vanescar
03-09-05, 10:03
Firewall: configurazione del pacchetto guarddog
Articolo di Fabio Zanotti, pubblicato il 2003-03-27
Firewall, dall'inglese porta taglia fuoco, in informatica sta ad indicare un dispositivo hardware o software il cui scopo primario è di proteggere il computer dall'esterno o comunque non permettere ad utenti non autorizzati di "us...
Firewall, dall'inglese porta taglia fuoco, in informatica sta ad indicare un dispositivo hardware o software il cui scopo primario è di proteggere il computer dall'esterno o comunque non permettere ad utenti non autorizzati di "uscire" o "entrare" nel nostro computer.
In questo articolo ci occuperemo di firewall software (decisamente meno costosi) il cui scopo sarà quello di filtrare i pacchetti che transitano dal nostro computer.
Ogni informazione che si muove sulla rete è costituita da "pacchetti" che contengono informazioni sull'indirizzo (IP) del mittente, sul destinatario, la tipologia e i dati (schema molto semplificato). Questi pacchetti, sia in arrivo che in uscita, potranno pertanto essere accettati (ACCEPT), rifiutati (DENY) oppure ignorati (DROP). Oltre all'indirizzo (IP) viene associata anche una porta, ovvero un determinato canale di trasmissione: ogni tipologia di trasmissione ha una porta ben definita: 21 per FTP; 23 per telnet; 80 per HTTP; ecc....
Con queste conoscenze possiamo pertanto dire quali servizi utilizzare e quindi quali porte lasciare "aperte" e quali lasciare "chiuse" (altre saranno occultate, in modalità detta "stealth", utilizzando l'opzione DROP, ovvero non dicendo all'interlocutore di aver rigettato la sua richiesta come nel caso di DENY); da quali indirizzi accettare informazioni e da quali no. Questo insieme di regole viene detta "policy", ovvero politica di trasmissione. Queste regole verranno quindi solitamente immagazzinate nel file /etc/rc.firewall .
Accade spesso che queste regole siano "oscure" e ci si affida pertanto a programmi più ad alto livello cioè più vicini al nostro pensiero senza dover ricorrere ad istruzioni specifiche (certo più efficaci ma che necessitano di una conoscenza decisamente superiore). Per una workstation (il nostro computer collegato ad internet) è sufficiente un programma che fornirà le regole per noi e questo programma è proprio guarddog.
Una volta impostato guarddog, lo stesso fornirà le regole tramite iptables (ossia il programma utilizzato per gestire l'insieme delle regole di filtraggio del kernel 2.4) per filtrare in tempo reale i pacchetti in transito sul nostro computer.
Entriamo pertanto nel vivo dell'utilizzo del programma.
Installazione
Prima di installare il pacchetto, disinstallare eventuali firewall: nella versione 9.0 della Mandrake togliere shorewall, nella 8.2 togliere bastille. Effettuare poi una copia di backup del file /etc/rc.firewall . Sebbene guarddog funzioni con ipchains e iptables, consiglio vivamente l'utilizzo di quest'ultimo, derivato dal precedente, molto più potente.
Quindi, dopo aver reperito il file guarddog-2.0.0-2mdk.i586.rpm (la versione è per la distribuzione Mandrake, come indicato dal suffisso mdk) tramite la propria distribuzione o il sito www.simonzone.com/software/guarddog (http://www.simonzone.com/software/guarddog) , si procederà alla sua installazione: tramite konqueror basterà cliccare sul file oppure da console digitare il comando:
rpm -ivh guarddog-2.0.0-2mdk.i586.rpm
e voilà guarddog è già pronto e perfettamente integrato in K -> Configurazione -> Rete. Se non lo trovate, fate il logout e poi il login (uscite e rientrate in KDE) oppure da console digitate guarddog.
