Breve guida ll`installazione e configurazione di IpCop 1.3.0
Contents
1. i Pi in ethz ethz 5 lee TIT UP BROADCAST RUNNING PROMISC MULTICAST MTU 1500 Metric i packets z59318 errors 0 dropped 0 overruns 0 frame U 0 T packet s 282351 errors 0 dropped 0 overruns carrier U collisions l3 txqueuelen 100 Interrupt 10 Base address 0x240 nel quale risulta gi evidenziato l indirizzo che a noi interessa Potremmo successivamente utilizzare il comando netstat nr che ci permetter di visualizzare le informazioni che ancora ci mancano come illustrato in rootB smoothwall f netstat nr Kernel IP routing table Destination Gateway Genmask Flags HSS Window irtt Iface d 151 159 128 0 0 0 0 Pes ISH 0 O eth2z 0 0 0 0 0 O eth 0 0 0 0 0 0 O ethl 0 O ethz Network Default Gateway Netmask immagine Bisogna precisare che la maschera dovr essere inserita in slash notation quindi una breve tabella per la conversione tra i due formati bitlength IPs usable 24 255 255 255 0 254 A dire il vero secondo la ETC in TT non necessario inserire l IP che ci fa il routing basta lasciare la scritta che gi si trova all interno del campo left next hop verr utilizzato quello che ci fornisce il nostro ISP Successivamente andr inserita la password che ci permetter di criptare e decriptare i dati in partenza e in arrivo ed eventualmente attivare la compressione dei dati tramite l apposito flag Premendo a questo punto il t2. 184217242253 11 POP3 52 25 148 38 50379 17 16 08 INPUT 500 232188 BSO HTTP 5225 48 38 4138 12 16 15 IMPLIT 194 217 242 253 11O POP3 62 25 149 38 50375 12 16 16 652054075 1942 85225148 38 139 NETBIOS SSM 17 16 28 INPUT 652054075 1942 622514938 139 NETBIOS S5SM 17 17 09 INFOT O 184 217 242 253 11 POP3 52 25 148 38 50375 17 37 35 INPUT 80 0 232 188 S8DCHTTP 6225149 38 4188 1 17 20 INFOT 32828 62 25 149 38 135 17 18 11 INFOT 184 217 242 253 110 FOF3 52 25 148 38 50375 17 18 16 500 232188 62 25 149 38 4198 17 19 08 INPUT 184217242253 11 POP3 52 25 148 38 50375 17 19 23 INFOT 500 2321885 5225 48 38 4138 Older Newer Questa pagina ci visualizza pacchetti di dati bloccati dal nostro firewall Ci viene quindi mostrato l orario il chain interfaccia Il protocollo gli indirizzi IP di destinazione e di partenza la porta originariamente aperta e quella aperta successivamente Sar possibile ottenere informazioni su uno specifico indirizzo IP in lista cliccando sul flag accanto lo stesso Indirizzo e successivamente sul tasto lookup Pagina Log Sezione Intrusion Detection System other web proxy firewall Settings Month Jul i gt gt Update Export y Lag Total of number of intrusion rules
3. 225 UF FRILTETCATT Ladd EX packacc ill15124 arxrrorc i rcppa n ePIC Y ETEMA pH karrild 52233 ALICIC 0 OPATINEC cmrrldlariu corquaustoni Lu cgracild4ds4d23402 LL23 5 11411135 11244271 HEI encarrupr Li reni Lzlnk ancmp imrhuarnar dr dr inar miir 53 5 12 245 mcmEr53 5 152 255 ch 225 255 2754 UF HETCAPCATT NTTEAEIBET ELNWIE I HTU Ladd 1 EX pmu ckarEe 2 d 555 arrcrE zrzcppa n c uarrunbe ETEMA pH karr iluz 1 5 arrecrrE 0 OPATINEC cmrrlauariu rxgquaualan Lad cprac 2145045704 1250445 5 Hel cgracili4252352 1117 5 HEI encarrupr LL MECA LLnk ancmp imrhuarnar dr Si LInac nd3r 53 5 12 245 rack 19 255 252 0 UF ELUNWINTT 9280 EX packacrc S 2551 Crcppouu CPATTUNC 9 PFrmusm pactacc S 25d ALICIC OPATINEC RIT LAT celliclenc i i rxquaumlan Lu cgracindsdds4 IS L Hel Sqpracili4 14135 12 2 Lzlnk anczmp irrrr runnal Humccr O HITU HOCI LS L EX packaocc i ArrcrE eA S TX AarrcrrE CPALIUNC celliclenc i rgxquausmlan LI EX cpracoi L sl cgracci cl Lzlnk ancmp r
4. Computer to modem rate 115700 Modem speaker an Maximum retries 10 Dialing mode Idle timeout mins to EEE m sete 15 Fersistent connection Dial on Demand for DNS ISP requires Carriage Return Dial on Demand Do Connect on restart Authentication Username eupertelcouser Password IET Method PAP nr CHAP Script name DHS Type CO Manual Automatic Primary ONS secondary DMS Profili Nella prima sezione si possono selezionare gli eventuali profili registrati o eventualmente cancellarli ad ogni profilo pu essere associato un diverso sistema di collegamento ad Internet Da notare che non sempre possibile selezionare o modificare un profilo non sar possibile farlo quando il server on line o in attesa di andare on line che si trova nello stato di Dial on Demand Pertanto prima di utilizzare questa pagina bisogna andare nella pagina principale ed effettuare la disconnessione Dopo aver selezionato il profilo di connessione desiderato si nuovamente tornare alla pagina principale e riconnettersi a Internet Per salvare un profilo dopo aver selezionato gli opportuni settaggi nelle sezioni seguenti bisogner premere il pulsante SAVE a fondo pagina sar comunque possibile ripristinare le eventuali modifiche fatte e non salvate per ogni profilo premendo il tasto RESTORE Interfacce Questa sezione della finestra ci permette di selezionare il device che no
5. h3z3 ip masq ftp PPP zlhc ijunused j PPE O O s Kernel versioni Linux ostrich z z z3 1 Thu Dec 6 15 08 35 EST z z 1686 unEnomi Pagina informazioni sezione grafici traffico In tale pagina possibile trovare in grafici del traffico effettuato nei network collegati per le ultime 24 ore cliccando inoltre sulla freccia rossa in basso a destra di ogni grafico sar possibile visualizzare in grafici specifici dell interfaccia delle grafico selezionato di vigili per giorno settimana mese ed anno status proxy graphs connections GREEH Traffic The statistics were last updated Saturday 19 July 2003 at 12 55 Daily Graph 5 Minute Average Bytes per Second T T i 14 16 15 20 22 IN Bytesssec 434 0 Average Butes sec 87 0 Bis Current IN Bytes sec 06 0 Bis 0 0 OUT Bytes sec 1588 0 0 175 Average OUT Bytes sec 631 0 0 1 Current OUT Bytes sec 1515 0 BIS 0 1 RED Traffic The statistics were last updated Saturday 19 July 2003 at 12 55 Daily Graph 5 Minute Average pa 7 i CO T T 10 12 14 16 18 20 22 Max Bytes sec 1587 0 Bis 0 1 Average IM Bytes sec 501 0 Bss 0 0 Current IM Bytes sec 1350 0 Bis 0 15 OUT Evtes sec 382 0 B s 00 Average OUT Bytes sec 75 0 Bis 0 0 Current OUT Bvtes sec 65 0 Bis 0 0 7 Pagina in
6. La possibilit di creare una VPN VirtualPrivateNetwork che ci permette di collegare al network interno un altro network attraverso la rete Internet in maniera sicura Per effettuare l installazione di necessario scaricare l immagine del CD dal sito di riferimento circa 22Mb e masterizzarla su un CD il CD bootable e quindi possiamo utilizzarlo per effettuare il boot nella macchina su cui andr installato Nel caso in cui non possibile effettuare il boot nella macchina da CD possibile trovare all interno dello stesso un immagine del floppy da utilizzare per il boot Nel caso in cui la macchina in questione non abbia neanche un lettore CD collegato comunque possibile effettuare l installazione attraverso un server Web o FTP ma tale opzione un p macchinosa Dobbiamo innanzitutto decidere quale sar la configurazione del nostro network pu dividere le tre interfacce di rete collegate in altrettanti network separati denominati VERDE ARANCIONE e ROSSO Il network verde sar quello a cui andranno collegati i computer da proteggere il firewall si occuper di effettuare il routing e gestire le richieste provenienti da tale network da e verso Internet Il network rosso sar quello a cui andr collegato l accesso ad Internet Il network arancione opzionale e quello parzialmente protetto da Internet ma che conterr i server a cui si deve dare accesso da Internet Le due configurazioni possibili sono
