Manuale UTM. Il Manuale fa riferimento a tutti i modelli di Funkwerk Packetalarm UTM: UTM1100, UTM1500, UTM2100, UTM2500.

Transcript

1 Manuale UTM Il Manuale fa riferimento a tutti i modelli di Funkwerk Packetalarm UTM: UTM1100, UTM1500, UTM2100, UTM2500.

2 Express Setup Wizard...5 Configurare l UTM da remoto...12 Cambiare l indirizzo IP su una interfaccia...13 Network Items...14 Configurazione DHCP Server...15 Authentication Creare utenti Locali...18 Authentication Creare utenti remoti...19 Authentication Creare gruppi di Utenti...20 Authentication Importare utenti da un server di Dominio /URL Lists...24 Time Ranges...25 Services Creazione dei servizi...26 Policies del Firewall...27 NAT...29 QoS Garantire e limitare Banda in Upload...33 QoS Limitare Banda in Download...36 Anti-virus...38 Anti-Spam...40 Quarantena ( non disponibile su UTM1100)...42 Utilizzare Anti-Virus e Anti-Spam ricevendo la posta tramite POP Utilizzare Anti-Virus e Anti-Spam ricevendo la posta tramite SMTP...46 Utilizzare Anti-Virus e Anti-Spam inviando la posta tramite SMTP...51 Proxy HTTP...52 VPN di tipo PPTP...55 VPN di tipo IPSEC tra due UTM e tra UTM e router Bintec...57 Scheduling Programmare un Riavvio dell UTM...62 Configurazione DynDNS...63

3 Breve descrizione dell UTM Gli apparati UTM della Funkwerk sono dispositivi che integrano in una sola macchina le funzionalità di Antivirus, Antispam, Firewall, Content Filter, Proxy Server (http, ftp, pop, smtp) e concentratore VPN di tipo IPSEC,PPTP,L2TP e SSL. I modelli di UTM sono 4: UTM1100, UTM1500, UTM2100, UTM2500. I modelli svolgono esattamente le stesse funzionalità. L unica differenza tra l UTM1100 e gli altri modelli consiste nel fatto che UTM1500, UTM2100 e UTM2500 hanno a bordo un hard disk da 40 GB che consente alla macchina di gestire la quarantena di file, messaggi di posta indesiderata e soprattutto consente di aprire e controllare i file di grandi dimensioni (esempio archivi zip o rar) per verificare la presenza di virus. A seconda del numero di computer che si devono gestire si sceglie il modello da utilizzare, in particolare: UTM1100 consigliato per un massimo di 10 computer UTM1500 consigliato per un massimo di 75 computer UTM2100 consigliato per un massimo di 200 computer UTM2500 consigliato per più di 200 computer Quando si acquistano i prodotti, compresi nel prezzo c è 1 anno di maintenance. Il maintenance consente di aggiornare il firmware del prodotto, le firme dei virus, l Anti-Spam e l IPS. Se scade il maintenance non sarà più possibile effettuare tutti gli aggiornamenti elencati in precedenza, ma la macchina continuerà a funzionare. Dopo i primi 30 giorni di utilizzo scade l antispam CommTouch, ma si può continuare ad usare l Anti-spam di base (Spam Assassin) a costo zero. La differenza tra i due motori di Anti-Spam è che il CommTouch dovrebbe essere più efficace in quanto usa dei metodi di ricerca spam più evoluti. Si può inoltre decidere di acquistare la licenza Content Filter, che permette di controllare la navigazione web degli utenti consentendo o negando alcune categorie di siti internet.

4 Primo Accesso e Attivazione della licenza Tutti i modelli di UTM si configurano interamente tramite interfaccia web. L indirizzo IP di default col quale si accede all UTM è: Da un browser internet digiteremo quindi: ; i dati di default per l autenticazione sono: User: admin Password: irgheknelped N.B. La password va scritta con le lettere minuscole e maiuscole, così come indicato. Come spiegato, il nostro UTM ha bisogno di una licenza per potere funzionare correttamente. Prima di cominciare a configurare l UTM è bene attivare la licenza. Per attivare la licenza bisogna accedere alla pagina sul sito della Funkwerk e compilare il form utilizzando i dati riportati sul foglietto contenuto nella confezione dell UTM. Una volta compilato correttamente il form ricevete un file contenente la licenza: questo file va caricato sul nostro UTM andando in System Management Global Settings License Una volta caricato il file dobbiamo cliccare su Activate Config e il nostro UTM è finalmente licenziato e pronto per essere configurato. N.B. Se non viene caricata la licenza, il nostro UTM funzionerà correttamente per 30 minuti, dopodiché non svolgerà più alcuna funzione. N.B. Prima di procedere con la configurazione è necessario aggiornare l UTM all ultima versione firmware. N.B. Ogni volta che effettuiamo delle modifiche è necessario cliccare il tasto Activate Config per rendere effettiva la modifica.

5 Express Setup Wizard Dopo avere attivato la licenza del nostro UTM possiamo procedere col wizard di configurazione che ci permetterà di effettuare le impostazioni preliminari degli indirizzi ip, di attivare i vari proxy server, di attivare Anti-spam e Anti-virus. I Proxy-server, l Anti-spam e l Anti-virus possono essere abilitati anche successivamente al wizard, come illustrato nei successivi capitoli. Per avviare il wizard basta semplicemente cliccare sul tasto Express Setup Wizard. Al primo passaggio il wizard ci chiede se vogliamo mantenere i settaggi precedenti o se vogliamo partire dalla configurazione di default. Ovviamente se questa è a prima configurazione saremo già nella condizione di partenza di default.

6 Di seguito ci viene chiesto di cambiare la password. Il passo successivo è quello di impostare l orario del nostro UTM. Possiamo scegliere se impostarlo manualmente:

7 O possiamo impostare un time server, ad esempio time.nist.gov Il prossimo passo è quello di inserire i dati relativi al profilo dell UTM: il nostro UTM può infatti inviarci delle notifiche via mail. Dovremo quindi impostare il server SMTP tramite il quale l UTM invierà le , l indirizzo dell UTM e l indirizzo dell amministratore, al quale saranno inviate le notifiche via .

