Archivio

Posts Tagged ‘IPcop’

Realizzazione di un Firewall (IPcop)

13 maggio 2009

Cos’è IPCop

IPCop  è una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce un’efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

È un’ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato. Può essere usata da amministratori di rete che non conoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linux ovviamente!) ma non ha il tempo per configurare manualmente un PC.

Il progetto IPCop è attivo da un paio d’anni e nelle ultima versioni è risultato essere così maturo da acquistare crescente successo in una vasta comunità di utenti e di sviluppatori.

Il manifesto della distribuzione si articola nei seguenti punti:

  • Offrire una distribuzione Firewall Linux stabile sicura e opensource

  • Creare ed offrire una distribuzione Firewall Linux estremamente configurabile

  • Offrire una distribuzione Firewall Linux di facile manutenzione

Investire nella sicurezza, sopratutto se nelle reti passano dati sensibili è assolutamente necessario. Sappiamo però che questi investimenti spesso sono molto costosi, sia perchè chi se ne occupa chiede parcelle da brivido, sia perchè firewall e router specifici spesso costano davvero tanto.

In nostro soccorso però arrivano le sempre amate soluzioni Open Source, che si dimostrano molto valide e abbassano drasticamente i costi da sopportare. Una delle soluzioni pià famose e più funzionali è sicuramente IPCop.

Questo programma, non è altro che una mini distribuzione linux, pensata e realizzata appositamente per funzionare come componente primaria di una rete.

Quello che fa infatti è davvero interessante: firewall, router, vpn, proxy e molto altro ancora, anche grazie ad applicazioni terze installabili gratuitamente.

IPCop risulta davvero interessante anche perchè i requisiti harware sono davvero minimi: con un server di fascia bassa è possibile installare e configurare al meglio questo software ed è possibile gestire una rete di medie dimensioni senza alcun problema.

Anche l’installazione guidata è molto intuitiva ed esistono moltissime community su internet che rilasciano guide e consigli su come configurare al meglio questo programma.

Vale assolutamente la pena provarlo. E – personalmente – lo consiglio anche per uffici o aziende di piccole dimensioni.

La funzione svolta dal firewall è di crescente importanza in una scuola. Ci proponiamo ora di presentare una soluzione applicabile nell’ambiente di una scuola utilizzando software open source.

È sufficiente visitare il sito http://freshmeat.net e cercare “firewall” per rendersi conto dell’attenzione che il mondo dell’Open Source ha dedicato all’argomento.Tra le tante offerte disponibili abbiamo scelto “IPCop” per le seguenti caratteristiche:

  • Facilità d’installazione.
  • Applicabile in ambiente “Home” o piccola rete locale con minime opzioni.
  • Applicabile in ambiente “Enterprise network” con diverse funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc.

IPCop é una mini distribuzione Linux specializzata per realizzare un firewall;

Ottenere la distribuzione

L’immagine iso è scaricabile direttamente dal sitohttp://www.ipcop.org al link Download, fate attenzione a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2).

Caratteristiche

  1. Linux Netfilter con capacità di NAT/PAT e logging.
  2. Supporto per quattro schede di rete.
  3. Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal Provider.
  4. Supporto Server DHCP per due schede di rete.
  5. Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede di rete.
  6. IDS (Intrusion detection system) per tutte e quattro le schede di rete.
  7. Supporto per la VPN (rete privata virtuale).
  8. Supporto proxy per il Web.
  9. Amministrazione e controllo attraverso il browser.
  10. Possibilità di pach/update
  11. Backup e Restore della configurazione

Hardware

IPCop può essere installato su un vecchio “486” con 16 MB di RAM, consigliamo tuttavia di utilizzare schede madri e schede di rete basate sullo standard PCI, 64 MB di RAM, un BIOS che permette l’avvio da CDROM (la distribuzione comprende anche l’immagine floppy per l’avvio) e qualche GB di Hard Disk.

Per utilizzare il proxy è consigliabile avere 256 MB di RAM e di più GB di Hard Disk se si desidera conservare i file di log.

Perché quattro adattatori di rete?

