Archivio

Posts Tagged ‘Ubuntu’

Ubuntu e le schede di rete

3 febbraio 2010

Stavo migrando alcuni dei miei server Ubuntu 8.04 da VMware Server 1.0.6 ad ESX 3.5 con l’apposito VMware converter, fino a qua tutto ok, finita la migrazione faccio la ripartire la macchina, aggiorno i tools e…argh!!!

Infatti per evitare che ad ogni riavvio il nome delle schede di rete sia scelto a caso, udev si annota i mac address delle schede di rete, assegnando i rispettivi MAC a eth0, eth1 e così via.
Ovviamente nel nuovo ESX server ci saranno mac diversi, quindi dovremmo cancellare questa info, per fare questo cancellate qui

sudo rm /etc/udev/rules.d/70-persistent-net.rules

Share

Tips Linux e Microsoft

Nessus: scanner di vulnerabilità

7 agosto 2009

Nessus: scanner di vulnerabilità

Nessus è uno scanner di vulnerabilità molto diffuso negli ambienti degli amministratori di sistema e degli addetti alla sicurezza IT in generale (anche di hackers, crackers ecc ecc).

Questo scanner, ci permette di scandagliare un sistema o una rete intera alla ricerca di vulnerabilità e per ogni vulnerabilità trovata, ci spiega il modo in cui l’attaccante potrebbe sfruttarla per “bucare” il sistema. Comodo per gli addetti alla sicurezza no? Anora più comodo per gli hackers!

Questo particolare scanner, deve il suo successo all’approccio modulare con cui è sviluppato. In particolare è composto da un kernel che gira come server e da un client che richiede determinati comandi al server. Aggiungere o rimuovere vulnerabilità è facilissimo ed immediato in quanto, le vulnerabilità sono aggiunte come MODULI al kernel originale.

Siete curiosi di poter vedere come funziona?
Ok, cominciamo.

Installazione su Ubuntu
Per prima cosa, procediamo all’installazione del software su Ubuntu.
Lanciamo da shell il comando

sudo apt-get install libnasl2 libnessus2 nessus nessusd nessus-plugins

con questo, dovremmo aver installato tutti i pacchetti utili al nostro scopo e nel caso in cui servano altri pacchetti come dipendenze, apt ci avviserà e ci chiederà se installarle.

Creazione utente per lo scanning
Come detto prima, nessus è composto da client-server e per accettare i comandi dal client, il server richiede che venga creato un utente. Niente paura, basta che lanciamo il comando (sempre da shell) :

sudo nessus-adduser

e seguiamo le istruzioni.

E vai con il primo scan

Ok, ora è tutto pronto per il benchmark dello scanner.
Da terminale digitiamo

sudo nessusd -D

e vedremo in azione lo script che avvierà il server.

Ora da Applicazioni->Internet->Nessus apriamo la GUI e logghiamoci nel server con username/password impostati in precedenza.

Per provare, effettuiamo uno scan del nostro sistema: nella scheda TARGET inseriamo “localhost” (senza virgolette) nel campo di input e clickiamo su “Start the Scan” in basso a sinistra.

Dopo aver effettuato tutti i test, Nessus ci fornirà un dettagliato report dello scan e delle eventuali vulnerabilità trovate sul nostro sistema.

Girovagando nei menù della GUI, possiamo abilitare/disabilitare vari plugins (o moduli) e settare altre opzioni davvero interessanti.

Buon hacking a tutti.

Share

Documenti Tecnici

Guida ad Ubuntu 9.04

5 agosto 2009

Grazie a Giorgio Beltrammi

http://ubuntu-inside.blogspot.com/2009/05/guida-ad-ubuntu-904.html

Guida ad Ubuntu 9.04

NOTE: Tutti i comandi sono in rosso e devono essere scritti in un terminale:

Applicazioni –> Accessori –> Terminale

Non dovete ridigitarli da capo! Potete copiare il comando e incollarlo in un terminale con il vostro mouse.

Media codecs & supporto DVD

Repositories Universe, multiverse e restricted.

In Ubuntu 9.04 “Jaunty” i repositories universe, multiverse e restricted sono attivati predefinitamente. Se volete essere sicuri che siano abilitati, seguite questo percorso:

Sistema –> Amministrazione –> Sorgenti Software

Abilitate le repositories Medibuntu

sudo wget http://www.medibuntu.org/sources.list.d/jaunty.list --output-document=/etc/apt/sources.list.d/medibuntu.list
Aggiungete le chiavi GPG:
sudo apt-get update && sudo apt-get install medibuntu-keyring && sudo apt-get update
Oppure inserite le stesse cose in una riga solamente:
sudo wget http://www.medibuntu.org/sources.list.d/`lsb_release -cs`.list --output-document=/etc/apt/sources.list.d/medibuntu.list; sudo apt-get -q update; sudo apt-get --yes -q --allow-unauthenticated install medibuntu-keyring; sudo apt-get -q update

Installate i codecs non-free

Il metapacchetto non-free-codecs installerà numerosi pacchetti utili e comprendono ubuntu-restricted-extras:
supporto per MP3 e vari altri formati audio (GStreamer plugins), fonts Microsoft, Java runtime environment, plugin Flash, w64codecs or w32codecs dipende dalla vostra architettura. Tutto in uno!
sudo apt-get install non-free-codecs

Installate altri codecs, supporto DVD support, VLC ed Mplayer

Il pacchetto libdvdcss2 è essenziale per riprodurre i DVD criptati . VLC è probabilmente il miglior player oggi disponibile.
sudo apt-get install libdvdcss2 gxine libxine1-ffmpeg vlc mplayer mencoder