8 Ora dobbiamo impostare l indirizzo IP della porta INT, ovvero andiamo a definire la classe di indirizzi che avrà la nostra LAN a valle dell UTM. Possiamo inoltre decidere se abilitare o meno, il server DHCP sulla nostra LAN. Qualora decidessimo di non abilitare il server DHCP, potremo comunque farlo in seguito seguendo i passi illustrati nel capitolo dedicato. Dopo avere configurato la LAN, il wizard ci fa configurare l interfaccia EXT, ovvero la WAN del nostro UTM. Possiamo scegliere se impostare una semplice connessione IP o una connessione tramite PPPoE. Nel caso di semplice connessione IP, dobbiamo impostare indirizzo IP della WAN dell UTM, subnet-mask e gateway.

9 Nel caso di connessione PPPoE dobbiamo inserire Utente e password per l autenticazione e specificare se si deve utilizzare un indirizzo IP statico o Dinamico; se utilizziamo un indirizzo IP statico dovremmo ovviamente impostarlo nel campo sottostante. Di seguito andiamo ad impostare i DNS sul nostro UTM. Nell esempio seguente abbiamo impostato un DNS pubblico e uno interno aziendale.

10 Ora dobbiamo decidere se abilitare i vari Proxy server e nel caso e attivare anche Anti-virus e Anti-Spam. Qualora decidessimo di non abilitare i Proxy server, potremo comunque farlo in seguito seguendo i passi illustrati nel capitolo dedicato. Gli ultimi 2 menù a tendina sono fondamentali: -il primo crea un eccezione nel firewall dell UTM consentendo agli apparati della LAN di uscire su internet e di raggiungere eventuali macchine collegate alle porte DMZ ( NET1 e NET2) -Il secondo abilita il NAT sulla WAN Senza l impostazione di questi due parametri come nella schermata seguente, i computer collegati sulla LAN del nostro UTM non potranno navigare su Internet. Adesso dobbiamo impostare il livello di auto prevenzione dell IPS dell UTM.

11 Arrivati a questo punto il wizard è completato. Nella schermata che segue troviamo un riepilogo delle impostazioni effettuate durante il wizard; se ci accorgiamo di avere sbagliato qualcosa possiamo tornare indietro e correggere ciò che ci interessa cambiare. Se invece la configurazione ci soddisfa dobbiamo semplicemente cliccare su Save per terminare la procedura. Una volta confermato il salvataggio l UTM si riavvierà. Il riavvio dell apparato dura qualche minuto.

12 Configurare l UTM da remoto Di default l UTM può essere configurata solo accedendovi dall interfaccia INT, ovvero la LAN interna. Ovviamente potremmo avere la necessità di configurare l UTM da remoto, accedendovi quindi dall interfaccia EXT. Per abilitare la configurazione da remoto andiamo in Systme Management Administration; dal menù Access dobbiamo spostare l interfaccia EXT nella tabella Allowed. In questo menù possiamo inoltre decidere se consentire la configurazione anche in http o solo in HTTPS e di cambiare le relative porte. Il parametro Allowed Clients ci permette di specificare da quali indirizzi è possibile accedere all UTM. Nell esempio è stato messo Any che significa che possiamo accedere all UTM a qualunque pc.

13 Cambiare l indirizzo IP su una interfaccia Durante il wizard abbiamo impostato l indirizzo IP della WAN e della LAN. Potremmo avere bisogno però di assegnare degli indirizzi IP anche sulle porte NET1 e NET2 o in un secondo momento potremmo avere la necessità di cambiare indirizzo alla WAN o alla LAN. Per impostare l indirizzo IP su una interfaccia andiamo in Networking Interfaces Dal menù Ethernet possiamo impostare la velocità delle porte, mentre dal menù IP/Virtual possiamo impostare l indirizzo Ip delle porte. Ecco la Schermata che ci interessa: Name: Nome che diamo all interfaccia Role: Indica se questa interfaccia è battezzata come esterna ( WAN), interna ( LAN) o DMZ Type: Indica che tipologia di connessione passa sulla porta. Base ( semplice connessione IP), VLAN, PPPoE, PPPoA/PPTP Ethernet Interface: interfaccia fisica su cui si sta operando MTU: dimensione del pacchetto

14 Network Items Le Network Items non sono altro che i singoli indirizzi IP o reti intere che l UTM si trova a gestire. Ogni rete o indirizzo che si vogliono utilizzare nei vari servizi che mette a disposizione l UTM devono prima essere creati in questa sezione. Alcune Items vengono create in automatico durante in Wizard. L item denominata Any è una di quelle create in automatico: essa rappresenta tutte le reti ( e quindi anche i singoli indirizzi) che non vengono esplicitamente create. Per creare una Item andiamo su Entities Network Item e clicchiamo New. Name: Nome dell Item Description: Descrizione dell Item Type: Determina la tipologia dell Item che può essere: Host se vogliamo dichiarare un singolo Indirizzo IP che andremo a inserire nel campo sottostante Network se vogliamo dichiarare una rete e in questo caso dovremo inserire la rete e la relativa subnetmask Group se volgiamo dichiarare un Item che comprende altre Item precedentemente create IP Range se volgiamo dichiarare un range di indirizzi

15 Configurazione DHCP Server L UTM può essere utilizzato come Server DHCP per la nostra LAN. Per attivare il DHCP Server andiamo su: Local Services DHCP-Server e quindi sul sottomenù Settings. Dobbiamo abilitare il servizio DHCP, impostarlo come Server e specificare su quale interfaccia dovranno essere rilasciati gli indirizzi. Ovviamente lo attiviamo sull interfaccia INT, ovvero la nostra LAN. Di seguito andiamo ad impostare il DNS primario e secondario che saranno rilasciati dal DHCP: per entrambi possiamo scegliere se usare l UTM come DNS o altri a nostro piacere che dovranno essere stati precedentemente definiti in una Item. Anche i server WINS primario e secondario dovremo averli precedentemente definiti in una Item. Nella parte avanzata del menù possiamo impostare il numero massimo di lease DHCP e se fare utilizzare il UTM come gateway dai client che ricevono l IP in DHCP. Ora dobbiamo definire il Range del DHCP, ovvero gli indirizzi che potranno essere assegnati dal DHCP, per cui ci spostiamo nel sottomenù IP-Range e clicchiamo su New. Dovremo semplicemente assegnare un nome al nostro Ip-Range, definire la durata del lease ( definito in minuti), e definire il range di indirizzamento.

