Apresentao IPCop

Ricardo S 7536, Ruben Carneiro 7855

2 Trabalho Comunicao de Dados

Introduo

Ferramenta de segurana de rede

Direccionado a pequenas e mdias empresas
Porqu da sua necessidade
baixos ndices de produtividade
congestionamento da rede
controlo da utilizao da internet
proteco da rede
segurana dos dados

Utilizao da Firewall

Firewall

Ferramenta de proteco para computadores e redes baseada em

hardware ou de forma mais comum num software.

Anlise do trfego da rede, obedecendo a regras ou instrues

estabelecidas previamente, determinando as operaes de transmisso ou
recepo de dados que podem ser executadas.

Tem por base dois princpios: todo o trfego bloqueado, excepto o que
est explicitamente autorizado e todo o trfego permitido, excepto o que
est explicitamente bloqueado.

Tipos de Firewall

Tipos mais conhecidos de firewall:

Packet Filtering
Regras para filtragem de pacotes
Inspeco por pacote aceitando, ou no, a sua circulao, baseado em
regras previamente definidas pelo utilizador.
Caractersticas :
Bastante Eficaz e transparente
Baixo custo
Simplicidade e flexibilidade,
Boa gestao do trfego
Facilidade na criao de regras.
Vulnervel a ataques que exploram as deficincias do protocolo TCP/IP

Tipos de Firewall
Stateful Inspection
Evoluo da Packet Filtering.
Possui tabela de estados associada tabela de regras, auxiliando desta
forma na tomada de decises.
As conexes so monitorizadas constantemente e um pacote apenas
aceite pela firewall se fizer parte da tabela de estados.

Tipos de Firewall
Proxy

Intermedirio entre o host externo e o host interno.

No permite comunicao directa entre ambos.

Toda a comunicao entre o interior e o exterior da rede realizada atravs

do proxy e s com a autorizao do mesmo possvel a conexo.

IPCop

Firewall do tipo Stateful Firewall.

Distribuio Linux stand-alone.
Software open source com licena GPL.
Configurao intuitiva, simples e automatizada.
Facilidade de manuteno.
Dirigida a pequenas e mdias empresas.
Composio padro oferece imensas funcionalidades, tais como,
Servidor Proxy, DHCP, NTP, DNS, SSH, ferramentas de conexo VPN,
alm da possibilidade de gerar relatrios de vrios tipo.
Permisso para Add-ons ou plugins normalmente fornecidos por
terceiros.
Software que deve ser instalado numa mquina dedicada como
Firewall, no sendo recomendvel a sua instalao numa mquina com
outro sistema operativo, pois esta instalao ir eliminar todos os
dados do HD.

Origem do IPCop

Derivao de outro software para Linux, denominado de Smoothwall,

desenvolvido por um grupo de programadores Linux, no ano de 2000, de
forma a apresentar uma soluo firewall do tipo stand-alone.

O objectivo era transformar um computador de baixos recursos, numa

poderosa e robusta firewall Linux, de fcil gesto e apresentada de forma
simplis atravs de um interface web, eliminando o conhecimento das linhas
de comando do terminal Linux para execuo de tarefas e rotinas de
administrao.

O crescimento do software desenvolvido e o sucesso obtido pelo mesmo,

levou a que alguns dos seus programadores apostassem na criao de
uma verso comercial. Apesar de continuarem a oferecer uma verso GPL
do Smoothwall, os programadores enveredaram por um maior esforo na
implementao de diversas melhorias neste produto, sendo notrias as
diferenas entre ambas as verses agora oferecidas pelo grupo.

Origem do IPCop

Devido discordncia de alguns programadores, que se mantinham comprometidos

com a distribuio de uma firewall bem desenvolvida e regida pela GPL, novo grupo
foi formado, criando um novo projecto, baseado na verso 0.9.9.9 da Smoothwall GPL,
denominado por IPCop.

