IPCop là một phần được cắt ra từ Linux và có khả năng hoạt động như một firewall, và nó chỉ có khả năng hoạt động như một firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPNs sử dụng IPSec. Sau đây đưa ra một vài tính năng cũng như giới thiệu về thiết lập và cách sử dụng của IPCop.
IPCop là một phần của cắt ra từ Linux và có khả năng hoạt động như một firewall, và nó chỉ có khả năng hoạt động như một firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPNs sử dụng IPSec. Sau đây đưa ra một vài tính năng cũng như giới thiệu về thiết lập và cách sử dụng của IPCop.
IPCop version 0.1.1, được phát triển từ phiên bản 0.9.9 của SmothWall.
Các tính năng của IPCop
IPCop với tính năng chính là như một hệ thống firewall cho các văn phòng nhỏ hay cho gia đình. Bản quyền thuộc về GPL, và nó được miễn phí khi sử dụng, hay giá cả của nó chỉ là giá cả của phần cứng và công lắp đặt mà thôi. IPCop hỗ trợ 3 card mạng, và bao gồm các tính năng sau.
· IPChains-based firewall
· Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, an ISDN modem, or an ADSL modem, and can support PPtP or PPPoE ADSL connections to Ethernet or USB modems.
· Hỗ trợ DMZ
· Quản trị trên nền Web-based GUI
· SSH server for Remote Access
· DHCP server
· Caching DNS
· TCP/UDP port forwarding
· Intrusion detection system
· IPSec based VPN Support
IPCop là một hệ thống phần mềm firewall hoàn thiện, tự hoạt động trên máy tính cùng với hệ điều hành riêng của nó được cài đặt. Tuy nhiên, nó không đơn giản để đóng gói như Ipchains hay những công cụ để quản trị qua Web. Nó không chỉ là một dịch vụ bảo mật được thêm vào hệ thống mà nó được hoạt động riêng biệt trên một máy tính; là một hệ điều hành hoàn chỉnh với tính năng là firewall và người dùng sử dụng nó như một Internet Gateway.
Bộ cài IPCop
IPCop là phần mềm miễn phí được cung cấp trên http://ipcop.sourceforge.net hay tại http://ipcop.org. Bạn có thể download nó về dưới dạng file ISO dùng phần mềm ghi đĩa bạn ghi ra đĩa CD và có thể sử dụng nó để cài đặt IPCop, và nó cũng bao gồm các văn bản hướng dẫn cài đặt cũng như tài liệu để quản trị.
IPCop và SmoothWall
IPCop bắt nguồn từ SmoothWall nhưng nó được phát triển thành một dự án riêng biệt.
· Cung cấp tốt hơn, và hỗ trợ nhiều dịch vụ. Bởi vì SmoothWall có bản quyền của GPL và các nhà sản xuất cho thương mại, và với phiên bản thương mại nó được cung cấp nhiều tính năng nổi trội hơn so với bản cho GPL. IPCop là một phiên bản có bản quyền và được cung cấp miễn phí bởi GPL.
· Để thêm các tính năng vào phiên bản này. Đã có nhiều tính năng của phiên bản thương mại SmoothWall được thêm vào phiên bản IPCop hiện nay.
Sự khác nhau giữa SmoothWall và IPCop
Mặc dù IPCop được phát triển dựa trên SmoothWall nhưng nhân hệ điều hành của IPCop là một phần của hệ nhân Red Hat 7.2 RPMs. Hiện nay cả hai phiên bản IPCop và SmoothWall đều sử dụng nhân 2.2 và 2.4 của phiên bản Red Hat’s Enterprise.
Mã của nó đã được thay đổ để chạy trên file system là ext3, thêm vào độ tin cậy cho sản phẩm. Và sản phẩm này cũng đuợc thêm vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợ ADSL.
Đúng vậy, hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có trên IPCop. Nếu bạn muốn chạy phiên bản SmoothWall bạn phải có sản phẩm được phân phối từ nhà sản xuất và nó không miễn phí.
