Scarica TeamViewer

nnadalca Documenti Tecnici Teleassistenza

Ripristinare un server Windows, comprensivo di tutte le applicazioni installate, dei dati e delle impostazioni di sistema, può essere una procedura molto complessa, che richiede un notevole dispendio di ore di lavoro. Una corretta pianificazione e gestione dei processi di backup può rendere tutto molto più semplice, migliorare la business continuity e risparmiarci qualche mal di testa.

Lo scenario che ho ipotizzato per questo tutorial è quello di un server che presenta un problema critico al comparto storage, che ne rende impossibile l’avvio. Abbiamo però a disposizione un backup completo, realizzato mediante l’utility Windows Backup, che utilizzeremo, dopo avere sostituito il disco (o i dischi) causa del problema, per effettuare un veloce ripristino del sistema.

Premesse

Il server che andremo a ripristinare è dotato di sistema operativo Windows Server 2008. Per le versioni precedenti di Windows Server, come la 2003, purtroppo questa procedura non è applicabile, poiché l’utility di backup integrata nel sistema operativo (ntbackup) non è in grado di produrre immagini complete del sistema.
Il ripristino sarà effettuato su una macchina virtuale, per praticità, ma nessuno dei passaggi del tutorial sarebbe differente se il ripristino fosse avvenuto su un server fisico.

Il backup

Per un ripristino, non è possibile ovviamente prescindere da un backup. In questo caso, configureremo l’utility di backup di Windows Server 2008 per salvare il backup su un percorso di rete, ma la posizione del backup è ininfluente ai fini del nostro ripristino. Sempre che non lo abbiate salvato nello stesso disco del sistema operativo da ripristinare; in tal caso, dato che il disco è danneggiato, avreste perso anche il backup. Non è mai troppo ripeterlo: i backup devono essere salvati su un disco differente da quello che contiene i dati che ne sono oggetto, meglio se su un altro server, oppure su una periferica di archiviazione esterna, come un NAS o un hard disk esterno.

Avviamo quindi l’utility di backup: Windows Server Backup. Questa sarà la schermata che sarà visualizzata:

Windows Server 2008 Backup – Schermata principale

Clicchiamo sull’opzione Backup unico. Questa scelta è finalizzata al completamento del tutorial, dato che in uno scenario reale di produzione è auspicabile che sia attiva una specifica pianificazione. La prima finestra di dialogo comparirà sullo schermo:

Windows Server 2008 Backup – Opzioni backup

In questo caso scegliamo l’opzione Opzioni diverse, poiché non è disponibile una pianificazione cui fare riferimento (che ribadisco essere necessaria in un ambiente di produzione) e premiamo Avanti.

Windows Server 2008 Backup – Selezione configurazione backup

A questo punto, nella finestra di selezione della configurazione del backup, scegliamo l’opzione Personalizzato.

Sarà visualizzata la finestra mediante la quale aggiungere gli elementi che si intende sottoporre a backup. Premiamo il pulsante Aggiungi elementi.

Windows Server 2008 Backup – Selezione degli elementi da sottoporre a backup

Qui selezioniamo l’opzione Ripristino bare metal: automaticamente verranno selezionate tutte le caselle disponibili. Premiamo OK e saremo condotti nuovamente alla finestra precedente, dopdiché premiamo il pulsante Avanti.

Windows Server 2008 Backup – Scegliere dove memorizzare il backup

Si tratta ora di selezionare il supporto ove memorizzare il backup. Nel nostro caso, come accennato all’inizio, opteremo per una cartella condivisa in rete. Sceglieremo quindi l’opzione Cartella condivisa remota.

Windows Server 2008 Backup – Impostazione cartella remota di salvataggio

Digitiamo il percorso di rete nella casella e selezioniamo l’opzione desiderata per il controllo di accesso. Se sono state impostate già delle policy di condivisione sufficientemente sicure sulla cartella condivisa dove memorizzeremo il backup, possiamo scegliere l’opzione Eredita. Se invece vogliamo scegliere di rendere accessibile il backup solo a uno specifico utente, scegliamo l’opzione Non eredita. In quest’ultimo caso ci verranno chieste le credenziali necessarie per l’accesso al backup.

Nel nostro caso, la cartella di rete dispone già di una corretta configurazione della condivisione, pertanto scegliamo l’opzione Eredita.

Premiamo Avanti.

