The Alexsandra Spaces

Internet - Sicurezza - Excel & VBA

« Il trojan ti spia e ti minaccia
Operazioni Preliminari »

Realizzazione di un Firewall con IPcop

Pubblicato da Alexsandra su Luglio 18, 2007

La funzione svolta dal firewall è di crescente importanza in una scuola. Ci proponiamo ora di presentare una soluzione applicabile nell’ambiente di una scuola utilizzando software open source.È sufficiente visitare il sito http://freshmeat.net e cercare “firewall” per rendersi conto dell’attenzione che il mondo dell’Open Source ha dedicato all’argomento.Tra le tante offerte disponibili abbiamo scelto “IPCop” per le seguenti caratteristiche:

  • Facilità d’installazione.
  • Applicabile in ambiente “Home” o piccola rete locale con minime opzioni.
  • Applicabile in ambiente “Enterprise network” con diverse funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc.

IPCop é una mini distribuzione Linux specializzata per realizzare un firewall;

Ottenere la distribuzione

L’immagine iso è scaricabile direttamente dal sitohttp://www.ipcop.org al link Download, fate attenzione a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2).

Caratteristiche

  1. Linux Netfilter con capacità di NAT/PAT e logging.
  2. Supporto per quattro schede di rete.
  3. Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal Provider.
  4. Supporto Server DHCP per due schede di rete.
  5. Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede di rete.
  6. IDS (Intrusion detection system) per tutte e quattro le schede di rete.
  7. Supporto per la VPN (rete privata virtuale).
  8. Supporto proxy per il Web.
  9. Amministrazione e controllo attraverso il browser.
  10. Possibilità di pach/update
  11. Backup e Restore della configurazione

Hardware

IPCop può essere installato su un vecchio “486” con 16 MB di RAM, consigliamo tuttavia di utilizzare schede madri e schede di rete basate sullo standard PCI, 64 MB di RAM, un BIOS che permette l’avvio da CDROM (la distribuzione comprende anche l’immagine floppy per l’avvio) e qualche GB di Hard Disk.

Per utilizzare il proxy è consigliabile avere 256 MB di RAM e di più GB di Hard Disk se si desidera conservare i file di log.

Perché quattro adattatori di rete?

Gli adattatori di rete sono individuati con dei colori:

  • ROSSO – rappresenta l’interfaccia connessa ad internet.
  • VERDE – rappresenta l’interfaccia per la rete interna.
  • BLU – rappresenta l’interfaccia per una seconda rete interna o per una rete wireless.
  • ARANCIO – rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno.

L’applicazione minima prevede due interfacce di rete, quella verso internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere.

Nel caso in cui esistono due reti locali che devono rimanere separate (accesso consentito solo in VPN) si utilizza anche l’interfaccia BLU; è la classica situazione in cui la rete locale dell’amministrazione condivide l’unico accesso ad internet con la rete della didattica, tuttavia ne deve restare separata.

L’immagine che segue, tratta dal sito http://www.ipcop.org illustra l’utilizzo di tutti e quattro gli adattatori di rete.

ipcop1.gif

La nostra installazione minima

Abbiamo utilizzato un Pentium II 233 Mhz con 64 MB di RAM, 5GB di Hard Disk, due schede di rete PCI (ROSSA e VERDE).

L’installazione è composta dai seguenti passi:

  1. Avvio del sistema (nel nostro caso direttamente dal CDROM generato dall’immagine iso scaricata).
  2. Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI PRESENTI SUL HARD DISK SARANNO CANCELLATI”.
  3. Rilevamento delle interfacce di rete (scegliere automatico).
  4. Scelta dell’indirizzo IP dell’interfaccia verde (rete locale).
  5. Scelta dei parametri locali (tastiera, data/ora).
  6. Scelta del nome del sistema (hostname) e del domino.
  7. Configurazione del dispositivo ISDN (saltare se non interessa).
  8. A questo punto il sistema è configurato per due schede di rete (ROSSA + VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare eventualmente altre schede di rete.
  9. Con l’opzione “Impostazioni driver e schede” impostate i driver delle schede di rete non ancora configurate.
  • Assegnate ora gli indirizzi IP alle schede di rete tramite l’opzione “Impostazione indirizzo”.
  1. Assegnate il Gateway e il DNS tramite l’opzione “Impostazioni DNS e Gateway”.
  2. Configurate il server DHCP (saltare se non interessa).
  3. Impostate le password di root e di amministratore.

