<- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 -> |
Sistemi Liberi
L'articolo...In un mio precedente articolo avevo spiegato come realizzare un firewall basato su iptables. La soluzione proposta richiedeva delle buone competenze di Linux e di reti per essere portata a termine. Con questo articolo vedremo invece come installare IpCop, una distribuzione GNU/Linux per firewall facile da installare e da gestire (grazie alla sua interfaccia di amministrazione web-based) anche da persone con competenze informatiche intermedie. |
IPCop[1] è una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce un'efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.
È un'ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato. Può essere usata da amministratori di rete che non conoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linux ovviamente!) ma non ha il tempo per configurare manualmente un PC.
Il progetto IPCop è attivo da un paio d'anni e nelle ultima versioni è risultato essere così maturo da acquistare crescente successo in una vasta comunità di utenti e di sviluppatori.
Il manifesto della distribuzione si articola nei seguenti punti:
Offrire una distribuzione Firewall Linux stabile sicura e opensource
Creare ed offrire una distribuzione Firewall Linux estremamente configurabile
Offrire una distribuzione Firewall Linux di facile manutenzione
IpCop offre un'ampia gamma di caratteristiche tecniche: si va dal Linux netfilter standard con capacità di NAT al supporto per DMZ via DNAT, dal supporto DHCP (sia server che client) al supporto NTP per sincronizzare e servire la data e l'ora, dalla possibilità di attivare un proxy a quella di attivare un IDS. Inoltre supporta quattro schede di rete e un numero illimitato di connessioni VPN, oltre ad offrire la possibilità di backup e restore della configurazione. È inoltre facilmente estendibile grazie a numerosi moduli presenti in Internet.
IpCop non richiede molta potenza di calcolo per poter funzionare egregiamente: è richiesto un Pentium II con 64 Mb di ram e qualche GB di hard disk. Se si intende utilizzare le funzioni di proxy sono consigliati 256 MB di ram e qualche GB in più libero. Ovviamente per l'installazione del sistema è necessario un lettore CD.
IPCop nomina le interfacce di rete con dei colori. Ecco i significati:
ROSSO - rappresenta l'interfaccia connessa ad internet.
VERDE - rappresenta l'interfaccia per la rete interna.
BLU - rappresenta l'interfaccia per una seconda rete interna o per una rete wireless.
ARANCIONE - rappresenta l'interfaccia per un'eventuale zona DMZ in cui si trovano server che offrono servizi all'esterno.
La configurazione minima, che vedremo in questo articolo, prevede due interfacce di rete: ROSSO (internet) e VERDE (la rete da proteggere); tuttavia non è difficile estendere queste istruzioni per la configurazione un firewall più complesso.
Nel caso esistano due reti locali che devono rimanere separate si utilizza anche l'interfaccia BLU.
Prima di procedere con l'installazione è necessario controllare che il disco su cui installeremo IPCop non contenga dati per noi importanti; infatti la procedura di installazione cancellerà l'intera tabella delle partizioni.
Cominciamo quest'avventura procurandoci l'immagine ISO del disco di installazione da www.ipcop.org e scrivendola su un CD. Ora possiamo partire con l'installazione del nostro futuro firewall. È necessario assicurarsi che il PC sul quale andrà installato IPCop faccia il boot da CD.
Via!
La prima schermata che comparirà sarà quella per la scelta della lingua.
Successivamente si dovrà scegliere da quale dispositivo effettuare l'installazione. Scegliamo CD-ROM.
Ci verrà chiesto se vogliamo procedere con la creazione di una nuova tabella delle partizioni. Scegliamo SI e aspettiamo che le partizioni vengano create e formattate.
Quindi attendiamo la copia dei file sul disco.
Ci verrà quindi chiesto quale sarà la nostra interfaccia di rete GREEN, di indicare il layout della tastiera e il fuso orario, di settare un nome host e di dominio per il nostro firewall.
Da notare la citazione dantesca: «Caron, non ti crucciare, vuolsi così colà dove si puote ciò che si vuole, e più non dimandare.»
Successivamente dovremo decidere quale sarà la configurazione del nostro firewall: in questo articolo parleremo della semplice installazione di IPCop per la protezione di una sola rete LAN, quindi scegliamo GREEN+RED.