Este grupo de programadores implementou regras de forma a manter o

desenvolvimento do IPCop em cdigo fonte aberto, o que tem permitido uma enorme
evoluo do software, regras essas que todos os seus membros tem de obedecer :
- Fornecer uma distribuio de firewall estvel.
- Fornecer uma distribuio de firewall seguro.
- Fornecer uma distribuio de firewall que seja software livre.
- Fornecer uma distribuio de firewall altamente configurvel.
- Fornecer suporte confivel.
- Fornecer condies de forma a utilizador discutir e receber ajuda.
- Fornecer updates/patches estveis, assegurando a fcil implementao.
- Adpatar o IPCop s necessidades da internet.

Recursos do IPCop

Web Interface:

Apresenta interfaces simples, fceis de utilizar e bastante intuitivos. Os seus

programadores optaram por um interface baseado num site, sendo que a maioria das
funes da gesto da Firewall consistem em preencher formulrios simples.

Recursos do IPCop

Network Interfaces:

IPCop fornece at quatro interfaces de rede.

Recursos do IPCop

The Green Network Interface:

O segmento The Green Network de uma implementao IPCop representa

a rede interna, e implicitamente confivel. Uma firewall IPCop permitir
automaticamente todas as ligaes deste segmento para todos os outros
segmentos.

Recursos do IPCop

The Red Network Interface:

Esta interface representa a Internet ou um segmento de rede no confivel.

O Objectivo principal do IPCop Firewall proteger os segmentos Green, Blue e Orange, os seus Hosts e
trfego do segmento Red Network.Este segmento normalmente bem protegido e no vai abrir grande
nmero de portas para os segmentos da rede interna.

No IPCop, esta interface The Red Network o nico segmento que suporta outros hardwares alm do
Ehternet Network Card (NIC).

Este segmento pode ser uma interface de rede Ethernet alocada estaticamente ou usando DHCP, pode ser
um modem USB ADSL, uma placa RDIS ou mesmo uma conexo dial-up com modem analgico.

Outros hardwares que o IPCop suporta nesta interface:

USB e PCI ADSL MODENS

ISDN MODENS

Analog (Pots) Modems

Cable e Satellite Internet

Recursos do IPCop
The Orange Network Interface
Esta interface, opcional, concebida como uma rede DMZ. O termo DMZ assume-se
como um segmento de rede entre a rede interna de uma empresa e uma rede externa tal
como a Internet.
A DMZ considerada um segmento de rede no confivel, perdendo apenas para a
interface The Red Network. Hosts neste segmento no podem conectar-se directamente
The Green Network ou The Blue Network, todo o trfego do segmento The Orange
Network para esses segmentos devem ser explicitamente permitidos pela DMZ.
nesta rede no confivel, mas segregada, que uma organizao geralmente coloca o
servios destinados a enfrentar o mundo, como um servidor (que atende a clientes de
fora para solicitaes de sites), ou um servidor de correio electronico (SMTP, para
realizar as conexes de entrega de mensagens)

Recursos do IPCop

The Blue Network Interface

A interface The Blue Network, tambm ela opcional, projetada especificamente

para um segmento wireless. Hosts neste segmento no podem chegar The Green
Network a no ser atravs de uma forma semelhante The Orange Network.

O IPCop tambm permite a capacidade de conectar-se The Green Network atravs

de uma Virtual Private Network, permitindo os utilizadores aceder plenamente aos
recursos neste segmento de rede.

Caso sejam necessrios mais hosts do que os disponveis na The Green Network, o
segmento The Blue Network pode ser utilizado como uma sub-rede.

Recursos do IPCop

Simple Administration Monitoring

Sistema simples de actualizao gerida a partir do interface web

No existe necessidade de efectuar login na consola do Linux para actualizao ser
realizada.
Caso o utilizador pretenda fazer login na consola do Linux e realizar as alteraes
pretendidas, as mesmas podem ser efectuadas, usando SSH(Secure Shell, protocolo de
rede que permite a conexo com outro computador na rede de forma a permitir execuo
de comandos de uma unidade remota).
Realizao de backups ou restauro de configuraes a partir desta mesma interface.
Rapidamente podemos aceder a informaes importantes do sistema, atravs de um shell
interactivo, sem efectuar login no mesmo.
Logs tambm podem ser vistos usando o visualizador de log baseado em web, o que
significa que podemos controlar o sistema facilmente.
O IPCop tambm tem a capacidade de exportar esses logs para um servidor syslog
remoto gerindo de forma simplificada a agregao de registo, principalmente se existirem
alguns dispositivos para monitorizar.

