elevados ndices de improdutividade para as empresas abrindo portas para que a rede sofra um eventual ataque comprometendo a confiabilidade e integridade dos dados da mesma. Para minimizar tais aes, fazer uso de uma ferramenta que restrinja o acesso a programas e sites que no sejam de interesse profissional torna-se fundamental para que tenhamos um ambiente de trabalho mais dinmico e seguro. A distribuio Linux Ipcop visa justamente implementar tais polticas fazendo uso de mtodos de controle de acesso, bloqueando as pginas web indesejadas, proporcionando tambm o armazenamento em cache das pginas acessadas, otimizando e muito o uso da banda larga.
1

Graduando do Curso de Tecnologia Superior de Redes de Computadores na Faculdade Jesus Maria Jos FAJESU. E-mail: rhavvi@yahoo.com.br. Professor Orientador: Janilson Pereira do Nascimento. E-mail: janilson.pn@gmail.com

Esse artigo apresenta um estudo sobre a distribuio Linux Ipcop que um software livre e visa gerenciar o acesso a internet na rede. O mesmo possui diversas ferramentas integradas como VPN, IDS, Proxy, Firewall, QOS entre outras. A administrao do Ipcop realizada via browser, fechando conexo SSL segura e criptografada. Uma vez configurado passa a permitir que o administrador de rede tenha controle tanto sobre os dados que entram quanto os que saem da rede. O Ipcop uma distribuio Linux completa cujo propsito de sozinho proteger a rede na qual foi instalado mantendo a mesma segura. Sua configurao bsica se d de forma simples e automatizada, tendo sempre a opo de recorrer linha de comando para ajustes especficos. Segundo a equipe de desenvolvedores do Ipcop, seu principal objetivo torn-lo a maior distribuio de firewall Linux. Para tal necessrio atingir alguns objetivos especficos:

Prover uma distribuio Linux estvel; Prover uma distribuio Linux segura; Prover uma distribuio Linux com cdigo aberto; Prover uma distribuio Linux de fcil configurao; Prover uma distribuio Linux de fcil gesto; Disponibilizar suporte confivel a sua base de usurios; Proporcionar de forma simples, estvel e segura suas atualizaes.

Por padro um sistema de firewall proprietrio com essas caractersticas certamente teria um custo elevado, por isso bom ressaltar que os programas instalados so softwares livre e possuem licena GPL (General Public License Licena Pblica Geral).

2. LARGURA DE BANDA
A Disponibilidade do acesso a Internet de importncia primordial para o bom desenvolvimento das atividades do dia a dia dentro de uma empresa. Em sua maioria, a demanda por acesso maior que a disponibilidade e isso ocorre por vrios fatores, sendo um dos mais relevantes a largura de banda, ou bandwidth. De acordo com Hancock (2003, p.55), [...] a quantidade de dados que pode ser transferida por um meio de comunicao em um dado perodo, sendo medida em bits por segundo.. 2

Para uma melhor compreenso desse conceito ser utilizada uma analogia que compara a largura de banda com a fluncia do trnsito por uma rodovia. Onde as estradas com muitas pistas so alimentadas por estradas menores e com menos pistas, quando temos poucos veculos utilizando o sistema cada um deles est mais livre para se movimentar com maior velocidade. Quando h mais trfego nas pistas os veculos se movimentam mais lentamente, especialmente em estradas com um menor nmero de pistas. Conforme ocorre o aumento no trfego at mesmo as estradas com vrias pistas tornam-se lentas e congestionadas. Uma rede de dados bastante semelhante ao sistema de estradas. Os pacotes de dados equivalem aos automveis, os dispositivos de redes so comparveis a semforos e placas, e a largura de banda equivale ao nmero de pistas na estrada. Quando se faz essa comparao entre a rede de dados e um sistema de estradas, tornase fcil compreender como as conexes que possuem uma largura de banda pequena podem causar um congestionamento atravs de toda a rede. Quando se faz uso de aplicaes que consomem grande quantidade de largura de banda, a rede fica muito congestionada, ocasionando aos usurios uma considervel demora na resposta de suas requisies ou mesmo a indisponibilidade dos servios. Isso pode ser comparado com o que ocorre nas auto-estradas nos horrios de pico.

Figura 1 Analogia entre a rede de dados e um sistema de estradas. Fonte: do prprio autor.

2.1 Largura de banda Interna


A largura de banda interna refere-se capacidade dentro de uma LAN, ou seja, a quantidade de informao que fluda dentro da rede em um determinado intervalo de tempo.

2.2 Largura de banda Externa


o que diz respeito capacidade da WAN, ou seja, a conexo entre a LAN e a internet que depende tanto dos equipamentos de infra-estrutura interna como da infraestrutura ISP que o provedor do servio de acesso a Internet.