Dovremo quindi assegnare gli indirizzi IP alle interfacce GREEN e RED, definire la password di root per l'accesso da terminale e la password dell'utente admin per l'accesso da interfaccia web.
Ora l'installazione è completata. Possiamo quindi riavviare il sistema.
Per la configurazione del nostro nuovo firewall accediamo all'interfaccia di configurazione web che risponde all'indirizzo https://indirizzoIPinterfacciaGREEN:445/, dove 192.168.17.253 è l'indirizzo IP lato GREEN del firewall che, in questo esempio, avevo assegnato in precedenza.
Ci apparirà una schermata simile alla seguente:
Possiamo ora navigare all'interno dei menù per accedere alle varie parti della configurazione del firewall. Sono presenti le seguenti voci:
Sistema: qui possiamo trovare le utilità per la configurazione del sistema e di IPCop stesso
Stato: qui troviamo le informazioni dettagliate sullo stato del firewall
Network: le utilità per configurare/amministrare le connessioni di rete
Servizi: la configurazione/amministrazione dei servizi disponibili sul firewall
VPN: la configurazione delle possibili reti private virtuali (VPN)
Log: permette di visualizzare i vari log di IPCop (Proxy, IDS, ...)
Ad esempio, se vogliamo creare una VPN con un altro firewall andremo sul menù VPN: sul menù servizi potremo decidere quali servizi avviare sul nostro firewall, come il proxy, il server DHCP e a altri.
Le potenzialità di IPCop sono davvero notevoli, anche grazie al fatto che è possibile installare degli addon[2] per estendere le funzioni del nostro firewall.
Il metodo più facile per installare degli addon è usare il modulo "Addon Server", scaricabile sempre da firewalladdons.sourceforge.net/
Procediamo quindi a scaricare dal sito l'ultima versione, copiamo il file sul firewall e da una console impartiamo i seguenti comandi:
# tar zxvf addons-2.3-CLI-b2.tar.gz -C # cd addons # ./addoncfg -i |
In seguito all'installazione, nel menù dell'interfaccia web comparirà la voce Addons, dalla quale sarà possibile installare gli addon con pochi clic.
Ecco brevemente presentati i principali addon:
OpenVPN: permette di creare VPN usando OpenVPN. (di default IPCop crea VPN IPSEC)
AutoShutDown: permette di spegnere automaticamente, ad una determinata ora, il nostro firewall.
Cop+: permette di aggiungere il supporto per l'autenticazione proxy e il filtraggio dei contenuti web con DansGuardian.
IPBill: permette la navigazione a tempo e a pagamento. Utile per internet point o simili.
NTPD: permette a IPCop di essere anche un Time Server NTP.
POPFile: permette a IPCop di essere anche un Mail Proxy e filtro anti-SPAM.
SquidGuard: aggiunge il supporto al filtraggio dei contenuti web con SquidGuard.
Tra i vantaggi di avere un firewall basato su IPCop annoveriamo il fatto che si può installare su hardware obsoleto, che è Open Source, che non richiede un'approfondita conoscenza di Linux e Iptables e nemmeno una configurazione "manuale" dei vari servizi. È inoltre facile da installare e da gestire, sicuro e stabile allo stesso tempo. Teniamo inoltre presente che il costo di una soluzione commerciale simile è molto elevato.
Gli svantaggi principali che ho riscontrato sono riferibili al fatto di non avere supporto per DMZ via routing diretto ma solo via NAT. Inoltre IPCop indirizza tutto il traffico della rete interna verso la rete esterna: non è quindi utile in quelle situazioni in cui si vuole consentire agli utenti di accedere solo a determinati servizi.
[1] IPCop:
http://www.ipcop.org/
[2] IPCop Addons:
http://firewalladdons.sourceforge.net/
L'autoreStefano Sasso utilizza Linux dal 2000 e si diverte a programmare in Java, PHP, Perl e Python. Frequenta il corso di laurea in Ingegneria Informatica presso l'Università di Padova e a tempo perso è consulente informatico su piattaforme Open Source. |
<- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 -> |