Solitamente, al primo avvio, guarddog vi avvisa che il file /etc/rc.firewall contiene informazioni non conosciute e vi chiede l'autorizzazione a sovra scriverlo, non preoccupatevi, autorizzate pure (anche perchè ne avete fatto una copia preventiva).
http://www.pcimprover.it/files/guarddog_avviso.png
Configurazione
Una volta in esecuzione, guarddog si presenta diviso in quattro pagine:
- Zona: aree caratterizzate dalla stesse regole ovvero un raggruppamento di indirizzi (ip nel formato 123.123.123.123 oppure www.miosito.it (http://www.miosito.it) ) a cui applicare un gruppo omogeneo di regole;
- Protocol: elenco dei protocolli che potranno transitare da una zona all'altra;
- Logging: gestione del file di log;
- Advanced : per la gestione di nuovi protocolli richiesti da applicazioni e non gestiti nella pagina 'Protocol'.
http://www.pcimprover.it/files/guarddog_zone.png
Selezioniamo quindi la pagina 'Zona' e sulla sinistra troviamo la voce 'Defined Network Zone', con all'interno due voci: 'Locale', che sta ad indicare l'IP del nostro computer e 'Internet' che sta ad indicare tutti gli indirizzi non contemplati nelle altre aree. Al centro della pagina troverete le 'Proprietà Zona' ove è indicato il nome della zona ed i suoi indirizzi (ricordo sia IP che www.miosito.it (http://www.miosito.it) ) e la sezione 'Connection' che indica l'autorizzazione o meno al transito dei pacchetti tra la 'Defined Network Zones' e quanto indicato in 'Connection'. Esempio: se selezionate a sinistra Internet, vedrete a destra abilitata la connessione con Locale, idem selezionando a sinistra Locale, a destra sarà abilitato Internet; in questo modo è assicurata la connessione tra le due aree (non ho ancora stabilito quale protocollo sia autorizzato a transitare, per default, nessuno).
Con quest'ultima affermazione, si capisce subito che vi è la necessità immediata di attivare tutti i protocolli necessari alla comunicazione con l'ISP (il nostro provider, tin, tiscali, tele2, ....) ed alla gestione della nostra posta elettronica. Possiamo quindi creare una nuova area cliccando sul pulsante 'New Zone' (in basso a sinistra nella pagina 'Zona'); nella 'Proprietà Zona', nella sezione 'Name' potremmo rinominare la nostra area, ad esempio areaprovider. Sarà quindi necessario impostare gli indirizzi riferiti a questa nuova zona: il pulsante 'New Address' fa per il nostro caso: pigiandolo, potremo inserire gli IP del DNS primario, del DNS secondario (solitamente forniti con il contratto al provider) nonché gli indirizzi dei vari servizi di posta (es.: in.mioprovider.it , out.provider.it ) alla voce 'Address' che automaticamente li inserirà nella sezione 'Indirizzi di Zona'.
Terminato l'elenco, dovremo abilitare la connessione tra il provider ed il nostro computer: nella sezione 'Connection' spunteremo pertanto la voce 'Locale'. Dovremo però abilitare anche la connessione tra 'Locale' ed 'areaprovider': selezioniamo 'Locale' in 'Defined Network Zones' e spuntiamo 'areaprovider' in 'Connection'. Abbiamo quindi abilitato la connessione tra le due zone.
Passiamo ora alla pagina 'Protocol', la parte più importante e delicata della configurazione.
Questa pagina è divisa in due sezioni: 'Defined Network Zones' dove sono definite le nostre zone e 'Proprietà Zona' che indica l'elenco dei protocolli gestiti e la scelta delle autorizzazioni al transito tra le varie zone.
http://www.pcimprover.it/files/guarddog_proto.png
Selezioniamo quindi la zona del nostro provider (areaprovider) in 'Defined Network Zones'; nella sezione 'Proprietà Zona' espandiamo la voce 'Rete' in 'Network Protocol'. Nell'elenco dei protocolli attiveremo immediatamente il 'DNS - Domain Name Server' , senza il quale non saremo in grado di convertire il nome dei nostri siti preferiti nel loro corrispettivo IP. Fate attenzione che se non si abilita tale protocollo, per defaul verrà bloccato (DROP) e quindi non sarete in grado di navigare in internet. Abilitiamo ora quei servizi necessari alla nostra posta elettronica come SMTP, POP3 o IMAP nella voce 'Mail'.