3. FIREWALL
Primeiramente bom esclarecer que existem diversos tipos de firewalls podendo variar muito o nvel de segurana que se deseja implementar. O Ipcop monitora o trfego de dados entre redes distintas, no caso a LAN e WAN gerenciando e restringindo o trfego de entrada e sada da sua rede local atravs da centralizao do ponto de acesso, implementando as polticas de acordo com o nvel de segurana desejado. Segundo Hancock (2003, p.535),
Em seu nvel mais bsico, um firewall um equipamento de filtragem de pacotes que pode restringir o nmero de pacotes de e para uma rede por um conjunto de regras implementadas num dispositivo de interconexo. Em resumo, um firewall frequentemente uma soma de muitos componentes diferentes que trabalham juntos para bloquear transmisso e recepo de trfego.

4. PROXY
No geral ao acessar uma pgina da Internet o computador se conecta diretamente ao site. Ao digitar o endereo solicitado o computador local obtm seu IP atravs do DNS e fecha uma conexo ponto a ponto. Num ambiente corporativo no interessante que se permita que o usurio estabelea essa conexo ponto a ponto, pois exatamente a que entra a funcionalidade do Proxy, que nada mais que um computador que passa a intermediar e controlar todas as conexes da rede interna que se destinam a Internet, e tambm o caminho 4

inverso. Ao invs de cada computador local estabelecer essa conexo com a Internet, eles faro a requisio ao Proxy que quem de fato far essa conexo. A implementao de um Proxy com cache de navegao melhora muito a disponibilidade do acesso a Internet em uma LAN. Pois, muitas vezes, um mesmo site requisitado por repetidas vezes por um mesmo ou por vrios usurios. Entretanto, exceto a primeira vez, na qual essas requisies so atendidas pelo servidor em que esto hospedadas remotamente, as demais solicitaes para o mesmo site sero atendidas localmente pelo Proxy acelerando muito o carregamento das pginas solicitadas, pois evita que ocorram repetidas requisies na Internet em busca de um mesmo site. Portanto quando um usurio solicita uma pgina, essa solicitao ir para o servidor de Proxy local, e o mesmo far a conexo com o servidor onde o site esta hospedado. O Proxy receber ento a resposta com as informaes da pgina web, armazenar essas informaes em seu cache e ao receber uma nova solicitao o Proxy verificar em seu cache se ele possui uma cpia do site solicitado. Se a mesma esteja disponvel em cach, e no tenha expirado, o Proxy responder a solicitao localmente. Caso essa no se encontre no cache do servidor, ele fechar uma conexo com o servidor remoto e far a transferncia dos arquivos solicitados mantendo uma cpia em seu cache, enviando outra para a mquina do usurio. Outra funo muito interessante do Proxy chamada de filtro de pacotes e tem por finalidade gerenciar o acesso a Internet permitindo ou negando a conexo com determinados sites de acordo com a configurao efetuada pelo administrador de redes, que cria regras filtrando as requisies de acesso baseando-se no endereo IP do cliente, domnio, rede, URL solicitada evitando os acessos considerados imprprios s polticas de segurana adotadas, o que se aplica muito bem a realidade diria de uma empresa ou escola, por exemplo.

5. IPCOP
O principal objetivo da implementao do Ipcop instalar um firewall que seja de simples administrao e bastante verstil no que diz respeito s diferentes funcionalidades e recursos, que credenciam o Ipcop a ser equiparado em um mesmo nvel que as solues proprietrias que disputam o mercado. Sua fcil manuteno feita via interface web de grande valia, tendo em vista que a grande maioria das pequenas e mdias empresas no possui uma equipe 5

especializada em TI. Mais raro ainda que esses profissionais tenham conhecimento em Linux. Alm da sua interface amigvel, a vasta documentao disponvel na Internet so grandes pontos favorveis ao Ipcop cujas intenes so de ir bem mais alm de uma implementao iptables, netfilter. O Ipcop um exemplo de firewall verstil, pois oferece uma vasta gama de programas j includos em sua instalao padro, dentre eles, merecem destaque: Cache web (baseado em squid) Redirecionamento de portas VPN (baseado no free swan) DHCP Server DNS Proxy Server Sistema de deteco de intruso (baseado em snort) SSH login de administrao VPN pass through (pptp, ipsec) Relatrios de acesso e trfego

Sempre permitindo posteriores customizaes atravs da instalao de addons que, no geral, so plugins disponibilizados por terceiros.

5.1 Origem do Ipcop


Do mesmo modo que a maioria das distribuies Linux, o Ipcop , na verdade, uma derivao de outra distribuio chamada de Smothwall. No ano de 2000 um grupo de programadores Linux desenvolveu o Smothwall para ser uma soluo de firewall tipo (stand alone), ou seja, uma caixa fechada. Em sua essncia ele foi desenvolvido para transformar um computador X86 comum, e j na poca considerado obsoleto, em um robusto firewall Linux, que poderia ser gerenciado de forma eficaz atravs da interface web. Conseqentemente o administrador do firewall no teria que, necessariamente, ser um grande conhecedor das linhas de comando do terminal Linux para executar as tarefas e rotinas de administrao. Motivados pelo sucesso inicial do produto alguns de seus desenvolvedores acabaram optando por uma verso comercial expandida, que levou o nome de Smoothwall Corporate 6

