Arquivos históricos do BR-Linux.org apresenta:

Análise do IPCOP

Notícia publicada por brain em novembro 18, 2003 11:02 AM | TrackBack


O Rodrigo Barbosa, colaborador do br-linux.org há anos e profissional bem estabelecido no ramo da seguranca de sistemas, mandou uma análise bastante crítica sobre o IPCOP, uma firewall baseada em Linux que dá boot diretamente a partir de um CD. Veja a íntegra do texto nos DETALHES desta notícia.

Análise do IPCOP

por Rodrigo Barbosa

O IPCOP foi, inicialmente, um fork do projeto Smoothwall. Hoje, ele é um projeto em separado, com méritos e deméritos próprios, sendo uma mini-distribuição Linux com propósitos de criação de um Firewall, com interface de gerênciamento Web.

Este é o primeiro de uma série de produtos desta linha que pretendo avaliar. Acho que posso dizer que comecei com o pé esquerdo, como
veremos na análise abaixo.

Tudo começa com o download de uma imagem ISO de 22M, e a gravação do CD. A instalação é feita diretamente com um boot pelo CD, e é bastante automatizada. Todo o processo de particionamento é automático. Ele reparticiona o HD inteiro, mas uma vez que estamos falando de um firewall, não era de se esperar que houvessem outros sistemas operacionais na máquina. Não é permitido fazer seleção de pacotes, e as únicas interações com o usuário são a título de configuração.

Logo de cara, encontrei uma limitação. Ele não permite
trabalhar com apenas 1 interface de rede, configuração que as vezes encontramos com modens ADSL, onde este fica ligado a porta de uplink de um switch. Outra limitação notada é a impossibilidade de configuração de placas wireless.

Corrigindo a mim mesmo, é possível trabalhar com 1 interface de rede ETHERNET, com a segunda sendo um modem, convencional ou ISDN. Para o meu caso, e a maioria dos usuários, acredito, isso não ajuda.

Ainda na instalação, o sistema solicita configurações de teclado, timezone e 3 senhas diferentes (root, admin e setup).

No primerio boot após a instalação, podemos observar enquanto o sistema cria as chaves RSA, RSA1 e DSA para o ssh, e o certificado SSL para Web. O IpCop já perde mais alguns pontos aqui. Chaves RSA e RSA1 não são uma boa ideia. Um firewall deveria ser mais seletivo neste ponto. A chave SSL criada é de 128bits, então os problemas não são tão graves nesse terreno.

Na primeira tentativa de conexão via gerenciador web, já podemos notar uma outra falha inconveniente. O arquivo de senhas (que tem o usuário admin) foi criado errado. Portanto, já vamos nós para o console, agradecendo por eles terem incluido o htpasswd, para corrigir este arquivo. Feito isso, o login via interface web foi possível.

A interface web é bastante incompleta. Muitas das configurações só são possíveis via console, através do setup, um programinha com interface curses. Outras só são possíveis via web. Portando, o usuário é obrigado a utilizar os dois configuradores.

As limitações da interface web são diversas. A mais notável é relativa ao ssh, onde só podemos habilitá-lo ou desabilitá-lo. A porta tcp onde ele roda é fixa, 222/tcp, que diga-se de passagem é uma péssima escolha, uma vez que esta porta já é alocada para outro serviço (Berkeley rshd with SPX auth).

Porém, existem pontos positivos. O gerenciamento de logs está bem feito. Ele permite selecionar o tipo de log que gostaríamos de ver. Uma feature necessária, porém inexistente, é um filtro para os logs. Mas isto é de menor monta.

O ponto mais preocupante de todos, na minha opinião, é o fato de, quando vamos fazer uma conexão via ssh, o login ser feito diretamente no usuário root. Um descuido desse tipo, junto com o uso de chaves RSA1, nos faz questionar o quanto os desenvolvedores entendem sobre segurança.

As regras de firewall estão bem básicas. Os recursos de customização via web são restritos, o que faz com que seja, para a maioria dos usuários intermediários, necessário realizar configurações manuais.

Como conclusão final, vemos que a equipe do IpCop possui planos audaciosos. Porém, no momento, o IpCop ainda deve ser considerado como um projeto para uso futuro.

