UNIVERSIDAD MAYOR REAL Y PONTIFICIA DE SAN

FRANCISCO XAVIER DE CHUQUISACA

FACULTAD DE TECNOLOGIA

“FIREWALL IPCOP”

CARRERA: Ing. De Telecomunicaciones

MATERIA: SEGURIDAS DE REDES

DOCENTE: Ing. Marco Antonio Arenas

UNIVERSITARIA: Caba Contreras Mayda Lisbeth

Sucre 1/2016
 FIREWALL IPCOP SCO-510

Contenido
FIREWALL IPCOP .................................................................................................................................. 2
1. Introducción. ............................................................................................................................ 2
2. Objetivos. .................................................................................................................................. 2
2.1. Objetivo general. .............................................................................................................. 2
2.2. Objetivo específico. .......................................................................................................... 2
3. Marco teórico. .......................................................................................................................... 2
3.1. Antecedentes. ...................................................................................................................... 2
3.2. ¿Qué es Ipcop? .................................................................................................................... 3
3.3. Características. .................................................................................................................... 4
3.3.1. VERDE: .......................................................................................................................... 4
3.3.2. AZUL .............................................................................................................................. 4
3.3.3. NARANJA: ...................................................................................................................... 4
3.3.4. ROJO: ............................................................................................................................ 4
3.4. Funciones principales de IPCop .......................................................................................... 5
3.5. Trafico entre interfaces. ...................................................................................................... 5
3.6. Políticas de Interfaz ............................................................................................................. 7
3.7. Cambios en la v2.0 .............................................................................................................. 8
3.8. Beneficios que nos brinda las interfaces de IPCop. .......................................................... 8
4. Beneficios de un firewall ......................................................................................................... 9
5. Código de colores utilizado por IPCop . ............................................................................... 10
6. Políticas de un firewall.......................................................................................................... 10
7. Conclusiones. ........................................................................................................................ 11
Bibliografía ........................................................................................................................................ 11

1
 FIREWALL IPCOP SCO-510

FIREWALL IPCOP
1. Introducción.
En el mundo de la informática, las telecomunicaciones e Internet en el que todos
estamos inmersos, en las que aún hay personas que creen que el internet viene solo y
estará ahí. Las cuales desconocen el funcionamiento de los dispositivos que están en
la red. Como por ejemplo los router, Switch, etc.
La seguridad es una característica de cualquier sistema ya sea informático o no, que
nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como
peligro o daño todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de
seguridad en la informática es utópico porque no existe un sistema 100% seguro.
IPCop permitirá mantener al margen a los usuarios no-autorizados (tales, Como:
hackers, crakers, vándalos, y espías) fuera de la red y proporcionar la protección para
varios tipos de ataques posibles, asegurando el activo más importante que es la
información.
Ratificando así nuestro objetivo de instalar y configurar la aplicación de un firewall
para imponer una política de seguridad en una o varias PC’s interconectadas en red.

2. Objetivos.
2.1. Objetivo general.

 Investigar que es un firewall IPCop, su importancia en el mundo de la

seguridad, las políticas, para poder brindar un buen servicio al cliente.

2.2. Objetivo específico.

 Definir las características.

 Entender el funcionamiento de este firewall
 Mencionar beneficios que nos brindara.

3. Marco teórico.

3.1. Antecedentes.

IPCop creció por múltiples necesidades. La primera de esas necesidades era la

protección segura de nuestras redes personales y comerciales. Cuando IPCop
empezó, en Octubre de 2001, había otros cortafuegos disponibles. De todas formas,