7. HxH2e8 irg is 16559 niform Multi Platform E IDE driver Revision 5 31 Assuming 33MHz system bus speed for PIO modes override with idebuz xx 4 IDE controller on PCI bus 39 IIX4 chipset revision 1 IIX4 not 1084 native mode will probe irgs later ideH BM DMA at Bx1BHbH Bx1Hb BIOS settings hda DMA hdb pio idei BM DMA at Hx1Hb8 Hx1Bbf BIOS settings hdd pio Virtual IDE Hard Drive ATA DISK drive Virtual IDE CORUM Drive ATAPI COADVO ROM drive ide ports already in use skipping probe is 1555Hf is 16558 Nel caso in cui tutto l hardware viene correttamente riconosciuto e quindi in mancanza di errori che bloccherebbero la fase di boot e dei quali vedremmo descrizione sul monitor apparir la finestra di selezione della lingua Language selection select the language you wish to use for the IPCop Dansk Deutsch it English Espa ol Fran ais Hellenic Italiano Mederlands Dopo un altra finestra che ci informa della possibilit di cancellare l installazione si presenter un box di dialogo che ci permetter di decidere la sorgente di installazione IPCop v1 3 H The Bad Packets Stop Here Select installation media IFCop can be installed from multiple sources The sinplest is to use the machines CDROM drive If the computer lacks a drive you may install via another machine on the LAN which has the installation files available via HTTP In this case
8. di privacy non verranno salvate nella cache le pagine web con protocollo https e le pagine in cui vi sia un immissione di username e password Potremmo inoltre variare le dimensioni minime e massime che possono avere gli oggetti salvati sulla cache di default verranno salvati tutti i file con dimensione compresa tra 0 e 4 Mb 4096 Kb Sar inoltre possibile specificare la dimensione massima degli oggetti in ingresso e in uscita per impedire rispettivamente il download e l upload di file di dimensioni elevate che potrebbero compromettere il buon funzionamento dal network Di default tali valori sono impostati a zero e non vi quindi alcun vincolo a tale riguardo Pagina Servizi Sezione DHCP Questa sezione ci permetter di configurare opportunamente il server DHCP del firewall utilizzato nel network verde la sua mancata abilitazione non pregiudica il buon funzionamento del firewall stesso se ne sistema gi presente un servizio di questo tipo si potr tranquillamente lasciarlo disabilitato web proxy port forwarding extemal aliases extemal service access dmz pinholes dynamic dns DHCP Server parameters otat address 192 End address Primary DNS 152 168 0 1 secondary DNS Default lease time lease time mins mins Domain Wins server suffr 4 address Enabled This field may be blank Add new fixed lease MAC Address IP Address Enabled X Current fixed leases Addr
9. funzione 24 24h in tal modo non ci sar bisogno di nessuno che controlli l effettiva connessione ad Internet anche ad esempio la notte Precisiamo inoltre che i tentativi di riconnessione termineranno nel momento in cui raggiungeranno la cifra indicata poco pi in alto che sar necessario ricollegare il sistema di Internet tramite l apposito tasto nella finestra di partenza Ci sono poi i flag utilizzati soprattutto con connessioni non flat che ci permettono di effettuare automaticamente la connessione solo quando questa viene richiesta da un client servito dal sistema Un altro flag ci permetter di effettuare automaticamente il collegamento all avvio della macchina molto utile e con connessioni flat In tal modo settando opportunamente i flag ed eventualmente andando ad agire sul BIOS della macchina sar possibile fare in modo che nel caso venisse a mancare l energia elettrica necessaria per il funzionamento automaticamente al ritorno dell elettricit la macchina si accenda carichi il sistema ed effettui automaticamente la connessione Internet senza che nessun operatore debba andare attivare alcunch Nella sezione di autenticazione andranno inseriti se richiesti dal tipo di connessione username e password forniti da chi ci ha dato l accesso ad Internet Potremmo altresi inserire uno script che andr inserito nella directory etc ppp del sistema nell apposito campo inseriremo il solo nome senza percorso dello script Un esempio di tal
10. in alto a destra Nella sezione Status sar possibile visualizzare 1 servizi attivi e non traffic graphs prog graphs connectioana Sernricezsi Logging server DNS proxy server Web server Intrusion Detection System CRON server DHCP server Web proxy YPN Secure shell server kernel logging server lo stato della Memoria del disco fisso che noteremo stato diviso in tre partizioni ed altri dati riguardanti l uptime e gli user attualmente loggati al firewall Memory used free shared buffers 127892 1596 26448 5548 t buffers cachse 25504 102088 a8 24004 Disk usage Filesystem Used vail Use Mounted on dewv harddiskd4d Eee Su gw dew harddiskl 1 5 3H 265 boot de harddisk3 37M 7 55 2 rvar log Uptime and users G lzpm up z3 days l 46 0 users load average 0 00 0 01 0 00 ITSER TTF FEOM LOGIN IDLE JC PIU PCPI WHAT le interfacce collegate ed i dati caratteristici rispettivi di ogni interfaccia Interface eth Link encap Ethernet H iladdr 0 42 54 IF EB ES inet addr 19z2z 168 0 1 ces EIE UP BROADCAST RUMMINC MULTICAST 1500 Hetric l PX 1176562 errors 0 dropped 0 overruns frame TX packets 1395751 errors 0 dropped overrunz carriser collisions txqueuelen 100 bytes 1354924495 125 6 Hb TA bhbwrtez l34702385723 rlz854 6 Mb Interrupt 10 Base addreszs xbc
11. ricerca nel mese e nel giorno di nostro interesse e spostarci eventualmente con i tasti lt lt e gt gt avanti e indietro oltre a poter effettuare l esportazione dei dati tramite l apposito tasto Pagina Log Sezione web proxy Questa pagina provvede a facilitarci la ricerca dei file che sono stati richiesti al proxy web se precedentemente attivato sar quindi possibile ottenere un log di tutte le richieste effettuate dal nostro network con l indicazione per ogni richiesta dell indirizzo IP del richiedente l orario e la richiesta effettivamente fatta E inoltre possibile eliminare dal log le richieste di file con le estensioni pi comuni che potrebbero disturbare la visione e l analisi dei dati tramite l apposito campo Ignore filter Attenzione deve essere prestata sull uso di quanto qui visualizzato in quanto potrebbe andare in violazione dei diritti di privacy degli utilizzatori delle macchine interne alla nostra intranet Pagina Log Sezione firewall other web proxy intrusion detection system Settings Month Jul gt gt Update Export y Firewall log Total number of firewall hits for July 18 238 Time Cham Proto Source Port Destination Dst Port 12 15 49 INPUT 184 217 242 253 11 POP3 52 25 148 38 50379 17 15 43 INPUT ppp 184 217 242 253 52 25 148 38 50375 12 15 49 194 217 242 253 62 25 149 38 50379 17 15 50 IMPLIT
12. the network driver diskette will be required CDROM HTTF Selezioniamo CD rom e un box ci informer che si st procedendo alla preparazione dell hard disk e che quindi ogni dato al suo interno verr definitivamente cancellato una volta confermato questo box partir l installazione vera e propria del firewall a questo punto si presenter una finestra di selezione che ci permetter di caricare il file di configurazione s precedentemente salvati su floppy Questa funzione utile nel caso in cui una macchina con il firewall installato si sia danneggiata in tal caso la configurazione effettuata s precedentemente salvata tramite un apposita funzione del firewall pu essere ripristinata in un sol colpo su una nuova macchina senza perdita di tempo Nel nostro caso selezioniamo skip Successivamente il firewall passer alla configurazione del network verde con il seguente box di selezione v1 3 H The Bad Packets Stop Here Conf igure networking You should nou configure networking by first loading the correct driver for the GREEN interface You can do this by either auto probing for a netuork card or by choosing the correct driver from a list Note that if you have more then one netuork card installed you will be able to configure the others later on in the installation nlso note that if you have more then one card which is the sane tupe as GREEN and each card requires special module parameters you should enter p