Windows Server Backup ci propone un riepilogo delle impostazioni che abbiamo scelto. Se è tutto corretto, premiamo Backup per cominciare il processo di creazione del backup.

Alla fine della procedura, come ulteriore misura di sicurezza, possiamo verificare se i file del backup sono presenti nella cartella di rete che avevamo scelto come destinazione.

Il ripristino

Ora che il nostro backup è pronto, simuliamo la situazione di ripristino del nostro sistema. Io ho utilizzato un software di virtualizzazione, Vmware Workstation per la precisione, creando una nuova macchina virtuale nella quale effettuare il ripristino del server. Nel caso in cui si abbia a che fare con un server fisico, la procedura non cambia.

Avviando l’installazione del sistema operativo per il server, dopo qualche istante ci troviamo di fronte alla prima schermata, per la selezione della lingua.

Ripristino di Windows Server 2008 – Avvio dell’installazione

Dopo la selezione della lingua, premendo Avanti, ci troviamo di fronte alla schermata dalla quale avviare il processo di ripristino. Premiamo il pulsante Ripristina il computer che vedete evidenziato nella figura seguente.

Ripristino di Windows Server 2008 – Opzione Ripristina il computer

Nella successiva finestra di dialogo Opzioni ripristino di sistema scegliamo l’opzione Ripristinare il computer utilizzando un’immagine del sistema creata in precedenza.

Ripristino di Windows Server 2008 – Opzione di ripristino mediante un’immagine del sistema

La procedura di installazione, dopo una breve ricerca, ci indicherà di non avere trovato un’immagine del sistema da utilizzare, dato che il nostro backup è stato effettuato su una risorsa di rete. Se fosse stato memorizzato in un disco locale, anche esterno, la finestra di dialogo mostrata nella figura seguente non sarebbe stata visualizzata. Dobbiamo pertanto indicare manualmente la posizione. Nella finestra di dialogo Effettua re-imaging computer, scegliamo Annulla.

Ripristino di Windows Server 2008 – La procedura di installazione non trova un’immagine locale del sistema

Selezioniamo quindi l’opzione Seleziona un’immagine del sistema e premiamo il pulsante Avanti.

Se la scheda di rete non riceve correttamente l’ip

1. C:\Users\Administrator>wpeinit   (This command load network driver for our E1000)

2. C:\Users\Administrator> netsh interface ipv4 show interfaces (This command show interfaces)

Example:

Idx  Met   MTU   State        Name
—  —  —–  ———–  ——————-
1   50 4294967295  connected    Loopback Pseudo-Interface 1
10   20   1500  connected    Local Area Connection

3. C:\Users\Administrator>netsh interface ipv4 set address name=”Local Area Connection” source=static address=192.168.1.11 mask=255.255.255.0 gateway=192.168.1.1 (This command add IP address to interface Local Area Connecion)

Ripristino di Windows Server – Selezionare l’immagine del sistema da ripristinare

Nella successiva finestra, premiamo il pulsante Avanzate. La finestra pop-up che viene visualizzata ci permette di individuare l’immagine del nostro sistema in rete, scegliendo l’opzione Cerca immagine del sistema in rete.

Ripristino di Windows Server 2008 – Cercare un’immagine del sistema in rete

La procedura di ripristino ci avvertirà di potenziali rischi per la sicurezza. Supposto che la nostra rete sia sicura, clicchiamo su Sì e andiamo avanti. Dopo la connessione alla rete, la finestra di dialogo successiva ci richiede il percorso di rete dove è memorizzata l’immagine del sistema.

Ripristino di Windows Server 2008 – Inserire il percorso di rete dove è memorizzata l’immagine del sistema che vogliamo utilizzare per il ripristino

Dopo avere inserito le credenziali per l’accesso alla risorsa di rete condivisa, premiamo OK.

Ripristino di Windows Server 2008 – L’immagine del sistema è stata correttamente individuata

Ora possiamo cliccare sull’immagine del sistema appena individuata per selezionarla e premere il pulsante Avanti. Nella successiva schermata selezioniamo la data e l’ora del backup che ci interessa (nel nostro caso ovviamente ce n’è una sola, ma in uno scenario convenzionale è probabile che siano disponibili backup relativi a più date differenti) e premiamo il pulsante Avanti.

Ripristino di Windows Server 2008 – Scegliere la data del backup desiderata

Ora possiamo selezionare le ultime opzioni sul ripristino. L’opzione Formatta e partiziona i dischi risulta già attiva, e nel nostro caso è corretto. Possiamo premere il pulsante Avanzate, per verificare le altre opzioni disponibili, anche se nella maggioranza dei casi possiamo lasciare entrambe le opzioni attive. Premiamo OK per procedere e poi Avanti.