Il firewall in configurazione minima è pronto, collegate un cavo di rete al router (quello dell’interfaccia ROSSA) e un altro al vostro Hub o Switch (quello dell’interfaccia VERDE); poiché non sapete fisicamente come sono state assegnate le interfacce può essere necessario invertire i cavi. Provate a navigare con i PC della vostra rete locale.

Amministrazione del firewall

Connettetevi con il vostro browser all’indirizzo assegnato all’interfaccia di rete VERDE (ad. es. https://192.168.1.1:445), vi si presenterà la seguente pagina:

ipcop2.jpg

Potete ora cominciare ad esplorare le differenti possibilità disponibili.

  • Sistema:Utilità per la configurazione del sistema e di IPCop stesso.
  • Stato: Informazioni dettagliato sullo stato del vostro server IPCop.
  • Network: utilità per configurare/amministrare connessioni tramite modem.
  • Servizi: Configurazione/Amministrazione dei servizi disponibili sul server IPCop.
  • Firewall: Configurazione/Amministrazione delle opzioni del firewall.
  • VPNs:Configurazione/Amministrazione della VPN (Rete Privata Virtuale).
  • Log:Visualizzarei vari log di IPCop (firewall, IDS,ecc.)

Per una spiegazione dettagliata rimandiamo alla documentazione ufficiale scaricabile dal sito http://www.ipcop.org; ci limitiamo qui ad illustrare il comportamento di “default” del firewall con una tabella tratta dalla documentazione ufficiale.

ipcop3.jpg

L’interpretazione della tabella e delle modalità con cui configurare il Port Forwarding e la VPN comportano conoscenze nel campo delle reti e dei protocolli che esulano dallo scopo di quest’articolo.

In generale osserviamo che la conoscenza base della configurazione degli adattatori di rete (indirizzi IP, netmask, gateway, dns) e una minima esperienza d’installazione del sistema operativo linux permettono di realizzare un firewall più che adeguato alle esigenze di un ufficio.

Questo post è stato pubblicato il Luglio 18, 2007 a 9:40 pm ed è archiviato in Senza Categoria. Contrassegnato da tag: , . Puoi seguire tutte le risposte a questo articolo attraverso il RSS 2.0 feed. Puoi lascia una risposta, oppure trackback dal tuo sito.

12 Risposte a “Realizzazione di un Firewall con IPcop”

  1. r080cy90r Dice:
    Settembre 26, 2007 a 12:44 am

    Ottimo….cmq ipcop nn è l’unica distro con la quale si puo creare un firewall router..un’altra moolto utile a tale scopo è Coyote!

    la potete trovare a questo link:

    coyotelinux

  2. Alexsandra Dice:
    Settembre 26, 2007 a 8:21 am

    Attualmente uso la distro che hai lincato tu :D

  3. r080cy90r Dice:
    Ottobre 1, 2007 a 3:24 am

    hehe ma è lo stesso firewall di raven o ne hai uno personale diverso dal suo??
    (scusa la domanda ma di natura sono curioso come una scimmia LOL)

  4. Alexsandra Dice:
    Ottobre 1, 2007 a 8:40 am

    Non sapevo che le scimmie fossero curiose :D comunque si è lo stesso di raven.
    Pensa che abbiamo pure lo stesso IP ….. è mio figlio. :D :)

    Ne ho un’altro di 10 anni e anche lui col pc và come una scheggia. Da quando hanno aperto gli occhi hanno sempre visto un pc, gli ho trasmesso la mia passione.

    PS. anch’io sono curiosa …. da dove nasce il tuo nick ?