16 La schermata sarà come quella che segue: Infine possiamo definire anche delle associazioni DCHP statiche, ovvero possiamo fare si che il server DHCP assegni sempre lo stesso indirizzo a un determinato apparato basandosi sul MAC address di quest ultimo. Dobbiamo andare nel sottomenù Static-DHCP, cliccare New.

17 Dobbiamo semplicemente specificare il MAC address del dispositivo, e l indirizzo IP che avremo definito in precedenza con una Item apposita.

18 Authentication Creare utenti Locali Nel menu Authentication si creano gli account degli utenti che devono essere amministrati dall UTM. Per creare un utente locale, ovvero creato a mano direttamente sull UTM, andiamo sul menù Authentication e sul sottomenù User clicchiamo New. Name: Nome dell Utente Type: Determina la tipologia dell utente che può essere: Local se vogliamo creare un utente locale Remote se l utente che creiamo viene importato da un server di Dominio In questo caso volendo creare l utente locale scegliamo Local. Nei campi Password e Confirm inseriamo la password dell utente.

19 Nel campo Remote Access IP Address possiamo inserire l indirizzo IP dal quale si logga l utente che stiamo creando. Se non specifichiamo alcun indirizzo IP, l utente potrà loggarsi, presentandosi con qualunque indirizzo IP. Nel Campo Addresses inseriamo gli indirizzi di cui dispone l utente. Infine nel campo VPN User Certificate possiamo indicare se l utente deve utilizzare un certificato quando si collega in VPN con l UTM. Authentication Creare utenti remoti Un utente remoto, non è altro che un utente creato su un server di dominio, che può essere utilizzato dall UTM. Per creare un utente remoto, ovvero creato a mano direttamente sull UTM, andiamo sul menù Authentication e sul sottomenù User clicchiamo New. Rispetto al caso dell utente locale non ci sono i campi relativi alla password, in quanto viene utilizzata la password dell utente specificata sul server di dominio. Il nome utente deve essere identico a quello presente sul server di dominio.

20 Authentication Creare gruppi di Utenti Gli utenti creati sull UTM possono essere raggruppati, per semplificare la gestione dei servizi offerti dall UTM. Per creare un gruppo di utenti andiamo sul menù Authentication e sul sottomenù User Group clicchiamo New. Name: Nome del gruppo Type: Determina la tipologia del gruppo che può essere: Local User se il gruppo è formato da utenti Locali LDAP se il gruppo è formato da utenti importati da un server di dominio ( questo caso sarà analizzato nel capitolo successivo) Per inserire gli utenti nel gruppo basta semplicemente spostarli dalla tabella Out alla tabella In.

21 Authentication Importare utenti da un server di Dominio L UTM ci permette di importare una lista di utenti da un server di dominio. N.B. Affinché l importazione venga eseguita con successo è necessario conoscere alcuni parametri del Server di Dominio: questi parametri possono essere ricavati utilizzando un software di gestione dei server di domino. Un software di questo tipo è AdExplorer. Per prima cosa dobbiamo definire i parametri che consentiranno all UTM di collegarsi correttamente al server di Dominio. Andiamo quindi sul menù Authentication e sul sottomenù AAA Server clicchiamo New. Name: Nome che diamo al server di Dominio Server Type: Tipologia di server a cui dobbiamo agganciarci; solitamente di tipo LDAP Primary Server: Inseriamo indirizzo IP e porta del server di Dominio. La porta solitamente è la 3268; nel caso ci siano problemi si può utilizzare la porta 389. Secondary Server: Possiamo inserire indirizzo IP e porta del server di Dominio secondario ( se presente ).

22 Use SSL: Ci permette di specificare se è necessaria l autenticazione SSL per loggarsi al server di Dominio, e nel caso di inserire i vari parametri per l autenticazione. Base DN: Nome della directory sul server LDAP che identifica tutto il dominio. Come è facile intuire nel nostro esempio il dominio è nextmedia.local Bind DN: Nome dell utente con cui l UTM si va a loggare sul server LDAP. Nel nostro esempio abbiamo messo: CN=Administrator,CN=Users,DC=nextmedia,DC=local. L utente che utilizzerà l UTM per loggarsi sul server di Dominio, sarà l utente Administrator che fa parte del gruppo User nel dominio nextmedia.local. Bind Password: Password dell utente specificato nel campo Bind DN User Attribute: Parametro che definisce il nome di Log-in di un utente sul server di dominio. Solitamente nell Active directory di Windows questo parametro è: samaccountname Attribute: Paramtro che definisce l indirizzo in un utente sul server LADP. Solitamente nell Active directory di Windows questo parametro è: proxyaddresse s. Prefix: Parametro che precede l Attribute. Solitamente nell Active directory di Windows questo parametro è: smtp:. Dopo avere definito tutti i parametri del Server di Dominio dal quale vogliamo importare gli utenti, dobbiamo definire le caratteristiche comuni a tutti gli utenti che vorremo importare. In pratica andremo a definire il gruppo degli utenti che importiamo dal server di Dominio. Andiamo quindi sul menù Authentication e sul sottomenù User Group clicchiamo New. Name: Nome che diamo al gruppo di utenti. Type: Specifica la tipologia del server da cui importiamo gli utenti; solitamente LDAP.

23 Server: Nome del server di Dominio da cui dobbiamo importare gli utenti. Il nome che indichiamo non è altro che il nome che abbiamo dato al server LDAP creato nel paragrafo precedente. LDAP Attribute: Parametro che determina l appartenenza di un utente a un gruppo. Solitamente nell Active directory di Windows questo parametro è: memberof. Value: Valore dell LDAP Attribute che specifica se un utente fa parte o meno di un gruppo: questo parametro indica le caratteristiche comuni che avranno gli utenti del gruppo che stiamo creando. Nel nostro esempio abbiamo inserito: CN=info,OU=Gruppi posta,ou=nexmedia,dc=nextmedia,dc=local. Questa stringa non fa altro che specificare che gli utenti che verranno importati sono gli utenti che nel dominio nextmedia.local fanno parte del gruppo di posta info. Completato questo passaggio il nostro UTM è pronto a importare gli utenti dal server di Dominio. N.B. L importazione, però non partirà fin quando il gruppo degli utenti definito, UtentiNextmedia nel nostro esempio, non verrà utilizzato da qualche sottosistema ( ad esempio l User Portal) dell UTM. Una volta che qualche sottosistema dell UTM andrà ad utilizzare il gruppo Utenti in questione, l importazione avverrà entro 15 minuti, dopodiché ogni 15 minuti l UTM si collegherà al Server di Dominio per controllare ed eventualmente aggiornare la lista degli utenti.