Cài đặt IPCop
Cái gì bạn cần:
· Phần mềm Ipcop, nó khoảng 28-40 MB tuỳ vào phiên bản bạn download được từ trang Ipcop
· Bạn ghi nó ra một đĩa CD để tiến hành cài đặt
· Một máy tính PC để cài đặt IPCop
PC với cấu hình?
IPCop tương thích với những máy tính cấu hình thấp, có thể là các máy tính hiện đang sử dụng tại các văn phòng hay bạn có thể sử dụng các máy tính mua tại các cửa hàng second hand.
Đúng vậy, nó yêu cầu rất ít bộ nhớ khoảng 64 – 128 MB cài đặt trên máy hay bạn có thể có các ổ cứng lớn hơn để cache được nhiều hơn..
IPCop được quản lý hầu hết dựa trên nền Web rất thuận tiện cho việc quản trị, IPCop có thể hoạt động trên máy không cần bàn phím, chuột, màn hình hay hầu hết các thiết bị mà một PC cần. Nó chỉ cần một PC có thể cài đặt và hỗ trợ tối thiểu 2 card mạng tối đa là 3.
Cài đặt
Quá trình cài đặt được thực hiện một cách đơn giản. Bạn có thể download tài liệu hướng dẫn cài đặt trực tiếp từ
http://www.ipcop.org/cgi-bin/twiki/v...PCopInstallv01.
Quá trình cài đặt bao hồm các bước được thực hiện và đã được miêu tả chi tiết trong bản hướng dẫn cài đặt đi mà bạn đã tìm hiểu ở trên. Với các bước được lặp đi lặp lịa và tôi nghĩ điều đó đơn là đơn giản với bạn khi bạn đã đọc qua bản hướng dẫn.
· Khi quá trình thực hiện đến "Decide On Your Configuration" phải làm thận trọng. Bạn cần phải quyết định các cổng mạng cho mỗi ứng dụng (tối đa IPCop hỗ trợ 3 cổng mạng). IPCop gọi cổng "RED" là dành cho kết nối với Internet, "ORANGE" là cho kết nối với DMZ, và "GREEN" cho kết nối với mạng internal.
· "ORANGE" cho DMZ interface và "GREEN" Cho internal hay protect interface.
· Bạn có thể ghi file ISO ra đĩa CD-ROM sử dụng các phần mềm ghi đĩa và công việc này thực sự đơn giản. Bạn có thể sử dụng Nero hay Adaptec Easy-CD trên Windows.
· Nếu bạn có 3 card mạng mà cùng một dạng với nhau, và tất cả card mạng của bạn sẽ hoạt động với "GREEN" interface. Bạn có thể chỉnh sửa (thay thế) một trong 3 card mạng đó và cấu hình để sử dụng cho các ứng dụng kết nối internet như ADSL và ISDN card.
· Khi bạn nhìn thấy "Network configuration menu" lựa chọn "Network configuration type", bước này bạn phải xác định cụ thể số card mạng mà bạn có sau đó hệ thống sẽ yêu cầu bạn gán địa chỉ IP cho mỗi card mạng đó.
· Nếu bạn muốn thay đổi cấu hình sau khi cài đặt, bạn có thể loging vào hệ thống IPCop và thiết lập bình thường thông qua Web base. Và lưu ý lần đầu tiên log vào hệ thống sẽ yêu cầu bạn thiết lập user và bạn cần phải nhớ user và password này để cho quá trình quản trị về sau.
· Khi quá trình thiết lập user hệ thống sẽ hỏi bạn có phải là root không và password đó là password admin.
Network Interfaces và the DMZ
IPCop hỗ trợ tối đa là 3 card mạng.
Thông thường bạn sử dụng IPCop với ít nhất là 2 card mạng, một sử dụng là RED và GREEN nhưng bạn cũng có thể sử dụng ORANGE interface, nó cho phép bạn có một vùng DMZ riêng.