13. Connection Tracking Legend CET I Expires Connection Original Expected Expected Protocol Secs Status IP Port Dest IP Port Source IP Port Dest IP Port Marked Use tcp B3 TIME WAIT 192 165 1 1 ASSURED 1 tcp B3 gh TIME WAIT 132 153 1 1 ASSURED 1 tcp m TIME WAIT 192 165 1 1 ASSURED 1 tcp 61 r TIME WAIT REA 192 165 1 1 ASSURED 1 tcp 63 106 TIME WAIT ea ts SSIRED 1 tcp B3 15 TIME ASSURED 1 tcp TIME WAIT ERA 192 168 1 ASSURED 1 udg 17 5 132 158 1 3 UNFEPLIED 1 tcp 61 Ees ASSURED 1 tcp B3 TIME WAIT ASSURED 1 iir 167 192 158 1 3 1194 152 55 222 1194 152 65 222 162 chi ASSURED 1 tcp B3 TIME WAIT ASSURED 1 udg 17 1 Pagina Connessione Sezione settaggi Questa pagina delle finestre di amministrazione della connessione divisa in cinque differenti sezioni editabili e gioca un ruolo nella configurazione del firewall soltanto se il nostro accesso ad Internet avviene attraverso un modem analogico un modem ISDN o una connessione DSL upload fimmware drivers modem Profiles 1 SuperTelco gt Profile name 1 Interface Interface Miodem Telephony Interface Miodem an COMI Number
14. M in the computer Setup will nou run where you may configure ISDN network cards and the system passwords After setup has been completed you should point your web brouser at http ipcop 81 or http s ipcop 445 or whatever you name your IFCop and configure dialup networking Cif required and remote access Remember to set a password for the IPCop dial user if wish non IPCop admin users to be able to control the link lt Tab gt Alt Tab gt between elements I lt Space gt selects Se tutto stato configurato correttamente sar possibile accedere da qualunque computer della rete alle pagine Web di configurazione del firewall digitando su un browser Web l indirizzo Indicato nell immagine da notare che possibile collegarsi sia In sistema non protetto HTTP che con un sistema protetto HTTPS Non dimentichiamo di immettere i numeri indicati nell immagine alla fine dell indirizzo pena l impossibilit di accedere a dette pagine All avvio del firewall si presenteranno dei box che ci permetteranno di scegliere la mappatura della tastiera italiana americana ecc e il fuso orario L impostazione corretta di quest ultimo box ci permetter di registrare correttamente il log di sistema e di navigazione Internet ed inoltre sar possibile utilizzare il firewall anche come time server installando opportuni Add on ma questo lo vedremmo dopo Dovremo anche inserire il nome della macchina riconosciuto dalla rete intern
15. Proteggere il nostro personal computer da attacchi esterni ormai diventata una priorit Ci ancor pi vero se a dover essere protetti sono diversi computer collegati in una rete LAN Un sistema adottato per effettuare questa protezione e quello interporre tra Internet e il o i computer un firewall Un firewall sistema hardware o software che grado di filtrare le connessioni che avvengono tra la rete Internet e la rete interna e che permette la regolazione dei filtri e l impostazione degli stessi in base alle esigenze dell utente Un sistema per effettuare questa funzione senza un elevato importo in costose licenze e hardware dedicato anch esso di elevato costo utilizzare macchine obsolete a causa della loro limitata capacit di calcolo ma sufficienti a gestire un sistema di filtri e un software il cui uso non legato all acquisto di licenze Un ottimo risultato stato ottenuto da chi scrive e da tanti altri utilizzando un firewall basato su un sistema linux E per questo che ho deciso di scrivere una guida che potesse aiutare anche altri nell installazione e configurazione di IpCop Il firewall in oggetto IpCop liberamente scaricabile dal sito http www ipcop org dove possibile trovare anche i manuali che ne descrivono l installazione il funzionamento ed eventuali modifiche specifiche per fargli eseguire determinate funzioni E fornito con licenza GPL GeneralPublicLicence e quindi utilizzabile da chiunque e modifica
16. a lasciamo stare l opzione di default o cambiamola nel caso in cui vogliamo installare una VPN ed amministrare il firewall attraverso tale VPN Si presenter inoltre un box con la richiesta di configurazione ISDN Infatti il firewall pu anche gestire come network rosso modem ISDN o schede modem installate su slot PCI Selezioniamo Disable ISDN e continuiamo l installazione presenter a questo punto il box di configurazione dei network IPCop v1 3 H The Bad Packets Stop Here Current config GREEN RED is modemzISDN etuork configuration type Driuers and card assignments Address settings DNS and Gateway settings lt Tab gt Alt Tab gt between elements I lt Space gt selects La prima opzione del menu ci permetter di scegliere il tipo di configurazione selezioniamo GREEN RED e proseguiamo La seconda opzione del menu ci permetter di scegliere quale scheda assegnare a quale network La terza opzione ci permetter di scegliere per ogni tipo di scheda le configurazioni opportune nel caso della scheda del network rosso si presenter tale box v1 3 H The Bad Packets Stop Here Enter the IP address information for the HED interface IP addrezs Hetuork mask 255 295 255 0 lt Tab gt Alt Tab gt between elements I lt Space gt selects Sceglieremo un indirizzo statico che inseriremo sotto nel caso in cui il fornitore di accesso ci abbia dato un indirizzo statico
17. activated for July 18 2 Date 017195 20 37 28 Hame Large ICMP Facket Priority e Fatentially Bad Traffic info 194 217 242 253 a gt 62 25 132 52 n a References none found SID 499 Date 20 44 03 Hame Large Packet Priority Fatentially Bad Traffic IP info 195 92 193 154 gt 82 25 132 52 n a References none found SID 499 Older Verranno qui elencati i tentativi di accesso registrati dall IDS Per ogni tentativo di accesso ci verr fornita da data del tentativo il nome del tipo di attacco subito la priorit dello stesso espressa in gradi dal 1 al 3 1 grave 2 lievemente grave possibilmente grave il tipo di attacco subito gli indirizzi IP e l eventuale netmask di provenienza dell attacco una eventuale link ad una pagina di riferimento sul tipo di attacco subito ed il numero SID Quest ultimo lo Snort ID Snort il modulo software utilizzato dal nostro firewall per provvedere alle funzioni di IDS e tramite questo numero possibile reperire molteplici informazioni sul tipo di attacco subito Maggiori informazioni si potranno trovare sul sito di riferimento per Snort Pagina Sistema Sezione update Questa sezione ha tre precise funzioni illustrarci le patch installate informarci sulla disponibilit di nuove patch e applicare le stesse al nostro firewall ime passwords ssh intrusion detection system languages backup shutdown inst
18. alled updates ID Title Description Released Installed 001 fixesl update This update fises a minor security issue 2002 05 02 2002 05 10 with Freebeer reboot is required Available updates There are updates available for your system It is strongly urged that vou install them as soon as possible ID Title Description Released 002 fixesz update This update fises the fact that beer was no longer 2002 05 19 free after applying fises 1 See link for details A reboot is not required install new update To install an update please upload the tar gz file below Upload update file Upload Refresh update list Ogni volta che ci commettiamo ad Internet il nostro firewall fa un check per controllare che non ci siano nuovi update e patch disponibili sar comunque possibile fare un refresh della situazione tramite l apposito tasto in fondo alla pagina Avremo quindi un elenco delle patch installate e di quelle ancora da installare delle quali ci viene fornita la pagina di riferimento da cui scaricarle Dopo aver effettuato il download delle stesse sulla macchina che utilizziamo per collegarci al firewall sar possibile applicarle premendo il tasto Browse si aprir una maschera tipo esplora risorse che ci permetter di andare a localizzare il file le precedentemente scaricato in formato tar selezionarlo e cliccare ok Successivamente premere il tasto upload e la patch verr applicata al firewall Bisogna prestare atte