  5. r080cy90r Dice:
    Ottobre 4, 2007 a 2:18 am

    Gia lo sapevo che era tuo figlio…cavoli…fa parte del mio staff hihihi…

    Cmq il mio nick deriva da 2 cose…
    tempo fa mi divertivo a fare murales e il mio nome era robo questo perche mi piacciono da matti la robotica e i robot..sia quelli veri che quelli dei film animati…piu che piacermi mi attrae all’ennesima potenza…hihihi

    cygor deriva da un personaggio di un fumetto che si chiama SPAWN la parola cygor significa cyber gorilla che effettivamente rispecchia il personaggio che era un gorilla delle montagne una specie di king kong modificato con innesti biocibernetici in laboratorio al fine di creare un guerriero perfetto con un’intelligenza simil umana ma abbastanza retrogada da poter essere controllata via impulsi elettronici…fattosta che questo simil cyborg un bel giorno si ribella ai suoi creatori e distrugge il laboratorio uccidendo tutti..la cosa piu bella è che dopo tutto questo alla fine del fumetto(era una mini story) si scopre che cygor era una femmina in piu incinta (per quello si è ribellata perche era diventata iperprotettiva per l’imminente nascita del suo piccolo) alla fine nasce il piccolo e si vede che è anche lui un piccolo gorilla cybernetico…il significato è la ribellione dai creatori e il fatto che si puo modificare il proprio futuro e continuare per quello che si è(vedio la nascita di un piccolo gorilla diverso da tutti perche cybernetico e unito per sempre ad una vita DIVERSA per i suoi impianti)

    Da questo robo(il mio nome)cygor(per il significato) che si trasforma in r080cy90r perche mi sembrava piu appropriato alla cibernetica e robotica..una specie di numero di serie ma con un MIO (ora anche di tutti i lettori del tuo blog) significato!

    Spero di aver saziato la tua curiosita LOL…cmq fai veramente un ottimo lavoro..veramente grande continua cosi..spero che un giorno rbt-4(spero nn ti dia fastidio il link..se si eliminalo pure..) possa arrivare ad un livello cosi professionale quanto il tuo blog..pur essendo un progetto un po diverso ma penso con gli stessi principi..aiutare insegnare e imparare..tutti compreso Me che lo amministro! Ciauz…sei forte!
    Passo e Chiudo!

  6. Alexsandra Dice:
    Ottobre 4, 2007 a 8:30 am

    bella e interessante l’esposizione. Tra le righe si può cogliere il “manifesto” del tuo sito e quello che fate.
    Si è un progetto un po’ diverso ma i principi sono uguali. Ti verrò a trovare su rbt-4 uno di questi giorni.

    PS. lo sai vero che hai una “talpa” dentro :D

  7. r080cy90r Dice:
    Ottobre 4, 2007 a 1:35 pm

    una talpa??… :D ti riferisci a raven hihi lo so si …cmq mi famoooolto piacere che ci vieni a trovare..sono sempre felice di discutere con persone intelligenti e competenti..hihi..e soprattutto che facciano parte della community..hihi!

  8. Alexsandra Dice:
    Ottobre 4, 2007 a 8:51 pm

    vi verrò a trovare spesso. comunque …. vorrei proprio proporre una cosa (ho letto il topic sfide eh eh eh eh)

    vi lascio acceso il pc tutto il giorno, vi fornisco anche l’IP, siete capaci di farmi trovare un messaggio sul dektop? :D

  9. evilsocket Dice:
    Novembre 1, 2007 a 9:43 pm

    PS : bello ipcop, ho seguito una discussione su questa distro giusto qualche giorno fa al linux day ^^

  10. Bozu Dice:
    Aprile 16, 2008 a 10:28 pm

    Una domanda semplice ? Ho da poco installato una distro IPCop che mi funziona egregiamente come IDS. Ho installato pure qualche altro plugin a post installazione tipo CopFilter. Ora sperando che qualcuno mi possa aiutare la domanda è: se io ho un sito che devo bloccare come posso farlo; vi è il modo di bloccare l’accesso dall’interno verso l’esterno di determinati link?
    Ossia è possibile bloccare la navigazione su determinati siti quindi su determinati indirizzi IP pubblici? Sì? In che modo? Grazie

  11. Bozu Dice:
    Aprile 16, 2008 a 10:30 pm

    Dimenticavo => Grazie anticipatamente.

  12. Alexsandra Dice:
    Aprile 24, 2008 a 1:32 pm

    si è possibile, dopo ti linko una guida

Lascia una Risposta

XHTML: Puoi usare questi tag: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

« Il trojan ti spia e ti minaccia
Operazioni Preliminari »