Các bản hướng dẫn của IPCop hết sức dễ hiểu và đơn giản để sử dụng ORANGE interface cho DMZ. Ứng dụng này cho các Web server. Để tạo ra ORANGE interface cho vùng DMZ là tạo ra sự ngăn cách dữa các hệ thống máy chủ với mạng GREEN interface không cho phép tất cả các truy cập đi đến hoặc từ DMZ đi vào mạng GREEN mà chỉ có những ứng dụng được tạo ra để cho phép thì mới thực hiện được.
Điều đó có nghĩa là khi một kể xâm nhập vượt qua được firewall, sẽ bị phát hiện, và hệ thống sẽ bảo vệ các web server, quản lý chúng với quá trình truy cập quyền cao nhất, chống xâm nhập, điều đó có nghĩa nó chống lại các xâm nhập bất hợp pháp từ mạng GREEN interface. Và điều đó có nghĩa chỉ cho phép truy cập vào những vùng dữ liệu đã được cho phép, và người dùng trong mạng internal không thể tấn công gây nguy hại đến các máy chủ.
Finishing the Installation
Hoàn thành quá trình cài đặt.
IPCop hoạt động sử dụng tài nguyên hệ thống rất ít, bạn có thể không cần sử dụng bàn phím, chuột, hay màn hình cho máy tính hoạt động với IPCop và mọi quá trình quản trị đều có thể thực hiện thông qua Web Base.
Cấu hình IPCop
Với giao diện web của phiên bản 1.3
Click this bar to view the full image.
Toàn bộ quá trình cấu hình IPCop được hướng dẫn cụ thể và bạn dễ dàng để hiểu và làm việc với IPCop
http://www.ipcop.org/cgi-bin/twiki/v...inistrationv01
Cơ bản
Sau khi cài đặt xong IPCop, IPCop hoạt động không có rule nào được tạo ra sẵn. Do đó bạn muốn sử dụng phải tạo các rule cho phép truy cập vào internet cũng như tạo các rule cho phép truy cập vào DMZ từ mạng interal.
Rất nhiều thứ cần thiết cho một hệ thống IPCop hoạt động
· Bạn phải enable các dịch vụ khác như Web proxy, DHCP, và snort IDS
· Thiết lập portforwarding và các ứng dụng cho external truy cập vào hệ thống mạng của bạn
· Thiết lập các rule cho vùng DMZ
Băt đầu quản trị các cổng mạng
Quản trị IPCop là rất đơn giản dựa trên nền Web, bạn có thể sử dụng các web brower hiện nay, và từ bất kỳ đâu trong mạng GREEN. Và điều quan trọng là bạn phải biết được địa chỉ của cổng mạng GREEN của hệ thống IPCop và kết nối nó với mạng interal. Quá trình truy cập là rất đơn giản: http://:81/
Ví dụ, nếu firewall của bạn được cấu hình cho cổng green với địa chỉ là 192.168.1.1. thì bạn có thể truy cập bằng cách từ web brower gõ: http://192.168.1.1:81/
Khi bạn qua một trang đầu tiên, bạn cần phải nhớ admin account và password trong quá trình cài đặt.
Nó cũng hỗ trợ cho quá quá trình cấu hình IPCop với tính bảo mật cao qua – http://192.168.1.1:445/ tạo ra kết nối hỗ trợ SSL.
Web Proxy
Một tính năng quan trọng của IPCop được kết hợp vào đó là hệ thống có khả năng hoạt động như một Web Proxy Server. Dịch vụ Proxy mặc định bị diable, nhưng bạn có thể chạy nó sau khi cấu hình. Lựa chọn "service trên phía bên tay trái của màn hình cấu hình cho cổng cần thiết, sau đó bạn lựa chọn "Web Proxy". Sau đó Web proxy sẽ được enable với dâu tích enable. Nếu Webproxy hoạt đông như một gateway trong hệ thống, bạn cũng cần phải chọn "Transparent", nó có nghĩa các brower client của mạng sẽ không cần phải cấu hình proxy cho các ứng dụng web mà sẽ được cấu hình tự động.
