Sinistra <- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 -> Destra

Sistemi Liberi


Realizzazione di un Firewall con IPCop

Realizzazione di un Firewall con IPCop

di Stefano Sasso

L'articolo...

In un mio precedente articolo avevo spiegato come realizzare un firewall basato su iptables. La soluzione proposta richiedeva delle buone competenze di Linux e di reti per essere portata a termine. Con questo articolo vedremo invece come installare IpCop, una distribuzione GNU/Linux per firewall facile da installare e da gestire (grazie alla sua interfaccia di amministrazione web-based) anche da persone con competenze informatiche intermedie.



Cos'è IPCop

IPCop[1] è una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce un'efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

È un'ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato. Può essere usata da amministratori di rete che non conoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linux ovviamente!) ma non ha il tempo per configurare manualmente un PC.

Il progetto IPCop è attivo da un paio d'anni e nelle ultima versioni è risultato essere così maturo da acquistare crescente successo in una vasta comunità di utenti e di sviluppatori.

Il manifesto della distribuzione si articola nei seguenti punti:

Caratteristiche tecniche di IPCop

IpCop offre un'ampia gamma di caratteristiche tecniche: si va dal Linux netfilter standard con capacità di NAT al supporto per DMZ via DNAT, dal supporto DHCP (sia server che client) al supporto NTP per sincronizzare e servire la data e l'ora, dalla possibilità di attivare un proxy a quella di attivare un IDS. Inoltre supporta quattro schede di rete e un numero illimitato di connessioni VPN, oltre ad offrire la possibilità di backup e restore della configurazione. È inoltre facilmente estendibile grazie a numerosi moduli presenti in Internet.

IpCop non richiede molta potenza di calcolo per poter funzionare egregiamente: è richiesto un Pentium II con 64 Mb di ram e qualche GB di hard disk. Se si intende utilizzare le funzioni di proxy sono consigliati 256 MB di ram e qualche GB in più libero. Ovviamente per l'installazione del sistema è necessario un lettore CD.

Nomenclatura delle interfacce di rete

IPCop nomina le interfacce di rete con dei colori. Ecco i significati:

La configurazione minima, che vedremo in questo articolo, prevede due interfacce di rete: ROSSO (internet) e VERDE (la rete da proteggere); tuttavia non è difficile estendere queste istruzioni per la configurazione un firewall più complesso.

Nel caso esistano due reti locali che devono rimanere separate si utilizza anche l'interfaccia BLU.

Installazione

Prima di procedere con l'installazione è necessario controllare che il disco su cui installeremo IPCop non contenga dati per noi importanti; infatti la procedura di installazione cancellerà l'intera tabella delle partizioni.

Cominciamo quest'avventura procurandoci l'immagine ISO del disco di installazione da www.ipcop.org e scrivendola su un CD. Ora possiamo partire con l'installazione del nostro futuro firewall. È necessario assicurarsi che il PC sul quale andrà installato IPCop faccia il boot da CD.

Via!

La prima schermata che comparirà sarà quella per la scelta della lingua.

Successivamente si dovrà scegliere da quale dispositivo effettuare l'installazione. Scegliamo CD-ROM.

Ci verrà chiesto se vogliamo procedere con la creazione di una nuova tabella delle partizioni. Scegliamo SI e aspettiamo che le partizioni vengano create e formattate.

Quindi attendiamo la copia dei file sul disco.

Ci verrà quindi chiesto quale sarà la nostra interfaccia di rete GREEN, di indicare il layout della tastiera e il fuso orario, di settare un nome host e di dominio per il nostro firewall.

Da notare la citazione dantesca: «Caron, non ti crucciare, vuolsi così colà dove si puote ciò che si vuole, e più non dimandare.»

Successivamente dovremo decidere quale sarà la configurazione del nostro firewall: in questo articolo parleremo della semplice installazione di IPCop per la protezione di una sola rete LAN, quindi scegliamo GREEN+RED.

Dovremo quindi assegnare gli indirizzi IP alle interfacce GREEN e RED, definire la password di root per l'accesso da terminale e la password dell'utente admin per l'accesso da interfaccia web.

Ora l'installazione è completata. Possiamo quindi riavviare il sistema.

Configurazione base

Per la configurazione del nostro nuovo firewall accediamo all'interfaccia di configurazione web che risponde all'indirizzo https://indirizzoIPinterfacciaGREEN:445/, dove 192.168.17.253 è l'indirizzo IP lato GREEN del firewall che, in questo esempio, avevo assegnato in precedenza.

Ci apparirà una schermata simile alla seguente:

Possiamo ora navigare all'interno dei menù per accedere alle varie parti della configurazione del firewall. Sono presenti le seguenti voci:

Ad esempio, se vogliamo creare una VPN con un altro firewall andremo sul menù VPN: sul menù servizi potremo decidere quali servizi avviare sul nostro firewall, come il proxy, il server DHCP e a altri.

Addon

Le potenzialità di IPCop sono davvero notevoli, anche grazie al fatto che è possibile installare degli addon[2] per estendere le funzioni del nostro firewall.

Il metodo più facile per installare degli addon è usare il modulo "Addon Server", scaricabile sempre da firewalladdons.sourceforge.net/

Procediamo quindi a scaricare dal sito l'ultima versione, copiamo il file sul firewall e da una console impartiamo i seguenti comandi:

# tar zxvf addons-2.3-CLI-b2.tar.gz -C
# cd addons
# ./addoncfg -i

In seguito all'installazione, nel menù dell'interfaccia web comparirà la voce Addons, dalla quale sarà possibile installare gli addon con pochi clic.

Ecco brevemente presentati i principali addon:

Vantaggi e Svantaggi

Vantaggi

Tra i vantaggi di avere un firewall basato su IPCop annoveriamo il fatto che si può installare su hardware obsoleto, che è Open Source, che non richiede un'approfondita conoscenza di Linux e Iptables e nemmeno una configurazione "manuale" dei vari servizi. È inoltre facile da installare e da gestire, sicuro e stabile allo stesso tempo. Teniamo inoltre presente che il costo di una soluzione commerciale simile è molto elevato.

Svantaggi

Gli svantaggi principali che ho riscontrato sono riferibili al fatto di non avere supporto per DMZ via routing diretto ma solo via NAT. Inoltre IPCop indirizza tutto il traffico della rete interna verso la rete esterna: non è quindi utile in quelle situazioni in cui si vuole consentire agli utenti di accedere solo a determinati servizi.

Riferimenti bibliografici

[1] IPCop:
http://www.ipcop.org/

[2] IPCop Addons:
http://firewalladdons.sourceforge.net/



L'autore

Stefano Sasso utilizza Linux dal 2000 e si diverte a programmare in Java, PHP, Perl e Python. Frequenta il corso di laurea in Ingegneria Informatica presso l'Università di Padova e a tempo perso è consulente informatico su piattaforme Open Source.


Sinistra <- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 -> Destra