19. arameters for all cards of this tupe such that all cards can become actiue uhen you configure the GREEN interface Selezioniamo Probe di firewall tenter di riconoscere automaticamente le schede di rete e assegner alla prima scheda trovata il network verde assumiamo che le schede di rete siano tutte riconosciute correttamente dal firewall per semplificare ma nel caso in cui queste non vengano riconosciute possibile fargliele riconoscere installando dei driver appositi ed aggiornati per le schede in questione Si presenter il seguente box di selezione v1 3 H The Bad Packets Stop Here GREEN interface Enter the IP address information for the GREEN interface IP address Hetuork mask 255 295 255 0 lt Tab gt Alt Tab gt between elements I lt Space gt selects qui potremo inserire l indirizzo IP che dovr avere il firewall tale indirizzo andr deciso in base alla numerazione interna della nostra rete Pertanto assumendo che i nostri PC abbiano come indirizzo 192 168 1 x dove x variabile da 0 a 255 dovremo scegliere come indirizzo 192 168 1 x dove x un numero non presente nella numerazione interna dei PC e compreso nell intervallo 0 255 Premiamo si presenter la successiva immagine che ci informa che l installazione e terminata ed possibile rimuovere il CD e far partire il nostro firewall Congratulations IFCop uas successfully installed Please remove any floppy disks or CDRU
20. asto ADD verranno salvati i parametri inseriti che potranno poi eventualmente essere modificati o cancellati Da notare la possibilit di esportare ed importare questi parametri da un firewall all altro tramite un singolo file di configurazione Pagina Log Questa sezione consiste in quattro sotto pagine other webproxy firewall e IDS possibile da qui esaminare i log del firewall in alcune delle sue parti per effettuare dei controlli sull utilizzo effettivo della rete delle connessioni e cos via E anche possibile esportare i log visualizzati in dei file in formato testo e procedere alla loro analisi con programmi esterni che ci potranno facilitare nella nostra ricerca Ma andiamo ad analizzare le quattro sotto pagine in maniera ordinata Pagina Log Sezione Other web proxy firewall intrusion detection system Settings Section Month July 18 0 Update 05 32 20 ipcop PPP has gone up on 05 46 45 ipcop PPP has gone down on ppp 05 54 58 ipcop PPP has gone up on ppp 05 58 06 ipcop PPP has gone down on ppp 06 07 16 ipcop PPP has gone up on pppO 06 10 38 ipcop PPP has gone down on ppp 06 11 ipcop PPP has gone up on pppD 06 17 36 ipcop PPP has gone down on 06 24 50 ipcop PPP has gone up on 06 28 03 ipcop PPP has gone down on ppp 06 36 27 ipcop PPP has gone up on pppbD Questa pagina ci permette di visualizzare i log di sistema ed altri in totale sono
21. bPages saranno disponibili dal menu a sinistra Da questa pagina iniziale Home sar possibile controllare l effettiva connessione ad Internet del firewall ed eventualmente connetterlo o disconnetterlo previo inserimento di username e password a suo tempo inseriti durante la fase di configurazione L inserimento di tali dati richiesto inoltre per spostarsi attraverso le varie pagine di configurazione AWS facciamo quindi una breve descrizione delle funzioni che troveremo sotto ogni pagina Home pagina iniziale Informazioni saranno fornite tramite questa pagina di informazioni dettagliate sullo stato delle varie parti del firewall grafici di traffico del proxy lista delle connessioni attive in quel momento informazioni sui network e sul sistema in generale Connessione usata per la configurazione e amministrazione della periferica utilizzata per il network rosso modem PPPoE ecc Servizi usata per la configurazione e amministrazione dei servizi che il firewall ci fornisce DHCP web proxy port forwading ecc VPN utilizzata per la configurazione di una o piu VPN Log pagina dalla quale possibile visualizzare tutti i log che il firewall crea durante il suo normale funzionamento Sistema configurazioni di sistema ed utility associate all affare volle che ci permettono ad esempio di effettuare gli update di sistema in maniera semi automatica impostare l orologio selezionare il linguaggio attivare l accesso SSH e il
22. bile a piacimento in quanto si in possesso dei sorgenti Ma andiamo per ordine linux e una completa distribuzione linux il cui solo scopo proteggere il network sul quale installato implementando tecnologie esistenti per mettere in sicurezza una LAN o un singolo computer Si pu installare anche su un PC obsoleto 386 486 ecc che abbia installato un HD anche di 500 Mb ma va bene anche pi piccolo e due o tre schede di rete in base all utilizzo che se ne vuole fare Naturalmente non tutto l hardware attualmente esistente viene supportato da ma una lista pu essere trovata nel sito a lui dedicato Le funzioni principali sono Un sicuro stabile ed altamente configurabile firewall basato sul linux Una amministrazione del firewall basata su delle pagine Web gestite da un server Web interno Un client DHCP che permette a IpCop di ottenere un indirizzo IP dall ISP con il quale ci colleghiamo Un server DHCP che ci aiuta nella configurazione automatica delle macchine da proteggere Un proxy DNS per elevare la velocit nelle richieste DNS Un proxy Web altamente configurabile per elevare la velocit nel caricamento delle pagine Web Un sistema di intrusion detection che ci permette di determinare gli attacchi subiti L abilit di dividere il nostro network in una zona VERDE protetta da Internet e una zona ARANCIONE o DMZ DeMilitarizedZone che contiene i server ai quali si deve poter accedere da Internet
23. dentemente per abilitare il sistema proxy il secondo per rendere il funzionamento dello stesso trasparente all utilizzatore Questo funzionamento render quindi non necessaria la configurazione di ogni macchina collegata al network verde in quanto qualunque chiamata Internet verr automaticamente gestita dal proxy senza che il sistema sia richiesta dei dati se ne accorga Nel caso in cui la trasparenza non sia attivata bisogner impostare manualmente sul sistema client l indirizzo del firewall completo della porta utilizzata dal proxy nel formato host name port number nel caso ad esempio che il firewall presenti l interfaccia sul network verde con indirizzi IP 192 168 1 100 si dovr inserire nei client di utilizzare come proxy 192 168 1 100 800 in quanto la 800 e la porta utilizzata per i servizi proxy Potremmo inoltre inserire in questa finestra il proxy che ci fornisce il nostro ISP in tale situazione il proxy in locale far richiesta al proxy che specificheremo nell apposito campo completo di username e password nel caso ci venisse richiesto per il corretto accesso Potremmo inoltre andare a specificare la quantit di spazio sull HD dedicata alla cache del proxy attenzione che un valore troppo elevato pur permettendo il salvataggio in locale di molti piu dati potrebbe rallentare la nostra navigazione se l accesso a questi avvenisse in maniera pi lenta che non scaricando direttamente da Internet Precisiamo inoltre che per problemi