DHCP
IPCop cũng bao gồm tính năng DHCP, có khả năng gán địa chỉ IP cho hệ thống mạng LAN, và lưu ý là không sử dụng DHCP cho các server mà bạn phải cấu hình địa chỉ static IP cho các máy chủ.
Nếu bạn muốn sử dụng dịch vụ DHCP server, tuy nhiên, nó rất đơn giản. bạn chọn đến tab dhcp trong "service" menu, chọn dấu tíck enable. Sau đó bạn cần gán địa chỉ đầu và cuối cho dải địa chỉ mà DHCP cung cấp và gán địa chỉ DNS cụ thể cho DHCP.
Intrusion Detection
IPCop cũng bao gồm Snort intrusion Detection System (IDS), nó là một hệ thống có khả năng giám sát hệ thống và nhận dạng các tấn công vào các máy chủ bên trong mạng. Nếu bạn sử dụng IPCop để bảo vệ máy chủ ở (DMZ hay internal) bạn sẽ phải sử dụng Snort.
IPCop tạo ra các thiết lập Snort rất đơn giản. Bạn lựa chọn IDS tab trên IPCop menu, và tick enable.
Một IDS như Snort (hay một firewall) nhưng điều này cũng không ngăn cản việc update của các hệ thống tới cac trang web của nhà cung cấp như việc lient chạy windows xp có thể update trên trang web của microsoft mà không hề bị IDS phát hiện hay cấm. Và điều đó có nghĩa là các kẻ xâm nhập vẫn có khả năng chui được qua hệ thống và bạn phải là người thực sự có kinh nghiệm trong bảo mật để làm việc với IDS.
Port Forwarding and External Service Access
Port Forwarding and External Service Access tab trên tab "service" của IPCop cho phép các truy cập từ internet vào hệ thống DMZ hay internal
Một ví dụ đơn giản, là bạn có một Web server và một mail server được cài đặt và chạy trong vùng DMZ. Và bạn đã gán địa chỉ cho ORANGE network là 192.168.200.x, và địa chỉ của Web server là 192.168.200.10 và mail là 192.168.200.20
Dịch vụ Web sử dụng cổng TCP 80, trong khi mail lại sử dụng TCP port 25
Dưới đây là cấu hình port forwarding cho hai ứng dụng trên
Under Port Forwarding:
Protocol
Source Port
Destination IP
Destination Port
TCP
80
192.168.200.10
80
TCP
25
192.168.200.20
25
Under External Service Access:
Source IP Address
Destination Port
ALL
80
ALL
25
DMZ Pinholes
DMZ Pinholes được sử dụng trong IPCop để cho phép quá trình truy cập giữa mạng ORANGE Và GREEN network còn từ mạng GREEN tới ORANGE được cho phép từ cấu hình mặc định của hệ thống.
Các dạng truy cập bạn phải cấu hình cụ thể ví như một máy chủ Web trong vùng DMZ cần truy cập vào máy chủ dữ liệu ở mạng internal network. Bạn cần phải biết port mà ưng dụng dữ liệu cần ví như MySQL là 3306.
Enabling pinhole tương tự bằng việc lựa chọn "dmz pinholes" tab trên Service menu. Ví dụ với máy chủ Web server truy cập vào máy chủ dữ liệu trong internal với địa chỉ 192.168.100.4.
Source IP
Destination IP
Destination Port
192.168.200.10
192.168.100.4
3306
Cấu hình VPN:
Được hướng dẫn cụ thể trong bản document về quản trị hệ thống IPCop bạn có thể dễ dàng thiết lập được các kết nối VNP khi sử dụng IPCop
Tài liệu:
Hướng dẫn cài đặt:
http://www.ipcop.org/cgi-bin/twiki/v...PCopInstallv01
http://tocbatdat.googlepages.com/install-en-1.4.pdf
Hướng dẫn quản trị:
http://www.ipcop.org/cgi-bin/twiki/v...inistrationv01
http://tocbatdat.googlepages.com/admin-en-1.4.pdf
source : http:// nhatnghe.com/forum
IPCop là một phần của cắt ra từ Linux và có khả năng hoạt động như một firewall, và nó chỉ có khả năng hoạt động như một firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPNs sử dụng IPSec. Sau đây đưa ra một vài tính năng cũng như giới thiệu về thiết lập và cách sử dụng của IPCop.
