installazione IPcop

  • View
    74

  • Download
    3

Embed Size (px)

Transcript

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

Sistemi Liberi Realizzazione di un Firewall con IPCopdi Stefano Sasso

L'articolo...In un mio precedente articolo avevo spiegato come realizzare un firewall basato su iptables. La soluzione proposta richiedeva delle buone competenze di Linux e di reti per essere portata a termine. Con questo articolo vedremo invece come installare IpCop, una distribuzione GNU/Linux per firewall facile da installare e da gestire (grazie alla sua interfaccia di amministrazione web-based) anche da persone con competenze informatiche intermedie.

Cos' IPCopIPCop[1] una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce un'efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate. un'ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Pu essere adattata ad ogni esigenza e pu essere usata anche su hardware piuttosto datato. Pu essere usata da amministratori di rete che non conoscono Linux per creare un firewall Linux-based, oppure pu essere utilizzata da chi ne capisce di pi (di Linux ovviamente!) ma non ha il tempo per configurare manualmente un PC. Il progetto IPCop attivo da un paio d'anni e nelle ultima versioni risultato essere cos maturo da acquistare crescente successo in una vasta comunit di utenti e di sviluppatori. Il manifesto della distribuzione si articola nei seguenti punti: Offrire una distribuzione Firewall Linux stabile sicura e opensource Creare ed offrire una distribuzione Firewall Linux estremamente configurabile Offrire una distribuzione Firewall Linux di facile manutenzione

Caratteristiche tecniche di IPCopIpCop offre un'ampia gamma di caratteristiche tecniche: si va dal Linux netfilter standard con capacit di NAT al supporto per DMZ via DNAT, dal supporto DHCP (sia server che client) al supporto NTP per sincronizzare e servire la data e l'ora, dalla possibilit di attivare un proxy a quella di attivare un IDS. Inoltre supporta quattro schede di rete e un numero illimitato di connessioni VPN, oltre ad offrire la possibilit di backup e restore della configurazione. inoltre facilmente estendibile grazie a numerosi moduli presenti in Internet. IpCop non richiede molta potenza di calcolo per poter funzionare egregiamente: richiesto un Pentium II con 64 Mb di ram e qualche GB di hard disk. Se si intende utilizzare le funzioni di proxy sono consigliati 256 MB di ram e qualche GB in pi libero. Ovviamente per l'installazione del sistema necessario un lettore CD.

Nomenclatura delle interfacce di reteIPCop nomina le interfacce di rete con dei colori. Ecco i significati: ROSSO - rappresenta l'interfaccia connessa ad internet.

1 di 7

13/10/2009 12.04

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

VERDE - rappresenta l'interfaccia per la rete interna. BLU - rappresenta l'interfaccia per una seconda rete interna o per una rete wireless. ARANCIONE - rappresenta l'interfaccia per un'eventuale zona DMZ in cui si trovano server che offrono servizi all'esterno. La configurazione minima, che vedremo in questo articolo, prevede due interfacce di rete: ROSSO (internet) e VERDE (la rete da proteggere); tuttavia non difficile estendere queste istruzioni per la configurazione un firewall pi complesso. Nel caso esistano due reti locali che devono rimanere separate si utilizza anche l'interfaccia BLU.

InstallazionePrima di procedere con l'installazione necessario controllare che il disco su cui installeremo IPCop non contenga dati per noi importanti; infatti la procedura di installazione canceller l'intera tabella delle partizioni. Cominciamo quest'avventura procurandoci l'immagine ISO del disco di installazione da www.ipcop.org e scrivendola su un CD. Ora possiamo partire con l'installazione del nostro futuro firewall. necessario assicurarsi che il PC sul quale andr installato IPCop faccia il boot da CD. Via! La prima schermata che comparir sar quella per la scelta della lingua.

Successivamente si dovr scegliere da quale dispositivo effettuare l'installazione. Scegliamo CD-ROM.

2 di 7

13/10/2009 12.04

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

Ci verr chiesto se vogliamo procedere con la creazione di una nuova tabella delle partizioni. Scegliamo SI e aspettiamo che le partizioni vengano create e formattate.

Quindi attendiamo la copia dei file sul disco.

3 di 7

13/10/2009 12.04

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

Ci verr quindi chiesto quale sar la nostra interfaccia di rete GREEN, di indicare il layout della tastiera e il fuso orario, di settare un nome host e di dominio per il nostro firewall.

Da notare la citazione dantesca: Caron, non ti crucciare, vuolsi cos col dove si puote ci che si vuole, e pi non dimandare.