Installate software utile

Adobe (Acrobat) Reader

Il lettore PDF di default, Evince, è adeguato per quasi tutto. Ed è anche più veloce del suo competitor a sorgente chiuso.
Tuttavia è disponibile anche Adobe Reader:
sudo aptitude install acroread acroread-plugins
E per coloro che amano leggere i PDF direttamente nel browser:
sudo aptitude install mozilla-acroread

Google Earth

Ubuntu 9.04 “Jaunty” giunge con la versione 5.0. Come molte applicazioni Google, è ancora etichettato come beta, ma sembra funzionare molto fluidamente.
sudo aptitude install googleearth
Se viene pubblicata una versione più recente di Google Earth, può essere scaricata dal sito ufficiale, come un installer .bin. Scaricate e salvate il pacchetto GoogleEarthLinux.bin. Quindi installatelo:
chmod +x GoogleEarthLinux.bin
./GoogleEarthLinux.bin

Altro Software Free Open Source

Mozilla Thunderbird 2.0: E-Mail (sostituisce Outlook)
sudo apt-get install thunderbird thunderbird-gnome-support
Mozilla Lightning 0.9: Estensione calandario per Thunderbird
Installatela facilmente dal sito degli addon.
Audacity 1.3.7: Audio editor (Samplitude / Cubase)
sudo apt-get install audacity
Filezilla 3.2.2: Client FTP completo
sudo apt-get install filezilla
Sound Converter 1.4: per la conversione dei file audio
sudo apt-get install soundconverter
gThumb 2.10.11: Certamente migliore del visualizzatore di immagini “eye of GNOME”.
sudo apt-get install gthumb
Shutter: Un grande programma per scattare screenshots
Istruzioni per la installazione qui.
Skype 2.0.0.72: Skype funziona con Jaunty!
sudo apt-get install skype
Installate tutte queste applicazioni in un colpo solo:
sudo apt-get install audacity filezilla soundconverter gthumb thunderbird thunderbird-gnome-support

Software specifico e applicazioni di sistema

GParted: Un editor di partizioni simile a Partition Magic
sudo apt-get install ntfsprogs gparted
Start-Up Manager: uno strumento grafico per modificare la configurazione del boot loader e la splash screen
sudo apt-get install gparted ntfsprogs
(ntfsprogs è un pacchetto per scrivere, ridimensionare e muovere le partizioni NTFS)
Dropbox è una grande applicazione cross-platform per condividere, conservare e sincronizzare file online e tra computers. Questo software è stupefacente e offre 2 GB di spazio libero per il software, senza limitazioni di dimensioni del file!
Istruzioni per la installazione (in inglese) qui. (.deb o repositories)
Truecrypt è una applicazione di criptazione. Ha una interfaccia amichevole ed il codice sorgente è disponibile. Alcune informazioni sulla licenza.
Scaricate il .deb da qui.

Disinstallate il software non usato e fate pulizia

Disinstallare pacchetti non necessari aiuta a ridurre il numero degli aggiornamenti ed a rendere il sistema più compatto ed efficiente. Supponendo di non usare Evolution, F-spot, Rhythmbox, Tomboy ed i giochi di GNOME:
sudo apt-get remove rhythmbox f-spot tomboy evolution evolution-common evolution-exchange evolution-plugins evolution-webcal gnome-games gnome-games-data
Ed infine un riordino:
sudo apt-get autoremove
sudo apt-get clean

Configurate Firefox & Thunderbird

Sia Firefox che Thunderbird hanno la possibilità di condividere lo stesso “profile folder”, nessun problema se usate Windows o Linux. Quando (re)installate un sistema Linux o Windows, dovete solo configurare il vostro profilo in modo che il programma sappia dov’è il vostro “profile folder”
firefox -P
thunderbird -P
Ora avete i vostri bookmarks, contatti ed emails!

Utili estensioni di Firefox

DownThemAll: uno dei migliori download managers
Flashblock: bloccate le animazioni pesanti e la pubblicità
User Agent Switcher: risolve molti problemi di compatibilità!
Split Browser: utile per monitor ampi

Come installare i fonts in Ubuntu

Red Hat Liberation Fonts

I Liberation Fonts sono una grande sostituzione delle GPL+exception offerta da Red Hat per i tre principali fonts di Microsoft: Times New Roman, Arial e Courier New.
sudo apt-get install ttf-liberation

Microsoft Fonts

Le Liberation Fonts sono intese quali sostituti dei fonts Microsoft. Se volete comunque installare i fonts di Microsoft, ecco la procedura:
sudo apt-get install ttf-mscorefonts-installer
Il ttf-mscorefonts-installer era chiamato msttcorefonts nelle precedenti versioni di Ubuntu.
Se avete già installato gli ubuntu-restricted-extras o i metapacchetti non-free-codecs, il ttf-mscorefonts-installer sarà già installato nel vostro sistema.

Come installare qualsiasi font in Ubuntu

  1. Aprite la vostra cartella home in Nautilus
  2. Abilitate l’opzione “Mostra File nascosti ” dal menu “Visualizza” di Nautilus
  3. Create una nuova cartella chiamata “.fonts” (con il punto iniziale!)
  4. Copiate tutti i fonts necessari nella nuova cartella. I vostri fonts di Windows possono essere copiati da C:\Windows\Fonts
  5. Per alcune applicazioni è necessario il riavvio

Maggior supporto alle lingue

Uno degli aspetti positivi di Linux è la capacità di lasciarvi scegliere la lingua per le vostre applicazioni e il desktop. E’ anche possibile usare quanti correttori ortografici vogliate.
L’installazione delle lingue è stato migliorato in Ubuntu “Jaunty” ed è veramente semplice e intuitivo.
Sistema –> Amministrazione –> Supporto Lingue
Software come Firefox, Openoffice.org, Thunderbird saranno aggiornati in locale, nei dizionari e nei pacchetti per le interfacce utente.

