Download pdf - installazione IPcop

<- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 ->

Sistemi Liberi

Realizzazione di un Firewall con IPCop

di Stefano Sasso

L'articolo...

In un mio precedente articolo avevo spiegato come realizzare un firewall basato su iptables. La soluzioneproposta richiedeva delle buone competenze di Linux e di reti per essere portata a termine. Con questo

articolo vedremo invece come installare IpCop, una distribuzione GNU/Linux per firewall facile da installare eda gestire (grazie alla sua interfaccia di amministrazione web-based) anche da persone con competenzeinformatiche intermedie.

Cos'è IPCop

IPCop[1] è una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisceun'efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

È un'ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Può essere adattata ad ogniesigenza e può essere usata anche su hardware piuttosto datato. Può essere usata da amministratori di rete che nonconoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linuxovviamente!) ma non ha il tempo per configurare manualmente un PC.

Il progetto IPCop è attivo da un paio d'anni e nelle ultima versioni è risultato essere così maturo da acquistare crescentesuccesso in una vasta comunità di utenti e di sviluppatori.

Il manifesto della distribuzione si articola nei seguenti punti:

Offrire una distribuzione Firewall Linux stabile sicura e opensource

Creare ed offrire una distribuzione Firewall Linux estremamente configurabile

Offrire una distribuzione Firewall Linux di facile manutenzione

Caratteristiche tecniche di IPCop

IpCop offre un'ampia gamma di caratteristiche tecniche: si va dal Linux netfilter standard con capacità di NAT al supportoper DMZ via DNAT, dal supporto DHCP (sia server che client) al supporto NTP per sincronizzare e servire la data e l'ora,dalla possibilità di attivare un proxy a quella di attivare un IDS. Inoltre supporta quattro schede di rete e un numeroillimitato di connessioni VPN, oltre ad offrire la possibilità di backup e restore della configurazione. È inoltre facilmenteestendibile grazie a numerosi moduli presenti in Internet.

IpCop non richiede molta potenza di calcolo per poter funzionare egregiamente: è richiesto un Pentium II con 64 Mb di rame qualche GB di hard disk. Se si intende utilizzare le funzioni di proxy sono consigliati 256 MB di ram e qualche GB in piùlibero. Ovviamente per l'installazione del sistema è necessario un lettore CD.

Nomenclatura delle interfacce di rete

IPCop nomina le interfacce di rete con dei colori. Ecco i significati:

ROSSO - rappresenta l'interfaccia connessa ad internet.

Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

1 di 7 13/10/2009 12.04

VERDE - rappresenta l'interfaccia per la rete interna.

BLU - rappresenta l'interfaccia per una seconda rete interna o per una rete wireless.

ARANCIONE - rappresenta l'interfaccia per un'eventuale zona DMZ in cui si trovano server che offrono serviziall'esterno.

La configurazione minima, che vedremo in questo articolo, prevede due interfacce di rete: ROSSO (internet) e VERDE (larete da proteggere); tuttavia non è difficile estendere queste istruzioni per la configurazione un firewall più complesso.

Nel caso esistano due reti locali che devono rimanere separate si utilizza anche l'interfaccia BLU.

Installazione

Prima di procedere con l'installazione è necessario controllare che il disco su cui installeremo IPCop non contenga dati pernoi importanti; infatti la procedura di installazione cancellerà l'intera tabella delle partizioni.

Cominciamo quest'avventura procurandoci l'immagine ISO del disco di installazione da www.ipcop.org e scrivendola su unCD. Ora possiamo partire con l'installazione del nostro futuro firewall. È necessario assicurarsi che il PC sul quale andràinstallato IPCop faccia il boot da CD.

Via!

La prima schermata che comparirà sarà quella per la scelta della lingua.

Successivamente si dovrà scegliere da quale dispositivo effettuare l'installazione. Scegliamo CD-ROM.


2 di 7 13/10/2009 12.04

Ci verrà chiesto se vogliamo procedere con la creazione di una nuova tabella delle partizioni. Scegliamo SI e aspettiamo chele partizioni vengano create e formattate.

Quindi attendiamo la copia dei file sul disco.


3 di 7 13/10/2009 12.04

Ci verrà quindi chiesto quale sarà la nostra interfaccia di rete GREEN, di indicare il layout della tastiera e il fuso orario, disettare un nome host e di dominio per il nostro firewall.

Da notare la citazione dantesca: «Caron, non ti crucciare, vuolsi così colà dove si puote ciò che si vuole, e più non dimandare.»