Successivamente dovremo decidere quale sar la configurazione del nostro firewall: in questo articolo parleremo della semplice installazione di IPCop per la protezione di una sola rete LAN, quindi scegliamo GREEN+RED.

4 di 7

13/10/2009 12.04

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

Dovremo quindi assegnare gli indirizzi IP alle interfacce GREEN e RED, definire la password di root per l'accesso da terminale e la password dell'utente admin per l'accesso da interfaccia web. Ora l'installazione completata. Possiamo quindi riavviare il sistema.

Configurazione basePer la configurazione del nostro nuovo firewall accediamo all'interfaccia di configurazione web che risponde all'indirizzo https://indirizzoIPinterfacciaGREEN:445/, dove 192.168.17.253 l'indirizzo IP lato GREEN del firewall che, in questo esempio, avevo assegnato in precedenza. Ci apparir una schermata simile alla seguente:

Possiamo ora navigare all'interno dei men per accedere alle varie parti della configurazione del firewall. Sono presenti le seguenti voci:

5 di 7

13/10/2009 12.04

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

Sistema: qui possiamo trovare le utilit per la configurazione del sistema e di IPCop stesso Stato: qui troviamo le informazioni dettagliate sullo stato del firewall Network: le utilit per configurare/amministrare le connessioni di rete Servizi: la configurazione/amministrazione dei servizi disponibili sul firewall VPN: la configurazione delle possibili reti private virtuali (VPN) Log: permette di visualizzare i vari log di IPCop (Proxy, IDS, ...) Ad esempio, se vogliamo creare una VPN con un altro firewall andremo sul men VPN: sul men servizi potremo decidere quali servizi avviare sul nostro firewall, come il proxy, il server DHCP e a altri.

AddonLe potenzialit di IPCop sono davvero notevoli, anche grazie al fatto che possibile installare degli addon[2] per estendere le funzioni del nostro firewall. Il metodo pi facile per installare degli addon usare il modulo "Addon Server", scaricabile sempre da firewalladdons.sourceforge.net/ Procediamo quindi a scaricare dal sito l'ultima versione, copiamo il file sul firewall e da una console impartiamo i seguenti comandi: # tar zxvf addons-2.3-CLI-b2.tar.gz -C # cd addons # ./addoncfg -i

In seguito all'installazione, nel men dell'interfaccia web comparir la voce Addons, dalla quale sar possibile installare gli addon con pochi clic. Ecco brevemente presentati i principali addon: OpenVPN: permette di creare VPN usando OpenVPN. (di default IPCop crea VPN IPSEC) AutoShutDown: permette di spegnere automaticamente, ad una determinata ora, il nostro firewall.

6 di 7

13/10/2009 12.04

Realizzazione di un Firewall con IPCop

http://www.pluto.it/files/journal/pj0612/ipcop

Cop+: permette di aggiungere il supporto per l'autenticazione proxy e il filtraggio dei contenuti web con DansGuardian. IPBill: permette la navigazione a tempo e a pagamento. Utile per internet point o simili. NTPD: permette a IPCop di essere anche un Time Server NTP. POPFile: permette a IPCop di essere anche un Mail Proxy e filtro anti-SPAM. SquidGuard: aggiunge il supporto al filtraggio dei contenuti web con SquidGuard.

Vantaggi e SvantaggiVantaggiTra i vantaggi di avere un firewall basato su IPCop annoveriamo il fatto che si pu installare su hardware obsoleto, che Open Source, che non richiede un'approfondita conoscenza di Linux e Iptables e nemmeno una configurazione "manuale" dei vari servizi. inoltre facile da installare e da gestire, sicuro e stabile allo stesso tempo. Teniamo inoltre presente che il costo di una soluzione commerciale simile molto elevato.

SvantaggiGli svantaggi principali che ho riscontrato sono riferibili al fatto di non avere supporto per DMZ via routing diretto ma solo via NAT. Inoltre IPCop indirizza tutto il traffico della rete interna verso la rete esterna: non quindi utile in quelle situazioni in cui si vuole consentire agli utenti di accedere solo a determinati servizi.

Riferimenti bibliografici[1] IPCop: http://www.ipcop.org/ [2] IPCop Addons: http://firewalladdons.sourceforge.net/

L'autoreStefano Sasso utilizza Linux dal 2000 e si diverte a programmare in Java, PHP, Perl e Python. Frequenta il corso di laurea in Ingegneria Informatica presso l'Universit di Padova e a tempo perso consulente informatico su piattaforme Open Source.

7 di 7

13/10/2009 12.04