Come forzare l’architettura del pacchetto

Problema: state usando Ubuntu a 64 bit ed il pacchetto software che volete è a 32 bit. Gdebi-gtk vi darà il seguente errore:
Error: Wrong architecture ‘i386’
Questo potrebbe accadere con Skype, Eclipse, IBM Lotus Symphony o con l’eccellente gioco World of Goo.
Soluzione: installate il pacchetto dalla linea di comando con l’opzione –force-architecture:
sudo dpkg -i –force-architecture NameOfPackage.deb
Per esempio:
sudo dpkg -i –force-architecture skype-debian_2.0.0.72-1_i386.deb

Come installare Virtualbox

E’ possibile installare la versione OSS di Virtualbox direttamente da Synaptic. Tuttavia la versione Open Source non include il supporto USB, perciò è consigliato installare VirtualBox scaricando l’ultima versione dal sito ufficiale.
Dopo avere installato VirtualBox, potreste avere bisogno di riavviare il computer. Dopo il riavvio, la voce del menu potrebbe apparire nel menu degli Strumenti di sistema. Alternativamente avviate VirtualBox in un terminale.
Per far funzionare bene Virtualbox, dovete essere nel gruppo “vboxusers”. Aggiungetevi a questo gruppo usando il seguente comando:
sudo adduser user_name vboxusers
Per condividere ogni cartella come un dispositivo di rete, basta inserire il seguente comando al prompt MSDOS:
net use x: \\vboxsvr\your_shared_folder
Dopo ogni attualizzazione del kernel, potreste dover ricompilare il kernel di VirtualBox con il seguente comando:
sudo /etc/init.d/vboxdrv setup

Miscellanea

Nessun suono di sistema

Sistema –> Preferenze –> Suoni
Rimane un piccolo suono alla comparsa della schermata di login! Per farlo scomparire, dovrete deselezionare il box “Login Screen Ready”:
Sistema –> Amministrazione –> Finestra di Login –> Accessibilità

Cambiare i fonts del display con i RedHat Liberation Fonts

Sistema –> Amministrazione –> Aspetto –> Fonts

Disabilitare il Bluetooth

Se non si usano dispositivi Bluetooth
Sistema –> Amministrazione –> Servizi
Deselezionate il box “Bluetooth device management”:

Altre configurazioni

Adattate la gestione dell’energia alle vostre necessità:
Sistema –> Amministrazione –> Power Managment
Aggiungete una cartella “Downloads” alla vostra directory home, segnalatela in Nautilus in modo che appaia nel menu di sinistra. Infine rendetela come cartella predefinita dei download di Firefox.

Modificare il menu di GRUB

Il menu di GRUB è uno schermo nero che vedete quando avviate il vostro computer. Potete facilmente modificarne le impostazioni, inclusa la possibilità di nasconderlo o di modificare il tempo di attesa prima del boot. Una delle utili applicazioni che vi permettono di modificare facilmente il vostro GRUB è Startup Manager
sudo apt-get install startupmanager
Prima di modificare il GRUB è bene effettuarne un backup.
sudo cp /boot/grub/menu.lst /boot/grub/menu-backup.lst
Aprite il vostro Startup Manager, qui è dove potete cambiare il timeout, quanti kernel debbano essere disponibili e mostrare/nascondere la schermata di GRUB.

Configure Firewall

Se vi interessa la vostra sicurezza, è opportuno che attiviate il vostro firewall e preveniate quindi ogni accesso ingiustificato al vostro computer. UFW è installato di default, ma se avete bisogno di una interfaccia grafica, installate GUFW.
sudo apt-get install gufw
Alternativa a GUFW è Firestarter che è una semplice, ma potente applicazione che vi consente di monitorare il vostro traffico.
sudo apt-get install firestarter

Wine

Wine è una applicazione necessaria a coloro che non possono vivere senza le applicazioni Windows, Vi consente di installare le vostre applicazioni Windows nella vostra macchina Ubuntu e avviarle come fossero in Windows.
sudo apt-get install wine
Una volta che avete installato Wine, ricordate di avviare la configurazione (Applicazioni -> Wine -> Configure Wine) prima di installare le vostre applicazioni in Wine.

Ubuntu-Restricted-extras

Non potete ascoltare gli MP3? Non potete vedere i video su Youtube? Non funziona Java? Non preoccupatevi, tutto quello che dovete fare è di installare il pacchetto ubuntu-estricted-extras e vi installerà tutti i files/codecs necessari. Alcune applicazioni comuni inserite nel pacchetto, comprendono codec MP3 codec, Adobe Flash player, Java runtime e Microsoft core fonts.
sudo apt-get install ubuntu-restricted-extras

Ubuntu Tweak

Ubuntu Tweak vi consente di racchiudere le vostre configurazioni, in un unico posto. Potrete installare nuove applicazioni, personalizzare le vostre configurazioni desktop, configurare le vostre applicazioni di avvio, cambiare l’associazione di file e molto altro con questa singola applicazione.
Per installare Ubuntu Tweak, prima aprite il vostro file sources.list
gksu gedit /etc/apt/sources.list
inserite le seguenti righe alla fine del file. Salvate e chiudete.
deb http://ppa.launchpad.net/tualatrix/ubuntu jaunty main
deb-src http://ppa.launchpad.net/tualatrix/ubuntu jaunty main

Nel terminale aggiornate la repository ed installate Ubuntu Tweak
sudo apt-get update
sudo apt-get install ubuntu-tweak

Gnome Do

Gnome Do è una piccola applicazione che vi consente di cercare e fare cose in modo rapido ed efficace all’interno della vostra macchina Ubuntu. E’ simile a QuickSilver di Mac e Launchy di Windows. Per coloro che non avessero provato prima Gnome Do, dovrebbero prendersi un po’ di tempo e provarlo. Gnome Do dispone anche di una interfaccia dock che potete usare come un qualsiasi dock.
sudo apt-get install gnome-do

Eye candy

A qualcuno piace avere effetti speciali sul proprio desktop mentre altri desiderano un desktop minimalista. Se fate parte della prima categoria, eccovi alcune applicazioni che potete installare per abbellire il vostro desktop.