Resumindo (notas de 0 a 10):

Instalação: 8 (Fácil)
Customização na Intalação: 2
Gerenciamento via Web: 3
Recursos: 4
Segurança: 3
Aplicabilidade: 3
Atualizações: 7 (Fáceis, porém restritas)

Autor: Rodrigo Barbosa

 

Comentários dos leitores
(Termos de Uso)

» Adilson Oliveira () em 18/11 18:46

Olá.
Sou um dos colaboradores do Ipcop e gostaria de fazer alguns comentários. O ipcop realmente não foi criado para ser um sistema super-seguro mas para dar uma boa segurança fácil de usar e configurar. Quem sabe um dia chegue lá mas mesmo agora eu tenho instalado em vários clientes e casas de amigos e tem funcionado muito bem para o que se propõe. Respondendo à sua pergunta, realmente nenhum dos desenvolvedores tem mais do que conhecimentos razoáveis de segurança, aliás, Rodrigo, (O mesmo Rodrigo Barbosa da Conectiva?) você é mais que bem vindo para se juntar e dar uma força :)

Adilson.


» Rodrigo Barbosa () em 19/11 00:08

Oi Adilson. Sim, sou eu mesmo.
Antes de mais nada, gostaria de agradecer o convite para contribuir com o IpCop. Porém, isso aí é em Perl, e usar Perl é contra a minha religião :)

Bom, voltando ao assunto. Comecei os testes do Smoothwall, e notei que nele também o arquivo de users para autenticação via web tem a senha em MD5. Isso não funciona. Deem uma olhada lá, e acerte isso no instalador de vocês.

Agora, considerando um uso residencial, para uma conexão ADSL, SE (e somente se) o usuário não habilitar o SSH e algumas outras features que vem por padrões (sabiamente) desabilitadas, o IpCop realmente oferece uma alternativa interessante. Certamente mais interessante que o Astaro[*], que já vi algumas pessoas usando, que tem uma série de problemas relativos à licensa (se algumas de segurança também).
[* Também será analisado ]

Duas sugestões, relativamente simples de implementar, que gostaria de fazer:
1) ssh não logar como root e somente usar protocolo v2 (usar chaves DSA apenas é um plus)
2) A configuração padrão do firewall ser negar tudo, com o usuário desbloqueando apenas o que quiser.

Estes dois pontos, relativamente simples, iriam melhorar bastante a segurança.
Como solução extra de funcionalidade seria o suporte a PCMCIA e placas WiFi. Porém, como existem diversos modelos de placas, muitas vez com drivers chatos de instalar, isso não é tão fácil.

Estou ansioso para completar a análise do Smoothwall 2.0 Beta, principalmente fazendo um comparativo entre ele e o IpCop, sendo que o IpCop tem a grande vantagem ter não trazer junto o velho problema de ego do developer do Smoothwall.


» Adilson Oliveira () em 19/11 03:02

Olá Rodrigo.
Grato pelas dicas.
Algumas coisas que você citou como o suporte ao WiFi já estão disponíveis na versão 1.4, no momento em alfa. É a chamada interface Azul, especialmente feita para WiFi. Se não me engano o ssh também já está sendo visto. Outra coisa que já existe é uma interface para regras customizadas do iptables.
No caso da negação de portas, isso é uma coisa que volta e meia rola nas listas do ipcop.
O problema é que o foco é ter algo que funcione "out of the box" e se vier tudo bloqueado, o usuário "joe banana" não vai saber configurar. Eu pessoalmente discordo mas acho que vamos chegar a um meio termo tornando isso uma opção na instalação.
Uma coisa interessante que gosto no Ipcop é a possibilidade de criar "plugins" já existem vários como implementação do dansguardian, relatórios diferentes, etc.
Quanto ao Smothwall, realmente o maior problema é o Ego de uns e outros. De vez em quando ele pintava na lista mas agora anda sumido :)
Vou levar suas dicas para a lista de desenvolvimento.
Ah, eu também não uso Perl e na verdade minha contribuição é na tradução :)

[]s

Adilson.


» Ricardo Gimenez () em 07/01 19:14

Gostaria de salientar que utilizamos o ipcop no ambiente de homologação há 20 dias , e até o momento o produto se mostrou super satisfatório , inclusive melhor que muitos produtos renomados .

abraços a todos !!


» Claudinei Rangel Alves () em 16/08 11:06

Eu também utilizo o IpCop a + de 1 ano, e estou satisfeito.Porém, concordo com o Rodrigo, a Configuração via Browser, deveriam ser mais completas.


Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.



O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação, layout, tabela de caracteres, etc.) o acervo de notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter de acervo, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.