24. dirittura dei mancati funzionamenti Questa pagina ci permetter di deviare una specifica porta dal network grosso verso una specifica porta e indirizzo IP dal network verde web proxy dhcp extemal aliases extemal service access dmz pinholes dynamic dns Add a new rule Protocol Alias IP DEFAULT IP Source port Destination IP Destination port Remark Enabled x onurce IP or network blank for ALL This field may be blank Current rules Proto Destination Remark TCP Re i ne Due 192 165 0 5 Webserver Innanzitutto dovremo selezionare il protocollo TCP o UDP da fowardare lasceremo Default IP sul campo subito a destra ed andremo inserire in Source port il numero della porta cui avverr il passaggio dati da Internet Successivamente andremo ad inserire l indirizzo IP e la porta di destinazione all interno dal nostro network verde che dovr gestire le chiamate e il traffico dati su quella porta Nel campo Remark potremmo inserire un commento che ci ricordi il motivo per cui quella regola di forwading stata creata Potremmo settare pi di una regola quelle gi settate si vedranno nella lista appena sotto Potremmo inoltre specificare nel campo Source IP a quale indirizzo o range di indirizzi Internet ci riferiamo per l applicazione di quella specifica regola Ci sono alcune note al riguardo di questo servizio non viene ad esempio supportato il protocol
25. e gt selects L indirizzo di inizio e fine definisce il range di indirizzi che il server pu assegnare ai client che ne facciano richiesta gli indirizzi DNS primario e secondario possono essere lasciati in bianco in quanto andremo ad utilizzare il proxy DNS interno al firewall La quinta e la sesta opzione di questo box ci permetteranno di settare il tempo entro il quale il computer client deve rispondere ad un assegnamento di indirizzo Passato il tempo massimo impostato l indirizzo assegnato non verr pi considerato tale ed il server potr assegnarlo alla prossima richiesta L ultima opzione ci permetter di inserire un suffisso alle richieste DNS Dopo aver premuto OK si presenter un box con la richiesta di inserimento della password dell utente root La successiva finestra ci richieder di inserire la password per l utente setup Occorre fare qui una precisazione gli unici due utenti autorizzati ad accedere alla consolle di comando del firewall sono gli utenti root e setup Mentre il primo ha accesso totale al sistema il secondo ha accesso alla sola finestra di configurazione Un terzo box ci chieder di inserire la password per l amministrazione delle firewall via interfaccia Web A questo punto terminata la configurazione del nostro firewall premendo OK il sistema riavvier ed il firewall entrer in funzione Sar possibile effettuare il controllo della corretta configurazione del firewall facendo un ping della macch
26. e script si potr trovare nella directory sopra citata Come ultima impostazione sar possibile selezionare il tipo di DNS automatico nel caso l ISP ci dia questa possibilit manuale nel caso molto remoto che tale possibilit non sia selezionabile Pagina Connessione Sezioni upload driver e modem Queste sezioni delle quali tralasceremo di effettuare la descrizione in quanto di utilizzo intuitivo ci permetteranno di effettuare un upgrade del firmware o del driver nei vari tipi di modem collegati ed anche di selezionare per alcuni di essi delle impostazioni particolari che ci permetteranno di utilizzare e configurare appieno il nostro hardware Pagina Servizi Sezione proxy web Questa sezione ci permetter di configurare il proxy integrato nel firewall non necessario effettuare l attivazione di tale servizio il firewall funzionerebbe lo stesso anche senza Abilitando per tale servizio sar possibile modificando opportunamente il sistema proxy Installato andare ad effettuare una gestione programmata di chi come quando deve accedere o no ad Internet dhcp port forwarding extemal aliases extemal service access dmz pinholes dynamic dns Web proxy Enabled Remote proxy Transparent Upstream username Upstream password Cache size MEI Min object size KE o Mas object size KE incoming size m outgoing size KB KEN This field may be blank DINE Il primo flag serve evi
27. ecedentemente con notevole risparmio di tempo per la riattivazione dei servizi e conseguentemente minore fastidio per la mancanza di un servizio Per effettuare il salvataggio di questi dati bisogner inserire nello lettore floppy della macchina firewall un dischetto gi formattato da un sistema linux il comando per effettuare ci fdformat dev fd0 Dopo aver premuto il pulsante di salvataggio nella sezione informazioni poco sotto potremo vedere quali file siano stati salvati e il loro esito di salvataggio Pagina Sistema Sezione shutdown Anche per questa sezione l uso intuitivo potremo andare a spegnere la macchina o effettuare il riavvio della stessa nel caso ad esempio di un installazione di una patch che richiede il riavvio del firewall Termina qui la guida che mi ero prefissato di scrivere varie parti della stessa sono state apprese dai relativi manuali di installazione e amministrazione del firewall in inglese spero di aver fatto un lavoro corretto e sar ben felice di accettare critiche o correzioni allo stesso in quanto non sono perfetto e quindi qualcosa di sbagliato sicuramente ci sar Nella speranza che quanto qui scritto possa servire a qualcuno e comunque nella certezza di essere personalmente appagato per il lavoro effettuato mi rimetto ai lettori per consigli correzioni e soprattutto aggiunte alla guida scritta come disse qualcuno pi acculturato di me ai posteri l ardua sentenza nui chiniam la fronte al
28. ess Adress Enabled 12 04 56 70 90 ah 192 168 0 3 i Tralasciando cos un server DHCP diciamo solo che fornir ai PC che ne faranno richiesta un indirizzo IP univoco in questa finestra potremmo perci inserire l indirizzo IP di inizio e fine del range che ci interessa a segnare Possiamo inoltre specificare l indirizzo IP del server DNS avendo il firewall stesso un DNS proxy potremmo inserire come indirizzo primario l IP dello stesso firewall e come secondario quello di un altro server presente nel nostro network Potremmo inoltre inserire il tempo di default e il tempo massimo entro il quale il client che faranno richiesta di indirizzo IP dovranno confermare l avvenuta presa dell IP stesso se ci avverr quell IP non verr pi fornito ad alcuna altro PC che ne faccia richiesta Nel caso invece in cui si superi il tempo massimo di conferma quel indirizzo torner disponibile per una richiesta successiva Potremmo inoltre inserire se richiesto dal server DHCP dell ISP il nome del dominio che verr inserito come suffisso ad ogni richiesta effettuata all ISP ci pu essere utile nel caso in cui il nostro fornitore di accesso setti un nome di dominio di default nel network al quale ci si collega e non riconosca valide chiamate effettuate da computer che non siano inseriti nel dominio Potremmo inoltre inserire l indirizzo del server Wins Potrebbe essere necessario in alcuni ambiti aziendali che determinati personal computer ric
29. eta Sarebbe perci da abilitare solo se in caso di effettiva necessit e comunque solo per il tempo strettamente necessario alle operazioni da compiere Pagina Sistema Sezione IDS Questa sezione ci permetter di abilitare l intrusion detection system di cui abbiamo parlato precedentemente Pagina Sistema Sezione languages intuitivo il fatto che questa sezione serba ad effettuare un cambio del linguaggio delle pagine Web di amministrazione del firewall bisogner caricare per alcune di queste gli opportuni update con i sistemi gi precedentemente mostrati Pagina Sistema Sezione backup Questa sezione ci permette di effettuare un salvataggio dei file di configurazione del nostro firewall permettendoci quindi nel malaugurato caso in cui il nostro hardware si guasti di riattivare una nuova installazione su una nuova macchina con tutti i settaggi e parametri gi impostati nella precedente risparmiandoci quindi un bel po di tempo lavorativo permettendoci anche una veloce riattivazione del servizio Internet Vi posso assicurare per esperienza personale che una funzione utilissima Poniamo il caso di aver installato il firewall in un azienda e che purtroppo si sia guastata la macchina e bisogna sostituirla se avremmo precedentemente attuato il salvataggio dei dati di configurazione ci baster inserire il floppy quando richiesto durante la nuova installazione ed automaticamente verranno caricati tutti parametri impostati pr