  • CompizConfigSettingsManager – Il gestore delle configurazioni di Compiz. All’interno potrete trovare moltissimi (ed inutili) effetti per il desktop.
  • Avant Windows Navigator, Cairo dock – dock in perfetto stile Mac OSX per il vostro desktop
  • conky, greklim – mostrano le configurazioni e monitorizzano il pc mostrandolo sul desktop.
Share

Documenti Tecnici

Installare una stampante PDF in Ubuntu

4 agosto 2009

Installare una stampante PDF in Ubuntu

Ecco a voi un altro tips che mi è stato molto utile. Oramai il bisogno di creare file PDF è largamente presente, e programmi come OpenOffice lo supportano in toto. Ma se voglio creare un PDF da un’altra applicazione? Non sarebbe bella una stampante virtuale come in Windows, che mi permetta di stampare file in formato PDF?

Chiaramente la comunità libera prontamente ha apportato questa caratteristica…ed è anche semplice installarla.
Prima di tutto, digitate da terminale:
sudo apt-get install cups-pdf
Questo installerà il supporto PDF per il sistema cups (io l’avevo già installato quest’ultimo).
Ora andate sotto Sistema -> Amministrazione -> Stampa e selezionate “Nuova Stampante” come da figura:
Bene, nella schermata che segue lasciate Tipo: Locale o stampante rilevata e Usa Stampante individuata (scegliete PDF Printer, se avete anche una stampante vera vi verrà visualizzata anche quella).

Ora cliccate avanti. Scegliete Produttore: Generic e Modello: Postscript (il driver è uno solo).

Cliccate avanti e finalmente nella schermata che segue potete inserire il nome della stampante (Ad esempio StampantePDF, senza spazi) e una breve descrizione della stampante. Cliccando su Fine…si ottiene l’effetto sperato!

Fate una prova di stampa: viene stampato il tutto e…ma dove lo salva???

Beh a tutto c’è rimedio…viene creata una cartella PDF sotto la home directory del vostro utente, e lì dentro salverà tutti i file PDF che crea…buon PDF a tutti!

Attenzione che se non esiste la cartella PDF dentro la vostra home directory non viene creata la stampa per cui è bene ontrollare che sia presente alla fine dell’installazione.

Share

Documenti Tecnici

Ubuntu Firewall con “Firewall Builder”

29 luglio 2009

Ho trovato questa guida in inglese, che spiega il funzionamento dell’ottimo Firewall Builder, uno strumento in grado di generare regole per svariati tipi di firewall, utilizzando un’unica interfaccia grafica.

Getting Started with Firewall Builder

This article is part of a series regarding firewalling and network security using the Firewall Builder tool on Ubuntu. This is user-contributed content. If you would like to contribute an article, please see the About page for contact information.

Getting Started with Firewall Builder

Author: vadim@fwbuilder.orghttp://www.fwbuilder.org

This guide starts a series of articles about Firewall Builder. Firewall Builder (also known as fwbuilder) is a GUI firewall configuration and management tool that supports iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) and Cisco routers extended access lists. Both professional network administrators and hobbyists managing firewalls with policies more complex that is allowed by simple web based UI can simplify management tasks with the application. The program runs on Linux, FreeBSD, OpenBSD, Windows and Mac OS X and can manage both local and remote firewalls. The first article is an introduction to the program. We will follow up with series of articles focusing on more advanced aspects of it in the coming weeks.

Firewall Builder is packaged with most Linux distributions and is available under “System/Administration” menu.

If it is not there, then it probably needs to be installed on your system. You need to install package that has supporting API library libfwbuilder and package fwbuilder that contains Firewall Builder GUI and policy compilers. Use apt-get or aptitude to find and install them:

# aptitude install libfwbuilder fwbuilder

On FreeBSD and OpenBSD Firewall Builder is part of ports, you can find it in /usr/ports/security/fwbuilder.

Packages shipping with Ubuntu are always one or two minor revisions behind. If you want to try the latest version, you can use pre-built binary .deb packages offered on the project’s web site or build from source using our online installation instructions. Pre-built binary packages can be installed using our repositories of rpm and deb packages, see instructions on this page.

If the system menu item is not there or you have built the program from source, you can always launch it from the command line by just typing “fwbuilder” on the shell prompt:

$ fwbuilder

The program starts and opens main window and greeting dialog. The dialog provides links to the project web site where you can find more tutorials, FAQ, Firewall Builder CookBoook and other documentation, as well as bug tracking system and links to user forums and mailing list. Clicking on the link in the dialog opens corresponding web page in your web browser. This works the same on all supported OS: Linux, Windows and Mac OS X. You can always open this dialog later using an item in the main menu “Help”.

pict_010

Lets create our first firewall object. To do this, we’ll use object creation menu that appears when you click on the icon in the small toolbar right above the object tree. Choose menu item “New Firewall” from the menu that appears.

pict_020

The program presents wizard-like dialog that will guide you through the process of creation of the new firewall object. In the first page of the wizard you can enter the name for the new firewall object (here it is “guardian”), its platform ( “iptables”) and host OS (”Linux”).

There are two ways new firewall can be created: you can use one of the preconfigured template firewall objects or create it from scratch. This tutotiral demonstrates the first method (using template object). To do this, check checkbox “Use pre configured template firewall objects”. Template can be taken from the library of template objects that comes with Firewall Builder package or from a file provided by the user. The latter is useful when administrator wants to distribute a library of predefined templates to other users in the enterprise. We are using one of the standard templates in this guide and therefore leave standard template library path and name in the “Template file:” input field. Click “Next” to move on to the next page of the wizard.