2
 FIREWALL IPCOP SCO-510

el equipo que empezó IPCop sentía que las otras dos necesidades que IPCop cubre
no estaban conseguidas; GPL y un sentido de comunidad.
El grupo fundador de IPCop decidió hacer las cosas de forma diferente y ramificó el
código GPL de un cortafuego existente para empezar uno nuevo, cuidando de
mantener las necesidades de la comunidad de usuarios en primer término. Entre estas
necesidades está la capacidad del usuario para hacer su propio IPCop, para instalar
mejoras, para simplemente aprender viendo lo que otros han hecho. A través de estas
necesidades es donde el desarrollo aporta mejoras a IPCop, escuchando directamente
y viendo lo que se ha hecho y el porqué.10 años después, millones de descargas y un
número incontable de instalaciones por todo el mundo, se ha liberado una nueva
versión de IPCop. Con IPCop v2.0.0, se han añadido algunas cosas estupendas, una
interfaz rediseñada y un cortafuegos de salida, por nombrar algunas.

3.2. ¿Qué es Ipcop?

IPCop es una distribución Linux que implementa un cortafuego (o firewall) y
proporciona una simple interfaz web de administración basándose en una
computadora personal. Originalmente nació como una extensión (fork) de la
distribución SmoothWall cuyo desarrollo había estado congelado bastante tiempo.
IPCop tiene como objetivos ser un cortafuegos sencillo, con pocos requerimientos
hardware orientado a usuarios domésticos o a pequeñas empresas (SOHO),
administrado a través de una interfaz web, con funcionalidades basicas y avanzadas,
yendo (a manera de ejemplo) desde el simple filtrado de paquetes hasta la asignación
de ancho de banda fijo a cada puesto de trabajo o la configuración de redes virtuales
VPN. IPCop se actualiza desde el Interfaz Web de manera muy sencilla, incluyendo
actualizaciones del Kernel.
IPCop tiene instaladas las herramientas justas para su función como firewall,
limitando el daño que podría hacer un intruso que comprometiera el sistema. Si se
desea ampliar la funcionalidad existen extensiones, comunes con SmoothWall, que
permiten instalar todo tipo de utilidades como por ejemplo instalar Nmap para
escanear IPs.
La distribución Linux se puede bajar desde el sitio oficial en inglés, consiste de una
imagen ISO de menos de 100Mb la cual puede ser grabada en un CD e instalada en
cualquier PC que tenga al menos dos interfaces de red.
Topologías de red soportadas: Permite la implementación de diferentes topologías de
red, ya sea desde la simple LAN que sale a internet, hasta la creación de una zona
desmilitarizada (DMZ), soportando también la inclusión de una red inalámbrica.

3
 FIREWALL IPCOP SCO-510

3.3. Características.
Requiere de un hardware dedicado y permite gestionar el acceso a Internet, la
seguridad y la interacción de hasta cuatro redes distintas que, en el lenguaje del
IPCop, se denominan VERDE, AZUL, NARANJA y ROJO. Las mismas tienen las
siguientes características:
3.3.1. VERDE: Esta interfaz es de la red LAN o red de área local. Aquí es donde
conectaremos todos nuestros equipos que necesiten mayor protección, como
servidores que no tengan que tener presencia en Internet y puestos de trabajo.
Los dispositivos que se encuentren conectados a esta interfaz tendrán acceso
irrestricto a las interfaces ROJO, AZUL y NARANJA, o sea que podrán salir
a Internet (y conectarse a los equipos que se encuentren en cualquiera de
estas otras tres redes) por cualquier puerto, pero a su vez los equipos de la
interfaz ROJO (equipos en Internet) no pueden iniciar conexiones a ningún
equipo que se encuentre en las interfaces VERDE, AZUL y NARANJA. En
otras palabras, estarán protegidos del exterior, en el sentido que no son
accesibles desde Internet.
3.3.2. AZUL: Es la interfaz que se asigna normalmente para conectar un access
point de modo que se puedan conectar dispositivos inalámbricos. De todas
maneras sirve para conectar cualquier otra red que se necesite sea esta
inalámbrica o no. Los dispositivos que se encuentren en esta red, no podrán
iniciar una conexión a los dispositivos que se encuentren en la interfaz
VERDE, pero salvo esta excepción, contarán con el mismo nivel de acceso y
protección que cuentan los dispositivos conectados a la interfaz VERDE No
es necesario activar esta interfaz en una instalación de IPCop si no se cuenta
con más de una red, o no se va a utilizar un router inalámbrico.
3.3.3. NARANJA: Esta es la interfaz que se utilizará para montar una DMZ o
zona desmilitarizada. Principalmente se utiliza para montar servidores web,
de correo, de ftp, etc. que deban tener presencia en Internet; o sea que sean
accesibles desde Internet, pero que en el caso que se produzca alguna
intrusión a algún equipo de esta red, eso no comprometa la seguridad de
nuestra red interna (VERDE). Los equipos que formen parte de la red
NARANJA no podrán iniciar conexiones a ninguno de los dispositivos que
se encuentren en las interfaces VERDE y AZUL. No es necesario activar esta
interfaz en una instalación de IPCop si no se piensa utilizar una DMZ.
3.3.4. ROJO: Es la interfaz de red que nos conectará directamente a nuestro
proveedor de Internet. Puede ser una conexión ADSL, cable modem, una
línea dedicada o hasta inclusive un modem telefónico común. Obviamente
que por razones de ancho de banda esta última opción es desaconsejable,
pero es perfectamente factible tenerla configurada para una contingencia en