Server. Com o lanamento desse produto os programadores concentraram mais esforos e implementaram diversas melhorias em sua verso comercial. Embora ainda estivessem oferecendo a verso GPL do Smothwall, que passou a ser conhecida como Smothwall GPL, era notadamente uma variao do produto Corporate Server. O nmero de desenvolvedores que permaneciam comprometidos com a idia de uma distribuio de firewall bem completa que fosse regida pela GPL era grande. Ento os mesmos acabaram optando por sair do projeto e criar um novo produto baseado na verso 0.9.9.9 do Smothwall GPL, a mais atual at ento. O resultado disso foi o Ipcop que rapidamente ultrapassou o Smothwall GPL em termos de desenvolvimento, pois poderia ser livremente baixado, instalado e customizado sem nenhum custo, e por possuir uma boa variedade de funcionalidades possveis oferecidas em um firewall.

6. OBTENDO O IPCOP
Uma copia do Ipcop pode ser obtida no site do desenvolvedor atravs do link : http://sourceforge.net/projects/ipcop/files/IPCop/ipcop-1.4.20-install-cd.i386.iso que a ltima verso estvel do Ipcop 1.4.20 i386, uma ISO que tem o tamanho total de 50,3 MB. A instalao do Ipcop leva geralmente em torno de 25 minutos. Em seu decorrer sero configurados diversos parmetros como endereo e mscara de rede, DHCP,DNS. O Ipcop funciona sem restries em mquinas antigas que possuem um hardware modesto, comumente depreciado nos dias de hoje. Para uma rede com em media 20 a 30 computadores basta um computador com um processador Pentium III 450mhz e 256mb de memria RAM que j funciona razoavelmente bem. J com relao ao espao em disco necessrio, se for levado em conta que a instalao padro do Ipcop ocupa apenas 400mb em disco, importante lembrar que a expanso desse espao ocorrer medida que comearo a ser gerados os arquivos de log. Aps o download ser concludo, basta usar um programa de sua preferncia para gravar a imagem ISO no cd que ir se transformar em um cd de instalao inicializvel.

7. INSTALAO
A instalao feita diretamente com a inicializao a partir do CD. Durante a instalao, onde todo o processo de particionamento automtico, o HD ser formatado por inteiro, mas se tratando de um firewall no era de se esperar que houvesse a inteno de ter outros sistemas operacionais em uso na mquina. No permitido fazer seleo de pacotes e as nicas interaes com o usurio so a ttulo de configurao. Ao iniciar a instalao, primeiramente o sistema solicitar configuraes de idioma, oferecendo uma boa variedade de idiomas trinta e seta ao todo, sendo assim o Ipcop pode ser instalado e configurado em portugus. Aps o particionamento, os arquivos de instalao so copiados para o HD. Ao final desse processo aparecer uma caixa de seleo com as opes restore e skip, ento selecione com a tecla Tab o boto skip e pressione Enter. O prximo passo da instalao requer alguma ateno, entretanto primeiramente ser necessrio explicar como o Ipcop trabalha na definio da estrutura de rede. O Ipcop trata as interfaces de rede de acordo com sua aplicabilidade fazendo uso de cores cdigo para facilitar o entendimento do funcionamento e a definio das diferentes interfaces de rede e os nveis de permisso, sendo as interfaces representadas por quatro cores, Red, Green, Blue e Orange. A interface Red a no confivel, no caso a rede externa ou a Internet. A rede interna que considerada um segmento confivel, utiliza-se da cor Green. A interface Blue reservada para redes wireless e a Orange a DMZ ou qualquer servio que necessite ser acessado fora da rede Interna, via internet. No desenvolvimento do artigo foi usada a configurao mais bsica com apenas duas interfaces de rede Red e Green, que a configurao mais frequentemente utilizada por usurios domsticos e pequenas empresas como ilustra a figura a seguir:

Figura2 Modelo de interfaces de rede Ipcop (Red e Green) Fonte: http://www.vivaolinux.com.br/artigo/Uso-eficiente-do-IPCOP-firewall.

O prximo passo da instalao a deteco das placas de rede feita pelo kernel 2.4.6 do Ipcop 20. Para concluir a instalao ainda sero configurados o layout de teclado, timezone e 3 senhas diferentes (root, admin e setup). Ao final da instalao o sistema ir reiniciar. Durante a primeira inicializao pode se observar o sistema criando as chaves RSA1, RSA2 e DAS relativas ao acesso SSH, e o certificado SSL para web ressaltando que as chaves RSA so de 2048 bits e a chave SSL de 128 bits. Feito isso basta usar uma estao de trabalho qualquer que esteja configurada na mesma rede do Ipcop e, atravs do browser, basta inserir o endereo de ip da interface Green mais a porta para estabelecer a conexo. Ao digitar o endereo https://endereoip:445, voc ter acesso as guias de configurao do Ipcop, como ilustra a figura 3:

Figura 3 Guias de configurao do Ipcop. Fonte: do prprio autor.