Selezioniamo ora la zona 'Internet' in 'Defined Network Zones'. Attiveremo quei protocolli necessari alla navigazione: HTTP e HTTPS nella voce 'File Transfer'; potremmo aggiungere anche FTP se lo utilizziamo per trasferire files. Altri protocolli possono essere abilitati come 'CDDB - CD Database' in 'Data Serve' o 'Real Audio' in 'Media' se utilizzate RealPlayer. E' comunque consigliabile attivare i protocolli di cui necessitiamo senza essere troppo permissivi. In ogni caso selezionando ogni protocollo, nella finestra in basso a sinistra, troverete la spiegazione sul suo utilizzo nonché il grado di pericolosità.
Arriviamo quindi alla zona 'Locale': qui sono indicati i protocolli che potranno accedere alla nostra macchina: i MENO POSSIBILI. Noterete che nella sezione 'Proprietà Zona' vi sono due colonne oltre 'Network Protocol': 'Internet' e 'areaprovider', selezionati nella pagina 'Zona'. Nella zona 'Locale' vi consiglio di attivare 'Ident/Auth' per 'areaprovider' nella voce 'Rete', necessario per alcuni provider, e null'altro. Se chattate ,dovrete abilitare tali protocolli sia in questa zona che nella zona 'Internet', accettando però i rischi connessi.
Non tratteremo la pagina 'Logging', in quanto i parametri di defaul sono più che sufficienti.
Nella pagina 'Advanced' vi sono alcune opzioni interessanti quanto pericolose: in particolare la voce 'Disable firewall' vi permetterà di abbassare tutte le vostre difese. A parte questa opzione, da usare con cautela, in questa pagina potremmo "creare" nuovi protocolli: supponiamo di voler utilizzare la porta 1234 con un nostro amico il cui IP è 123.123.123.123. In questa pagina basterà cliccare sul tasto 'New Protocol', dargli un nome in 'Name' ed indicare il numero di porta 1234 in 'Port'.
Nella pagina 'Zona' creerò una nuova area in 'Defined Network Zones' ed assegnerò l'indirizzo 123.123.123.123 in 'New Address'; abilitando poi la connessione con 'Locale' in 'Connection'.
Infine attiverò il protocollo nella pagina 'Protocol' nella voce 'User Defined' nella sezione 'Proprietà Zona'. Vi chiederete perché vi ho spiegato questo: supponete che il vostro provider vi permetta di utilizzare un proxy server sulla porta 8080 per velocizzare la navigazione........
Abbiamo finito, ora basterà pigiare il tasto 'Applica' ed apparirà una finestra che vi avviserà della creazione delle regole ed attivazione del firewall.
Se siete curiosi, provate a guardare (ma non toccare per ora) il file /etc/rc.firewall: vedrete le regole impostate.
Conclusione
Questo articolo, rivolto all'uso del pacchetto guarddog su distribuzioni Linux Mandrake, si è voluto dare un'infarinatura a riguardo di un'applicazione di buon livello più che sufficiente per un computer di casa.
Se volete poi cimentarvi nella prova del vostro nuovo firewall, provate a connettervi ai siti
https://grc.com/x/ne.dll?bh0bkyd2 oppure http://stealthtests.lockdowncorp.com/
Vi daranno molte informazioni sulla vostra rete nonché sulla vostra "vulnerabilità" a riguardo della privacy, ma questo sarà argomento di un futuro articolo se questo sarà stato di vostro gradimento e soprattutto esaustivo.
Per concludere voglio ricordarvi che un firewall non è la soluzione ad ogni evento dannoso che internet (ma anche la vostra rete aziendale) può provocarvi: è necessaria una politica rivolta alla sicurezza che passa anche dalla semplice password che si digita per entrare nella nostra magnifica distribuzione Linux.