Ripristino di Windows Server 2008 – Le opzioni avanzate

Nella successiva finestra che ci viene mostrata vediamo un riepilogo con le informazioni principali relative all’immagine di sistema che ci stiamo apprestando a ripristinare. Se è tutto ok, possiamo premere il pulsante Fine. Un ulteriore messaggio di avviso ci notifica che tutti i dischi saranno formattati e impostati come previsto nell’immagine di sistema: per noi non è un problema, quindi possiamo premere Sì e avviare definitivamente il processo di ripristino.

Mettiamoci comodi, e dopo un po’, salvo imprevisti (nel mio caso per fortuna nessuno) ci troveremo davanti la schermata di login del nostro server.

nnadalca Documenti Tecnici Windows 2008

Tramite lo snap-in del servizio backup di Windows Server 2008 non si può pianificare un backup su una cartella di rete.
Si possono fare backup “on time” su dischi di rete, ma non si possono pianificare.
L’unico sistema senza rincorrere a software di terze parti è mettere nelle operazioni pianificate il seguente comando (tutto su una riga):
WBADMIN START BACKUP -backupTarget:\\indirizzocartella\nomecartella -include:c: -vssFull -quiet

Nella voce -include ho inserito il disco C. Si possono specificare altri dischi o cartelle usando il separatore , (virgola)

nnadalca Documenti Tecnici Windows 2008

COME IMPOSTARE VLAN E COLLEGAMENTO TRUNK TRA DUE SWITCH HP PROCURVE 1800-24 e 1800-8

In questo laboratorio si illustra la configurazione di vlan per isolare ad esempio il traffico di una sottorete 192.168.6.x e un’altra sottorete 192.168.1.x.

Le VLAN sono una delle più importanti implementazioni degli switches (principali protagonisti, ma non solo, visto che si estendono a routers e hosts dotati di tale capacità di gestione.

Permettono di raggruppare gli hosts in modo logico, eliminando così il problema del luogo fisico in cui un dispositivo si trova rispetto agli altri nella LAN; sono quindi vere e proprie sottoreti di dispositivi che si estendono su più switches all’interno della LAN.

Definibili anche come domini di Broadcasts, in quanto tutti gli hosts di una VLAN, che dovrebbero appartenere a una stessa sottorete, potranno comunicare solo all’interno della stessa. La comunicazione tra VLAN viene delegata ai routers o a multilayer switch in grado di eseguire routing a layer 3.

Benefici

• Facilità di gestione delle infrastrutture di rete: invece di spostare cavi, riposizionare uplink, aggiungere dispositivi e ricablare intere zone, si gestiscono le VLAN tramite strumenti software.
• Ottimizzazione dell’uso delle infrastrutture: se desidero isolare una subnet non devo aggiungere uno switch e/o un router, ma mi sarà sufficiente riassegnare alcune porte.
• Forte scalabilità: in pochi minuti si riassegna una porta e si sposta una patch, e le VLAN si possono estendere su diversi switch, rendendo semplice e relativamente economica l’espansione della rete.
• Possibilità di estensione oltre i limiti fisici di un singolo switch: oltre alla scalabilità, c’è il vantaggio di poter estendere una LAN su (ad esempio) piani diversi, utilizzando una unica dorsale di collegamento.
• Economicità: con uno switch livello 3, si può fare routing tra le VLAN.
• Diminuzione del traffico di rete: tramite VLAN si confina facilmente il broadcast.

Iniziamo con il definire le due Vlan , vlan1 e vlan2 per lo switch 1800-8 porte , la vlan1 per le porte 1,2,3,4 e la vlan2 per le porte 5,6. Le porte 7,8 verranno utilizzate per il trunk.

Il trunk viene fatto per poter  far comunicare 2 vlan tra 2 switch e negli switch hp e’ sempre costituito da due porte e un cavo unico che si collega tra i due switch su porte dedicate.

In questo caso le porte 7,8 dello switch 1 (1800-8porte) costituiscono il trunk per collegare lo switch (1800-24) porte 23,24.