A partir da os ajustes das configuraes sero feitos usando a interface web que muito verstil com diversas opes, mas infelizmente incompleta, pois muitas das configuraes somente so possveis via console e, outras, via web. Sendo assim, o usurio forado a usar os dois configuradores alternando entre a interface web e as linhas de comando no console. Ou seja, apesar de ser desenvolvido visando facilitar a administrao do firewall pela interface web seus recursos so restritos o que torna necessrio recorrer a linha de comando para fazer algum ajuste especfico ou alterar alguma das configuraes definidas durante a instalao. Para que possamos instalar os addons necessrio acessar o Ipcop via web, entrar no administrador e habilitar o acesso SSH como ilustra a figura 4.

Figura 4 Habilitando acesso SSH. Fonte: do prprio autor

10

A partir desse ponto podemos copiar e instalar os addons, que sero explicados em maiores detalhes no captulo 9 do artigo. Agora falaremos um pouco sobre as opes de configurao que a interface web oferece.

8. INTERFACE WEB
Conforme dito anteriormente, a inteno do firewall Ipcop viabilizar uma boa segurana de rede implementando Proxy de forma eficaz. Alm disso, tendo em vista a administrao facilitada por meio da interface web, vamos agora falar um pouco sobre as opes de configurao disponveis. Ao acessar a interface web temos diferentes guias de configurao e arquivos de logs do sistema, essas guias so: Sistema, Situao, Redes, Servios, Firewall, VPNs e logs. Cada um desses, divididos em sub menus, do acesso a variadas opes de configurao existentes dentro do guia sistema.

8.1 Sistema
Dento de sistema temos as opes: Principal, Atualizaes, Senhas, Acesso SSH, Configuraes da GUI, Copia de segurana, Desligar e Crditos. Aqui merecem destaque algumas opes: Atualizaes: onde, caso esteja disponvel, poderemos fazer a atualizao do sistema atravs do link disponibilizado para o mesmo. Nessa guia possvel tambm fazer a limpeza do cache do Proxy (squid). Senhas: aqui podem ser alteradas as senhas de Admin e de usurio de conexo de discagem. Acesso SSH: como o nome diz, habilita ou no a conexo SSH ao Ipcop. Copia de segurana: pode ser feito um backup das configuraes do firewall, podendo ser essa copia feita em disquetes, no HD ou em mdias removveis. 11

Na opo desligar podemos desligar ou programar o sistema para fazer um reincio ou desligamento automtico, escolhendo dia e hora para tal.

8.2 Situao
Dentro de Situao temos as opes: Situao do sistema, Situao da rede, Grfico do sistema, Grfico de trfego e Conexes, onde destacaremos a Situao do sistema que mostra os servios disponibilizados pelo sistema indicando quais esto sendo executados e quais esto parados. Mostra tambm o quanto est sendo usado de disco e da memria e, ainda, permite saber quais usurios e por quanto tempo esto logados. Aqui temos tambm a opo de saber a verso do kernel em utilizao e quais os mdulos esto carregados.

Figura 5 Visualizao do estado dos Servios. Fonte: do prprio autor.

Situao da rede: apresenta, de forma detalhada, informaes tais como endereos MAC e IP, tabela de roteamento e tabela de entrada ARP. Grfico do sistema: mostra estatsticas sobre o uso do HD, CPU, memria RAM e da SWAP. Ao clicar eu uma dessas opes podemos ver as estatsticas com a opo de selecionar por dia, ms e ano. Grficos de trfego: mostra o trfego de cada uma das interfaces de rede, tendo tambm as opes de filtragem dos dados por ms, dia e ano.

12

8.3 Rede
Aqui temos uma srie de opes de configurao de vrios itens relativos ao uso de modems, entretanto, em sua maioria, referem-se a usurios que utilizam conexo discada, no sendo esse o caso do artigo.

8.4 Servios
No menu servios temos as opes: Proxy avanado, Url filter, servidor DHCP, DNS Dinmico, Editar hosts, servidor de horrio, Controle de trafego e Deteco de Intruso (Snort). Esse pode certamente ser considerado o mais til dos guias de configurao para esse artigo. aqui que esto as configuraes que tornaro possveis serem efetuados os bloqueios de sites, navegadores indesejados, extenses de arquivos como .rar ou .exe, restries por horrios limites de taxa de transferncia a definio de tamanho do cache do Proxy, atualizao das blacklists. Muitas dessas opes so disponveis com a instalao dos addons Advanced Proxy e URL filter que sero detalhadas mais a frente no captulo 9.

Figura 5 Guias de configurao. Fonte: do prprio autor.

As configuraes de endereos de rede no caso do uso do servidor DHCP do Ipcop tambm so definidas no guia servios, do mesmo modo que o servio de DNS. Para o caso do uso de Proxy no transparente a configurao dos mtodos de autenticao feita por aqui no menu Proxy avanado. 13

Em controle de trfego temos a opo de priorizar o trfego de alguns servios, selecionando entre as opes de prioridades alta, mdia e baixa e adicionando a porta e o protocolo usado pelo servio. Em Deteco de intruso o Ipcop trabalha com o Snort, que ir efetuar anlise no contedo dos pacotes recebidos pelo firewall buscando conhecidos cdigos maliciosos e filtrando eventuais tentativas de ataque a rede.