Note that template firewall object comes completely configured, including addresses and netmasks of its interfaces and some basic policy and NAT rules. This configuration is intended as a starting point only. You should reconfigure addresses of interfaces to match those used on your network and most likely will have to adjust rules to match your security policy.

pict_030

This page of the wizard shows template objects and their configuration. Standard template objects represent firewalls with two or three interfaces, a host with one interface, web server or Cisco router. Choose firewall with three interfaces for this guide. Note that template comes with completely configured firewall object, including set of interfaces and their ip addresses and some basic firewall policy. You will see how addresses can be changed later on in this guide. Click “Finish” to create a new firewall object using chosen template.

pict_040

Here is our new firewall object. Its name is guardian, it appears in the object tree in the left hand side of the main window in the folder Firewalls. When an object is selected in the tree, a brief summary of its properties appears in the panel under the tree. Double-clicking on the object in the tree opens it in the editor panel at the bottom of the right hand side panel of the main window. The editor for the firewall object allows the user to change its name, platform and host OS and also provides buttons that open dialogs for “advanced” settings for the firewall platform and host OS. We will inspect these little later in this tutorial.

You can always resize the main window to make all columns of the policy view be visible.

pict_050

Now would be a good time to save the data to a disk file. This is done in a usual way using main menu File/Save As.

Lets take a little tour of the network and service objects that come standard with the program. You can use these preconfigured objects to build policy and NAT rules for your firewall.

Objects in the tree are orginized in libraries, you can switch between libraries using drop-down menu above the tree. Firewall Builder comes with a collection of address, network, service and time interval objects in the library called “Standard”. Lets take a look at them. Notice that the background color of the panel that shows objects tree depends on the chosen object library. This makes it easier to keep track of the library currently opened in the program.

pict_060

Folder Objects/Hosts contains few host objects used in standard firewall templates. Folder Objects/Network contains network objects that represent various standard address ranges and blocks, such as multicast, net 127/8, networks defined in RFC1918 and so on.

pict_070

Firewall Builder also comes with extensive collection of TCP, UDP and ICMP service objects that describe commonly used protocols. This slide shows some TCP objects (all of them do not fit in the screenshot).

pict_080

Here is an example of a simple TCP service. It defines source and destination port ranges (in this case source port range is not defined and there is only one destination port 80). TCP service object can also define any combination of tcp flags the firewall should inspect and also which ones of them should be set in order for a packet to match this object. In the case of the service “http” we do not need to define any flags.

pict_090

Now lets take a look at the objects created as part of the new firewall object guardian. In order to do this, switch to the library User where this object was created. To open an object in the editor panel to inspect or change it, double click on it in the tree. Also, if you click on an object in the policy rule to select it, it will automatically open in the tree on the left.

pict_100

First, the firewall object itself.

Every object in fwbuilder has basic attributes such as its name and comment. Other attributes depend on the object type.

Attributes of the firewall object include platform (can be iptables, pf, ipfilter, etc.), version (platform-depended) and host OS. Buttons Host OS Settings and Firewall Settings open dialogs with many additional attributes that depend on the firewall platform and host OS. More on these later.

pict_110

Here are the choices for the firewall platform, version (for iptables) and host OS.

pict_103

Interfaces of the firewall are represented by objects located below the Firewall object in the tree. We refer to them as “children” of the firewall object. This slide demonstrates properties of the interface eth0. To open it in the editor double click on it in the tree. If editor panel is already open and shows some object, it is sufficient to select new object in the tree to reveal it in the editor panel (no need to double click).

IP and MAC addresses of interfaces are represented by child objects in the tree located below corresponding interface.

pict_120

Interface object has several attributes that define its function, such as “Management interface”, “external” etc.

  • Name: the name of the interface object in Firewall Builder must match exactly the name of the interface of the firewall machine it represents. This will be something like “eth0″, “eth1″, “en0″, “br0″ and so on.
  • Label: On most OS this field is not used and serves the purpose of a descriptive label. Firewall Builder GUI uses a label, if it is not blank, to show interfaces in the tree. One of the suggested uses for this field is to mark interfaces to reflect the network topology (’outside’, ’inside’) or the purpose (’web frontend’ or ’backup subnet’). The label is mandatory for Cisco PIX though, where it must reflect the network topology.
  • “Management interface”: Sometimes the host has several network interfaces in which case one of them can be marked as the ’manaagement interface’. The management interface is used for all communication between Firewall Builder and the host.
  • “External interface (insecure)”: marks an interface that connects to the Internet.
  • “Unprotected interface”: marks interface to which fwbuilder should not assign any access lists (used only with Cisco IOS platform)
  • “Regular Interface”: Use this option if the interface has an IP address assigned to it manually.
  • “Address is assigned dynamically”: Use this option if the interface has a dynamic address (obtained by means of DHCP or PPP or another protocol); in this case an address is unknown at the moment when Firewall Builder generates the firewall policy.
  • “Unnumbered interface”: Use this option if the interface can never have an IP address, such as the ethernet interface used to run PPPoE communication on some ADSL connections, tunnel endpoint interface, or an interface on a bridging firewall. See below Section 5.3.1 for more detailed discussion of these different types of interfaces.
  • “Bridge port”: this option is used for port of bridged firewall.
  • “Security level”: security level of this interface, used only with Cisco PIX (ASA)
  • “Network zone”: network zone of this interface, used only with Cisco PIX (ASA). Network zone drop-down list shows all network obejcts and groups of addresses and networks present in the tree. Choose one of them to tell the compiler which networks and blocks of addresses can be reached through this interface. Compiler uses this information to decide which interface each ACL rule should be associated with based on the addresses used in the destination of the rule.