Trunking; esso è un metodo per instradare il traffico di più VLAN su un unico link fisico. Sarebbe, infatti, pazzesco dedicare una porta per switch a ogni VLAN per farla comunicare con se stessa attraverso la rete. Già solo 5 VLAN richiederebbero 5 link fisici, la scalabilità andrebbe a farsi benedire, i costi di implementazione e cablaggio salirebbero a dismisura.

Il trunking viene implementato tra due o più switches che gestiscono più Virtual LAN, e tra switches e dispositivi di routing, che si occupano della comunicazione tra VLAN. Esistono diversi protocolli, che usano tecniche, dall’encapsulation al tagging, che permettono di identificare in modo univoco a quale VLAN appartengono i frames.

1) Definiamo quali porte costituiscono la vlan 1, in questo caso 1,2,3,4.

2) Definiamo quelle che costituiscono la vlan2,  ovvero la 5,6

3) Definiamo il trunk per lo switch 1800  8 porte, andando a definire le porte 7,8 per la comunicazione con lo switch 1800-24 porte nel quale come vedrete sotto andremo a definire le porte 23,24.

Riepilogo della configurazione

Stesse configurazioni per lo switch 1800-24, andiamo a definire le vlan1 e la vlan2.

E a questo punto andiamo a definire il trunk che collega lo switch 1800-8 porte.

Riepilogo della configurazione

Ora che il trunk e’ definito, spostando i cavi  di rete tra switch mantenendo la divisione tra le vlan definite, vlan 1 e vlan2 , la comunicazione non cambia. Ad esempio se sposto il server che e’ sulla vlan1 (1,2,3,4,5,6,7,8,9,10,11,12)  dello switch 1800-24 nella vlan1 (1,2,3,4) dello switch 1800-8 la comunicazione viene instaurata e posso garantire la comunicazione nella sottorete 192.168.6.x dei client con il  server spostato appunto da uno switch ad un altro.

Pensate ad esempio di dover far comunicare due reparti distanti tra loro appartenenti alla stessa sottorete  in un’azienda e comunicanti tramite switch con il modulo per la  fibra ottica.

Utilizzando  un firewall (io ho utilizzato un Clavister Sg61 a tre interfacce) o un router con piu’ interfacce e’ possibile far uscire verso internet le due sottoreti 192.168.6.x  e 192.168.1.x .

E’ buona norma non utilizzare le VLAN per isolare le diverse zone della rete, ad esempio per ospitare una DMZ, perché il traffico tra le VLAN è intercettabile. E’ sempre meglio affidarsi ad un firewall per isolare le zone tra le quali la sicurezza del traffico è un fattore critico.

ALTRO METODO PER STABILIRE UN TRUNK TRA DUE SWITCH

Un altro metodo consiste nel definire tramite protocollo LACP setup una porta di comunicazione trunk , una o piu’ porte in uno switch e una o piu’ porte nell’altro switch con cui comunicare.

The Link Aggregation Control Protocol (LACP)

LACP allows a network device to negotiate an automatic bundling of links by sending LACP packets to the peer (directly connected device that also implements LACP).

Nella prima schermata di definisce la porta di comunicazione , nel mio caso la n° 8 , il vaolore di destra lo si mantiene a 0 in modo che autogereni una chiave automaticamente.

Nello switch a 24 porte di definisce la porta di comunicazione che poi deve collegare lo switch a 8 porte.

La comunicazione viene instaurata automaticamente come si vede nella LACP status.

nnadalca Documenti Tecnici vlan

Vi e’ mai capitato questo messaggio?

“L’indirizzo IP XXX.XXX.XXX.XXX inserito per questa scheda di rete è stato già assegnato per la scheda Nome scheda. Nome scheda è nascosta dalla cartella Rete e connessioni remote perché non è fisicamente presente nel computer o è una scheda preesistente non funzionante. Se lo stesso indirizzo è stato assegnato a due schede e vengono attivate entrambe, solo una utilizzerà questo indirizzo. Potrebbe verificarsi una configurazione di sistema non corretta. Si desidera inserire un indirizzo IP differente nell’elenco degli indirizzi IP nella finestra di dialogo avanzata per questa scheda? ”

Se si desidera visualizzare tutte le periferiche installate sul computer, creare un file batch come segue:

set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Lanciarlo, andare su “Visualizza”, -> “Mostra Periferiche Nascoste”.
Compariranno tutte le periferiche che sono state installate e tolte e/o rimesse sulla macchina che ora e’ possibile rimuovere.