24 /URL Lists Questo menù ci premette di creare delle liste di indirizzi e indirizzi internet che possono poi essere utilizzate dai Proxy e dell Anti-Spam come White-List o Black-List. Per creare un elenco di andiamo su Entities /URL Lists e da qui sul menù , quindi clicchiamo new. La voce Select Type to Handle ci permette di scegliere se inserire a mano i vari indirizzi della lista o se caricare un file che contiene già tutti gli indirizzi della lista. Per caricare a mano gli indirizzi vanno scritti, uno per volta, nel campo a destra ( nell esempio è scritto indirizzo2@nextmedia.it ) cliccando sul tasto Add per inserirli nell elenco. Nell esempio indirizzo@nextmedia.it è già stato inserito nell elenco. Una volta inseriti gli indirizzi dovremo premere OK. Per creare un elenco di indirizzi internet andiamo su Entities /URL Lists e da qui sul menù URL, quindi clicchiamo new. La procedura è analoga a quella illustrata per la creazione delle liste di .

25 Time Ranges I Time Ranges ci permettono di definire delle fasce orarie che possono poi essere utilizzate per attivare certi servizi dell UTM solo in quelle determinate fasce orarie. Per creare un Time Range andiamo su Entities Time Ranges, quindi clicchiamo su New. Dobbiamo semplicemente dare un nome al nostro Time Range e specificare orari e giorni che lo definiscono.

26 Services Creazione dei servizi Un servizio altro non è che la combinazione di un protocollo (TCP, UDP, ICMP, etc ) e di una porta (da 1 a 65535). Ad esempio la combinazione di protocollo TCP e porta 80 dà origine al servizio http; il servizio http è uno dei servizi già presenti sull UTM. Per creare un servizio personalizzato andiamo su: Firewall Services e clicchiamo su New. Name: Nome del nostro servizio personalizzato Type: Ci fa scegliere quale protocollo utilizza il nostro servizio Sorece Port: Porta dalla quale parte la richiesta al nostro servizio. Un computer può originare richieste da una porta a random compresa tra la 1024 e la 65535, per cui è sempre consigliato mettere tale range come porta sorgente. Destination Port: Porta sulla quale lavora il nostro servizio

27 Policies del Firewall L UTM ha un firewall attivo sul quale vanno create delle regole nel caso in cui si voglia fare passare un pacchetto dall esterno verso la LAN. N.B. Le 2 regole di Firewall sotto riportate vengono create durante il Wizard. Non vanno cancellate, pena il mal funzionamento del Firewall e l impossibilità di navigare da parte degli apparati collegati sulla LAN dell UTM. Per creare una regola di Firewall si va su Firewall Policies e da lì sul menù Filter, quindi si clicca New. Name: Nome della regola. Enable: Ci permette di attivare o disattivare la regola. Insert: Ci fa scegliere a che punto della lista di regole, vogliamo inserire quella che stiamo creando. L UTM processa le regole di firewall dall alto verso il basso. Source: Ci fa specificare interfaccia e entità dalle quali arriva il pacchetto. Destination: Ci fa specificare interfaccia e entità verso le quali è destinato il pacchetto. Service: Definisce quale servizio è preso in carico dalla regola di Firewall.

28 Time Range: Rende la regola di Firewall attiva in determinate tabelle orarie che possiamo creare seguendo la procedura indicata in precedenza. Authentication: Ci permette di selezionare un gruppo OOBA ( se è stato creato) che consente di attivare l autenticazione Out-of-Band per la regola. Action: Determina l azione che deve compiere la regola sui pacchetti che verificano le condizioni stabilite dai parametri precendenti. In particolare: Accept: fa passare il pacchetto Drop: scarta il pacchetto, ma non segnala, all entità che lo ha inviato, che il pacchetto è stato scartato Nids: il pacchetto viene controllato dall IPS dell UTM Reject: scarta il pacchetto e segnala, all entità che lo ha inviato, che il pacchetto non ha raggiunto la destinazione ( ad esempio col messaggio ICMP Destination Unreachable ) Log: Ci permette di tenere traccia del funzionamento della regola, nei Log dell UTM.

29 NAT L UTM, lavorando anche come router ci permette ovviamente di creare delle regole di NAT. N.B. La regola di NAT sotto riportata viene creata durante il Wizard. Non va cancellata, pena l impossibilità di navigare da parte degli apparati collegati sulla LAN dell UTM. Per rendere più semplice la spiegazione di come si crea una regola di NAT sull UTM ci serviremo di un esempio pratico che segue questo scenario: Per prima cosa occorre creare all interno del menù Network Items gli oggetti che saranno oggetto della regola di NAT; in particolare dovremmo inserire: un oggetto (item) che corrisponde all interfaccia esterna dell UTM un oggetto che corrisponde all host interno alla rete che si vuole raggiungere (opzionale) un oggetto che corrisponde all host remoto che effettua la richiesta

30 Ora occorre creare all interno del menù Firewall Services i servizi che dovremo utilizzare. Nel nostro esempio vogliamo fare in modo che gli utenti che si trovano su internet possano, puntando all indirizzo IP esterno dell UTM sulla porta 8001, raggiungere la telecamera che risponde alla porta 80 TCP posta dietro al NAT. Quindi creiamo il servizio ( che nell esempio chiamiamo TCP8001):

31 Il servizio HTTP è già presente nella lista dei servizi quindi non occorre crearlo. A questo punto non rimane che scrivere la regola come mostrato nella figura seguente. Andiamo quindi su Networking NAT e clicchiamo su New.