Un saluto a tutti i lettori.
fonte (http://www.pcimprover.it/articoli/vedi.php/id=95)
Articolo di Fabio Zanotti, pubblicato il 2003-03-27
Firewall, dall'inglese porta taglia fuoco, in informatica sta ad indicare un dispositivo hardware o software il cui scopo primario è di proteggere il computer dall'esterno o comunque non permettere ad utenti non autorizzati di "us...
Firewall, dall'inglese porta taglia fuoco, in informatica sta ad indicare un dispositivo hardware o software il cui scopo primario è di proteggere il computer dall'esterno o comunque non permettere ad utenti non autorizzati di "uscire" o "entrare" nel nostro computer.
In questo articolo ci occuperemo di firewall software (decisamente meno costosi) il cui scopo sarà quello di filtrare i pacchetti che transitano dal nostro computer.
Ogni informazione che si muove sulla rete è costituita da "pacchetti" che contengono informazioni sull'indirizzo (IP) del mittente, sul destinatario, la tipologia e i dati (schema molto semplificato). Questi pacchetti, sia in arrivo che in uscita, potranno pertanto essere accettati (ACCEPT), rifiutati (DENY) oppure ignorati (DROP). Oltre all'indirizzo (IP) viene associata anche una porta, ovvero un determinato canale di trasmissione: ogni tipologia di trasmissione ha una porta ben definita: 21 per FTP; 23 per telnet; 80 per HTTP; ecc....
Con queste conoscenze possiamo pertanto dire quali servizi utilizzare e quindi quali porte lasciare "aperte" e quali lasciare "chiuse" (altre saranno occultate, in modalità detta "stealth", utilizzando l'opzione DROP, ovvero non dicendo all'interlocutore di aver rigettato la sua richiesta come nel caso di DENY); da quali indirizzi accettare informazioni e da quali no. Questo insieme di regole viene detta "policy", ovvero politica di trasmissione. Queste regole verranno quindi solitamente immagazzinate nel file /etc/rc.firewall .
Accade spesso che queste regole siano "oscure" e ci si affida pertanto a programmi più ad alto livello cioè più vicini al nostro pensiero senza dover ricorrere ad istruzioni specifiche (certo più efficaci ma che necessitano di una conoscenza decisamente superiore). Per una workstation (il nostro computer collegato ad internet) è sufficiente un programma che fornirà le regole per noi e questo programma è proprio guarddog.
Una volta impostato guarddog, lo stesso fornirà le regole tramite iptables (ossia il programma utilizzato per gestire l'insieme delle regole di filtraggio del kernel 2.4) per filtrare in tempo reale i pacchetti in transito sul nostro computer.
Entriamo pertanto nel vivo dell'utilizzo del programma.
Installazione
Prima di installare il pacchetto, disinstallare eventuali firewall: nella versione 9.0 della Mandrake togliere shorewall, nella 8.2 togliere bastille. Effettuare poi una copia di backup del file /etc/rc.firewall . Sebbene guarddog funzioni con ipchains e iptables, consiglio vivamente l'utilizzo di quest'ultimo, derivato dal precedente, molto più potente.
Quindi, dopo aver reperito il file guarddog-2.0.0-2mdk.i586.rpm (la versione è per la distribuzione Mandrake, come indicato dal suffisso mdk) tramite la propria distribuzione o il sito www.simonzone.com/software/guarddog (http://www.simonzone.com/software/guarddog) , si procederà alla sua installazione: tramite konqueror basterà cliccare sul file oppure da console digitare il comando:
rpm -ivh guarddog-2.0.0-2mdk.i586.rpm
e voilà guarddog è già pronto e perfettamente integrato in K -> Configurazione -> Rete. Se non lo trovate, fate il logout e poi il login (uscite e rientrate in KDE) oppure da console digitate guarddog.