Recursos do IPCop

Modem Settings

Um dos recursos do IPCop a possibilidade de suportar vrios tipos de modems,

permite drivers adicionais para modens no suportados por padro. Esta uma das
caracteristicas mais originais do IPCop e uma das razes da sua perfeita utilizao
em redes do tipo SOHO (Small Office / Home Office).

Recursos do IPCop

Services

IPCop fornece uma variedade de servios essenciais para uma pequena rede. No
uma das melhores prticas prestar todos esses servios de firewall no mesmo local
quando suposto ser um mecanismo de proteo de rede, mas em redes pequenas
muito til ter todos os servios bsicos de rede fornecidos por uma nica mquina.

Recursos do IPCop

Web Proxy

O IPCop pode ser utilizado como proxy. Permite com enorme facilidade gerir o cache
e configurar o proxy na interface The Green Network.

Recursos do IPCop

DHCP

A configurao do protocolo Dinamic Host Configuration Protocol (DHCP) no IPCop,

facilita o fornecimento dos servios de DHCP para os utilizadores na interface The
Green Network, pois o mesmo ir permitir qua a maioria dos computadores possam
conectar-se rede e ter acesso automtico internet sem a necessidade de
qualquer configurao no host.

Recursos do IPCop

Dynamic DNS

Utilizando um sistema de DNS dinmico, um pequeno software dentro da firewall

actualizar um servidor na internet (um servidor DNS dinmico) com o endereo IP,
redireccionando ainda um hostname fixo (como yourname.dynamicdnsprovider.com)
para todo o lado em que o endereo IP se encontrar. Se a conexo for efectuada
remotamente, a mesma ser conectada a este dinmico DNS hostname e ir
perfeitamente para o IP actualizado atravs do servidor DNS dinmico.

Uma vez que estes servios exigem a atualizao constante de um servidor com o
seu atual endereo de IP, o uso de DNS dinmico requer um computador ou outro
dispositivo que esteja continuamente a executar o software ligado ao servidor.

Recursos do IPCop

Time Server

O IPCop fornece o servio Network Time Protocol (NTP), de forma a manter todos os

hosts da rede sincronizados.

Usando este protocolo, o servidor do IPCop conecta-se a um timeserver na internet,

a partir do qual verifica a hora correcta. De seguida, mantem esta hora internamente
utilizando o relgio do computador passando a funcionar como um servidor NTP para
clientes dentro da rede.

Recursos do IPCop

Advanced Network Services

Modelao de trfego e deteco de intruso so servios de rede bastante

avanados que normalmente no se encontram na maioria dos dispositivos SOHO.
IPCop no s fornece estes, mas tambm torna-os muito fceis de gerir.

Recursos do IPCop

Post Forwarding

Esta uma caracterstica que bastante comum em firewall de SOHO para grandes
empresas. Os benefcios do IPCop aqui so de dois tipos. Em primeiro lugar, no
temos quaisquer limitaes quanto ao nmero de encaminhamentos que podem ser
adicionados e em segundo lugar, so de muito fcil de configurao.

Recursos do IPCop

Virtual Private Networking

A Virtual Private Networking permite juntar-se a mais redes atravs da Internet com
um (virtual) link privado. Esta uma das principais caractersticas do IPCop, o que
significa que ele pode tambm ser utilizado num negcio de tamanho mdio, e no
apenas numa rede do tipo SOHO.

Recursos do IPCop

ProPolice Stack Protection

O IPCop foi construdo para usar ProPolice, que um mecanismo usado para
proteger os servios na firewall que possam ser atacados atravs da Internet. A
proteco stack fornecida pelo ProPolice um mecanismo bastante eficaz para
impedir um tipo particular de vulnerabilidade comum em servios de rede.

Concluso
Ricardo S 7536, Ruben Carneiro 7855
2 Trabalho Comunicao de Dados