Figura 7 Guia de configurao dos servios .Fonte: do prprio autor.

8.5 Firewall
Dentro de firewall temos as opes Forwarding de porta, acesso externo e opes do firewall. O mais usual o forwarding de porta, onde caso haja necessidade faremos o redirecionamento de portas atravs das opes de protocolo a ser trafegado e portas de origem e destino.

8.6 VPNS
As configuraes relativas implementao de VPN (Virtual Private Network) rede privada virtual, que cria em um meio inseguro, como a Internet, um tnel onde o trfego de dados possa ser feito de forma segura, fazendo uso de protocolos criptografados por 14

tunelamento oferecendo a confidencialidade, autenticao e integridade necessrias para troca segura de dados.

8.7 Logs
As opes disponveis em guias de gerenciamento de logs so Configurao de log, Resumo do log, Logs do Proxy, Logs do firewall, Logs de filtro url, Logs do sistema. importante ressaltar que algumas dessas opes somente estaro disponveis aps a instalao de addons como logs de filtros Url que foram acrescentados aps a instalao do addon Url Filter. Os logs so parte essencial no trabalho do administrador de redes, pois fazendo sua anlise pode se vigiar o que trafega entre a rede interna e a internet, observar o que os usurios da rede tm acessado ou simplesmente observar o desempenho geral do funcionamento do firewall. As opes de gerenciamento dos logs do Ipcop so bem feitas com vrias opes de filtragem e pesquisa. Em configurao do log temos mais trs opes: Opes de visualizao dos logs, Resumo dos logs e Registro dos logs. Em opes de visualizao dos logs podemos ordenar as pesquisas por ordem cronolgica inversa, temos tambm a opo linhas por pgina que a quantidade de linhas que sero apresentadas no resumo do log. Em resumos do log selecionamos a quantidade de dias que os logs sero mantidos no sistema, temos tambm a opo de nveis de detalhe que pode variar entre alto, mdio e baixo. Em registro remoto pode ser habilitado o envio dos logs para um servidor de log remoto. Em seguida temos o guia resumo do log, onde se pode observar os pacotes TCP, UDP, ICMP que transitaram na rede, qual o destino do pacote e onde o mesmo foi originado. Podem ser obtidas tambm informaes sobre as portas usadas a interface de origem e o IP de destino. Em Logs do Proxy teremos informaes sobre os acessos internet originados da rede interna com informaes de hora e endereo IP da mquina local que fez o acesso a internet e quais foram os sites acessados ou bloqueados. Em Logs do firewall esto disponveis informaes detalhadas sobre o que trafegou pelo firewall, possvel ver a poltica adotada, qual a interface que originou o trfego, qual foi o protocolo usado , qual IP originou o trfego, qual a porta de

15

origem. Caso tenha sido originado na rede interna temos o endereo MAC da mquina de origem, o endereo IP do destino a porta e o servio do destino.

Figura 8 Logs .Fonte: do prprio autor.

9. ADDONS
Depois de terminada a instalao padro do Ipcop, o mesmo est pronto para ser utilizado, porm essa configurao muito bsica. Para que ele se torne mais robusto e confivel necessrio fazer a implementao de novas funcionalidades e, at mesmo, novos programas. Nesse ponto o Ipcop possui uma particularidade que o difere da maioria das distribuies Linux. No geral para que seja instalado um novo programa no Linux utilizado o comando apt-get, para fazer a busca e instalao do programa desejado. No entanto, no Ipcop o comando apt-get no reconhecido conforme ilustra a figura 9 abaixo. Dessa forma os novos programas e funcionalidades que devem ser implementados so feitos por meio de addons.

16

Figura 9 Comando apt-get no existe no Ipcop. Fonte: do prprio autor.

Addons so programas que implementam melhorias e funcionalidades essenciais ao bom desempenho do firewall, entretanto, no fazem parte do Ipcop. Esses addons so disponibilizados por terceiros por isso sempre prudente certificar-se sobre a confiabilidade da fonte que o disponibiliza e, de preferncia, nunca instalar um addon no servidor principal sem antes efetuar testes, pois caso aja alguma incompatibilidade entre o addon e a verso do Ipcop, o mesmo pode apresentar uma srie de erros ou, at mesmo, inviabilizar o funcionamento do firewall. A importncia dos addons crucial para o bom funcionamento do firewall, sendo reconhecida pelos desenvolvedores, tanto que no site do ipcop se disponibiliza o link para o download dos addons mais populares, dentre os quais merecem destaque:

9.1 Advanced Web Proxy


O advanced Proxy na verdade o binrio do squid recompilado de modo a habilitar opes de configurao avanadas por meio da interface grfica. um dos mais populares addons, funciona tanto no Ipcop como no Smothwall, extendendo as funcionalidades ao servidor proxy j previamente configurado durante a instalao padro do Ipcop. As principais implementaes oferecidas so: 17

Autenticao de usurio local, incluindo gerenciamento por grupo; Autenticao identd (RFC 1413); Autenticao LDAP, incluindo active directory, edirectoty e open LDAP; Autenticao em Windows, incluindo domnios nativos do Windows e samba; Autenticao Radius; Gerenciamento extensivo de cach; Controle do acesso WEB, pelos endereos IP e MAC; Controle de download; Controle do acesso por horrio; Filtro de MIME; Bloqueio de navegadores no autorizados, ou software cliente; Suporte a configurao automtica de cliente ( PAC, WPAD).