30. evano determinati IP fissi la cui mancanza potrebbe pregiudicare il corretto funzionamento degli stessi o dei programmi installati a tale funzione serve la sezione seguente che ci permetter di assegnare alcuni indirizzi IP alle macchine che presentino un certo MAC address Ogni scheda di rete a un suo specifico MAC address e tramite tale valore potremo riconoscere il PC che ne far richiesta e assegnargli il corretto indirizzo IP Una lista dei IP assegnati verr mostrata nella sezione subito dopo Pagina Servizi Sezione port forwading Questa pagina ci permette di effettuare la gestione delle porte qui occorre fare qualche premessa La funzione di un firewall quella di bloccare qualunque accesso dall esterno verso l interno della rete protetta ci viene fatto bloccando qualunque tentativo di accesso su tutte le porte esistenti In alcuni casi questa situazione potrebbe andare un po stretta Nel caso in cui all interno della rete sia presente un server che fornisce un servizio su richiesta e che tale server debba essere accessibile anche dall esterno ci non potr venire in quanto tutte le chiamate in entrata da Internet sulla porta utilizzata dal servizio su server interno verranno automaticamente bloccate dal firewall Si pensi ad esempio a sistemi P2P servizi di time server e tutti quei servizi che fanno utilizzo di porte TCP e UDP varie nel loro normale funzionamento potrebbero verificarsi dei malfunzionamenti generici o ad
31. formazioni sezione grafici proxy Qui vengono mostrati in grafici di accesso ed utilizzo dell eventuale proxy abilitato con i dati caratteristici che in base all esperienza ci indicheranno la corretta o non corretta configurazione del nostro server proxy status traffic graphs connections Proxy access graphs Generated Fri Jul 18 17 04 52 2003 Lines Analyzed 14338 lines 0 errors Analysis Duration 11 seconds Analysis Speed 1303 45 lines sec Graph Start Thu Jul 17 12 05 00 2003 Graph End Fri Jul 18 17 05 00 2003 Graph Domain 24 hours 56400 seconds Total Accesses 3303 Average 1357 52 per Bccesses hour Total Cache Hits 1110 Average Cache 46 25 per Hits hour So Cache Hits 33 5 Total Cache IM5 Hits Average Cache 1 12 per IM 5 Hits hour Total Cache Misses Average Cache 31 57 per ep esL sehr Sb mo mr Misses hour So Cache Misses 66 39 il n ir ir n C m WT LL Pagina informazioni sezione connessioni Questo firewall usa le IPTables e o Netfilter di linux per mantenere uno Stateful firewall esso tiene traccia delle connessioni da e per ogni network collegato e c da un indicazione in questa pagina fornendoci inoltre informazioni sul tipo di connessione effettuata La diversa colorazione adottata ci indica inoltre dove sono situate su quale network le macchine oggetto del tracciamento status traffic graphs proxy graphs IPTables
32. i utilizzeremo la connessione Potremmo trovare in tale sezione la possibilit di selezionare alternativamente modem PPPTP PPPOE e diversi altri sistemi in base a ci che avremo specificato per l interfaccia rossa nella precedente installazione del sistema Telefono Questa sezione a diversi campi che devono essere riempiti o selezionati bisogna quindi selezionare la corretta interfaccia di collegamento e nel caso di collegamento tramite modem attaccato su porta seriale bisogner specificare la porta da utilizzare nel caso di connessione PPPoE lasciare in bianco il campo Nel caso di modem e quindi connessione supponiamo ISDN bisogner inserire il numero da chiamare e la velocit di collegamento dal modem con il PC Nel caso di connessione tramite router e quindi ad esempio PPPoE il campo andr lasciato in bianco Inseriamo inoltre il numero massimo di tentativi di collegamento da effettuare nel caso che il primo fallisca e il tempo in minuti che deve passare senza che nessuno utilizzi la connessione prima che essa stessa sia chiusa inserire zero nel caso di connessione flat successivi flag ci permetteranno di rendere la connessione persistente e cio fare in modo che il firewall mantenga attiva la connessione e che anche in assenza di utilizzo in caso di disconnessione tre commetta automaticamente se stesso ad Internet Questa funzione pu essere utile soprattutto nel caso in cui il sistema sia installato ed in
33. igitare l indirizzo IP e magari nel caso in cui non abbiamo indirizzo statico ci sia variato nel tempo e quindi ci troveremo nell impossibilit di accedere al servizio potremo digitare l indirizzo alfanumerico che ci permetter di collegarci correttamente al servizio in quanto l associazione tra indirizzo IP e indirizzo alfanumerico viene aggiornata ogni quindici minuti se non ricordo male dal firewall stesso In questa pagina andranno perci inseriti i dati di riconoscimento che vengono forniti dalle societ che forniscono il servizio di DNS dinamico per un corretto funzionamento dello stesso Pagina VPN Sezione controllo Direi innanzitutto di riscrivere il concetto di VPN un sistema di comunicazione protetto tramite l attivazione di un canale criptato e da cui si accede solo con opportune chiavi che permette il collegamento sicuro attraverso una rete insicura e pubblica quale pu essere Internet Graficamente pu essere riassunta nell immagine che segue VPN Gateway 2 Private Firmet 1 Public Intemet Prmate Intranet 2 In questo diagramma ci sono due intranet collegate attraverso una VPN tramite alcuni gateway che si appoggiano sulla rete Internet esistente utilizzandola come canale di collegamento Dal punto di vista lavorativo questo viene realizzato incapsulando i dati provenienti da una intranet e che devono arrivare all altra in un pacchetto IP ordinario che verr trasportato tramite Internet tali dati verranno opportuna
34. il firewall ancora automaticamente la maschera da utilizzare Utilizzeremo l opzione DHCP nel caso in cui sar possibile effettuare l indirizzamento automatico delle firewall per esempio nel caso in cui l ISP ci abbia fornito un router con un server DHCP all interno La terza opzione andr autorizzata nel caso in cui il modem che abbiamo sia del tipo che utilizza la connessione PPPoE ossia nel caso in cui indispensabile fare una procedura di autenticazione che richieda l inserimento di un username e una password Vedremo dopo dove andranno inseriti tali dati La quarta opzione ci sar utile nel caso in cui la connessione sia PPTP e l ISP ci abbia fornito un IP e una maschera fissi Dopo aver configurato correttamente il tutto potremo andare a configurare l ultima opzione del menu di configurazione dei network potremo andare ad inserire pertanto se forniti dall ISP l IP dei server DNS primario e secondario l eventuale gateway da utilizzare Fatto ci selezioniamo OK e si presenter il box di configurazione del server DHCP del network verde Questo servizio potr essere attivato per effettuare la configurazione automatica dei PC collegati all interfaccia verde DHCP server configuration Configure the DHCP server by entering the settings information Start address End address Primary DH5 secondary DNS Default lease mins lease mins Domain name suffix lt Tab gt Alt Tab gt between elements lt Spac