Il metodo alternativo consiste nell’utilizzare le chiavi di regsitro:

1) copiare interamente l’intero registro del sistema
2) andare su questo registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
3) aggiungere la chiave di registro come “Valore Stringa” DEVMGR_SHOW_NONPRESENT_DEVICES ed impostarla a 1 per attivarla
4) Riavviare il server lanciare l’utility devmgmt.msc andare su “Visualizza”, -> “Mostra Periferiche Nascoste” ed eliminare la periferica nascosta non desiderata.

nnadalca Documenti Tecnici

Spesso un server virtuale necessita di un espansione del disco a lui associato.

Vediamo come effttuare tale operazione su una macchina virtuale Windows.

Prima dell’update 3 era necessario farlo a macchina spenta dall’update 3 è possibile farlo a macchina accesa e fare il resize di tutte le partizioni della macchina compreso il disco c di sistema grazie all’utility ExtPart della Dell.

1. Scaricate extpart e salvatela sul disco della VM che contiene di dischi da modificare.
2. Aprite VMware Virtual Infrastructure Client collegatevi all’host esx/esxi che contiene la VM
3. Selezionatela e cliccate su “edit settings”.
4. Nel tab “Hardware” selezionate il  disco fisso da modificare
5. A destra andate alla voce “Disk Provision” cambiate la dimensione  hard disk virtuale

L’elenco degli step proposti funziona nahce per il client VSphere.

Colleghiamoci ora alla VM   e controlliamo i volumi da “gestione disco”:

Avremo lo spazio incrementato e disponibile ma  non allocato da nessuna partizione di file system.

Apriamo ora l’utility Extpart  prima salvata avviandola da prompt dei comandi.
Digitiamo quindi la lettera del volume che  desideriamo espandere, ad esempio c: (partizione di sistema), e definiamo l’incremento voluto, come nel seguente esempio.

Torniamo ora in “gestione disco” e verifichiamo che tutto sia andato a buon fine,

nnadalca Vmware - Virtualizzazione extpart

Per risolvere il problema dello scarico della posta con mdemon pop3 connector seguite questa guida:

MultiPOP and Gmail

MDaemon has a feature called MultiPOP which, when enabled, will cause MDaemon to download all messages from one or more POP3 accounts and deliver them directly to a MDaemon user’s mailbox.

The dialog has simple hostname, username, password fields, plus options to leave mail on server or not. What isn’t obvious is how to support hosts like Gmail, which require SSL. As it turns out, MDaemon actually does support Gmail, and other SSL enabled POP3 hosts.

There are a number of ways to access the MultiPOP configuration for an account, through MDaemon’s account editor, through WorldClient or WebAdmin (both web options only being available if the user is allowed to use MultiPOP).

To set up MultiPOP to pull mail from a POP3 account which requires SSL, open the MultiPOP dialog, enter the hostname or POP3 server name followed by :995

:995 tells MDaemon to use port 995, and MDaemon automatically switches to SSL mode since SSL is required for port 995.

For Gmail, enter the hostname “mail.gmail.com:995″, the username which must include the @domain portion. For example, for dave.warren@gmail.com, you need to enter the full dave.warren@gmail.com address, not just “dave.warren”

For Gmail you should set MDaemon to delete mail from the server as Gmail doesn’t account honour this, instead Gmail allows you to control what happens to mail after it’s downloaded (Leave it in the Inbox, Archive it, Delete it)

Note that the instructions are the same for googlemail.com, and for other mailboxes hosted by Google, just use the appropriate email address in the username field.

One other thing to be aware of with Gmail in particular, Gmail doesn’t automatically enable POP3 access, you need to enable it by logging in to Gmail, going to Settings, then to the POP section and setting the appropriate option. If you choose to download all mail, Gmail only offers a few hundred messages at once, so if you are intending to download a massive Gmail mailbox into MDaemon, MDaemon will take some time as messages are downloaded in blocks of about 500 messages at a time.

UPDATE (2008/10/02): One other thing I forgot to mention, MDaemon must have SSL enabled. To enable SSL in MDaemon 10, go to the Security menu, choose Security, then go to “SSL & TLS” and enable the “Enable SSL…” option.

nnadalca Mdaemon Mdaemon

ProduKey is a small utility that displays the ProductID and the CD-Key of Microsoft Office (Microsoft Office 2003, Microsoft Office 2007), Windows (Including Windows 7 and Windows Vista), Exchange Server, and SQL Server installed on your computer. You can view this information for your current running operating system, or for another operating system/computer – by using command-line options. This utility can be useful if you lost the product key of your Windows/Office, and you want to reinstall it on your computer.

nnadalca Documenti Tecnici, Tips Linux e Microsoft keyfinder

Questi appunti mostrano come sia facile intercettare le password che passano attraverso la propria rete locale. Per farlo utilizziamo uno dei programmi distribuiti con Backtrack versione 3 o 4, Ettercap.