pict_130

Here is IP address of interface eth0, external interface of the firewall. The address and netmask are attributes of the child object of the type “IPv4 address”. Here the address is “192.0.2.1″ and netmask “255.255.255.0″. Button “DNS Lookup” can be used to determine ip address using DNS. The program runs DNS query for the “A” record for the name of the parent firewall object.

pict_140

Lets look at the IP address of the internal interface of the firewall. The address used in the template is 192.168.1.1″ with netmask “255.255.255.0″. This is rather typical address used for small and home networks. Some commercial firewall appliances come preconfigured with this address.

pict_150

If address 192.168.1.0/24 matches address of your local network, you can skip this part of the guide and move to the page 4. Otherwise, you need to reconfigure the address of the internal interface of the firewall object that you just created in fwbuilder and also change address object used in the policy rules. Start with changing address attribute (and possibly netmask, if necessary) of the object guardian:eth1:ip as shown in the screenshot:

pict_160

Now we need to change IP address used in the rules. To do this, we create new Network object with correct address and replace object net-192.168.1.0 in all rules with this new network object.

Use new object menu to create Network object.

pict_170

New Network object is created with default name ‘New Network’ and IP address 0.0.0.0.

pict_180

Edit object name and address, then hit “Apply”.

pict_190

Use menu Object / Find to activate search and replace dialog. The Find and Replace dialog opens at the bottom of the right hand side panel in the main window, below the policy rules view.

pict_200

Locate object object net-192.168.1.0 in any policy rule where it is used or in its location in the tree in library Standard and drag and drop it to the left object well in the search and replace dialog as shown on the screenshot:

pict_210

Change the scope setting to “Policy of all firewalls”. If you have many firewalls in the tree, use scope “policy of the opened firewall” instead. Locate new Network object you just created in the tree and drag and drop it to the right object well in the search and replace dialog as shown on the screenshot:

pict_220

Now hit “Replace all” button. Pop-up dialog should appear and report how many replacements the program had to make in all rules of the firewall. Note that the replacement is done not only in the policy rules, but in NAT rules as well.

pict_230

Now that you have created a new object and replaced old network object with new one in all rules, do not forget to save data to a file using menu File/Save

Lets inspect properties of the firewall object. Double click on the firewall “guardian” in the tree to open it in the editor panel, then click “Firewall Settings” button in the editor. This opens new dialog that looks like this. Notice button “Help” in this dialog, clicking this button opens help as shown on the next slide.

pict_240

Online help explains all attributes and parameters located in each tab of the firewall settings dialog. I encourage you to explore it as many parameters are important and affect generated iptables script in different ways.

Next few screenshots show other tabs of the firewall settings dialog. You can find detailed explanations of all parameters in the online help.

pict_250

This page defines various parameters for the built-in policy installer. Installer uses ssh client (pscp.exe and plink.exe on Windows) to transfer generated script to the firewall machine and activate it there.

pict_260

User can define shell commands that will be included in the generated script at the beginning and in the end of it. These commands can do anything you want, such as configure some subsystems, set up routing etc.

pict_270

Parameters for logging.

pict_280

More options for the script generation. Notice that fwbuilder can produce iptables script in two formats: 1) as a shell script that calls iptables utility to add each rule one by one, or 2) it can use iptables-restore script to activate the whole policy at once. Other parameters are explained in the online help.

pict_290

Starting with v3.0 Firewall Builder can generate both IPv4 and IPv6 policy. This tab controls the order in which they are added to the script if user defined rules for both address families in the Policy objects of the firewall.

pict_300

Lets take a look at the policy of the template firewall. These rules are intended to be an example, a starting point to help you create your own policy quicker. Most likely you will want to modify them to suite your requirements. Explanation of the rules given here is rather brief because the goal of this guide was only to demonstrate how to use Firewall Builder.

  • Rule 0: this is an anti-spoofing rule. It block incoming packets with source address that matches addresses of the firewall or internal or DMZ networks. The rule is associated with outside interface and has direction set to “Inbound”.
  • Rule 1: this rule permits any packets on loopback interface. This is necessary because many services on the firewall machine communicate back to the same machine via loopback.
  • Rule 2: permit ssh access from internal network to the firewall machine. Notice service object “ssh” in the column “Service”. This object can be found in the Standard objects library, folder Services/TCP.

pict_310

Policy rules belong to the object “Policy”, which is a child object of the firewall and can be found in the tree right below it. As any other object in Firewall Builder, Policy object has some attributes that you can edit if you double click on it in the tree.

  • Policy can be either IPv4, or IPv4 or combined IPv4 and IPv6. In the latter case you can use a mix of IPv4 and IPv6 addess objects in the same policy (in different rules) and Firewall Builder will automatically figure out which one is which and will sort them out.
  • Policy can translate to only mangle table, or a combination of filter and mangle tables. Again, in the latter case policy compiler decides which table to use based on the rule action and service object. Some actions, such as “Tag” (translates into iptables target MARK) go into mangle table.
  • “Top ruleset” means that compiler will place generated iptables rules into built-in chains INPUT/OUTPUT/FORWARD. If policy is not marked as “top ruleset”, generated rules will go into user-defined chain with the name the same as the name of the policy object.

pict_320

Here are preconfigured NAT rules.