9.2 URL filter


Esse addon baseado no popular Squidguard, que torna bem vasta as opes da configurao web, adicionando um maior controle no trfego da rede, sendo com esse addon possvel bloquear sites por categoria, por domnio, URL ou arquivo. Com ele possvel tambm integrar a sistemas de terceiros para atualizar suas blacklists, buscando atualizaes automaticamente sendo totalmente compatveis com as blacklists do Squidguard. Suas principais vantagens so a no necessidade de reincio do firewall nem mesmo na instalao, desinstalao ou configurao que, por sinal, pode ser feita de maneira funcional pela interface web, no necessitando de ajustes via linha de comando para tais bloqueios.

9.3 BlockOutTraffic (BOT)


Este adiciona funcionalidades como poltica de segurana padro para o trfego de sada, assim voc pode definir quais mquinas tm ou no permisso para executar a tarefa solicitada. Possibilitando um sistema de controle muito mais efetivo.

9.4 Zerina (OpenVPN)


18

Addon que acrescenta uma opo a soluo de VPN j previamente instalada com o IPCop, com configurao muito intuitiva, apresentado clientes para diversas plataformas, inclusive o Windows. So muitos os addons disponveis para o Ipcop e esses citados aqui so somente alguns dos mais populares, mas cada um deve buscar pelos addons para atender a necessidades especficas. Agora ser apresentado um mtodo de como instalar duas das principais addons do Ipcop: Advanced Proxy e Url Filter. Sero necessrios dois programas fazer a instalao, sendo um deles para fazer o acesso remoto no Ipcop e copiar as addons, e outro para acessar o console como root, descompactar e instalar de fato. No Windows os programas mais comumente usados so o Putty e Winscp, e no Linux entre outro temos o Putty e Filezilla. Para fazer o download dos addons temos inmeros sites que os diponibilizam, entretanto, bom ter uma fonte confivel para fazer o download. Na dvida, no site do Ipcop temos a indicao para vrios endereos de addons confiveis e tem ainda uma breve descrio em ingls sobre cada um deles. O endereo do site : http://sourceforge.net/apps/trac/ipcop/wiki/Addons. Em nosso trabalho, especificamente, sero instalados os addons: Advanced Proxy, Url Filter, que podero ser obtidos pelo endereo http://www.advproxy.net/. Vamos primeiramente fazer o download do Advanced Proxy. Na seqncia faremos o download do URL filter, basta procurar no mesmo site no menu a esquerda por More addnos como ilustra a figura 10.

19

Figura 10 Site do Advanced Proxy . Fonte: do prprio autor.

Uma vez feito o download do addon a ser instalado, basta seguir mais alguns passos que sero mostrados adiante para concluir a instalao. Sendo esse procedimento basicamente o mesmo pra qualquer addon que se queira instalar no Ipcop. Depois de baixar os addons, vamos entrar no Filezilla ou WinSCP dependendo do sistema operacional instalado. Lembrando que a porta padro do Ipcop a 222 e que no filezilla devemos mudar a opo de conexo, chamada server type para "SFTP using SSH2". Para que possamos estabelecer a conexo com o firewall. Logo que for efetuado o login remoto teremos uma tela, similar a figura11 abaixo:

20

Figura 11 Fazendo login remoto no Ipcop. Fonte: do prprio autor.

O prximo passo criar uma pasta no Ipcop onde copiaremos os addons, no exemplo desse artigo essa pasta ser chamada de pacotes. Para nela copiarmos os addons baixados, basta clicar e arrastar de uma janela pra outra, ou seja, do computador local para o firewall. Depois disso ser usado o Putty para fazer acesso remoto ao console do Ipcop, ir at a pasta aonde foram copiadas as addons, descompactar e instalar os mesmos. Uma vez estabelecida a conexo usando o Putty, vamos entrar na pasta que criamos para colocar as addons, digitando o comando: #cd pacotes. Para conferir o contedo da pasta pacotes, o comando ls que ir listar o contedo da pasta. Como pode ser observado na figura 12.

21

Figura 12 Listando a Pasta Pacotes. Fonte: do prprio autor.

Feito isso o prximo passo descompactar os arquivos, para tal basta usar o seguinte comando: #tar zpfx nome-do-arquivo

No exemplo do artigo: #tar zpfx ipcop-advproxy-3.0.4.tar.gz Faa esse mesmo procedimento para descompactar o, URL Filter. Para de fato instalar o Advanced Proxy, entre na pasta onde o mesmo foi descompactado, e execute o comando: #./install i Fazendo o mesmo com o URL Filter. Lembrando que para qualquer outro addon que se queira instalar basta seguir esse mesmo procedimento de copiar, descompactar e instalar o arquivo. Agora vamos conferir, dentro do Ipcop, as novas opes. 22

Figura 13 Novas opes aps a instalao do Url Filter. Fonte: do prprio autor.

