IPCOP

Tutorial sobre IP COP

Una de las múltiples opciones que mencionábamos aquí para reutilizar un equipo viejo era su reutilización como firewall

e IP Cop era una de las posibilidades descritas. Se trata de una distribución basada en Linux destinada a poner en marcha un cortafuegos para tu
red que podrá ser configurado gracias a la interfaz web que proporciona. Además de las opciones de configuración que oferta (filtrado de
paquetes, asignación de ancho de banda por IP, redes virtuales VPN, etc.), el administrador podrá instalar módulos adicionales (add-on) que lo
dotarán de mayor versatilidad, siendo esto un valor añadido a tener en cuenta. En el caso que nos ocupa, procederemos a instalar los add-on
advproxy, cop filter y url filter.

La instalación de IP Cop no representa ninguna dificultad para cualquier usuario. Deberemos descargar la imagen .iso, en la web oficial, grabarla
en un CD y arrancar el sistema desde éste.

El proceso de instalación no cuenta con interfaz gráfica pero no la necesitaremos ya que es sencillo y breve: tan sólo deberemos leer las
instrucciones que irán apareciendo en pantalla. Si no seleccionamos opciones diferentes de las ofrecidas por defecto en la instalación, IP Cop se
instalará en el disco del equipo y realizará las particiones de modo automático.

Tendremos que atender a una primera adaptación del sistema a nuestras necesidades. Para ello, es necesario observar el siguiente gráfico para
conocer qué configuración necesitamos:

(Clic para ampliar)

En el caso que explicamos, debemos utilizar la opción Green + Red. Ésta nos ofertará acceso a Internet a nuestra red de equipos (vía cable de
red) a través del firewall. Usaremos, pues, 2 tarjetas de red en el equipo IP Cop, con sus respectivas IPs: una para la red interna (green) y otra la
salida a Internet (red). Observando el gráfico anterior, podréis concluir qué tipo de configuración necesitáis.
En mi caso, y sólo para llevar a cabo los primeros pasos de la configuración de IP Cop sin tener que modificar mi red inicialmente, establecí IPs
para la red interna (Green) y externa (Red) dentro del mismo rango de IPs de mi router (192.168.1.X), es decir, por ejemplo, 192.168.1.99 para la
red “tarjeta Green” (la conectada al switch donde se conectan todas las terminales de mi red), 192.168.1.100 para la “tarjeta Red” (la conectada
al módem-router).

Una vez acabado con todo el proceso de actualizaciones e instalaciones desde una terminal remota (dentro de mi red), procedí a asignar una IP
de diferente rango para mi red Green como, por ejemplo, 192.168.0.1. Siguiendo este proceso, y no asignando IPs en mi red por DHCP sino con
IPs privadas fijas, debería configurar todas las terminales de mi red con el nuevo rango 192.168.0.X. Si vais a proceder del mismo modo,
recomiendo dejar esta cuestión para el final. El resultado sería éste:

(Clic para ampliar)

(*) Este paso anterior puede realizarse, obviamente, de otro modo. Como gustéis…

Tras esa explicación previa, seguimos con la instalación de IP Cop: durante el proceso de instalación, seremos cuestionados acerca de nuestras
tarjetas de red. Si mal no recuerdo, al seleccionar Probe debería aparecernos la relación de tarjetas de red detectadas. Posteriormente,
deberemos configurar nuestra interfaz GREEN (ip interna, network mask, dns) y nuestra interfaz RED o, si queremos, dejarlo para más tarde
(podremos acceder a la config tecleando “setup”, una vez IP Cop ya ha sido instalado en el equipo).

(Clic para ampliar)

En el caso que explicamos en este ejemplo, IP Cop estará ante una red con IPs privadas asignadas, sin DHCP, pues. Si las terminales de vuestra
red acceden a Internet vía DHCP, deberéis configurarlo en la opción disponible de IP Cop, en su setup.

Acabada la instalación, ya podremos “meternos en harina”.

(Clic para ampliar)

(*) A tener en cuenta: no preocuparos si no conocéis los datos exactos para vuestra red durante la instalación ya que, como ya hemos dicho,
podremos acceder, de nuevo, a la configuración de IP Cop tecleando la orden “setup” (sin comillas) para encontrar algo parecido a la captura que
veis bajo estas letras.

Para manejarnos ante el prompt de IP Cop también puede resultar útil pulsar un par de veces la tecla tabulador. Si lo hacemos nos aparecerán la
lista de comandos posibles a ejecutar.

Vamos a acceder, a continuación, a la interfaz web de IP Cop. Para ello, en un equipo de la red, abrimos un navegador web y escribimos, en la
dirección web, la IP que hemos asignado a la interfaz GREEN. En mi caso, a modo de ejemplo, escribiré https://192.168.1.99:445. Debería
aparecernos algo parecido a esto:

(Clic para ampliar)

Para el login remoto que estamos utilizando (clicando en Conectar), escribiremos el usuario “admin” y la contraseña que hayamos seleccionado
durante la instalación del sistema.

Deberíamos aprovechar este momento para familiarizarnos con las opciones que vemos en el menú de IP Cop ya que deberemos utilizarlas para
adaptarlo a nuestro gusto y/o necesidades.

Instalación de los add-on:

Nota previa: la instalación del sistema por defecto de IP Cop no requiere de un equipo potente. Sin embargo, si le añadimos funcionalidades con
los add-on necesitaremos más potencia para nuestro equipo si éste es muy modesto. No me resulta posible determinar los requerimientos
de hardware ya que éstos variarán en función de cada add-on instalado y de la red que deba filtrar. Recomiendo la lectura de la documentación de
cada proyecto para ir sobre seguro en esta cuestión.