32 Occorre prestare attenzione alla logica dell interfaccia di configurazione: In sostanza la richiesta che proviene dall Host remoto (Source) e che è diretta all interfaccia esterna dell UTM (Destination) deve essere inoltrata all host interno rappresentato dalla telecamera. (Sorgente) :1091 -> (Destinazione) :8001 -> (Traslazione) :80 Durante l inoltro della richiesta l UTM deve anche operare una traslazione di porta perché l host remoto punta alla porta 8001 mentre la telecamera è in ascolto sulla porta 80. Potrebbe capitare che nonostante la regola di NAT sia stata creata correttamente risulti ancora impossibile raggiungere la telecamera da remoto. Questo perché oltre al NAT l UTM ha anche un firewall attivo perciò è necessario creare anche una regola di firewall per consentire ai pacchetti provenienti dall esterno di entrare sulla rete. Andremo quindi a creare una regola di firewall come illustrato nel capitolo precedente:

33 QoS Garantire e limitare Banda in Upload Con l UTM può essere gestito il QoS, potremo ad esempio garantire un certo quantitativo di banda in upload a un apparato ( ad esempio un centralino VoIP che si registra a un provider) collegato sulla LAN dell UTM. Prima di configurare le regole di QoS è importante andare a impostare sull interfaccia WAN dell UTM i valori relativi alla banda in download ed upload che ci è fornita dal nostro servizio ADSL/HDSL/SHDSL. Per farlo andiamo su Networking Interfaces e da qui andiamo su IP/Virtual e andiamo a modificare le impostazioni della nostra interfaccia WAN. Ciò che dobbiamo fare è andare a inserire nei campi Outbound e Inbound il nostro upload e il nostro download facendo attenzione ad impostare la corretta unità di misura. Fatto ciò possiamo cominciare a configurare il QoS. Per configurare il QoS andiamo in Local Services QoS e da lì sul sottomenù Classes, dove ci creaiamo una regola come la seguente.

34 Nel campo Interface dobbiamo selezionare EXT ( la WAN dell UTM) in quanto il QoS che stiamo realizzando è in uscita dall UTM verso internet e quindi dobbiamo attivarlo sull interfaccia collegata ad internet, ovvero la EXT. Nei campi Bandwidth Minimum e Bandwidth Maximum andremo a specificare la banda minima e la banda massima di cui potranno usufruire le macchine verso le quali varrà attivata la regola di QoS. A questo punto ci spostiamo sul menù Selectors e creiamo una regola nella quale andremo a specificare su quali apparati sarà applicata la regola che abbiamo creato nel menù Classes. N.B. La regola di QoS ci garantisce un minimo di banda ( 160KBit/s nell esempio), ma ci limita anche la banda ( 1000KBit/s nell esempio), al valore specificato sul parametro Maximum.

35 Nel campo QoS Class specifichiamo quale classe di QoS ( creata nel menù Classes) andiamo ad utilizzare. Nel campo Source specifichiamo Interfaccia e apparato dal quale parte l upload che vogliamo garantire. Nel campo Destination specifichiamo le destinazioni verso cui vale la regola che stiamo creando; indicando any come in questo esempio, la regola sarà sempre valida verso qualunque destinazione. Nel campo Service specifichiamo per quali servizi vale la regola che stiamo creando. Nel campo Packet Size specifichiamo la dimensione dei pacchetti che controlliamo con questa regola ( se non specifichiamo nulla, verranno controllati tutti i pacchetti). Nel campo ToS/DSCP, specifichiamo il ToS/DSCP con il quale identificare i pacchetti su cui vale la regola che stiamo creando.

36 QoS Limitare Banda in Download Con l UTM può essere gestito il QoS, potremo ad esempio limitare banda in download a un apparato ( ad esempio un computer che scarica troppo da internet) collegato sulla LAN dell UTM. Per configurare il QoS andiamo in Local Services QoS e da lì sul sottomenù Classes, dove ci creaiamo una regola come la seguente. Nel campo Interface dobbiamo selezionare INT ( la LAN dell UTM) in quanto il QoS che stiamo realizzando è in uscita dall UTM verso la rete locale e quindi dobbiamo attivarlo sull interfaccia collegata alla LAN, ovvero la INT. Nei campi Bandwidth Minimum e Bandwidth Maximum andremo a specificare la banda minima e la banda massima di cui potranno usufruire le macchine verso le quali varrà attivata la regola di QoS. A questo punto ci spostiamo sul menù Selectors e creiamo una regola nella quale andremo a specificare su quali apparati sarà applicata la regola che abbiamo creato nel menù Classes. N.B. La regola di QoS ci garantisce un minimo di banda ( 10KBit/s nell esempio), ma ci limita anche la banda ( 50KBit/s nell esempio), al valore specificato sul parametro Maximum.

37 Nel campo QoS Class specifichiamo quale classe di QoS ( creata nel menù Classes) andiamo ad utilizzare. Nel campo Source specifichiamo Interfaccia e apparato dal quale proviene il download che vogliamo limitare. Nel campo Destination specifichiamo la destinazione del download per cui vale la regola che stiamo creando; in questo esempio andremo a limitare il download solo all Item Andrea che corrisponde all indirizzo IP di un computer presente nella nostra LAN. Nel campo Service specifichiamo per quali servizi vale la regola che stiamo creando. Nel campo Packet Size specifichiamo la dimensione dei pacchetti che controlliamo con questa regola ( se non specifichiamo nulla, verranno controllati tutti i pacchetti). Nel campo ToS/DSCP, specifichiamo il ToS/DSCP con il quale identificare i pacchetti su cui vale la regola che stiamo creando.

38 Anti-virus Tra i vari servizi messi a diposizione dall UTM c è l antivirus che entra in azione quando ricezione e invio della Mail vengono controllati dai Proxy POP3 o SMTP. L antivirus inoltre, può essere utilizzato quando la navigazione WEB è controllata dal Proxy HTTP. La configurazione dell Anti-Virus richiede solo l impostazione di alcuni parametri. Andiamo quindi su Local Services Anti-Virus. Scan Engine Type: Ci permette di scegliere quale motore antivirus utilizzare tra ClamAV e Kaspersky. SMTP specific settings: i settaggi seguenti vengono presi in considerazione solo dal Proxy SMTP, in particolare: Action when Virus is Found: ci permette di scegliere se mettere in quarantena, bloccare o fare passare la mail contenente il virus. When Virus is found notify: ci permette di inviare una notifica di Virus trovato al Postmaster, al destinatario della Mail o a entrambi. POP3 specific settings: il settaggio Action when Virus is Found viene preso in considerazione solo dal Proxy POP3 e ci permette di scegliere se mettere in quarantena, bloccare o fare passare la mail contenente il virus. Large file threshold: le mail che contengono allegati di dimensioni superiori al valore impostato, 15MB nel nostro esempio, vengono processate in una coda con priorità minore. Questo per evitare che un unica mail tenga impegnate le risorse dell UTM per molto tempo, bloccando momentaneamente il controllo di tutte le altre che devono essere processate dall UTM.