9.1 Proxy Avancado


Essa guia se torna disponvel a partir do momento em que for instalado o addon advanced Proxy, que ir sobrepor a instalao de Proxy padro do Ipcop tornando o firewall mais seguro e eficaz. Aqui estaro disponveis opes de gerenciamento do cache do proxy como o tamanho em disco disponvel para cache, sendo que por padro so disponveis 50Mb podendo alterar esse valor de acordo com a necessidade, lembrando de procurar no ultrapassar 20% do tamanho total do disco para manter um bom desempenho. Pode se definir tambm tamanho mnino e mximo para os objetos armazenados em cach. Caso no queira fazer cach de um determinado domnio isso tambm pode ser definido por aqui. Outra opo interessante se chama portas de destino que enumera as portas de destino permitidas para os padres HTTP e SSL e a codificao dos pedidos HTTPS. As portas podem ser definidas como um nmero de porta nica ou vrias portas.

23

Figura 14 Configuraes do Advanced Proxy. Fonte: do prprio autor.

Na opo Limites de transferncia podem ser restringidos os tamanhos mximos dos arquivos de download e upload da internet, sendo 0 o padro de ambos. Se esse valor for alterado para 1Mb, por exemplo, arquivos maiores que isso no sero recebidos ou enviados. Na opo Filtros de MIME pode ser feito o bloqueio de arquivos por extenso, basta colocar um por linha a exteno que se deseja evitar o trafego na rede como .exe, .rar, .zip. J em web browser pode ser determinado o navegador especfico que ter acesso a internet autorizado, bloqueando o uso dos demais. Apesar de no ser configurado quando usado Proxy transparente, variados mtodos de autenticao esto disponveis no Ipcop e podero ser configurados por aqui na guia Advanced Proxy que, como foi apresentada aqui, mostrou diversas opes de configurao e ajustes disponveis para gerenciar o funcionamento do Proxy cach do ipcop como ilustra a figura 15. 24

Figura 15 Outras opes de configurao do Advanced Proxy. Fonte: do prprio autor.

Agora j com o cache em funcionamento, parte da otimizao da banda larga est feita. As requisies de acesso a Internet a partir de ento sero feitas pelo intermdio do cache completando a otimizao do uso da banda larga evitando acessos que no sejam de interesse profissional. Para isso, a seguir, sero mostradas as opes de configurao do addon Url Filter que crucial e s funciona em conjunto com o Advanced Proxy, que inclusive deve ser instalado primeiramente e depois o Url Filter para que ambos funcionem corretamente.

9.1 URL Filter


Esse certamente um dos addons mais importantes dentro da proposta do Ipcop, pois por meio dele que so feitos os bloqueios, como os de domnios, urls, palavras, arquivos, sendo possvel, por exemplo, bloquear todo o acesso aos sites da internet exceto aqueles especificamente autorizados pela empresa. Essa medida por si s j resultaria em uma mudana radical na produtividade dentro de um ambiente corporativo. Em seguida mostraremos algumas das mais interessantes opes de configurao do Url Filter.

25

Primeiramente temos a opo bloquear categorias. Nela temos um banco de dados contendo vrias opes de bloqueio a ser efetuado em uma espcie de blacklist dividida em vrias categorias, bastando marcar as opes que queira efetuar o bloqueio.

Figura 16 Habilitao do Filtro URL por categoria. Fonte: do prprio autor.

Em seguida temos a opo Blacklist personalizada, aonde podem ser feitos os bloqueios de domnios e urls, bastando inicialmente marcar a opo habilitar blacklist personalizada. Em seguida para bloquear um domnio, basta adicion-lo na opo domnios bloqueados, inserindo um domnio por linha.

Figura 17 Blacklist e Whitelist Personalizada. Fonte: do prprio autor.

26

Na opo urls bloqueadas, podemos bloquear uma url dentro de um domnio e no um domnio inteiro, ento, por exemplo, possvel bloquear somente a parte de vdeos ou fotos dentro um portal. Para tal, basta inserir a url que deve ter seu acesso restringido na opo urls bloqueadas que tambm deve conter apenas uma url por linha. Na opo Whitelist personalizada so inseridos os endereos dos sites que devem ter seu acesso permitido dentro da rede, que passa a ser habilitado ao marcar essa opo. Basta inserir os endereos e liberar os sites de forma similar as blacklists trabalhando com a opo de domnio geral ou url especfica. A opo Lista personalizada de expresses bastante interessante e til, pois efetua bloqueio por expresses ou palavras, ou seja, se quiser bloquear palavras como jogos, sexo, vdeos, rdios, basta adicionar as mesmas no campo expresses bloqueadas. A partir desse momento quando algum usurio tentar acessar um endereo da internet que contenha uma dessas palavras ou mesmo fazer uma pesquisa delas por meio de sites de busca, sua navegao ser bloqueada.

Figura 18 Bloqueio por lista personalizada de expresses e extenso de arquivo. Fonte: do prprio autor.