Los add-on que pueden ser instalados en IPCop lo pueden dotar de funcionalidades no encontradas por defecto o, si no es el caso, mejorarlas.
Nos permitirá esto adaptar el firewall a nuestras necesidades y, sin duda, hacernos la vida de administrador de red mucho más fácil.

Se trata de una tarea muy simple, como comprobaréis.

En este caso, procederemos a instalar los add-on Advanced Web Proxy, Copfilter y URL Filter.

El primero nos permitirá estblecer filtros de navegación por tiempo, por tipo de archivo, por navegador (¡no más IExplorer!), por IP, etc, además de
realizar proxy caché, entre otras tareas. Este add-on cuenta con una web estupenda en cuanto a la información ofrecida (english).

El segundo, Copfilter, se encargará de filtrar el spam y virus que puedan llegar por e-mail (POP3, SMTP), por http u otros medios a nuestra red.
Obviamente, lo último es importante si contamos con terminales Windows.

El tercero, URL Filter, nos permitirá denegar el acceso a las webs que establezcamos.

Para más info sobre estos addons y links de descarga, clicad en advproxy.net, copfilter.org y urlfilter.net.
La instalación de éstos es también sencilla. Para empezar, accederemos al menú Sistema – SSH y marcaremos la casilla correspondiente para
habilitar SSH. Procederemos, a continuación, a descargar el add-on que deseamos instalar y, con Filezilla (por ejemplo) podremos enviarlo al
equipo IP Cop. ¿Cómo? En la casilla “Servidor” escribiremos:

sftp://192.168.1.99:222 (la IP Green + puerto utilizado por IP Cop para SSH)

El usuario será “root” y la contraseña, la que hayamos asignado antes.

Obviamente, si tenemos acceso local al equipo IP Cop, esto no será necesario pero sí lo será si estamos en remoto o nos resulta más sencillo así.

Para acceder vía SSH desde la terminal, deberemos usar la siguiente orden:

ssh root@IP_de_la_interfaz_Green -p 222

PuTTY (GPL) puede resultar útil para aquellos usuarios que quieran usar SSH desde terminales con Windows.

- La instalación del add-on:

Descomprimimos el archivo .tar.gz con:

tar zxvf archivo-addon.tar.gz

Nos situamos en el directorio creado y, en él, ordenamos su instalación con:

./install

Para el add-on Cop filter podemos también instalar F-Prot (antivirus). Para ello, descargamos la aplicación para GNU/Linux en la web oficial y
procedemos a instalar del mismo modo que hemos instalados los add-on.

(*) Si encontráis errores con el antivirus clamav y Cop filter, instalad una versión actual del mismo para IP Cop. Podéis descargarla aquí y proceder
a la instalación del modo habitual.

(**) Si os encontráis con que no podéis instalar Cop filter porque “este addon sólo funciona con IP Cop 1.4.x o superiores”, deberéis eliminar el
archivo crontab, situado en /etc, es decir, ejecutar “rm /etc/crontab” (sin comillas).

Como decía, en mi caso, he procedido a instalar los add-on citados. Una vez hecho esto, los encontraríamos disponibles en el menú de IP Cop
(pulsad F5 si ya tenéis una terminal conectada remotamente).

Encontraríamos algo parecido a lo que veis bajo estas letras.

Menú Services (Servicios) — Advanced Proxy:

(Clic para ampliar)

Veréis en la captura que las casillas “Enabled on Green” (activado en Green) y “Transparent on Green” están marcadas. No sucede esto por
defecto. Deberéis activarlo vosotros (Enabled) si lo deseáis.

Queda a vuestra elección, pues, si deseáis que el proxy sea transparente o si deseáis lo contrario. En el primer caso, no deberá el administrador
realizar cambios en las aplicaciones de la red que se conecten a Internet; en cambio, en el modo no transparente, el usuario deberá configurar
todas sus aplicaciones con acceso a Internet del modo correspondiente. Por ejemplo, en el navegador Firefox deberíamos dirigirnos al
menú Herramientas – Opciones – Avanzado – Red – Configuración de la conexión – Configuración manual de proxy.
Menú Copfilter (tiene su propia pestaña):

(Clic para ampliar)

Para comprobar que todo va bien o, si algo va mal, conocer el error, podemos dirigirnos al Menú de monitoreo que encontraremos en  Copfilter –
Monitoring – Monit Service Manager. Se nos abrirá una nueva pestaña en la que veremos algo parecido a esto:

(Clic para ampliar)

Menú Services (Servicios) — URL Filter:

(Clic para ampliar)

Debemos recordar marcar la casilla de activación de URL Filter en las opciones que ofrece Advanced proxy. En la inferior encontraremos esta
casilla, algo parecido a esto:

El bloqueo de páginas puede realizarse de modo general, por categorías, o definido por el usuario, escribiendo los dominios o urls que desea
filtrar. Para este último caso, deberemos marcar la casilla “Enable custom blacklist” (activar la lista negra definida por el usuario), en las opciones
de URL Filter.

Mis conclusiones:

IP Cop, junto a los add-on que he probado, han hecho y hacen un trabajo estupendo. Recibo reportes en tiempo real, por correo electrónico, de la
actividad del equipo; los logs del sistema son simples de interpretar incluso para no entendidos en la materia; las actualizaciones son muy sencillas
de instalar; las opciones que IP Cop ofrece al usuario para adaptarse a sus necesidades son enormes; además, IP Cop ha sido instalado en un
equipo con recursos pobres/medianos y es totalmente estable. En general, la experiencia no puede ser más grata.

Fe de erratas: Algunas capturas tienen la interfaz en inglés y otras, en español. Si tenéis alguna duda al respecto, preguntad en los comentarios.
Recordad que el menú “System” podéis establecer el español como lengua por defecto para la gui.