IPCop version 0.1.1, được phát triển từ phiên bản 0.9.9 của SmothWall.
Các tính năng của IPCop
IPCop với tính năng chính là như một hệ thống firewall cho các văn phòng nhỏ hay cho gia đình. Bản quyền thuộc về GPL, và nó được miễn phí khi sử dụng, hay giá cả của nó chỉ là giá cả của phần cứng và công lắp đặt mà thôi. IPCop hỗ trợ 3 card mạng, và bao gồm các tính năng sau.
· IPChains-based firewall
· Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, an ISDN modem, or an ADSL modem, and can support PPtP or PPPoE ADSL connections to Ethernet or USB modems.
· Hỗ trợ DMZ
· Quản trị trên nền Web-based GUI
· SSH server for Remote Access
· DHCP server
· Caching DNS
· TCP/UDP port forwarding
· Intrusion detection system
· IPSec based VPN Support
IPCop là một hệ thống phần mềm firewall hoàn thiện, tự hoạt động trên máy tính cùng với hệ điều hành riêng của nó được cài đặt. Tuy nhiên, nó không đơn giản để đóng gói như Ipchains hay những công cụ để quản trị qua Web. Nó không chỉ là một dịch vụ bảo mật được thêm vào hệ thống mà nó được hoạt động riêng biệt trên một máy tính; là một hệ điều hành hoàn chỉnh với tính năng là firewall và người dùng sử dụng nó như một Internet Gateway.
Bộ cài IPCop
IPCop là phần mềm miễn phí được cung cấp trên http://ipcop.sourceforge.net hay tại http://ipcop.org. Bạn có thể download nó về dưới dạng file ISO dùng phần mềm ghi đĩa bạn ghi ra đĩa CD và có thể sử dụng nó để cài đặt IPCop, và nó cũng bao gồm các văn bản hướng dẫn cài đặt cũng như tài liệu để quản trị.
IPCop và SmoothWall
IPCop bắt nguồn từ SmoothWall nhưng nó được phát triển thành một dự án riêng biệt.
· Cung cấp tốt hơn, và hỗ trợ nhiều dịch vụ. Bởi vì SmoothWall có bản quyền của GPL và các nhà sản xuất cho thương mại, và với phiên bản thương mại nó được cung cấp nhiều tính năng nổi trội hơn so với bản cho GPL. IPCop là một phiên bản có bản quyền và được cung cấp miễn phí bởi GPL.
· Để thêm các tính năng vào phiên bản này. Đã có nhiều tính năng của phiên bản thương mại SmoothWall được thêm vào phiên bản IPCop hiện nay.
Sự khác nhau giữa SmoothWall và IPCop
Mặc dù IPCop được phát triển dựa trên SmoothWall nhưng nhân hệ điều hành của IPCop là một phần của hệ nhân Red Hat 7.2 RPMs. Hiện nay cả hai phiên bản IPCop và SmoothWall đều sử dụng nhân 2.2 và 2.4 của phiên bản Red Hat’s Enterprise.
Mã của nó đã được thay đổ để chạy trên file system là ext3, thêm vào độ tin cậy cho sản phẩm. Và sản phẩm này cũng đuợc thêm vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợ ADSL.
Đúng vậy, hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có trên IPCop. Nếu bạn muốn chạy phiên bản SmoothWall bạn phải có sản phẩm được phân phối từ nhà sản xuất và nó không miễn phí.