A prxima opo o bloqueio por extenso, que habilitada visando o bloqueio de download de arquivos executveis, compactados ou de udio e vdeo por exemplo. Em controle de acesso rede temos a opo de endereos de ip no filtrados, onde devem ser inseridos os endereos de ip dos usurios que no devem passar pelas regras do firewall tendo seu acesso irrestrito a qualquer site da internet, privilgio esse geralmente concedido a diretores e presidentes nas empresas. Em seguida temos uma opo para bloquear 27

totalmente o acesso do usurio atravs do seu endereo IP, bastando colocar o mesmo na opo endereos IP descartados. Em controle de tempo de acesso e definir cota de usurio, podem ser definidas dias, horas e minutos de acesso individualmente para cada usurio. Em configurao das pginas bloqueadas so definidas as mensagens que aparecero quando o usurio tiver seu acesso bloqueado pelo firewall, contando com uma boa variedade de opes de customizao da mensagem a ser apresentada. Em configuraes avanadas encontram-se vrias opes de ativaes de servios como a ativao da lista de expresses personalizada. Bloquear ads com janelas em branco faz o bloqueio de anncios e banners conhecidos como popups. Outra opo que merece destaque bloquear todas as urls no explicitamente permitidas, que faz o bloqueio a todos os sites exceto aqueles que constarem na whitelist personalizada.

Figura 19 Controle de acesso a rede. Fonte: do prprio autor.

Outra funo que no pode ser esquecida Habilitar log que ativa os logs do Url Filter. Ainda sobre os logs temos a opo Filtrar logs por categoria que facilita na hora da anlise dos mesmos. Enfim pode se habilitar ou no vrios servios configurados 28

anteriormente no url filter. Ainda tem-se aqui a opo de salvar as opes efetuadas e reiniciar o servio para ativar as novas regras. Em Opes de manuteno de filtro url encontram-se duas opes. A primeira atualizao de blacklist faz a atualizao da blacklist a partir de um arquivo tar.gz localizado no HD do sistema. A segunda Atualizao automtica de blacklist permite que o sistema automaticamente procure uma blacklist na internet podendo optar por uma atualizao diria semanal ou mensal. J existem quatro fontes para fazer o download das atualizaes, mas caso queira escolher uma fonte manualmente basta inserir o endereo na opo fonte url customizada. Lembrando de ao final clicar em salvar configuraes atualizadas para validar as alteraes efetuadas. Por fim, no guia Editor de blacklist onde podemos fazer ou restaurar o backup de toda a blacklist, includas as listas whitelist e blacklist personalizadas. Poupando bastante tempo no caso de uma eventual reinstalao do firewall.

Figura 20 Guia de configurao editor de blacklist. Fonte: do prprio autor.

29

10. CONCLUSO
O artigo mostrou a importncia da utilizao de algum mecanismo que gerencie o acesso a Internet dentro de um ambiente corporativo propiciando ento um aumento na produtividade, minimizando os acessos a sites que no sejam de interesse profissional e tambm a otimizao do uso da banda larga. Ressaltamos que o firewall Ipcop, soluo apresentada nesse artigo foi inteiramente desenvolvida em software livre sendo seu download e instalao feitos sem custo algum. Podem ser feitas mudanas significativas nas polticas de acesso a Internet dentro de uma empresa sem utilizar-se de softwares proprietrios que tem um custo elevado, ou fazendo uso de software pirata. O Ipcop um firewall que no deixa em nada a desejar se comparado as solues proprietrias encontradas no mercado. Observamos que podemos fazer bloqueios a sites indesejados e usando o Proxy cache para otimizao do acesso a Internet, entretanto o Ipcop pode ser configurado de modo a atender necessidades especficas de acordo com as polticas de acesso e segurana de cada empresa e o mesmo possui os mais diversos tipos de addons para que o Ipcop seja customizado atendendo a necessidades diferentes, especficas de cada empresa.

9. REFERNCIAS BIBLIOGRFICAS
HANCOCK, Michael A. Gallo e William M. (2003) Comunicao entre computadores e tecnologias de rede, So Paulo: Cengage Learning. COTA, Alan. Ipcop firewall uma tima opo de proteo para sua rede ADSL. 2005. Disponivel em <http://www.vivaolinux.com.br/artigo/IPCop-Firewall-Uma-otima-opcao-deprotecao-para-sua-rede-ADSL> Acesso em: 15 mar. 2010. SANTOS. Luiz Gaspar de F. Uso eficiente do Ipcop firewall. 2006. Disponivel em <http://www.vivaolinux.com.br/artigo/Uso-eficiente-do-IPCOP-firewall> Acesso em: 15 mar. 2010. ROCHA. Neill. Open VPN no Ipcop. 2009. Dsiponivel em <http://neillrocha.redeaberta.com.br/?p=31>. Acesso 23 de maio. 2010. <http://www.urlfilter.net/> Acesso em 13 mar. 2010 <http://www.advproxy.net/> Acesso em 13 mar. 2010 <http://sourceforge.net/apps/trac/ipcop/wiki> Acesso em 13 mar. 2010 30