35. ina da un qualunque PC connesso alla rete verde In un sistema Windows si dovr aprire una finestra MS DOS e digitare ping indirizzo firewall2 su un sistema Unix linux o Macintosh OS X si digiter ping n indirizzo firewall2 Se abbiamo fatto tutto correttamente tale operazione avr esito positivo Nell appendice B del manuale di installazione delle firewall in inglese vengono riportati i codici di errore possibile che si possono presentare durante l installazione o il boot della macchina per ognuno di essi ne descritta la causa ed un utile guida nel caso si presentino problemi di qualunque sorta Accesso ed amministrazione del firewall via Web L accesso alla GUI GraphicsUserlnterface semplicissimo basta inserire in un browser Internet di un PC collegato al network verde l indirizzo IP assegnato al firewall nella forma specificata nel box che si era presentato al primo riavvio delle firewall quindi http ip firewall 81 per collegamenti normali e https ip_firewall 445 per collegamenti protetti Si presenter una pagina simile a questa the bad packets stop here Hong barman Dralup oep EE VPHs Los Peren System Current profile SuperTelco Connected 0d Oh 1m 544 a5 Vw BIS There are updates available for your system Please go to the Updates section for more information 11 318m up 1 101 1 user load average 0 04 0 06 0 01 Le AWS AdministrativeWe
36. lo GRE Nell inserimento del numero della porta sono abilitate le wildcards ad esempio la scritta 1 65535 significher dalla porta 1 alla porta 65535 ed altres la scritta 500 significher tutte le porte fino alla 500 Alcune porte non potranno essere utilizzate con questo sistema in quanto gia utilizzata dal firewall per alcuni servizi interni esse sono la 67 68 81 222 e 445 Troveremo in ogni riga della lista sotto tre possibili azioni selezionabili rami di altrettanti tasti presenti sulla destra di ogni riga tali tasti ci permetteranno nell ordine di abitare e o disabilitare la regola modificarla o cancellarla Pagina Servizi Sezioni external aliases external service access e DMZ pinholes Le prime due sezioni ci serviranno per settare gli alias esterni e gli accessi esterni consentiti verso il nostro firewall Essendo nostra intenzione rendere sicuro il sistema dir solo che queste sezioni servono per attivare l accesso alla macchina che ci funge da server da Internet e quindi dal network rosso ci potrebbe compromettere la sicurezza del sistema pertanto non vanno utilizzati se non con la dovuta accortezza e dopo avere letto per bene e soprattutto avere capito il funzionamento degli stessi Una descrizione esauriente del loro funzionamento si potr trovare nel manuale in inglese fornito assieme al firewall La terza sezione ci permetter di far funzionare correttamente il firewall nel caso si usi un sistema che
37. massimo fattor Russo Antonino tonyfumetto hotmail com
38. mente criptati dal gateway di partenza prima dell invio e decriptati all arrivo automaticamente dal gateway di destinzione prima di raggiungere le macchine interne alla intranet Perch ci funzioni correttamente bisogna che ci sia una buona connessione tra i due gateway e i network collegati tramite VPN devono essere in spazi di indirizzi non overlapping non sar quindi possibile collegare un network e che abbia indirizzi IP 192 168 0 0 24 ed un altro network e che abbia192 168 0 128 25 Una buona connessione d obbligo per evitare perdite di pacchetti o latenza troppo elevata degli stessi che se sarebbero molto sulla performance totale del sistema come d altronde sarebbe auspicabile una routing ad hoc Cominciamo comunque col descrivere il sistema del nostro firewall connections Global settings Local VPN IP d Enabled a If blank the currently configured ethernet RED address will be used Hanual control and status Questo firewall in grado di stabilire connessioni VPN da e verso una rete remota La VPN creata utilizza il supporto IPSec ed un sistema standard di tecnologia di criptazione denominato 3DES Tramite questa pagina possibile fermare riavviare attivare e disattivare una VPN Nel campo dell indirizzo IP possibile specificare quale IP deve essere usato dal firewall come termine della connessione VPN se il campo viene lasciato in bianco viene automaticamente utilizzato l indirizzo dell interfaccia ros
39. nove differenti categorie selezionabili tramite il comando a scomparsa Section e sono IPCop in questo log potremo trovare informazioni standard fornite dal firewall quali ad esempio la connessione o disconnessione da Internet l aggiornamento del servizio di reindirizzamento NO IP e gli altri e gli orari in quali questi avvenimenti sono caduti PPP per potremo trovare log del traffico inviato attraverso l interfaccia che provvede al collegamento PPP questo include quindi gli eventuali messaggi di errore che ci potranno tornare molto utili nel caso in cui non riusciremo a collegarci correttamente ad Internet ISDN verranno dimostrate le attivit relative alla nostra unit ISDN DHCP qui verr indicato cosa il nostro server DHCP ha fatto per noi SSH questo log ci permette di registrare quali utenti hanno avuto accesso al firewall e quando saranno elencati gli utenti che hanno fatto i logon in remoto tramite interfaccia SSH vedremo poi come si f Login Logout qui troveremo gli stessi dati del precedente log aggiunti a quegli accessi fatti tramite la tastiera del firewall stesso Kernel un registro delle attivit del Kernel IPSec un registro delle attivit dell IPSec utilizzato dalle connessioni VPN Update transcript qui verranno visualizzati i log relativi alle attivit di aggiornamento del firewall stesso disponibili nella successiva pagina servizi Potremmo inoltre selezionando gli appositi comandi effettuare la
40. nzione al fatto che alcune di queste patch per essere funzionanti richiedono il riavvio del firewall stesso inoltre secondo quanto indicato nei manuali in inglese il browser Opera non funziona correttamente nell applicazione delle patch Pagina Sistema Sezione time Questa sezione ci serve per sincronizzare l orologio della macchina firewall utilizzando un server NTP Network Time Server L utilizzo di questa sezione intuitivo baster inserire uno o due indirizzi di server NTP abilitare il sistema decidere ogni quanto deve essere effettuata la sincronizzazione e poi cliccare sul tasto save Pagina Sistema Sezione password Questa sezione utile nel caso in cui bisogna impostare le password degli utenti admin e dial Ricordiamo che mentre l utente admin ha accesso completo alle pagine di amministrazione l utente dial pu soltanto effettuare la connessione o disconnessione da Internet Queste password sono valide solo per l accesso via Web e non per l accesso a linea di comando Pagina Sistema Sezione SSH Questa sezione ci permette di abilitare o di abilitare l accesso SSH al nostro firewall dall esterno dal network verde come per l HTTP la porta la n 81 e per l HTTPS la porta la n 445 per l SSH la porta la n 222 Bisogna prestare attenzione all abilitazione di questa opzione in quanto ci permette senza possesso di user password corretti di accedere da remoto alla macchina firewall in maniera compl
41. preveda una DMZ Come gi detto in precedenza questa zona fa parte dell opzionale network arancione su cui di solito andranno collegati i server che dovranno essere sempre accessibili da Internet ma non connessi alla LAN per ragioni di sicurezza Andremo perci a settare in questa pagina le opzioni che ci permetteranno di reindirizzare il traffico di determinate porta verso gli IP e porte oppurtuni dei server collegati al network arancione Pagina Servizi Sezione dynamic dns Questa pagina ci permetter di utilizzare uno dei servizi di DNS dinamico che forniscono alcune societ lo personalmente ho utilizzato con successo il servizio di NO IP e devo dire che funziona ottimamente web proxy dhcp port forwarding extemal aliases extemal service access dmz pinholes Add host Behind a proxy Enable wildcards Hostname Domain Username Password Enabled Add Current hosts Service Hostname Proxy Wildcards Enabled Force update In termini pratici potremmo assegnare all indirizzo IP che il nostro network detiene nell accesso a Internet un indirizzo alfanumerico del tipo miarete no ip com o simile nel caso si scelga un diverso fornitore del servizio ci risulta utile nel momento in cui dobbiamo ad esempio effettuare una chiamata su di una porta su cui abbiamo abilitato un servizio di reindirizzamento verso un server interno al network verde o a quello arancione Piuttosto che dover d