39 N.B. Le opzioni che prevedono l utilizzo della quarantena, non sono disponibili sull UTM1100.

40 Anti-Spam Tra i vari servizi messi a diposizione dall UTM c è l antivirus che entra in azione quando ricezione e invio della Mail vengono controllati dai Proxy POP3 o SMTP. Per configurare i parametri generali dell Anti-Spam andiamo su Local Services Anti-Spam. SMTP specific settings: i settaggi seguenti vengono presi in considerazione solo se il controllo della posta è effettuato dal Proxy SMTP, in particolare: Action when Spam is detected: ci permette di scegliere se mettere in quarantena, bloccare o fare passare la mail di spam. When Spam is found notify: ci permette di inviare una notifica di Spam intercettato al Postmaster.

41 DIsable external checks: Disattivando questo parametro l UTM non esegue i test di controllo SPAM che si servono di Server pubblici su internet. ( Questa opzione non è disponibile su UTM1100). Enable Bounce Address Tag Validation: N.B. Questa opzione diventa utile se si utilizza il Proxy SMTP sia per inviare che per ricevere la Mail. Attivando questa opzione l UTM respinge tutte le mail di risposta che arrivano da mittenti a cui non si erano inviate . ( Questa opzione non è disponibile su UTM1100). Enable Greylisting:Attivando questa opzione l Anti-Spam utilizza il meccanismo del Greylisting per diminuire ulteriormente il numero di di spam ricevute. ( Questa opzione non è disponibile su UTM1100). POP3 specific settings: il settaggio Action when Spam is Detected viene preso in considerazione solo dal Proxy POP3 e ci permette di scegliere se mettere in quarantena ( Questa opzione non è disponibile su UTM1100), bloccare o fare passare la mail contenente il virus. Spam leves: Nei seguenti sottomenù si va ad indicare il punteggio che deve essere raggiunto da una per essere considerata SPAM. Il motore di Anti-Spam assegna a determinati elementi, controllati nelle , un certo punteggio; Se la somma dei vari punteggi supera il punteggio impostato la mail viene dichiarata SPAM. Si intuisce banalmente che se impostiamo un punteggio molto basso, sarà molto facile che una mail venga taggata come SPAM: questo ovviamente può far si che buone, vengano in realtà classificate come Spam. Si consiglia quindi di impostare un punteggio medio ( ad esempio 5 o 6). Tag level: Indica il numero di Punti-Spam che una mail deve raggiungere per essere taggata come SPAM. Action Level: Indica il numero di Punti-Spam che una mail deve raggiungere affinchè venga eseguita l azione impostata nel campo: Action when Spam is detected. User is allowed to adjust spam level in User Portal: abilitando questo parametro ciascun utente accedendo con le proprie credenziali all User Portal può variare a piacere i valori di Tag Level e Action Level relativi al proprio indirizzo . Real time Blackhole Lists: Nei seguenti sottomenù possiamo configurare l utilizzo di database pubblici che contengono elenchi, aggiornati in tempo reale, di Relay Server utilizzati dagli Spammer per inviare mail di Spam. Database Host: in questo campo inseriamo, separati da virgola, gli indirizzi IP dei server con contengono le liste dei Relay utilizzati dagli Spammer. Whitelist: Inseriamo gli indirizzi Ip di quei Server Mail che non vogliamo controllare utilizzando i Database Host, ma che devono essere sempre considerati attendibili. Blacklist: Inseriamo gli indirizzi Ip di quei Server Mail da cui vogliamo sempre bloccare la ricezione di s. Lists: Nei due sottomenù seguenti si vanno a impostare la Whitelist e la Blacklist. Queste liste possono essere create seguendo la procedura illustrato al paragrafo /URL Lists. Whitelist: Gli indirizzi contenuti in questa lista saranno considerati sempre attenibili, per cui tutte le mail ricevute da questi indirizzi saranno sempre considerate valide. Blacklist: Gli indirizzi contenuti in questa lista saranno considerati sempre indirizzi di Spammer, per cui tutte le mail ricevute da questi indirizzi saranno sempre considerate Spam.

42 Commtouch threat Detection Engine: I due parametri successivi permettono di abilitare il motore di Anti-Spam Commtouch e di regolare i punti di Spam del Commtouch. Nella parte Advanced possiamo configurare: Subject Spam Tag: Ci permette di modificare il TAG che viene posto sulle mail che ci vengono inoltrate come SPAM. Greylisting Exceptions: Ci permette di specificare gli indirizzi per I quail il Greylisting non vale. Number of SMTP Anti-Spam Engines: E il numero di quante vengono processate contemporaneamente. Aumentare questo valore influirà sulle prestazioni di tutto il sistema, in quanto l UTM concentrerebbe più risorse sul controllo dello Spam, a scapito ad esempio, delle funzionalità del proxy HTTP. Quarantena ( non disponibile su UTM1100) La parte di configurazione della quarantena richiede semplicemente 3 impstazioni. Andiamo su Local Services Quarantine Disk space: Spazio dell hard-disk interno riservato per la quarantena delle . Delete mails after: Giorni di conservazione delle nella quarantena, prima che vengano cancellate. Allow users to maintain quarantined mails in user portal: Con questa opzione attivata, gli utenti dal loro User Portal potranno gestire le loro presenti in quarantena.

43 Utilizzare Anti-Virus e Anti-Spam ricevendo la posta tramite POP3 Per spiegare la procedura ci serviamo dello scenario illustrato di seguito. Lo scenario prevede uno o più computer che ricevono la mail scaricandola da un server remoto mediante il protocollo POP3. La procedura che verrà descritta non deve essere eseguita se durante il wizard di configurazione abbiamo abilitato il Proxy POP3. Il wizard, infatti, oltre ad abilitare il Proxy POP3 e a configurarlo, crea automaticamente una regola nelle Policies del firewall, relative a Proxy-POP3, che è fondamentale affinché le vengano effettivamente controllare da Anti-Spam e Anti-Virus. Ricontrollare la configurazione, anche quando si utilizza il wizard, è comunque buona cosa, in quanto si possono personalizzare alcuni parametri.