Cài đặt IPCop
Cái gì bạn cần:
· Phần mềm Ipcop, nó khoảng 28-40 MB tuỳ vào phiên bản bạn download được từ trang Ipcop
· Bạn ghi nó ra một đĩa CD để tiến hành cài đặt
· Một máy tính PC để cài đặt IPCop
PC với cấu hình?
IPCop tương thích với những máy tính cấu hình thấp, có thể là các máy tính hiện đang sử dụng tại các văn phòng hay bạn có thể sử dụng các máy tính mua tại các cửa hàng second hand.
Đúng vậy, nó yêu cầu rất ít bộ nhớ khoảng 64 – 128 MB cài đặt trên máy hay bạn có thể có các ổ cứng lớn hơn để cache được nhiều hơn..
IPCop được quản lý hầu hết dựa trên nền Web rất thuận tiện cho việc quản trị, IPCop có thể hoạt động trên máy không cần bàn phím, chuột, màn hình hay hầu hết các thiết bị mà một PC cần. Nó chỉ cần một PC có thể cài đặt và hỗ trợ tối thiểu 2 card mạng tối đa là 3.
Cài đặt
Quá trình cài đặt được thực hiện một cách đơn giản. Bạn có thể download tài liệu hướng dẫn cài đặt trực tiếp từ
http://www.ipcop.org/cgi-bin/twiki/v...PCopInstallv01.
Quá trình cài đặt bao hồm các bước được thực hiện và đã được miêu tả chi tiết trong bản hướng dẫn cài đặt đi mà bạn đã tìm hiểu ở trên. Với các bước được lặp đi lặp lịa và tôi nghĩ điều đó đơn là đơn giản với bạn khi bạn đã đọc qua bản hướng dẫn.
· Khi quá trình thực hiện đến "Decide On Your Configuration" phải làm thận trọng. Bạn cần phải quyết định các cổng mạng cho mỗi ứng dụng (tối đa IPCop hỗ trợ 3 cổng mạng). IPCop gọi cổng "RED" là dành cho kết nối với Internet, "ORANGE" là cho kết nối với DMZ, và "GREEN" cho kết nối với mạng internal.
· "ORANGE" cho DMZ interface và "GREEN" Cho internal hay protect interface.
· Bạn có thể ghi file ISO ra đĩa CD-ROM sử dụng các phần mềm ghi đĩa và công việc này thực sự đơn giản. Bạn có thể sử dụng Nero hay Adaptec Easy-CD trên Windows.
· Nếu bạn có 3 card mạng mà cùng một dạng với nhau, và tất cả card mạng của bạn sẽ hoạt động với "GREEN" interface. Bạn có thể chỉnh sửa (thay thế) một trong 3 card mạng đó và cấu hình để sử dụng cho các ứng dụng kết nối internet như ADSL và ISDN card.
· Khi bạn nhìn thấy "Network configuration menu" lựa chọn "Network configuration type", bước này bạn phải xác định cụ thể số card mạng mà bạn có sau đó hệ thống sẽ yêu cầu bạn gán địa chỉ IP cho mỗi card mạng đó.
· Nếu bạn muốn thay đổi cấu hình sau khi cài đặt, bạn có thể loging vào hệ thống IPCop và thiết lập bình thường thông qua Web base. Và lưu ý lần đầu tiên log vào hệ thống sẽ yêu cầu bạn thiết lập user và bạn cần phải nhớ user và password này để cho quá trình quản trị về sau.
· Khi quá trình thiết lập user hệ thống sẽ hỏi bạn có phải là root không và password đó là password admin.
Network Interfaces và the DMZ
IPCop hỗ trợ tối đa là 3 card mạng.
Thông thường bạn sử dụng IPCop với ít nhất là 2 card mạng, một sử dụng là RED và GREEN nhưng bạn cũng có thể sử dụng ORANGE interface, nó cho phép bạn có một vùng DMZ riêng.