4
 FIREWALL IPCOP SCO-510

la cual nuestro proveedor de Internet tenga inconvenientes para brindarnos

nuestro vínculo habitual, pero si este operativo el acceso dialup. Cualquier
instalación de IPCop contará con esta interfaz habilitada. (Soporta tanto
dispositivos ethernet como USB) Como aclaración cabe destacar que los
equipos que están en la misma red, ya sea esta VERDE, AZUL O
NARANJA, tienen la posibilidad de iniciar conexiones entre ellos.
EN RESUMEN:
Las diferentes zonas las divide en colores, siendo:
Roja (Red) = zona de Internet, Verde (Green) = Red de Área Local (LAN)
cableada, Naranja (Orange) = zona desmilitarizada (DMZ, para la granja de
servidores), Azul (Blue) = zona inalámbrica (Wireless).

3.4. Funciones principales de IPCop

Estas funciones son las que controlan cómo pasa el tráfico a través de los
cortafuegos:
 Ajustes del Cortafuegos
 Filtro de Direcciones
 Servicios
 Grupos de Servicios
 Direcciones
 Grupos de Direcciones
 Interfaces
 Reglas del Cortafuegos

3.5. Trafico entre interfaces.

El modelo de seguridad de IPCop es que la red VERDE es completamente confiable y
cualquier petición desde esta red, ya sea iniciada por un usuario o por una máquina
infectada por un virus, troyano u otro “malware” es legítima y permitida para IPCop.
Una nueva característica de IPCop, permite asignar políticas para cada interfaz de red.
Esto hace posible permitir sólo un tráfico específico a ROJA y a IPCop.
El orden de confianza de las redes, de menor a mayor es:
ROJA→NARANJA→AZUL→VERDE
En las siguientes tablas se listara el comportamiento entre interfaces y hacia IPCop
dependiendo de la política configurada y el tipo de regla requerido para permitir (o
denegar) el tráfico.

5
 FIREWALL IPCOP SCO-510

Tabla para VERDE

Origen Política Destino Tipo de regla

Abierto para Servicios
VERDE Abierta IPCop Acceso a IPCop
conocidos
VERDE Abierta ROJA Abierto Saliente
VERDE Abierta NARANJA Abierto Interno
VERDE Abierta AZUL Abierto Interno
Semi- Abierto para Servicios
VERDE IPCop Acceso a IPCop
Abierta conocidos
Semi-
VERDE ROJA Cerrado Saliente
Abierta
Semi-
VERDE NARANJA Cerrado Interno
Abierta
Semi-
VERDE AZUL Cerrado Interno
Abierta
VERDE Cerrada IPCop Cerrado Acceso a IPCop
VERDE Cerrada ROJA Cerrado Saliente
VERDE Cerrada NARANJA Cerrado Interno
VERDE Cerrada AZUL Cerrado Interno

Las interfaces IPsec y Open VPN son iguales a VERDE y su comportamiento es el mismo.