Per funzionare è necessario che l’utente che lancia ettercap sia connesso alla rete tramite cavo LAN , collegato sia trmite switch o hub.

La prova è stata fatta sulla mia rete locale, tra due computer che utilizzo esclusivamente io e le password intercettate sono quelle che uso per connettermi ad un servizio di posta elettronica ed ad un sito web di telefonia. L’utilizzo di ettercap per intercettare password o più in generale dati di altri utenti è illegale. Ogni abuso è responsabilità vostra ed è punibile dalla legge. Questi appunti personali sono stati ricavati da guide più complete che si possono trovare su internet. Continuando a leggere vi assumete ogni responsabilità per l’utilizzo che potete fare di queste informazioni.

Questi sono i passi che ho seguito per intercettare le mie  password digitate su un altro computer connesso alla mia rete locale:

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial backtrack, sniffing

pfSense è una distribuzione firewall basata su FreeBSD (pfSense deriva da m0n0wall, che è basato su FreeBSD).

Rispetto a IpCop, che consentiva anche a persone senza nozioni di configurazioni di rete di creare un firewall, pfSense richiede un minimo di conoscenza sull’argomento configurazione reti.

Caratteristiche tecniche di pfSense

Come si può evincere dal nome, pfSense usa l’ottima implementazione firewall pf (importata da OpenBSD[3]). Tra le sue principali caratteristiche, ha la possibilità di agire da captive portal, ossia da un sistema di monitoraggio degli accessi Wi-Fi in luoghi pubblici o come server DHCP, DNS e PPPoE, di effettuare limitazione di banda e di essere di supporto a numerosi tipi di VPN, come PPTP, IPSEC e per ultima, ma non meno importante, a OpenVPN. Tra le caratteristiche più importanti che si possono evidenziare, ci sono il supporto a CARP e pfSync, che consentono di creare cluster di firewall e inoltre che pfSense supporta più di una connessione ad internet, con la possibilità quindi di bilanciare il carico.

Tutto questo però ha un prezzo: pfSense infatti necessita di almeno 128 MB di RAM per rendere al meglio le proprie potenzialità.

Cosa faremo

In seguito vedremo come configurare il nostro firewall per fare NAT verso internet dei client LAN e per rendere pubblici dei servizi disponibili in alcuni server posizionati in DMZ.

Per realizzare il firewall sarà quindi necessario un elaboratore con tre interfacce di rete: una per il lato WAN, una per la LAN e una per la DMZ.

La nostra rete

Immaginiamo che la nostra rete sia così composta:



Sottoreti:

• router-firewall: 195.135.12.0/30 (IP disponibili: 195.135.12.1 e 195.135.12.2. Ipotizziamo il primo per il router e il secondo per l’interfaccia internet del nostro firewall)
• DMZ: 138.122.45.8/29 (IP disponibili: 138.122.45.9 e 138.122.45.14. Ipotizziamo che l’ultimo IP sia disponibile per l’interfaccia DMZ del firewall)
• LAN: classe privata 192.168.1.0/24 (IP disponibili: 192.168.1.1 e 192.168.1.254, ipotizziamo il primo IP disponibile sia per l’interfaccia LAN del firewall)

Installazione

Prima di procedere con l’installazione, assicuriamoci che il disco che vogliamo utilizzare non contenga dati importanti, poiché in seguito dovrà essere formattato.

Sul sito di pfSense cerchiamo l’immagine ISO del CD. Dopo averla trovata e masterizzata saremo pronti per iniziare l’installazione.

Avvio del CD

Assicuriamoci innanzitutto di aver abilitato il boot con avvio da CD. A questo punto inseriamo nel computer il CD che fungerà da firewall. Comparirà una schermata simile alla seguente:

Possiamo attendere il timeout del timer o premere il tasto “1”. Dopo il caricamento del kernel FreeBSD verrà fatta partire un’istanza di pfSense da CD.

Sta per iniziare la prima configurazione del nostro firewall.