Các bản hướng dẫn của IPCop hết sức dễ hiểu và đơn giản để sử dụng ORANGE interface cho DMZ. Ứng dụng này cho các Web server. Để tạo ra ORANGE interface cho vùng DMZ là tạo ra sự ngăn cách dữa các hệ thống máy chủ với mạng GREEN interface không cho phép tất cả các truy cập đi đến hoặc từ DMZ đi vào mạng GREEN mà chỉ có những ứng dụng được tạo ra để cho phép thì mới thực hiện được.
Điều đó có nghĩa là khi một kể xâm nhập vượt qua được firewall, sẽ bị phát hiện, và hệ thống sẽ bảo vệ các web server, quản lý chúng với quá trình truy cập quyền cao nhất, chống xâm nhập, điều đó có nghĩa nó chống lại các xâm nhập bất hợp pháp từ mạng GREEN interface. Và điều đó có nghĩa chỉ cho phép truy cập vào những vùng dữ liệu đã được cho phép, và người dùng trong mạng internal không thể tấn công gây nguy hại đến các máy chủ.
Finishing the Installation
Hoàn thành quá trình cài đặt.
IPCop hoạt động sử dụng tài nguyên hệ thống rất ít, bạn có thể không cần sử dụng bàn phím, chuột, hay màn hình cho máy tính hoạt động với IPCop và mọi quá trình quản trị đều có thể thực hiện thông qua Web Base.
Cấu hình IPCop
Với giao diện web của phiên bản 1.3
Click this bar to view the full image.
Toàn bộ quá trình cấu hình IPCop được hướng dẫn cụ thể và bạn dễ dàng để hiểu và làm việc với IPCop
http://www.ipcop.org/cgi-bin/twiki/v...inistrationv01
Cơ bản
Sau khi cài đặt xong IPCop, IPCop hoạt động không có rule nào được tạo ra sẵn. Do đó bạn muốn sử dụng phải tạo các rule cho phép truy cập vào internet cũng như tạo các rule cho phép truy cập vào DMZ từ mạng interal.
Rất nhiều thứ cần thiết cho một hệ thống IPCop hoạt động
· Bạn phải enable các dịch vụ khác như Web proxy, DHCP, và snort IDS
· Thiết lập portforwarding và các ứng dụng cho external truy cập vào hệ thống mạng của bạn
· Thiết lập các rule cho vùng DMZ
Băt đầu quản trị các cổng mạng
Quản trị IPCop là rất đơn giản dựa trên nền Web, bạn có thể sử dụng các web brower hiện nay, và từ bất kỳ đâu trong mạng GREEN. Và điều quan trọng là bạn phải biết được địa chỉ của cổng mạng GREEN của hệ thống IPCop và kết nối nó với mạng interal. Quá trình truy cập là rất đơn giản: http://:81/
Ví dụ, nếu firewall của bạn được cấu hình cho cổng green với địa chỉ là 192.168.1.1. thì bạn có thể truy cập bằng cách từ web brower gõ: http://192.168.1.1:81/
Khi bạn qua một trang đầu tiên, bạn cần phải nhớ admin account và password trong quá trình cài đặt.
Nó cũng hỗ trợ cho quá quá trình cấu hình IPCop với tính bảo mật cao qua – http://192.168.1.1:445/ tạo ra kết nối hỗ trợ SSL.
Web Proxy
Một tính năng quan trọng của IPCop được kết hợp vào đó là hệ thống có khả năng hoạt động như một Web Proxy Server. Dịch vụ Proxy mặc định bị diable, nhưng bạn có thể chạy nó sau khi cấu hình. Lựa chọn "service trên phía bên tay trái của màn hình cấu hình cho cổng cần thiết, sau đó bạn lựa chọn "Web Proxy". Sau đó Web proxy sẽ được enable với dâu tích enable. Nếu Webproxy hoạt đông như một gateway trong hệ thống, bạn cũng cần phải chọn "Transparent", nó có nghĩa các brower client của mạng sẽ không cần phải cấu hình proxy cho các ứng dụng web mà sẽ được cấu hình tự động.