Tabla para ROJO.

Origen Política Destino Tipo de regla

ROJA Cerrada IPCop Cerrado Acceso Externo
ROJA Cerrada VERDE Cerrado Reenvío de puertos
ROJA Cerrada NARANJA Cerrado Reenvío de puertos
ROJA Cerrada AZUL Cerrado Reenvío de puertos

Tabla para AZUL

Origen Política Destino Tipo de regla

AZUL Abierta VERDE Cerrado Interno
AZUL Abierta IPCop Abierto para Servicios conocidos Acceso a IPCop
AZUL Abierta ROJA Abierto Saliente
AZUL Abierta NARANJA Abierto Interno
AZUL Semi-Abierto VERDE Cerrado Interno
AZUL Semi-Abierto IPCop Abierto para Servicios conocidos Acceso a IPCop
AZUL Semi-Abierta ROJA Cerrado Saliente
AZUL Semi-Abierta NARANJA Cerrado Interno
AZUL Cerrada VERDE Cerrado Interno
AZUL Cerrada IPCop Cerrado Acceso a IPCop
AZUL Cerrada ROJA Cerrado Saliente
6
 FIREWALL IPCOP SCO-510

AZUL Cerrada NARANJA Cerrado Interno

Tabla para NARANJA

Tipo de
Origen Política Destino
regla
NARANJA Abierta VERDE Cerrado Interno
NARANJA Abierta IPCop Cerrado -
NARANJA Abierta ROJA Abierto Saliente
NARANJA Abierta AZUL Cerrado Interno
NARANJA Cerrada VERDE Cerrado Interno
NARANJA Cerrada IPCop Cerrado -
NARANJA Cerrada ROJA Cerrado Saliente
NARANJA Cerrada AZUL Cerrado Interno

3.6. Políticas de Interfaz

La segunda sección muestra las interfaces activas en el momento y sus ajustes de
registro y política.

Para cada interfaz hay varios ajustes, el primero (y más importante) es la política.
Hay tres políticas:
Abierta. Esto abre una interfaz a interfaces de igual y menor seguridad. Esto
también abre el acceso a los servicios de IPCop.
Semi-Abierta. Esto abre el acceso a los servicios de IPCop.
Cerrada. Cierra completamente una interfaz. Si se necesita acceso desde una
interfaz "cerrada" se debe crear una regla específica.
Nota
No hay política semi-abierta para Naranja.
Solamente hay política cerrada para Roja.
Registro. Con un simple click se puede deshabilitar el registro de una interfaz. (Esto
evita llenar su disco duro con intentos de 'ataques' bloqueados desde Internet).
Marque la casilla de nuevo para activar el registro.
Acción de negación por defecto. Rechazar o descartar.
La recomendación es emplear Descartar para Roja, y Rechazar para el resto de
interfaces.

7
 FIREWALL IPCOP SCO-510

Descartar, descarta un paquete silenciosamente. Rechazar, rehusa un paquete y envía

un mensaje ICMP 'puerto no alcanzable' de vuelta al origen.
Probablemente no quiera usar Rechazar para paquetes que vengan desde Internet, ya
que potencialmente puede llevar a un DoS (negación de servicio).
Para interfaces internas es una buena idea utilizar Rechazar. El cliente recibe un
mensaje de error inmediatamente y no tiene que esperar a un 'timeout'.
Filtro de Direcciones. Si el control por Filtro de Direcciones está activado, sólo
aquellos clientes que estén en la lista de Filtro de direcciones tendrán acceso,
dependiendo de la política.
Los clientes que no estén en la lista de Filtro de Direcciones sólo pueden usar DHCP
y abrir túneles IPsec y/o OpenVPN.
Si el control por Filtro de Direcciones no está activado, todos los clientes tendrán
acceso, dependiendo de la política.
Esto sólo se aplica si tiene una interfaz de red Azul instalada.
Acción. Pinche en el icono del lápiz amarillo para editar una política.