  • Rule 0: tells the firewall that no address translation should be done for packets coming from network 192.168.2.0 going to 192.168.1.0 (because Translated Source, Translated Destination and Translated Service are left empty)
  • Rule 1: packets coming to the firewall from internal and DMZ networks should be translated so that source address will change and become that of the outside interface of the firewall.
  • Rule 2: packets coming from the Internet to the interface “outside” will be translated and forwarded to the internal server on DMZ represented by the host object “server on dmz”.

pict_330

Now we should be ready to compile policy of the firewall guardian and generate iptables script. To do this, select firewall in the tree and click right mouse button. Choose item “Compile” in the pop-up menu. The dialog that appears lists all firewall objects defined in the objects tree and lets you select which ones should be compiled. The firewall guardian has just been created and has never been compiled and dialog shows that. Make sure checkbox next to the firewall object guardian is checked and click button “Next”.

pict_340

Firewall Builder calls policy compiler (which is by the way an external program which can be used on the command line). The next page of the dialog shows compiler progress and result.

pict_350

Compiler generates iptables script in the file with the name the same as the name of the firewall object, with extension “.fw”. The file is placed in the same directory where the data file .fwb is located.

$ ls -la test2.fwb guardian.fw

-rwxr-xr-x 1 vadim vadim 11253 2009-02-16 16:41 guardian.fw

-rw-r--r-- 1 vadim vadim 24696 2009-02-16 16:41 test2.fwb

Here is how generated script looks liie. This is just a fragment from the middle to show some generated iptables commands.


# ================ IPv4
# ================ Table 'filter', automatic rules

$IPTABLES -P OUTPUT DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP

cat /proc/net/ip_tables_names | while read table; do

$IPTABLES -t $table -L -n | while read c chain rest; do

if test “X$c” = “XChain” ; then
$IPTABLES -t $table -F $chain
fi
done

$IPTABLES -t $table -X
done

$IPTABLES -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

# ================ Table ‘nat’, rule set NAT
# NAT compiler errors and warnings:

#
#
# Rule 0 (NAT)
#

echo “Rule 0 (NAT)”

#
# no need to translate
# between DMZ and
# internal net

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.0/24 -d 172.16.22.0/24 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.2.0/24 -d 172.16.22.0/24 -j ACCEPT

Now you can transfer it to the firewall and execute it there to install iptables rules. However it is much more convenient to use built-in policy installer to do this. To use installer, click right mouse button on the firewall object in the tree and use menu item Install. Firewall Builder will compile the policy if necessary and then open dialog where you can configure parameters of the installer. Here you need to enter password to authenticate to the firewall. Once you click OK, installer will connect to the firewall using ssh client. First, it will copy generated script to the directory /etc on the firewall (or different one, if configured in the Installer tab of firewall settings dialog), then it will run this script and check for errors. Its progress will be visible in the panel of the installer wizard, just like the progress of policy compiler.

pict_370

This guide walked you step by step through the process of creating of a firewall object, making some minor changes in its parameters and policy rules, compiling the policy and activating it on the firewall machine. This guide did not touch advanced topics such as built-in revision control system, working with multiple data files, working with multiple firewall objects, IPv6. You can find documentation and guides on these topics and more on our project web site at http://www.fwbuilder.org.

Share

Documenti Tecnici

Ubuntu Security Tools

17 maggio 2009

Bootable Linux distributions are quite popular right now. Just by booting from a DVD or other media, they allow you to possess a dedicated security auditing or forensics workstation.

Usually though, I don’t want to reboot just to use a different set of applications. I want all of my applications available to me all of the time.

I normally use Synaptic Package Manager to add each application to my Ubuntu system manually. This is time consuming, but eventually allows me to create a system with a rich set of security tools.

A better approach is to call apt-get directly. This is much quicker than using the Synaptic GUI. Then, all available Ubuntu security tools can be installed with one shell script.

secbox is that shell script. With a single command, secbox installs every Ubuntu security tool supported by apt-get. secbox isn’t sexy, but it is very convenient for me — and for pretty much anyone who uses their Ubuntu machine for security work.

Download secbox Now

Share

Tips Linux e Microsoft

nubuntu (Network Ubuntu) sicurezza informatica

6 maggio 2009

http://farm4.static.flickr.com/3190/3019781208_5cb3307361.jpg?v=0

nUbuntu (nota anche come Network Ubuntu) è nata con l’obbiettivo di creare una distribuzione GNU/Linux derivata da Ubuntu e specifica per gli amministratori di sistema e utenti che si occupano di sicurezza informatica. A differenza della sua progenitrice Ubuntu, in nUbuntu, troviamo in aggiunta molti pacchetti software specifici per la sicurezza (programmi per difendere/attaccare una WLAN ai Password Cracker ed altro..).

Sono stati invece rimossi tutti i pacchetti software considerati non strettamente necessari al funzionamento del sistema operativo, come ad esempio GnomeOpenOffice.org edEvolution.

nUbuntu adotta il window manager Fluxbox scelto a discapito di (Gnome o KDE) per la sua leggerezza e velocità unita alla semplicità di utilizzo.

Questa distribuzione include molti software liberi specifici per GNU/Linux (utili per testare la sicurezza della rete, effettuare penetration test ecc.. ecc..) che sono i seguenti:

Bluetooth AuditBlue SnarferObexFTPRedfang, AsleapCisco ExploiterGenkeys,YersiniaBlind SQLInjectionHTTP SQL BruteforceSQL InjectDNS EnumFinger Google,Google Mail EnumGooScanGoogle Searchp0fNBTScanSamba EnumRelay Scanner,SMTP VrfySNMP EnumISR FormsList URLsMetasploitExploitTreeAutopsy, Foremost,RainbowCrackBkhiveHash CollisionJohnOphcrackSamdump2coWPAttyTHC PPTP,AmapNmapOnesixtyonePBNJDriftnetWiresharkDsniffEttercapARPSpoof,DNSSpoofKismetAircrack-ngVoid11Hotspotter..

