IPFire: El firewall Linux ideal

Gabolonte Blasfemus

image Hace un buen tiempo que me debía hablar sobre este magnífico firewall basado en Linux llamado IPFire. Hace un buen tiempo que lo vengo utilizando con bastante éxito y quería dedicarle la review que se merece. En realidad, y como todo linuxero sabe, cualquier distro de Linux podría usarse como firewall, después de todo todas vienen con IPTables. Pero la elegancia y facilidad de una solución customizada como IPFire permite utilizarlo más como un appliance  que como un sistema operativo al que hay que andar toqueteando y ajustando, lo cual reporta en instalaciones más rápidas y menos problemáticas. Comencemos a conocer un poco más de este excelente firewall.

Orígenes

IPFire nació como un fork de otro buen conocido en esto de los firewalls basados en Linux: IPCop. Por tanto, la primer versión de IPFire fue mayormente basada en el código del anterior más algunas mejoras. Recién a partir de la versión 2.1 se creó una versión completamente nueva y a partir de un kernel actualizado, independiente del proyecto padre.

Requerimientos

Al igual que IPCop, IPFire no utiliza una interfase gráfica en el equipo donde corre; se administra vía web como muchos otros routers/firewalls. Esto le permite ser totalmente permisivo con los requisitos del adaptador del video, cualquiera que pueda mostrar texto y la pantalla VESA del inicio está bien. Con respecto al procesador se supone que podría correr como mínimo hasta en un 386, pero se recomienda por lo menos un procesador que trabaje a 500 MHz si se lo quiere utilizar en serio. Con la memoria también se informa un mínimo de 128 MB, pero se recomienda arrancar con 256 MB. Sobre el disco basta decir que acepta interfaces IDE y SCSI y que hasta algunos usuarios lograron hacerlo andar en RAID 1 y 5; con respecto a la capacidad se recomienda un mínimo de 2 GB, con lo que cualquier disco contemporáneo está más que bien. Por supuesto no necesitamos mouse, y podemos utilizar cualquier teclado.

Por último y no menos importante está el soporte a los adaptadores de red. Linux es famoso por ser excelente detectando cualquier tipo de NIC, así es difícil que nos decepcione en este caso, pero en general los más recomendados para minimizar riesgos es utilizar cualquiera de 100 Mbps que esté basado en chips Realtek.

Instalación

image La instalación no puede ser más fácil. Tenemos dos opciones: La más normal consta de descargar el ISO, grabarlo a CD, y bootear con él el sistema para comenzar la instalación. La otra implica descargar imágenes para el arranque desde pen drives, algo que puede resultar útil en algunos casos. Están disponible las imágenes tanto para el estándar FDD como HDD, dependiendo de lo que soporte el BIOS del equipo.

Al arrancar la instalación, nos va a guiar un asistente en modo texto que nos irá preguntando lo básico y necesario. Nos preguntará qué sistema de archivos utilizar, pudiendo elegir entre Reiser4, ReiserFS o etx3. También deberemos seleccionar el idioma del teclado y el uso horario de la zona donde estamos.

Luego viene la parte relativa a su función de firewall en sí, donde elegiremos un nombre de host, una clave para el acceso por consola y por la web, y donde el instalador detectará los adaptadores de red presentes y permitirá configurarlos con todos los parámetros necesarios. Una vez terminada la instalación el sistema de reinicia.

Configuración y administración

image Una vez que el sistema está levantado, el resto de la configuración, léase reglas, servicios específicos y claves de usuario para conexiones se configuran vía la interfase web. Para conectarse, sólo hace falta ingresar a https://ip_del_host:444. Una vez ingresado el usuario admin y la clave previamente configurada, tendremos a nuestra disposición la interfase para configurar y administrar nuestro firewall

Backup de la configuración

Algo que vuelve extremadamente práctico a este firewall es la capacidad de realizar rápidamente backups completos de su configuración, que incluyen todas las reglas de tráfico así como la configuración de los distintos servicios, los cuales si se necesita hacer una nueva instalación son igual de fáciles de restaurar vía la interfase web. Lamentablemente no incluye los certificados que se utilizan en la copia de seguridad.