44 Qualora non avessimo abilitato il Proxy POP3 durante il wizard andiamo su: Local Services Proxy-Server e da qui nel sottomenù POP3 Dobbiamo abilitare il Proxy POP3, specificare la porta che solitamente è la 110 e decidere se abilitare il controllo Anti-Spam e il controllo Anti-Virus. Disk-Space: Spazio dedicato per la conservazione temporanea delle Maximum account age: Tempo massimo per cui vengono conservate le che dovranno poi essere cancellate. Use IPS to check traffic: Attivando questa opzione tutto il traffico che passa dal Proxy POP3 verrà analizzato anche dall IPS. A questo punto non resta altro che creare una regola di Firewall relativa a Proxy POP3, per cui andiamo su: Firewall Policies e da qui sul sottomenù POP3 Proxy. Ora dobbiamo creare una regola come quella illustrata di seguito, con la quale andremo a permettere tutte le richieste fatte dalla rete locale ( la item definita Local-Net nel nostro esempio) verso l esterno.

45 La regola avrà questo aspetto: Una volta creata la regola, nel sottomenù POP3 Proxy, avremo la riga illustrata di seguito: A questo punto quando andiamo a scaricare la mail, l UTM intercetterà tutte le mail e le sottoporrà a controllo Anti-Virus e Anti-Spam prima di di farle arrivare sul nostro computer.

46 Utilizzare Anti-Virus e Anti-Spam ricevendo la posta tramite SMTP Per spiegare la procedura ci serviamo dello scenario illustrato di seguito. Lo scenario, tipicamente aziendale, prevede un server di posta (ad esempio Exchange) verso che invia e riceve tutte le mail dell azienda. In questo caso il protocollo utilizzato per ricevere la posta sul server è il protocollo SMTP. La procedura che andiamo ad illustrare non è attivabile tramite il wizard di configurazione iniziale. Analogamente al caso precedente, dovremo configurare l Anti-Spam e l Anti-Virus prima di procedere con la configurazione relativa all SMTP.

47 Per configurare il Proxy SMTP: andiamo su Local Services Proxy-Server e da qui nel sottomenù SMTP. Per prima cosa dobbiamo ovviamente abilitare il Proxy SMTP. Operation Mode: Possiamo scegliere tra Standard e Trasparent. Con la prima modalità dovremo andare sul server di posta a impostare l uso di un proxy SMTP. Con la seconda non dobbiamo toccare il server di posta. Proxy Port: Porta su cui lavora il Proxy SMTP, solitamente il protocollo SMTP lavora sulla porta 25. Hostname: Nome che diamo all UTM. Postmaster Address: Indirizzo mail del Postmaster a cui possono essere inviate eventuali notifiche. Enable Virus Scanning: Abilita la scansione Virus quando il Proxy SMTP entra in funzione. Enable Spam Detection: Abilita il controllo Anti-Spam quando il Proxy SMTP entra in funzione.

48 Mail Routing, Incoming: In questa sezione si vanno a definire i domini e i relativi server di posta che dovranno ricevere le . Dovremo quindi cliccare su Add e inserire dominio ( nextmedia.it nell esempio) e il server di posta. Il server di posta ( Server3 nell esempio) è stato precedentemente definito in una Item. Mail Routing, Outgoing: In questa sezione si vanno a definire tutti i parametri che permetteranno di inviare la Posta. Non sarebbero necessari per la configurazione della ricezione della posta, ma li mettiamo per completare la descrizione della configurazione del proxy SMTP. Use Smarthost: Se si attiva questa opzione, l UTM si appoggia a un relay esterno per inviare la posta. Attivando l opzione appariranno alcuni parametri in più: Viene chiesto di inserire indirizzo del relay a cui appoggiarsi, la porta e se è necessario usare il TLS. Inoltre se il relay richiede l autenticazione possiamo inserire utente e password. Di seguito nella sezione Relaying, troviamo il parametro Allowed Mailservers: non è altro che l elenco dei srver di posta autorizzati ad utilizzare l UTM per inviare la posta. Nel nostro esempio utilizziamo appunto il nostro Server3. Di seguito abbiamo: Forbidden Attachements: In questo campo inseriamo, separate da virgola, le estensioni dei file allegati nelle , che vogliamo bloccare. Action when forbidden Attachement was found: In questo campo andiamo a definire cosa fare di un messaggio quando viene rilevato un allegato non ammesso ( definito nel campo precedente). Trasparent Routing, Outgoing: Questa sezione è disponibile solo se il Proxy lavora in modalità Transparent. Da qui andiamo semplicemente a impostare la porta di lavoro del Proxy e la dimensione massima di un messaggio che può essere inviato direttamente senza essere controllata dall UTM. Ora la configurazione del Proxy è pronta. Non resta altro da fare che andare a creare una regola di nat un po particolare, senza la quale non riusciremo a ricevere la posta. In pratica non dobbiamo creare una regola di NAT che va dalla WAN dell UTM verso il nostro server di posta ( come si potrebbe pensare in prima battuta), ma dobbiamo creare una regola di NAT che va dalla WAN dell UTM all indirizzo di LAN interna dell UTM stesso. Questo perché la posta deve essere ricevuta prima dal Proxy SMTP dell UTM, che si occuperò di eseguire i controlli Anti-Spam e Antivirus; sarà poi il Proxy SMTP dell UTM, dopo avere effettuato i vari controlli, a consegnare tutta la posta al nostro server, secondo quanto specificato nelle impostazioni del Proxy SMTP.

49 La regola di NAT che andremo a creare sarà fatta così: Name: Nome che diamo alla regola Enable: Con YES la regola è attiva. Type: DNAT, in quanto creiamo una regola di NAT in ingresso. Insert: Specifica solo a che punto dell elenco di regole viene posta quella che stiamo creando. Source Interface: Interfaccia da cui la mail entrerà nell UTM. Dal momento che la posta arriva tutta dall esterno ( Internet) potevamo anche specificare l interfaccia EXT ( la WAN). Source Item: Sono gli indirizzi dei server che ci inviano la mail. Da momento che non sappiamo da quali server potranno arrivarci le lasciamo Any, ovvero lasciamo a qualunque server remoto la possibilità di inviarci mail. Destination Item: E l indirizzo a cui puntano le mail in arrivo dall esterno, quindi l indirizzo che ha sulla WAN il nostro UTM. Destination Service: E il servizio verso il quale sono dirette le richieste di invio che arrivano dall esterno: in questo caso SMTP. Destination: Indirizzo interno verso cui dobbiamo girare la richiesta che arriva dall esterno. Come anticipato in precedenza dobbiamo girare tutto verso l indirizzo interno dell UTM, in quanto dovrà far gestire tutto il flusso di in arrivo dal Proxy SMTP. Service: E il servizio verso il quale dobbiamo girare le richieste in arrivo dall esterno: in questo caso SMTP.

