CEO, p. 169 (arriba), Cortafuegos IPCOP
Anuncio
6 Interconexión de equipos y redes - Documentos Ejemplo: Comprender el funcionamiento de IPCOP, un cortafuegos con licencia GNU IPCOP es una distribución Linux muy especial, porque tiene el sistema operativo mínimo para gestionar un enrutador con cortafuegos y, además, con licencia GNU. Aunque existen versiones de IPCOP para instalar sobre un sistema Linux completo, lo habitual es que se utilicen distribuciones completas en las que se descarga de su sede web oficial (www.ipcop.org) un único fichero que contiene una imagen de un sistema completo, listo para quemar en un CD. Sobre IPCOP se pueden instalar otros complementos (denominados addins) que amplían la funcionalidad del enrutador básico. Para instalar un IPCOP necesitamos una máquina (no es necesario que tenga unas grandes prestaciones) que tenga un conjunto de interfaces de red (entre dos y cuatro). Las dos redes principales, que siempre deben existir representan a la red local (que se desea proteger), que se identifica en IPCOP con el nombre red GREEN (verde), y a la red externa (normalmente Internet), que viene identificada con el nombre red RED (roja). Aunque es opcional, cabe la instalación de otras dos redes NARANJA y AZUL, que se corresponderían con una red desmilitarizada y una red inalámbrica, respectivamente. IPCOP organiza el enrutamiento entre estas cuatro redes y vigila los accesos entre ellas. Se puede gestionar abriendo consolas con líneas de comandos como la que aparece en la Figura 1 a la izquierda o mediante una página web que incorpora. Consola de terminal para gestión de IPCOP (shell de Linux) Página web de gestión de IPCOP El proxy aceptará peticiones desde clientes en la red GREEN Puerto por el que se escucharán peticiones en la red GREEN Dirección IP y puerto del proxy encadenado al que se redirigirán las peticiones de la red GREEN Fig. 1. A la izquierda, imagen de la consola de un IPCOP, virtualizado sobre VMWare. A la derecha, ficha de configuración del servidor proxy de IPCOP, gestionada desde una página web externa al sistema. Redes Locales 1-5 6 Interconexión de equipos y redes - Documentos Comentario de figura: En la figura vemos que el acceso desde la red GREEN a Internet se realizará utilizando IPCOP como servidor proxy por el puerto 8080 (los exploradores de Internet de los clientes deberán configurarse para que apunten a la dirección IP de la red GREEN de IPCOP por el puerto 8080). Además, la salida ser hará reencaminando la salida hacia otro proxy (encadenamiento de proxies) que se encuentra en la dirección 192.168.206.254, también por el puerto 8080. En la parte superior de la página web de gestión de IPCOP se pueden ver los elementos de primer nivel del menú de IPCOP, que nos da una idea de lo que se puede hacer con IPCOP: gestionar el sistema Linux, ver el estado de los diferentes componentes de IPCOP, gestionar las distintas redes, gestionar los servicios, definir las políticas del cortafuegos, convertir IPCOP en un servidor de redes privadas virtuales y gestionar los ficheros de log. IPCOP utiliza algunos servicios Linux para realizar su función; por ejemplo, podemos destacar un servidor web (Web server), un servidor proxy (Proxy server), un servidor de VPN, servicios e detección de intrusiones en la red (Intrusion Detection System, uno por cada red vigilada), un proxy para peticiones DNS (DNS proxy server) y un servidor DHCP (DHCP Server). Fig. 2. Ficha de gestión web para la visualización de los servicios en un servidor de comunicaciones IPCOP. Redes Locales 2-5 6 Interconexión de equipos y redes - Documentos Comentario de figura: La página de STATUS de IPCOP nos ofrece mucha información de control del sistema. En la figura podemos ver en la parte superior el conjunto de servicios que tenemos configurados, algunos están arrancados y otros están parados, así como la cantidad de memoria RAM que están consumiendo los que están corriendo en ese momento. Inmediatamente debajo aparecen las estadísticas de memoria en formato Linux. En tercer lugar tendremos la información correspondiente a los sistemas de ficheros. Seguirán (ya no aparecen en la figura) información sobre el tiempo de uso del sistema, los módulos Linux cargados en el sistema e información sobre el núcleo del sistema Linux (kernel). Como IPCOP es básicamente un enrutador al que se le ha añadido un firewall, la gestión de recursos de ancho de banda es muy importante. IPCOP gestiona estos datos sobre el tráfico con un sistema gráfico y guarda estadísticas de conexiones por el tiempo que le digamos. Obviamente cuanto más guardemos, mayor tendrán que ser los discos que hayan de ponerse en el sistema en tiempo de instalación. Fig. 3. A la izquierda, visualización del tráfico en la red externa (RED) y en la red interna (GREEN) en un servidor IPCOP. A la derecha, detalle de algunos parámetros sobre los accesos de red. Redes Locales 3-5 6 Interconexión de equipos y redes - Documentos Comentario de figura: A la izquierda tenemos el gráfico sobre el tráfico generado en las dos redes que tiene definidos esta instalación concreta de IPCOP (red RED y red GREEN). Esta estadística puede consultarse por días, semanas, meses y años. Además, el sistema nos indica los promedios de tráfico en el período que se visualiza, tanto de entrada (Average In) como de salida (Average Out). A la derecha tenemos una ventana con un gráfico que representa una estadística de accesos TCP (los accesos típicos de navegación de páginas web). Como IPCOP incorpora un servidor proxy, utilizará su memoria caché de proxy para economizar ancho de banda en la red externa. Esta ventana también nos da un promedio de aciertos en el uso de la memoria caché. Si el tráfico es muy intenso, es posible que generemos un cuello de botella en el sistema Linux en que se basa IPCOP. Ésta es la razón por la que IPCOP puede visualizar estadísticas de gestión de CPU, de memoria o de discos. En cualquier caso es difícil que se produzca un cuello de botella en procesador sólo por la acción del enrutamiento. Sin embargo, debemos recordar que sobre IPCOP se pueden instalar addins que amplían su funcionalidad y que pueden ser grandes consumidores de recursos. Antes de instalar en producción uno de estos complementos, debemos probar en laboratorio el impacto que el addin tendrá sobre el rendimiento del sistema. Cada addin puede tener su propia forma de instalación, por eso, cuando se va a instalar uno de ellos hay que consultar la documentación que proporciona el distribuidor del complemento para que pueda ser instalado y configurado correctamente. Fig. 4. A la izquierda, monitorización del sistema IPCOP. A la derecha, detalle de los servicios de antivirus y antispam instalados sobre IPCOP. Redes Locales 4-5 6 Interconexión de equipos y redes - Documentos Comentario de figura: En la página de gestión que aparece a la izquierda tenemos gráficos semejantes a los de tráfico pero sobre recursos locales del sistema: CPU y consumo de memoria. A la derecha podemos ver la página de gestión de un addin instalado sobre IPCOP. Se trata de COPFILTER, que se encarga de gestionar un antivirus y un antispam para navegación web, descargas ftp y correo POP y SMTP. Redes Locales 5-5