Fonte: Linuxpedia

Share

Tips Linux e Microsoft

Ubuntu Tweak 0.4.7.1 su Ubuntu

6 maggio 2009
Ubuntu Tweak è un software con il quale possiamo configurare al meglio la nostra Distribuzione. Possiamo installare e configurare al meglio Compiz, possiamo aggiungere o rimuovere repository, perfino installare software tra una propria lista scelta trai più diffusi software per Ubuntu. Altra qualità di questo meraviglioso software è la possibilità di aggiornare OpenOffice alla versione 3 con un solo click oppure installare Software come Opera, Skype, Google Earth ecc senza installare prima repisitory ecc. In poche parole semplifica molto l’utilizzo di Ubuntu secondo me tramite questo software un’utente poco esperto riesce ad installare e configurare Ubuntu al meglio senza nemmeno utilizzare il terminale.
Ecco le novità della nuova versione 0.4.7.1 tratte dal sito del produttore:
* Fix a typo in mainwindow, Power Managerment->PowerManagement
* Add ubundsl to third-party sources and installer
* Add the hard-shadow script, so that it will be easy if you want to
make shadow to image
* Catch the exception when get_icon_with_app, Fix LP #363208
* Improve the open-with-*** scripts, it can determine the associated
text editor now
* Add gnote ppa source, add gnote to installer
* Let Shortcuts works under Ubuntu 9.04, it is caused by Compiz, LP
#362378
* Improve the compiz check, I think LP #346212 is fixed. Need test.
* Enable NautilusDropbox, VirtualBox and Wine for Ubuntu 9.04 Jaunty in
Third-Party Sources
Ricordo che Ubuntu Tweak funziona esclusivamente per Ubuntu e non per K|Xubuntu. Per installarlo o aggiornarlo su Ubuntu basta scaricare il file .deb dal link posto sotto cliccarci sopra e confermare oppure aprire il terminale recarsi dentro la cartella e scrivere:
sudo dpkg -i *.deb

confermiamo e alla fine avremo il nostro Ubuntu Tweak installato.

Oppure (metodo consigliato) possiamo installarlo tramite repository andiamo su Sistema->Amministatore->Sorgenti software, spostatevi nella scheda Software di terze parti ed aggiungete:
Per Ubuntu 9.04 Jaunty

deb http://ppa.launchpad.net/tualatrix/ubuntu jaunty main
deb-src http://ppa.launchpad.net/tualatrix/ubuntu jaunty main

Per Ubuntu 8.10 Intrepid

Per Ubuntu 8.04 Hardy

deb http://ppa.launchpad.net/tualatrix/ubuntu hardy main
deb-src http://ppa.launchpad.net/tualatrix/ubuntu hardy main

chiudiamo e clicchiamo su ricarica. Adesso apriamo il terminale e aggiungiamo la chiave d’autentificazione scrivendo:
sudo apt-key adv –recv-keys –keyserver keyserver.ubuntu.com FE85409EEAB40ECCB65740816AF0E1940624A220

ora sempre da terminale scriviamo:

sudo apt-get update

ed infine installiamo la nuova versione di Ubuntu Tweak:

sudo apt-get install ubuntu-tweak

confermiamo ed ecco installato/aggiornato Ubuntu Tweak su Ubuntu

download ubuntu-tweak_0.4.7.1 all.deb per Jaunty
download ubuntu-tweak_0.4.7.1 all.deb per Intrepid e Hardy
download ubuntu-tweak-0.4.7.1.tar.gz

Share

Tips Linux e Microsoft

Guida veloce per abilitare gli effetti grafici di compiz fusion su Ubuntu

6 maggio 2009


Questa è una piccola e veloce guida per abilitare i bellissimi effetti grafici della nostra  Ubuntu 8.10.
Prima di tutto bisogna aver installato ed abilitato gli effetti 3D della nostra scheda video, una volta fatto questo si va sul programma Synaptic (Barra in alto –> Sistema –> Amministrazione –> Gestore pacchetti Synaptic) mettete la vostra psw e cliccate su cerca e immetete quanto segue “Compiz Settings Manager” vi verrà proposto un pacchetto per l’istallazione, quindi ci andate sopra con il tasto destro e lo marcate per l’installazione poi cliccate su applica.Finita la breve installazione del pacchetto andate su Sistema –> Preferenze –> Aspetto –>linguetta Effetti Visivi e da li selezionate Personalizzato e cliccate su Preferenze, vi si aprirà una finestra dove potrete selezionare gli effetti che più vi piacciono.
Più semplice di così si muore :-))).

Share

Tips Linux e Microsoft

uSbuntu Live Creator

2 maggio 2009

Create una LiveUSB da Windows usando una GUI
uSbuntu Live Creator fa praticamente le stesse cose che fa USB Live Creator incluso nella 8.10 a parte che ha molte più dotazioni. Funziona con Ubuntu, Kubuntu e Xubuntu e consente di far funzionare la vostra chiave USB direttamente in Windows senza nessuna installazione di software e nessuna configurazione, usando una versione speciale e portabile di VirtualBox.
E’ veramente facile da usare.
Creare una chiave uSbuntu in cinque facili passaggi :

  1. passo 1 : lanciare uSbuntu Live Creator e scegliere una chiave USB o identificatela nell’elenco
  2. passo 2 : selezionate un file ISO o il CD di Ubuntu/KubuntuXubuntu 8.10 Intrepid Ibex
  3. passo 3 : scegliete la dimensione dei dati persistenti (di solito più di 250MB)
  4. passo 4 : selezionate le opzioni che volete
  5. passo 5 : cliccate sul lampo per avviare il processo di creazione

Non dimenticate di usare gli aiuti personalizzati (all’angolo superiore destro di ogni passaggio).
Inoltre, ognuno dei passaggi necessari (1,2 e 3) hanno una luce di avviso che indica il loro stato. Questa la loro interpretazione :

  • Luce rossa : il passaggio non è stato completato, non potete avviare la creazione
  • Luce arancione : c’è un problema nel corso del passaggio
  • Luce verde : va tutto bene

Scaricate uSbuntu Live Creator da qui
Buon lavoro 🙂

Share

Tips Linux e Microsoft