Realizzazione di un Firewall (IPcop) Stampa
Venerdì 14 Settembre 2007 09:17
There are no translations available.

La funzione svolta dal firewall è di crescente importanza in una scuola. Ci proponiamo ora di presentare una soluzione applicabile nell’ambiente di una scuola utilizzando software open source.

È sufficiente visitare il sito http://freshmeat.net e cercare “firewall” per rendersi conto dell’attenzione che il mondo dell’Open Source ha dedicato all’argomento.Tra le tante offerte disponibili abbiamo scelto "IPCop" per le seguenti caratteristiche:

  • Facilità d'installazione.
  • Applicabile in ambiente “Home” o piccola rete locale con minime opzioni.
  • Applicabile in ambiente “Enterprise network” con diverse funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc.
IPCop é una mini distribuzione Linux specializzata per realizzare un firewall;

Ottenere la distribuzione

L’immagine iso è scaricabile direttamente dal sito http://www.ipcop.org al link Download, fate attenzione a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2).

Caratteristiche

  1. Linux Netfilter con capacità di NAT/PAT e logging.
  2. Supporto per quattro schede di rete.
  3. Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal Provider.
  4. Supporto Server DHCP per due schede di rete.
  5. Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede di rete.
  6. IDS (Intrusion detection system) per tutte e quattro le schede di rete.
  7. Supporto per la VPN (rete privata virtuale).
  8. Supporto proxy per il Web.
  9. Amministrazione e controllo attraverso il browser.
  10. Possibilità di pach/update
  11. Backup e Restore della configurazione

Hardware

IPCop può essere installato su un vecchio “486” con 16 MB di RAM, consigliamo tuttavia di utilizzare schede madri e schede di rete basate sullo standard PCI, 64 MB di RAM, un BIOS che permette l’avvio da CDROM (la distribuzione comprende anche l’immagine floppy per l’avvio) e qualche GB di Hard Disk.

Per utilizzare il proxy è consigliabile avere 256 MB di RAM e di più GB di Hard Disk se si desidera conservare i file di log.

Perché quattro adattatori di rete?

Gli adattatori di rete sono individuati con dei colori:

  • ROSSO – rappresenta l’interfaccia connessa ad internet.
  • VERDE – rappresenta l’interfaccia per la rete interna.
  • BLU – rappresenta l’interfaccia per una seconda rete interna o per una rete wireless.
  • ARANCIO – rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno.

L’applicazione minima prevede due interfacce di rete, quella verso internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere.

Nel caso in cui esistono due reti locali che devono rimanere separate (accesso consentito solo in VPN) si utilizza anche l’interfaccia BLU; è la classica situazione in cui la rete locale dell’amministrazione condivide l’unico accesso ad internet con la rete della didattica, tuttavia ne deve restare separata.

L’immagine che segue, tratta dal sito http://www.ipcop.org illustra l’utilizzo di tutti e quattro gli adattatori di rete.

utilizzo 4 adattori di rete

La nostra installazione minima

Abbiamo utilizzato un Pentium II 233 Mhz con 64 MB di RAM, 5GB di Hard Disk, due schede di rete PCI (ROSSA e VERDE).

L’installazione è composta dai seguenti passi:

  1. Avvio del sistema (nel nostro caso direttamente dal CDROM generato dall’immagine iso scaricata).
  2. Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI PRESENTI SUL HARD DISK SARANNO CANCELLATI”.
  3. Rilevamento delle interfacce di rete (scegliere automatico).
  4. Scelta dell’indirizzo IP dell’interfaccia verde (rete locale).
  5. Scelta dei parametri locali (tastiera, data/ora).
  6. Scelta del nome del sistema (hostname) e del domino.
  7. Configurazione del dispositivo ISDN (saltare se non interessa).
  8. A questo punto il sistema è configurato per due schede di rete (ROSSA + VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare eventualmente altre schede di rete.
  9. Con l’opzione “Impostazioni driver e schede” impostate i driver delle schede di rete non ancora configurate.
  • Assegnate ora gli indirizzi IP alle schede di rete tramite l’opzione “Impostazione indirizzo”.
  1. Assegnate il Gateway e il DNS tramite l’opzione “Impostazioni DNS e Gateway”.
  2. Configurate il server DHCP (saltare se non interessa).
  3. Impostate le password di root e di amministratore.

Il firewall in configurazione minima è pronto, collegate un cavo di rete al router (quello dell’interfaccia ROSSA) e un altro al vostro Hub o Switch (quello dell’interfaccia VERDE); poiché non sapete fisicamente come sono state assegnate le interfacce può essere necessario invertire i cavi.

Provate anavigare con i PC della vostra rete locale.

Amministrazione del firewall

Connettetevi con il vostro browser all’indirizzo assegnato all’interfaccia di rete VERDE (ad. es. https://192.168.1.1:445), vi si presenterà la seguente pagina:

IpCop pagina principale

Potete ora cominciare ad esplorare le differenti possibilità disponibili.

  • Sistema:Utilità per la configurazione del sistema e di IPCop stesso.
  • Stato: Informazioni dettagliato sullo stato del vostro server IPCop.
  • Network: utilità per configurare/amministrare connessioni tramite modem.
  • Servizi: Configurazione/Amministrazione dei servizi disponibili sul server IPCop.
  • Firewall: Configurazione/Amministrazione delle opzioni del firewall.
  • VPNs:Configurazione/Amministrazione della VPN (Rete Privata Virtuale).
  • Log:Visualizzarei vari log di IPCop (firewall, IDS,ecc.)

Per una spiegazione dettagliata rimandiamo alla documentazione ufficiale; ci limitiamo qui ad illustrare il comportamento di "default" del firewall con una tabella tratta dalla documentazione ufficiale.

modalità configurazione

L’interpretazione della tabella e delle modalità con cui configurare il Port Forwarding e la VPN comportano conoscenze nel campo delle reti e dei protocolli che esulano dallo scopo di quest'articolo.

In generale osserviamo che la conoscenza base della configurazione degli adattatori di rete (indirizzi IP, netmask, gateway, dns) e una minima esperienza d'installazione del sistema operativo linux permettono di realizzare un firewall più che adeguato alle esigenze di un ufficio.

^top

Ultimo aggiornamento Lunedì 08 Ottobre 2007 08:20