Межсетевой экран IPCop
Межсетевой экран IPCop
Категория: Железо Теги: Межсетевые экраны Опубликовано: 22 апреля 2024

Обзор IPCop 2.1.9

Обзор межсетевого экрана IPCop версии 2.1.9, который не обновляется с февраля 2015 года. Теперь он интересен скорее для истории, так как устарел слишком сильно. Сразу видно, что множество свободных сетевых экранов основаны именно на нём.

Решил посмотреть на него не смотря на то, что последнее обновление было в 2015 году и сразу было понятно, что обеспечивать достойный уровень защиты он не сможет.

Приступим к установке.

Выбор языка

По опыту общения с основанными на нем или его предке межсетевыми экранами знаю, что тут не стоит выбирать русский язык - будут непонятные символы, вместо текста. Оставляем английский и жмем Ок.

Тип клавиатуры

Тут, как в предыдущем пункте стоит выбрать английский. Поверьте, так будет проще, а язык веб-интерфейса всё равно без проблем можно поменять. 

Кстати, в заголовке видно IPCop 2.1.8, а в статье пишется про версию 2.1.9. Всё правильно, тут нет ошибок. Версия 2.1.9 доступна только в виде файла обновлений к версии 2.1.8. Поэтому мы сначала ставим 2.1.8 и потом обновляем до 2.1.9.

Далее еще несколько скучных пунктов, которые осилит любой эникейщик.

Разметка диска

Происходит разметка файловой системы.

IPCop установлен

IPCop установлен, можно вытащить установочный диск или образ. Далее этап настройки.

Рекомендую запомнить адрес, по которому необходимо подключаться к веб-интерфейсу, точнее порт. В разных версиях IPCop были разные порты.

Настройки красного интерфейса

Указываем настройки красного сетевого интерфейса.

Отмечаем цветами сетевые интерфейсы

Отмечаем цветами сетевые интерфейсы. Напомню, что красный это внешний интерфейс, зеленый это внутренняя локальная сеть, а синий это беспроводная сеть.

Вводим пароль для Root

Знакомое по IPFire окно с просьбой указать пароль для пользователя root. Тут оно выглядит понятнее, за счет того, что при вводе пароля появляются звездочки.

Пароль для Admin

Теперь вводим пароль для пользователя Admin. Именно под этим логином и паролем будем заходить в веб-интерфейс.

Пароль для Backup

Пароль для Backup, то есть для резервных копий. Тут какая-то своеобразная система резервных копий, настройку которой я пропустил во время установки.

Аутентификация в веб-интерфейсе

Первый вход в веб-интерфейс IPCop. Пользователь admin, а пароль задавали во время установки.

Стартовое окно

Первое, что мы видим после успешной авторизации.

Интерфейс без труда переключается на русский язык.

Обновление IPCop

Происходит обновление до версии 2.1.9 из файла.

Планировщик

Планировщик задач.

Обновление

Именно тут можно обновить межсетевой экран.

SSH

Доступ через SSH. По умолчанию отключен.

Настройки веб-интерфейса

Настройки веб-интерфейса.

Настройки почты для оповещений

Почтовые настройки для оповещений. 

Именно в этом компоненте присутствует уязвимость, которая позволяет удаленно выполнить код без необходимости авторизации. Уязвимость эксплуатируется через https://IP_АДРЕС_IPCop:8443/cgi-bin/email.cgi.

Однако, для реализации этого вектора атаки нужно находиться во внутренней сети, то есть в зоне сети Green. В зоне Red веб-интерфейс недоступен и проэксплуатировать уязвимость не получится.

В версиях до 2.1.9 можно было реализовать XSS-атаку при помощи урла https://IP_АДРЕС_IPCop:444/cgi-bin/ipinfo.cgi?<script>alert(123)</script>. Понятно, что вместо уведомления с текстом 123 можно вставить менее безобидный код. В версии 2.1.9 данный вектор атаки не работает, проверил.

Резервное копирование

Резервное копирование.

Состояние системы

Вкладка Состояние системы.

Список соединений с количеством пакетов

Список соединений с количеством пакетов.

Настройки прокси-сервера, часть 1

Настройки прокси-сервера, часть 2

Настройки прокси-сервера, часть 3

Настройки прокси-сервера, часть 4

Настройки прокси-сервера, который 1 в 1 напоминают IPFire. Это не критика, просто теперь есть понимание от куда они взялись в IPFire. На самом деле просто и удобно. Не хватает только антивирусной проверки при помощи ClamAV.

URL Фильтры

Фильтры URL с предустановленными списками не работают, точнее не обновляются. Видимо ссылки по которым они ранее скачивали списки перестали существовать.

Черные списки для фильтра

При большом желании можно указать ссылку на свой список, но весь межсетевой экран жутко устарел, поэтому нет смысла разбираться.

Попытка обновить черные списки

При попытке обновить любой из черных списков выдаёт данное сообщение и на этом всё. Можно ждать очень долго, но результата не будет.

DHCP-сервер

Простой и удобный DHCP-сервер.

Динамический DNS

Динамический DNS.

Редактор hosts файла

Редактор hosts файла.

Сервер синхронизации времени

Сервер синхронизации времени.

Шейпер

Ограничение скорости клиентов.

Настройки файрвола

Настройки файрвола, при виде которых хочется плакать. Даже для 2015 года они очень скудные.

Обратите внимание на то, что доступ по SSH и HTTPS разрешен только из зеленой сети, и это настроено по умолчанию.

Службы в файрволе

Хочешь что-то разрешить? Добавь службу с соответствующим протоколом.

Группы служб

Группы служб.

Адреса

Тут задаются значения переменных для сетей.

Группы адресов

Группы адресов.

Интерфейсы

Не до конца понятна функциональность данного раздела. Возможно, тут можно обозначить зону для интерфейса.

Правила файрвола

Правила файрвола.

IPsec

IPsec.

OpenVPN

OpenVPN.

Сертификаты

Сертификаты.

Журнал файрвола

Журнал файрвола.

Вывод

Устаревший во всех отношениях межсетевой экран IPCop уже не годится для защиты даже домашней сети. В версии 2.1.9 есть уязвимость удаленного выполнение кода через компонент email, но для реализации вектора атаки нужно оказаться во внутренней сети.

Современные реалии требуют наличия системы обнаружения вторжений, которой вообще нет в IPCop.

Черные списки для прокси-сервера не обновляются.

Обновляемых черных списков IP-адресов и доменов не предусмотрено.

Если не требуется поддержка Wi-Fi, тогда лучше выбрать pfSense (ссылка) или OPNsense с NGFW Zenarmor на борту (ссылка).

Если требуется межсетевой экран с поддержкой Wi-Fi, тогда лучше выбрать IPFire (ссылка).

Алексей Черемных
684