Viene mostrato un elenco delle schede di rete disponibili, e ci viene chiesto se si vuole eseguire la configurazione delle VLAN adesso (“Do you want to setup VLAN now?”). Questo perché è possibile fare in modo che un interfaccia del nostro firewall sia disponile su più VLAN, ovviamente previa opportuna configurazione di switch con supporto VLAN. Se si dovesse decidere di non utilizzare VLAN digitare n, a seguire INVIO (opzione valida nella maggior parte dei casi).

Essendo pfSense basata su FreeBSD, la nomenclatura delle interfacce di rete è un po’ diversa rispetto ai sistemi GNU/Linux. Mentre su Linux le interfacce di rete vengono nominate come eth0, eth1, ethX qualsiasi sia il tipo di scheda, sui sistemi *BSD il nome di un’interfaccia di rete dipende dal driver utilizzato.

Ad esempio: nella schermata catturata durante l’installazione si notano le interfacce di rete ed0, ed1, ed2 che utilizzano il driver “ed”, per schede di rete NE2000, SMC Ultra, 3c503, DS8390 .

È possibile trovare tutte le interfacce supportate (ed i loro nomi) nel FreeBSD Handbook[3] all’indirizzo web http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/index.html.

A questo punto ci verrà chiesto quale tra le interfacce di rete precedentemente visualizzate dovrà essere usata per collegare la rete LAN. Digitare quindi il nome dell’interfaccia (in questo caso “ed0”) e a seguire INVIO.

Successivamente verrà chiesto quale dovrà essere l’interfaccia per il collegamento a internet (collegamento al router/modem ethernet) (WAN), nel nostro esempio “ed1”. Digitiamo il nome dell’interfaccia e a seguire INVIO.

Nella prossima schermata la richiesta sarà se si desidera configurare delle ulteriori interfacce di rete. Si vuole configurare anche l’interfaccia per la DMZ? Inseriamo quindi il nome dell’interfaccia (ed2) e a seguire, INVIO. Se non si dispone di ulteriori interfacce di rete è sufficiente premere INVIO alla successiva domanda “Enter the optional interface name…”.

A questo punto verrà presentato un riassunto delle associazioni delle schede di rete. Se il tutto soddisfa le vostre esigenze è necessario digitare “y”, seguito da INVIO.

Verrà completata l’inizializzazione del sistema. Se il vostro router non utilizza le indicazioni da server DHCP, la configurazione dell’interfaccia WAN potrebbe richiedere un po’ di tempo, questo perché lo stesso cercherà le informazioni necessarie di un indirizzo IP dinamico.

Nota bene: se disponete di una serie di IP statici (come si presuppone in questo articolo) dovrete configurare il vostro router perché conduca le richieste per la sottorete della DMZ verso il firewall.

Installazione su hard disk

Al termine dell’inizializzazione del sistema verrà prospettato un menù. Per installare il sistema su hard disk digitare “99”.

Verrà avviata la procedura di installazione. ATTENZIONE: con il percorso qui descritto, l’intero contenuto del disco verrà formattato e quindi tutti i dati cancellati.

Comparirà una schermata simile a questa.

Posizioniamoci con l’utilizzo del tasto tab su <Accept these Settings>, a seguire INVIO. Sulla successiva schermata selezioniamo <Install pfSense> e premiamo il tasto INVIO.

Ci verrà ora chiesto su quale hard disk installare pfSense. Selezioniamo il disco sul quale vogliamo installare il sistema e a seguire digitiamo INVIO.

La schermata che apparirà sarà la seguente.

Se il disco non è mai stato utilizzato per un firewall pfSense, scegliamo <Format this Disk>, e a seguire digitiamo INVIO.

Verrà presentata la geometria del disco rilevata.

Se è corretta posizioniamoci su <Use this Geometry> e a seguire premiamo INVIO.

Ci verrà ora chiesta l’ultima conferma per la formattazione del disco. Selezioniamo <Format …> e digitiamo il tasto INVIO.

Il sistema ci chiederà se vogliamo partizionare il disco. Se desideriamo che tutto il disco del nostro firewall sia dedicato a pfSense, scegliamo <Skip this Step>, a seguire INVIO.

Ci verrà chiesto di installare il blocco di boot:

selezioniamo <Accept and Install Bootblocks> e a seguire premiamo INVIO.

La schermata successiva riguarderà la creazione di alcune sottopartizioni (root e swap):

Possiamo accettare le scelte di default selezionando <Accept and Create> (a seguire di nuovo INVIO).