Servicios incorporados

IPFire cuenta con una buena cantidad de servicios ya incorporados por defecto. En primer lugar cuenta con Squid como proxy para manejar de manera transparente todo el acceso http, permitiendo utilizar filtros de palabras en las URLs o bloquear sitios que cuadren en ciertas categorías, mediante el uso de listas negras actualizables desde diversos sitios. También puede bloquear extensiones de archivo o ciertos User Agents.

Otra opción disponible es la de levantar un IDS con Snort, para monitorear mejor el sistema, pero seguramente la más útil de todas son los servicios de VPN. En particular IPFire soporta dos: IPSec y OpenVPN, dos estándares ampliamente usados. Otro método de acceso seguro soportado y muy popular es SSH, el cual nos permite, además de manejar el tunneling de puertos, tener acceso a la consola para realizar tareas avanzadas de manera remota. También disponemos de un actualizador para servicios de DNS dinámico y de Quality of Service para la priorización de paquetes.

imageEstadísticas y reportes

En información de lo que sucede en el sistema este firewall tampoco se queda atrás. Además de mostrarnos unos vistosos gráficos sobre los puertos más solicitados o el tráfico de las interfaces, también podemos ver un detallado conexión por conexión, aunque se extraña alguna forma de ordenar y hacer más digerible la información.

También existen logs consultables sobre cada subsistema, y la opción de crear reportes pormenorizados del tráfico manejado por el proxy.

Extras para todo tipo de necesidades

Algo que sin duda convierte a IPFire en único es la posibilidad de construir nuevos servicios sobre él, gracias a la posibilidad de instalar paquetes de software mediante el manejador Pakfire. La lista de opciones no deja de crecer, no sólo podemos instalar aplicaciones de uso corriente en la consola como el editor nano o Midnight Commander, IPFire cuenta con paquetes para convertirlo en un servidor de email, Asterisk, Samba (servidor de archivos en Windows), FTP, y muchas más aplicaciones que pueden utilizarse desde la consola. Una de ellas por ejemplo es tcptrack, la cual permite monitorizar en tiempo real el tráfico a través de ésta.

image

No todas son flores

Ahora vamos a hablar de lo malo de IPFire, porque nada en la vida es perfecto. Si bien Linux goza de esa fama y reputación de sistema estable y que no requiere reiniciar ante cada cambio como Windows, la realidad es que esa no fue la impresión que me dejó este Linux en particular. Ciertas opciones, más que nada las relativas a la activación y desactivación de servicios, sólo comienzan a funcionar bien luego de un reinicio completo del sistema. También me han ocurrido errores inexplicables que necesitaron reinstalar y empezar de cero, agradeciendo en esos momentos la posibilidad de realizar y restaurar backups.

Otro punto con el cual ser cauteloso son las actualizaciones del producto, por lo menos una vez tuve problemas con una y me obligó a realizar una reinstalación. Y existe un potencial problema que no tiene que ver con lo técnico: La comunidad que mantiene el proyecto es principalmente de nacionalidad alemana, por lo que la mayor parte de la documentación y posts en los foros están en este idioma, relegando el inglés a un segundo lugar. Claro que no es nada que Google Translator no pueda medianamente solucionar.

Por último, un consejo: Si utilizan un procesador con HyperThreading, asegúrense de deshabilitarlo.

Concluyendo

Más allá de ciertos recaudos que hay que tener como en casi cualquier otro sistema, IPFire resulta un estupendo firewall configurable y escalable para el hogar y la pequeña y mediana empresa; una solución compacta que requiere pocos recursos, pudiéndose instalar en cualquier máquina obsoleta para el escritorio. Y por supuesto, open source y gratuita. Como siempre, espero que haya servido.


One Response to “IPFire: El firewall Linux ideal”