Successivamente dovremo decidere quale sarà la configurazione del nostro firewall: in questo articolo parleremo dellasemplice installazione di IPCop per la protezione di una sola rete LAN, quindi scegliamo GREEN+RED.


4 di 7 13/10/2009 12.04

Dovremo quindi assegnare gli indirizzi IP alle interfacce GREEN e RED, definire la password di root per l'accesso daterminale e la password dell'utente admin per l'accesso da interfaccia web.

Ora l'installazione è completata. Possiamo quindi riavviare il sistema.

Configurazione base

Per la configurazione del nostro nuovo firewall accediamo all'interfaccia di configurazione web che risponde all'indirizzohttps://indirizzoIPinterfacciaGREEN:445/, dove 192.168.17.253 è l'indirizzo IP lato GREEN del firewall che, in questoesempio, avevo assegnato in precedenza.

Ci apparirà una schermata simile alla seguente:

Possiamo ora navigare all'interno dei menù per accedere alle varie parti della configurazione del firewall. Sono presenti leseguenti voci:


5 di 7 13/10/2009 12.04

Sistema: qui possiamo trovare le utilità per la configurazione del sistema e di IPCop stesso

Stato: qui troviamo le informazioni dettagliate sullo stato del firewall

Network: le utilità per configurare/amministrare le connessioni di rete

Servizi: la configurazione/amministrazione dei servizi disponibili sul firewall

VPN: la configurazione delle possibili reti private virtuali (VPN)

Log: permette di visualizzare i vari log di IPCop (Proxy, IDS, ...)

Ad esempio, se vogliamo creare una VPN con un altro firewall andremo sul menù VPN: sul menù servizi potremo deciderequali servizi avviare sul nostro firewall, come il proxy, il server DHCP e a altri.

Addon

Le potenzialità di IPCop sono davvero notevoli, anche grazie al fatto che è possibile installare degli addon[2] per estenderele funzioni del nostro firewall.

Il metodo più facile per installare degli addon è usare il modulo "Addon Server", scaricabile sempre dafirewalladdons.sourceforge.net/

Procediamo quindi a scaricare dal sito l'ultima versione, copiamo il file sul firewall e da una console impartiamo i seguenticomandi:

# tar zxvf addons-2.3-CLI-b2.tar.gz -C

# cd addons

# ./addoncfg -i

In seguito all'installazione, nel menù dell'interfaccia web comparirà la voce Addons, dalla quale sarà possibile installare gliaddon con pochi clic.

Ecco brevemente presentati i principali addon:

OpenVPN: permette di creare VPN usando OpenVPN. (di default IPCop crea VPN IPSEC)

AutoShutDown: permette di spegnere automaticamente, ad una determinata ora, il nostro firewall.


6 di 7 13/10/2009 12.04

Cop+: permette di aggiungere il supporto per l'autenticazione proxy e il filtraggio dei contenuti web conDansGuardian.

IPBill: permette la navigazione a tempo e a pagamento. Utile per internet point o simili.

NTPD: permette a IPCop di essere anche un Time Server NTP.

POPFile: permette a IPCop di essere anche un Mail Proxy e filtro anti-SPAM.

SquidGuard: aggiunge il supporto al filtraggio dei contenuti web con SquidGuard.

Vantaggi e Svantaggi

Vantaggi

Tra i vantaggi di avere un firewall basato su IPCop annoveriamo il fatto che si può installare su hardware obsoleto, che èOpen Source, che non richiede un'approfondita conoscenza di Linux e Iptables e nemmeno una configurazione "manuale"dei vari servizi. È inoltre facile da installare e da gestire, sicuro e stabile allo stesso tempo. Teniamo inoltre presente che ilcosto di una soluzione commerciale simile è molto elevato.

Svantaggi

Gli svantaggi principali che ho riscontrato sono riferibili al fatto di non avere supporto per DMZ via routing diretto ma solovia NAT. Inoltre IPCop indirizza tutto il traffico della rete interna verso la rete esterna: non è quindi utile in quelle situazioniin cui si vuole consentire agli utenti di accedere solo a determinati servizi.

Riferimenti bibliografici

[1] IPCop:http://www.ipcop.org/

[2] IPCop Addons:http://firewalladdons.sourceforge.net/

L'autore

Stefano Sasso utilizza Linux dal 2000 e si diverte a programmare in Java, PHP, Perl e Python. Frequenta il

corso di laurea in Ingegneria Informatica presso l'Università di Padova e a tempo perso è consulenteinformatico su piattaforme Open Source.

<- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 ->


7 di 7 13/10/2009 12.04