Solitamente, al primo avvio, guarddog vi avvisa che il file /etc/rc.firewall contiene informazioni non conosciute e vi chiede l'autorizzazione a sovra scriverlo, non preoccupatevi, autorizzate pure (anche perchè ne avete fatto una copia preventiva).
http://www.pcimprover.it/files/guarddog_avviso.png
Configurazione
Una volta in esecuzione, guarddog si presenta diviso in quattro pagine:
- Zona: aree caratterizzate dalla stesse regole ovvero un raggruppamento di indirizzi (ip nel formato 123.123.123.123 oppure www.miosito.it (http://www.miosito.it) ) a cui applicare un gruppo omogeneo di regole;
- Protocol: elenco dei protocolli che potranno transitare da una zona all'altra;
- Logging: gestione del file di log;
- Advanced : per la gestione di nuovi protocolli richiesti da applicazioni e non gestiti nella pagina 'Protocol'.
http://www.pcimprover.it/files/guarddog_zone.png
Selezioniamo quindi la pagina 'Zona' e sulla sinistra troviamo la voce 'Defined Network Zone', con all'interno due voci: 'Locale', che sta ad indicare l'IP del nostro computer e 'Internet' che sta ad indicare tutti gli indirizzi non contemplati nelle altre aree. Al centro della pagina troverete le 'Proprietà Zona' ove è indicato il nome della zona ed i suoi indirizzi (ricordo sia IP che www.miosito.it (http://www.miosito.it) ) e la sezione 'Connection' che indica l'autorizzazione o meno al transito dei pacchetti tra la 'Defined Network Zones' e quanto indicato in 'Connection'. Esempio: se selezionate a sinistra Internet, vedrete a destra abilitata la connessione con Locale, idem selezionando a sinistra Locale, a destra sarà abilitato Internet; in questo modo è assicurata la connessione tra le due aree (non ho ancora stabilito quale protocollo sia autorizzato a transitare, per default, nessuno).
Con quest'ultima affermazione, si capisce subito che vi è la necessità immediata di attivare tutti i protocolli necessari alla comunicazione con l'ISP (il nostro provider, tin, tiscali, tele2, ....) ed alla gestione della nostra posta elettronica. Possiamo quindi creare una nuova area cliccando sul pulsante 'New Zone' (in basso a sinistra nella pagina 'Zona'); nella 'Proprietà Zona', nella sezione 'Name' potremmo rinominare la nostra area, ad esempio areaprovider. Sarà quindi necessario impostare gli indirizzi riferiti a questa nuova zona: il pulsante 'New Address' fa per il nostro caso: pigiandolo, potremo inserire gli IP del DNS primario, del DNS secondario (solitamente forniti con il contratto al provider) nonché gli indirizzi dei vari servizi di posta (es.: in.mioprovider.it , out.provider.it ) alla voce 'Address' che automaticamente li inserirà nella sezione 'Indirizzi di Zona'.
Terminato l'elenco, dovremo abilitare la connessione tra il provider ed il nostro computer: nella sezione 'Connection' spunteremo pertanto la voce 'Locale'. Dovremo però abilitare anche la connessione tra 'Locale' ed 'areaprovider': selezioniamo 'Locale' in 'Defined Network Zones' e spuntiamo 'areaprovider' in 'Connection'. Abbiamo quindi abilitato la connessione tra le due zone.
Passiamo ora alla pagina 'Protocol', la parte più importante e delicata della configurazione.
Questa pagina è divisa in due sezioni: 'Defined Network Zones' dove sono definite le nostre zone e 'Proprietà Zona' che indica l'elenco dei protocolli gestiti e la scelta delle autorizzazioni al transito tra le varie zone.
http://www.pcimprover.it/files/guarddog_proto.png
Selezioniamo quindi la zona del nostro provider (areaprovider) in 'Defined Network Zones'; nella sezione 'Proprietà Zona' espandiamo la voce 'Rete' in 'Network Protocol'. Nell'elenco dei protocolli attiveremo immediatamente il 'DNS - Domain Name Server' , senza il quale non saremo in grado di convertire il nome dei nostri siti preferiti nel loro corrispettivo IP. Fate attenzione che se non si abilita tale protocollo, per defaul verrà bloccato (DROP) e quindi non sarete in grado di navigare in internet. Abilitiamo ora quei servizi necessari alla nostra posta elettronica come SMTP, POP3 o IMAP nella voce 'Mail'.