DHCP
IPCop cũng bao gồm tính năng DHCP, có khả năng gán địa chỉ IP cho hệ thống mạng LAN, và lưu ý là không sử dụng DHCP cho các server mà bạn phải cấu hình địa chỉ static IP cho các máy chủ.
Nếu bạn muốn sử dụng dịch vụ DHCP server, tuy nhiên, nó rất đơn giản. bạn chọn đến tab dhcp trong "service" menu, chọn dấu tíck enable. Sau đó bạn cần gán địa chỉ đầu và cuối cho dải địa chỉ mà DHCP cung cấp và gán địa chỉ DNS cụ thể cho DHCP.
Intrusion Detection
IPCop cũng bao gồm Snort intrusion Detection System (IDS), nó là một hệ thống có khả năng giám sát hệ thống và nhận dạng các tấn công vào các máy chủ bên trong mạng. Nếu bạn sử dụng IPCop để bảo vệ máy chủ ở (DMZ hay internal) bạn sẽ phải sử dụng Snort.
IPCop tạo ra các thiết lập Snort rất đơn giản. Bạn lựa chọn IDS tab trên IPCop menu, và tick enable.
Một IDS như Snort (hay một firewall) nhưng điều này cũng không ngăn cản việc update của các hệ thống tới cac trang web của nhà cung cấp như việc lient chạy windows xp có thể update trên trang web của microsoft mà không hề bị IDS phát hiện hay cấm. Và điều đó có nghĩa là các kẻ xâm nhập vẫn có khả năng chui được qua hệ thống và bạn phải là người thực sự có kinh nghiệm trong bảo mật để làm việc với IDS.
Port Forwarding and External Service Access
Port Forwarding and External Service Access tab trên tab "service" của IPCop cho phép các truy cập từ internet vào hệ thống DMZ hay internal
Một ví dụ đơn giản, là bạn có một Web server và một mail server được cài đặt và chạy trong vùng DMZ. Và bạn đã gán địa chỉ cho ORANGE network là 192.168.200.x, và địa chỉ của Web server là 192.168.200.10 và mail là 192.168.200.20
Dịch vụ Web sử dụng cổng TCP 80, trong khi mail lại sử dụng TCP port 25
Dưới đây là cấu hình port forwarding cho hai ứng dụng trên
Under Port Forwarding:
Protocol
Source Port
Destination IP
Destination Port
TCP
80
192.168.200.10
80
TCP
25
192.168.200.20
25
Under External Service Access:
Source IP Address
Destination Port
ALL
80
ALL
25
DMZ Pinholes
DMZ Pinholes được sử dụng trong IPCop để cho phép quá trình truy cập giữa mạng ORANGE Và GREEN network còn từ mạng GREEN tới ORANGE được cho phép từ cấu hình mặc định của hệ thống.
Các dạng truy cập bạn phải cấu hình cụ thể ví như một máy chủ Web trong vùng DMZ cần truy cập vào máy chủ dữ liệu ở mạng internal network. Bạn cần phải biết port mà ưng dụng dữ liệu cần ví như MySQL là 3306.
Enabling pinhole tương tự bằng việc lựa chọn "dmz pinholes" tab trên Service menu. Ví dụ với máy chủ Web server truy cập vào máy chủ dữ liệu trong internal với địa chỉ 192.168.100.4.
Source IP
Destination IP
Destination Port
192.168.200.10
192.168.100.4
3306
Cấu hình VPN:
Được hướng dẫn cụ thể trong bản document về quản trị hệ thống IPCop bạn có thể dễ dàng thiết lập được các kết nối VNP khi sử dụng IPCop
Tài liệu:
Hướng dẫn cài đặt:
http://www.ipcop.org/cgi-bin/twiki/v...PCopInstallv01
http://tocbatdat.googlepages.com/install-en-1.4.pdf
Hướng dẫn quản trị:
http://www.ipcop.org/cgi-bin/twiki/v...inistrationv01
http://tocbatdat.googlepages.com/admin-en-1.4.pdf
source : http:// nhatnghe.com/forum