42. quindi rosso e verde oppure rosso arancione e verde Assumiamo pertanto l ipotesi di avere un modem o router collegato ad Internet con l uscita RJ45 attacchiamo tale uscita all interfaccia rossa vedremo poi come assegnare un interfaccia ad un network specifico Il computer o la LAN da proteggere andranno collegati all interfaccia denominata verde Assumiamo inoltre che il PC in nostro possesso possa fare il boot da CD Inseriamo pertanto il CD di avvio nella macchina e dopo un breve caricamento si presenter sul monitor la seguente immagine 1 to IPCop Licensed under GNU GPL version 2 PLEASE BEWARE This installation process will kill all existing partitions on your PL or server Please be amare of this before continuing this installation ALL YOUR EXISTING DATA HILL DESTROYED Press RETURN to continue Premiamo invio ed il sistema effettuer il caricamento del kernel linux sullo schermo vedremo scorrere le informazioni e i messaggi di caricamento dello stesso cos Limiting direct PCIFPCI transfers Linux HETd H for Linux 2 4 jased upon Swansea University Computer Society NET3 839 Initializing RT netlink socket pu BIOS version 1 2 Flags HxB3 Driver version 1 15 Starting ksuapd ournalled Block Device driver loaded pty 256 Unix99 ptus configured driver version 5 H5c 2001 07 06 with PORTS SHARE_IRQ SERIAL PCI en at HxH3f8 Cirq at HxHP2f8 irq at HxH3e8 is 16559 at
43. rrr runnal N TAETF pH kurr i mnurrcrri dacpfpad 1 OPATINEC TX packaocc i arrocrcoil c urrungs du rgxquaumLlan LI 10 9 TE cpracci zl alnk ancmp rrrr rTunnal Hands NTAEF NUO EX pH kurr i drop i c urrunbgsdu pH kEuarr i AarrcrrE i cTurrunbg cellliclenc rxquaudcalan Lu EX sl Tx el iccpcmck Lnar 207 UF LCCFHACR CUNFINI dhh i i i HTU 092101 rxxErl clb ZEII 9 ZEIT LAT EX pu kurr d4d mrrcerrin Crcoppoamuu OPATINEC PINHA EpH kurr d4dd arrcrriu SMITI celllclenc EX ddid 141 5 acl 90242 po ne rg rcrLliLds Lp qum LE_WECA_FEIE lp umrq Lg leg Le_uscg_hd2 lp umrzq FER clhe 1 gt 1 1 gez z k red edite 12 5 asl 2 2 24 L Thu or 25 15 04 45 2502 L da unbncam All accesso tale pagina vedremo che divisa in quattro sottosezioni disposta dall una all altra brani degli appositi link presenti
44. sa Cliccando sul flag di abilitazione e successivamente sul tasto SAVE vengono salvati i settaggi creati Nella sezione successiva vengono mostrati nel caso di VPN attiva lo status della stessa in quel momento e le eventuali connessioni esistenti Pagina VPN Sezione connessioni Per creare una VPN tra il firewall e un altra VPN IPSec quale potrebbe essere un altro firewall dello stesso tipo occorrono alcune importanti informazioni che vanno inserite su questa finestra Le informazioni inserite devono essere alquanto precise su entrambi punti di accesso VPN in quanto una non corrispondenza dei parametri porta all impossibilit di creare una connessione correttamente Maggiori informazioni sull uso e la configurazione di questi parametri possono essere trovati nei siti di riferimento http www ipcop org cgi bin twiki view IPCop IPCopDocumentationvO 1 http www freeswan org http ixen tripod com Non avendogli effettuato prove di collegamento VPN posso solo tentare di tradurre correttamente ci che viene scritto nella quida ufficiale del firewall Pertanto non prendete per oro colato ci che scrivo ma spero possa essere un buon punto di partenza per chi voglia avventurarsi in tali test sarebbe inoltre gradito da chi scrive e da chi legge successivamente che eventuali prove effettuate e andate a buon fine vengano documentate e illustrate per una maggiore comprensione del sistema Add a new connection Mame Left Lef
45. servizio IDS IntrusionDetectionSystem effettuare il backup della configurazione attuale e spegnere o riavviare il firewall stesso Il firewall ha due user autorizzati ad accedere all interfaccia Web Il primo admin ha accesso totale a tutte le funzioni il secondo dial abilitato soltanto ad effettuare la connessione o la disconnessione da Internet Tale funzionamento e utile per non lasciare ad utenti maldestri o malintenzionati la possibilit di variare i settaggi del firewall pur concedendo loro la possibilit di effettuare la connessione o disconnessione Di default l user dial disabilitato per abitarlo necessario settare la password per questo user Vedremo in seguito come effettuare tale operazione Pagina informazioni sezione status trahi proc gears Hora proxy ser Eyre Ea ogg Uda L21332 L2 42125 An 25 25415 LO LAS 24032 231 La ia Udi UCok rxunru cn dar Jherddleckd lar 1 1 25 Jesse Jm LEE d Z d zh JPET Log zd cmgr 15 92 L Lcmc mrTarBga 1 00 FETT arcano COLE EEREZH So dolio 0 012 u ule ancmpimErhuarnar dd Sd LR md inar 92 0 1
46. t next hop faultroute Left subnet Right Right next hop faultroute Right subnet Secret Compression Enabled Current connections Import and Export Tee em Waming messages Doo O Potremo innanzitutto inserire nella sito campo un nome da assegnare alla connessione e ai settaggi che andremo inserire potremo cos impostare diverse connessioni ed attivare quella che ci serve al momento che ci serve lasciando inalterati i settaggi e non dovendo di riscrivere ogni volta successivi campi left e right e di campi immediatamente al lato di questi ci permetteranno di inserire i parametri corretti che permettono la connessione vera e propria Per sinistra e destra si intendono presumo i due punti della connessione VPN andiamone ad analizzare un lato che potremo riassumere nell immagine seguente Private Mirmet 1 Sono tre le informazioni che ci bisognano l indirizzo IP dell interfaccia rossa del firewall l indirizzo IP che ci fa il routing e l indirizzo IP e la maschera del network da collegare quindi il nostro caso l indirizzo dell interfaccia verde e la relativa netmask L indirizzo IP dell interfaccia rossa si pu tenere facilmente digitando dopo essersi autenticati nel firewall come utente root il comando ifconfig o ifconfig eth2 nel caso in cui la nostra interfaccia rossa sia riconosciuta dal firewall come eth2 ottenendo pressappoco il risultato di seguito illustrato
47. un et hl Link encap Ethernet HWaddr 0 42 54 SF 3C 66 inet addr 68 5 1l z246 Ecsust ees 5 15 255 HMask z55 255 25z H UP BRO ADCAST H TRATLERS BUNNIN C 1500 Hetric l EX packetz S s z 8 errors dropped 0 overrunz frame d TA packetz l z9e93 errors dropped overrunz carrier callisions 97092 txcqueuelen 100 bytes Z 145000430 2045 6 Mb TX bytes l535548449 117 5 Mb Interrupt ll Base address 0xc000 ipzeci Link encap Ethernet HWaddr 45 54 8 2 665 inet addr 68 5 1lz2 246 Mask 255 255 252 0 UP RINNING NOAEF 16260 Metric 1 packetz 59657 errors 0 dropped 0 overruns 0 frame 0 packets 69639 errors 0 dropped 9 overruns 0 carrier 0 collisions 0 txqueuelen 10 PX bytes 63995394 16 1 Mb TX bytes 10474356 9 9 ipsecl Link encap IPIP Tunnel HWaddr NOUARP Hetric l packetz errors 0 dropped overruns 0 frame T packets 0 errors dropped 0 overruns 0 carrier collisions 0 txqueuelen 10 bytes 0 0 0 b TX bytes 0 0 0 bi Link encap IPIP Tunnel HWUaddr NMOABP HMetric l EX packets 0 errors 0 dropped ovwerruns 0 frame d Mi ana gt I umm omm mm m l las oo bee r n m m ll mmu l i moduli caricati ed usati dal kernel e per ultimo le informazioni riguardanti il kernel stesso Loses rbad ules Used by e lumasedi lumasedj ip masq pptp ip_ masy irc ip masg icy ip
Download Pdf Manuals
Related Search