Selezioniamo ora la zona 'Internet' in 'Defined Network Zones'. Attiveremo quei protocolli necessari alla navigazione: HTTP e HTTPS nella voce 'File Transfer'; potremmo aggiungere anche FTP se lo utilizziamo per trasferire files. Altri protocolli possono essere abilitati come 'CDDB - CD Database' in 'Data Serve' o 'Real Audio' in 'Media' se utilizzate RealPlayer. E' comunque consigliabile attivare i protocolli di cui necessitiamo senza essere troppo permissivi. In ogni caso selezionando ogni protocollo, nella finestra in basso a sinistra, troverete la spiegazione sul suo utilizzo nonché il grado di pericolosità.
Arriviamo quindi alla zona 'Locale': qui sono indicati i protocolli che potranno accedere alla nostra macchina: i MENO POSSIBILI. Noterete che nella sezione 'Proprietà Zona' vi sono due colonne oltre 'Network Protocol': 'Internet' e 'areaprovider', selezionati nella pagina 'Zona'. Nella zona 'Locale' vi consiglio di attivare 'Ident/Auth' per 'areaprovider' nella voce 'Rete', necessario per alcuni provider, e null'altro. Se chattate ,dovrete abilitare tali protocolli sia in questa zona che nella zona 'Internet', accettando però i rischi connessi.
Non tratteremo la pagina 'Logging', in quanto i parametri di defaul sono più che sufficienti.
Nella pagina 'Advanced' vi sono alcune opzioni interessanti quanto pericolose: in particolare la voce 'Disable firewall' vi permetterà di abbassare tutte le vostre difese. A parte questa opzione, da usare con cautela, in questa pagina potremmo "creare" nuovi protocolli: supponiamo di voler utilizzare la porta 1234 con un nostro amico il cui IP è 123.123.123.123. In questa pagina basterà cliccare sul tasto 'New Protocol', dargli un nome in 'Name' ed indicare il numero di porta 1234 in 'Port'.
Nella pagina 'Zona' creerò una nuova area in 'Defined Network Zones' ed assegnerò l'indirizzo 123.123.123.123 in 'New Address'; abilitando poi la connessione con 'Locale' in 'Connection'.
Infine attiverò il protocollo nella pagina 'Protocol' nella voce 'User Defined' nella sezione 'Proprietà Zona'. Vi chiederete perché vi ho spiegato questo: supponete che il vostro provider vi permetta di utilizzare un proxy server sulla porta 8080 per velocizzare la navigazione........
Abbiamo finito, ora basterà pigiare il tasto 'Applica' ed apparirà una finestra che vi avviserà della creazione delle regole ed attivazione del firewall.
Se siete curiosi, provate a guardare (ma non toccare per ora) il file /etc/rc.firewall: vedrete le regole impostate.
Conclusione
Questo articolo, rivolto all'uso del pacchetto guarddog su distribuzioni Linux Mandrake, si è voluto dare un'infarinatura a riguardo di un'applicazione di buon livello più che sufficiente per un computer di casa.
Se volete poi cimentarvi nella prova del vostro nuovo firewall, provate a connettervi ai siti
https://grc.com/x/ne.dll?bh0bkyd2 oppure http://stealthtests.lockdowncorp.com/
Vi daranno molte informazioni sulla vostra rete nonché sulla vostra "vulnerabilità" a riguardo della privacy, ma questo sarà argomento di un futuro articolo se questo sarà stato di vostro gradimento e soprattutto esaustivo.
Per concludere voglio ricordarvi che un firewall non è la soluzione ad ogni evento dannoso che internet (ma anche la vostra rete aziendale) può provocarvi: è necessaria una politica rivolta alla sicurezza che passa anche dalla semplice password che si digita per entrare nella nostra magnifica distribuzione Linux.
Un saluto a tutti i lettori.
fonte (http://www.pcimprover.it/articoli/vedi.php/id=95)