3.7. Cambios en la v2.0

Acceso a IPCop. IPCop ya no acepta todos los paquetes enviados desde interfaces
internas, sino únicamente paquetes para servicios que IPCop conoce (DHCP, DNS,
NTP, Proxy, IPsec, OpenVPN).
Reenvío de puertos. El reenvío de puertos ahora se controla en la página Reglas del
Cortafuegos.
Acceso externo. El acceso externo se controla también en la página Reglas del
Cortafuegos.
DMZ Pinholes. Se pueden crear entre redes en la página Reglas del Cortafuegos.
Acceso Azul. El acceso a la red Azul aún se puede controlar en la página Filtro de
Direcciones. Además, ahora es posible desactivar los controles completamente
editando la política de la interfaz en la página Ajustes del Cortafuegos.
Opciones del Cortafuegos. La posibilidad de desactivar las respuestas a ping desde
ciertas interfaces ya no está disponible. Si quiere desactivar la respuesta a ping,
necesita crear una 'Regla de Cortafuegos' con la acción 'Drop' para ping.

3.8. Beneficios que nos brinda las interfaces de IPCop.

 Filtros de red IP Tables

 Soporte para discos IDE, SATA, SCSI y CF (Disk on a Chip). Con RAID por
software opcional.
 Soporte para cuatro redes:
 VERDE — Red interna de confianza

8
 FIREWALL IPCOP SCO-510

 AZUL — Red inalámbrica semi-confiable (puede usarse como una

segunda VERDE)
 NARANJA — DMZ para servidores accesibles desde Internet
 ROJA — La red conectada a Internet mediante:
 Módem analógico
 RDSI
 Conectado a una tarjeta de red:
 Módem DSL
 Cable Módem
 Conectado por USB (con el driver adecuado):
 Módem DSL
 Cable Módem
 Soporte para Múltiples IPs “Real” en ROJA cuando se usan IPs estáticas.
 Soporte de cliente DHCP en ROJA para recibir una IP del ISP, también
soportando la actualización de un DNS dinámico cuando esta IP cambia.
 Servidor DHCP para VERDE y AZUL para simplificar la configuración y el
mantenimiento de la red.
 Servidor y cliente NTP para ajustar el reloj de IPCop y proveer un reloj
común para las redes VERDE y AZUL.
 Red Privada Virtual (VPN) para permitir a múltiples localizaciones actuar
como una única gran red.
 Red Privada Virtual (VPN) para permitir a los usuarios remotos acceder a la
sede principal (Road Warrior).
 Un Proxy tanto para navegar la Web como DNS permite una respuesta de
conexión “más rápida” y una configuración de red simplificada.
 La Administración tras la carga inicial es mediante una interfaz Web segura,
que incluye:
 Gráficos de rendimiento de CPU, memoria y disco, así como de
tráfico de red
 Vista de registros con autorotación.
 Soporte multilenguaje.
 Uso de equipos antiguos. 486 o superior, tamaño de disco mínimo de 512
MB y al menos 64 MB de RAM.

4. Beneficios de un firewall

 Administrar los accesos posibles del internet a la privada.

 Evita el ataque de otros servidores en el internet.
 Permite al administrador de la red definir un “choke point”, mantenimiento al
margen los usuarios no- autorizados (tal como hackers, crakers, vándalos,
etc) fuera de la red.
 Prohibir potencialmente la entrada o salida de archivos sospechosos en la red
 Proporciona protección para varios tipos de ataques posibles

9
 FIREWALL IPCOP SCO-510

 Simplificar los trabajos de administración, una vez que se consolida la

seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los
servidores que integran la red privada.
 Ofrecer un punto donde la seguridad puede ser monitoreada y si aparece
alguna actividad sospechosa, generar una prevención ante el riesgo de que
ocurra un ataque, o suceda algún problema en el manejo de la información.
 Monitoreo y registra el uso de servidores de WWW y FTP, internet.