Gli adattatori di rete sono individuati con dei colori:

  • ROSSO – rappresenta l’interfaccia connessa ad internet.
  • VERDE – rappresenta l’interfaccia per la rete interna.
  • BLU – rappresenta l’interfaccia per una seconda rete interna o per una rete wireless.
  • ARANCIO – rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno.

L’applicazione minima prevede due interfacce di rete, quella verso internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere.

Nel caso in cui esistono due reti locali che devono rimanere separate (accesso consentito solo in VPN) si utilizza anche l’interfaccia BLU; è la classica situazione in cui la rete locale dell’amministrazione condivide l’unico accesso ad internet con la rete della didattica, tuttavia ne deve restare separata.

L’immagine che segue, tratta dal sito http://www.ipcop.org illustra l’utilizzo di tutti e quattro gli adattatori di rete.

utilizzo 4 adattori di rete

La nostra installazione minima

Abbiamo utilizzato un Pentium II 233 Mhz con 64 MB di RAM, 5GB di Hard Disk, due schede di rete PCI (ROSSA e VERDE).

L’installazione è composta dai seguenti passi:

  1. Avvio del sistema (nel nostro caso direttamente dal CDROM generato dall’immagine iso scaricata).
  2. Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI PRESENTI SUL HARD DISK SARANNO CANCELLATI”.
  3. Rilevamento delle interfacce di rete (scegliere automatico).
  4. Scelta dell’indirizzo IP dell’interfaccia verde (rete locale).
  5. Scelta dei parametri locali (tastiera, data/ora).
  6. Scelta del nome del sistema (hostname) e del domino.
  7. Configurazione del dispositivo ISDN (saltare se non interessa).
  8. A questo punto il sistema è configurato per due schede di rete (ROSSA + VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare eventualmente altre schede di rete.
  9. Con l’opzione “Impostazioni driver e schede” impostate i driver delle schede di rete non ancora configurate.
  • Assegnate ora gli indirizzi IP alle schede di rete tramite l’opzione “Impostazione indirizzo”.
  1. Assegnate il Gateway e il DNS tramite l’opzione “Impostazioni DNS e Gateway”.
  2. Configurate il server DHCP (saltare se non interessa).
  3. Impostate le password di root e di amministratore.

Il firewall in configurazione minima è pronto, collegate un cavo di rete al router (quello dell’interfaccia ROSSA) e un altro al vostro Hub o Switch (quello dell’interfaccia VERDE); poiché non sapete fisicamente come sono state assegnate le interfacce può essere necessario invertire i cavi.

Provate anavigare con i PC della vostra rete locale.

Amministrazione del firewall

Connettetevi con il vostro browser all’indirizzo assegnato all’interfaccia di rete VERDE (ad. es. https://192.168.1.1:445), vi si presenterà la seguente pagina:

IpCop pagina principale

Potete ora cominciare ad esplorare le differenti possibilità disponibili.

  • Sistema:Utilità per la configurazione del sistema e di IPCop stesso.
  • Stato: Informazioni dettagliato sullo stato del vostro server IPCop.
  • Network: utilità per configurare/amministrare connessioni tramite modem.
  • Servizi: Configurazione/Amministrazione dei servizi disponibili sul server IPCop.
  • Firewall: Configurazione/Amministrazione delle opzioni del firewall.
  • VPNs:Configurazione/Amministrazione della VPN (Rete Privata Virtuale).
  • Log:Visualizzarei vari log di IPCop (firewall, IDS,ecc.)

Per una spiegazione dettagliata rimandiamo alla documentazione ufficiale scaricabile dal sito http://www.ipcop.org; ci limitiamo qui ad illustrare il comportamento di “default” del firewall con una tabella tratta dalla documentazione ufficiale.

modalità configurazione

L’interpretazione della tabella e delle modalità con cui configurare il Port Forwarding e la VPN comportano conoscenze nel campo delle reti e dei protocolli che esulano dallo scopo di quest’articolo.

In generale osserviamo che la conoscenza base della configurazione degli adattatori di rete (indirizzi IP, netmask, gateway, dns) e una minima esperienza d’installazione del sistema operativo linux permettono di realizzare un firewall più che adeguato alle esigenze di un ufficio.

Share

Tips Linux e Microsoft