Ora tutti i file verranno copiati. Al termine del processo di copia possiamo effettuare il reboot del computer. Al riavvio assicuriamoci che il CD non sia più nel lettore.

Primo avvio

Dopo aver effettuato l’avvio senza CD-ROM verrà avviata un’istanza di pfSense dal disco fisso. Quando vedremo comparire il menù di configurazione testuale significherà che il sistema è stato avviato.

Come possiamo vedere all’interfaccia LAN è stato assegnato di default l’indirizzo 192.168.1.1

Configurazione del firewall

pfSense mette a disposizione un’ottima interfaccia web per la sua configurazione. È possibile raggiungere l’interfaccia di configurazione andando a visionare il sito web all’indirizzo http://192.168.1.1 e inserendo come nome utente admin e come password pfsense.

Dai vari menù sarà ora possibile configurare tutte le impostazioni del vostro nuovo firewall.

Iniziamo subito, cambiando le impostazioni di base del firewall. Posizioniamoci sul menù alla voce “System -> General Setup”.

Cambiamo ora l’hostname del firewall, il dominio e il server DNS da utilizzare. Possiamo anche decidere di mettere in ascolto l’interfaccia di amministrazione web solo su https, in modo che lo scambio di informazioni avvenga in modo cifrato.

Sarebbe meglio anche cambiare la password per l’accesso all’interfaccia di amministrazione, scegliendone una più sicura di quella di default.

A questo punto clicchiamo quindi su save per salvare le informazioni inserite.

Procediamo ora ad assegnare gli indirizzi IP alle schede della WAN e della DMZ. Cominciamo con la WAN, quindi posizioniamoci sul menù fino a raggiungere la voce “Interfaces->WAN”.

Come “Type” selezionare “Static”. Inseriamo ora l’indirizzo IP, bit della maschera di rete e gateway di default (in questo esempio: 195.135.12.2, 30, 195.135.12.1).

Clicchiamo quindi su save per salvare le impostazioni.

Procediamo quindi a configurare l’interfaccia DMZ, andando su “Interfaces->OPT1”.

Selezioniamo “Enable Optional 1 interface” per abilitare l’interfaccia e gli assegnamogli un nome più user-friendly, ad esempio DMZ. Possiamo ora inserire l’indirizzo IP e maschera di rete, in questo esempio 138.122.45.14 e 29 (255.255.255.248).

Prima di impostare le opportune regole di firewalling configuriamo qualche servizio per la rete LAN.

Possiamo impostare il nostro firewall perché funga da piccolo server DNS/DNS forwarder, semplicemente andando su “Services->DNS”. Sarà anche possibile configurare il servizio DHCP per la LAN andando su “Services->DHCP Server”.

Possiamo procedere ora a configurare le nostre regole di filtraggio di base. Andiamo su “Firewall->Rules” (il NAT per la LAN e’ abilitato di default).

NOTA: Una sicurezza in più per gli host presenti in DMZ può consistere nell’abilitare in uscita dalla DMZ stessa solo i servizi necessari, ad esempio porta 25 verso qualsiasi host e porta 80 solo verso server per gli aggiornamenti dei pacchetti; tutto dovrà risultare bloccato. Questo per evitare che un attaccante possa sfruttare una vulnerabilità dei nostri server per scaricare qualcosa da internet ed eseguirlo.

Procediamo quindi ricordandoci la nota precedente. Clicchiamo sulla tab DMZ per gestire i pacchetti in ingresso da quell’interfaccia, ed aggiungiamo quindi la regola che consenta al nostro server di posta (138.122.45.10) di connettersi alla porta 25 di qualsiasi host. Successivamente consentiamo ai nostri server di connettersi via http all’host 62.90.12.193 (ipotizziamo che sia l’host per gli aggiornamenti dei pacchetti dei nostri server).

Per applicare le modifiche dalla pagina che elenca tutte le regole clicchiamo su “Apply changes”.

Decidiamo ora quali servizi debbano essere disponibili nella nostra DMZ: portiamoci nella tab WAN per gestire i servizi accessibili dalla WAN (utilizzare la tab LAN per gestire i servizi visibili dalla LAN)

Consentiamo l’accesso alla porta SMTP del nostro server di posta, dopodiché configuriamo tutti i servizi sull’esempio di questo.

Ricordiamoci sempre di applicare le modifiche al termine della configurazione.

Ecco fatto, il nostro firewall e’ pronto e servito.

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial PfSense