5. Código de colores utilizado por IPCop .

El código de colores es lógico y representa un entorno continuo de acceso a la red.

Estructurado de la siguiente manera:

6. Políticas de un firewall

El sistema firewall debe tener en cuenta estas dos políticas:

a) “No todo lo específicamente permitido está prohibido”

Un firewall puede obstruir todo el tráfico y cada uno de los servicios o aplicaciones
deseadas necesariamente para ser implementadas básicamente caso por caso. Es
recomendado únicamente a un limitado un, pero de servicios soportados
cuidadosamente seleccionados en un servidor.

La desventaja es que el punto de vista de "seguridad" es más importante que - facilitar

el uso - de los servicios y estas limitantes numeran las opciones disponibles para los
usuarios de la comunidad.

b) "Ni todo lo específicamente prohibido está permitido"

Un firewall puede trasladar todo el tráfico y que cada servicio potencialmente

peligroso necesitara ser aislado básicamente caso por caso. Esto crea ambientes más
flexibles al disponer más servicios para los usuarios de la comunidad.
10
 FIREWALL IPCOP SCO-510

La desventaja de esta postura se basa en la importancia de "facilitar el uso" que la

propia seguridad - del sistema. También además, el administrador de la red esta en
su lugar de incrementar la seguridad en el sistema conforme crece la red.

Desigual a la primera propuesta, esta postura está basada en la generalidad de

conocer las causas acerca de los que no tienen la habilidad para conocerlas.

Si no se cuenta con la información detallada de la política a seguir, aunque sea un

firewall cuidadosamente desarrollado, estará exponiendo la red privada a un posible
atentado.

7. Conclusiones.

El firewall IPCop es un buen opción para brindar mayor seguridad y flexibilidad

para instalaciones en pequeñas oficinas de casa, se podría decir que IPCop tiene
características avanzadas y se hacen más frecuentes en instalaciones pequeñas o
medianas.
Podemos decir que IPCop intenta imitar a los firewalls en su concepto como una
aplicación que cumple la única función de ser firewall pudiendo administrarse casi
en su totalidad de forma remota. Además es útil para brindar seguridad en una red
ofreciendo los servicios de Proxy, DHCP lo que facilita a la que la red interna se
convierta más vulnerable.

Bibliografía
ANONIMO. (s.f.). Recuperado el 26 de MAYO de 2016, de
http://www.ipcop.org/2.0.0/es/admin/html/WhatIs.html

anonimo. (2001). proyecto IPCop. Recuperado el 28 de mayo de 2016, de proyecto IPCop:

http://www.ecured.cu/IPCop

Narvaez, C. C. (s.f.). FIREWALL Y SEGURIDAD EN INTERNET MEDIANTE IPCOP.

Recuperado el MAYO de 2016, de FIREWALL Y SEGURIDAD EN INTERNET
MEDIANTE IPCOP: http://dspace.uazuay.edu.ec/bitstream/datos/2251/1/05726.pdf

Sanches, J. A. (s.f.). Instalacion de un router con funciones de firewall, VPN, proteccion de

ataques, antiespam y antivirus con IPCop. Recuperado el 27 de mayo de 2016, de
Instalacion de un router con funciones de firewall, VPN, proteccion de ataques,
antiespam y antivirus con IPCop:
https://www.alferez.es/documentos/Instalacion_IPCOP.pdf

wikipedia. (26 de mayo de 2016). wikipedia. Recuperado el 27 de mayo de 2016, de

wikipedia: https://es.wikipedia.org/wiki/IPCop

11