50 A questo punto ogni volta che un qualunque server di posta esterno ci invierà una mail, verrà controllata dall UTM e poi inoltrata al nostro server di posta aziendale.

51 Utilizzare Anti-Virus e Anti-Spam inviando la posta tramite SMTP Il Proxy SMTP può essere utilizzato per sottoporre a controlli Anti-virus e Anti-Spam, anche la posta in uscita. Per sfruttare questa funzionalità dobbiamo avere configurato Anti-virus, Anti-Spam e il Proxy SMTP illustrato come in precedenza. Rimane solo da creare una regola nel firewall per far si che il controllo sulle in uscita sia possibile. Andiamo su: Firewall Policies e da qui nel sotto menù Transp. SMTP Proxy, clicchiamo su New e creiamo una regola come la seguente. Name: Nome che diamo alla regola. Enable: Con YES la regola è attiva. Insert: Specifica solo a che punto dell elenco di regole viene posta quella che stiamo creando. Source Item: Indica il server di posta della nostra azienda che deve inviare la mail passando per l UTM Destination Item: Indica I server remote che devono ricevere le nostre mail. Da momento che non sappiamo verso quali server dovremo inviare le lasciamo Any, ovvero lasciamo all UTM la possibilità di inviare le a qualunque server remoto. Time Range: Indica se la regola che stiamo creando è valide in determinate fasce orarie. Lasciando none è sempre attiva. Action: Se vogliamo che vengano eseguiti I controlli dobbiamo impostare su Relay. A questo punto l UTM controllerà anche tutta la posta in uscita.

52 Proxy HTTP L UTM mette a disposizione un Proxy HTTP per controllare la navigazione Web. La configurazione del Proxy HTTP si effettua andando in: Local Services Proxy-Server e da qui nel sottomenù HTTP. Per prima cosa si abilita il Proxy. Operation Mode: Modalità in cui può lavorare il Proxy. Si può scegliere tra Transparent e Standard. Standard: In questa modalità sui vari computer della rete deve essere specificato l indirizzo IP del Proxy ( dell UTM quindi) nelle impostazioni di rete o dei vari browser installati sui computer. In questa modalità è possibile richiedere l autenticazione quando si cerca di navigare in internet dai vari computer della rete. Transparent: In questa modalità non è necessario impostare l indirizzo IP del Proxy sui computer della rete; il Proxy infatti rimane invisibile ai computer della rete. In questa modalità non è possibile richiedere l autenticazione agli utenti che navigano in internet. Proxy Port: Porta su cui lavora il Proxy andrà impostata sui computer se si utilizza il Proxy in modalità Standard Administrator dell amministratore a cui possono essere inviate eventuali notifiche. AAA Server: Permette di definire ( qualora sia stato impostato) quale AAA Server va utilizzato per autenticare gli utenti che navigano in internet. Enable Virus Scanning: Abilita il controllo antivirus su tutto il traffico HTTP.

53 Maximum File Size: Permette di impostare la dimensione massima dei file, traferiti mediante protocollo http, da controllare. Pass Oversized Files: Ci permette di specificare come gestire I file che superano il limite definito nel parametro precedente. Impostando No i file vengono respinti, impostando Yes vengono lasciati passare senza essere controllati. Progress bar when file exceeds: Definisice la dimensione del file oltre la quale entra in funzione la Progress bar. In pratica quando le dimensioni di un file superano la soglia impostata, sul browser appare una barra che indica il procedere del download: il file in prima battuta viene slavato sull hard-disk interno dell UTM. Terminato il download l UTM controlla se il file scaricato contiene virus o meno, a quel punto se il file non contiene virus permette all utente di scaricare il file, in caso contrario avvisa l utente che il file scaricato conteneva virus. N.B. Questa funzionalità non è presente sull UTM1100 in quanto è l unico modello senza Hard-disk interno. A questo punto dobbiamo creare una regola di Firewall per permettere ai computer di potere navigare: in particolare dovremo aggiungere una regola nelle polizie relative al Proxy HTTP. Andiamo quindi su Firewall Policies e da qui su HTTP Proxy dove clicchiamo su New e creiamo una regola come la seguente. Name: Nome che diamo alla regola. Enable: Con YES la regola è attiva. Insert: Specifica solo a che punto dell elenco di regole viene posta quella che stiamo creando. Source Item: Indica da dove partono le richieste di navigazione, in questo caso sono i pc della nostra LAN per cui indichiamo tutta la rete.

54 Destination Item: Indica gli indirizzi su cui vogliamo navigare. In questo caso abbiamo lasciato Any ovvero si può navigare su qualunque indirizzo. Authentication: Ci permette di decidere se chiedere l autenticazione quando si vuole navigare. Coi seguenti due parametri si possono specificare dei particolari siti verso cui si vuole o non si vuole permettere la navigazione. Action: Indica che azione deve compiere questa regola di firewall. In questo caso abbiamo messo Allow in quanto vogliamo concedere la navigazione.

55 VPN di tipo PPTP L UTM ci permette di gestire i le VPN di tipo PPTP tra un qualunque computer e l UTM. Per prima cosa dobbiamo attivare la PPTP, per cui andiamo su: VPN PPTP Dobbiamo abilitare la PPTP, decidere il tipo di cifratura e stabilire quali utenti potranno collegarsi in PPTP. Nel Gruppo All User (UTM) ci saranno una serie di utenti che avremo creato in precedenza. Nome utente e password dei vari utenti saranno le credenziali che ciascun utente dovrà utilizzare per collegarsi in PPTP. Interface: Interfaccia dell UTM da cui parte la PPTP. Nell esempio abbiamo lasciato any, visto che la PPTP parte dall interfaccia WAN potevamo anche indicare EXT. User IP-Pool: Pool d indirizzi che verranno rilasciati ai client che si collegano in PPTP. Il pool ( chiamato Local-Net nel nostro esempio) va creato in precedenza, seguendo la procedura illustrata nel capitolo dedicato. Infine dobbiamo definire DNS primario e secondario, Server WINS primario e secondario che saranno assegnati ai client che si collegano in PPTP. Ora la PPTP è pronta. Dobbiamo però andare a creare una regola nel firewall per permettere agli utenti che si collegano in PPTP possano raggiungere tutti gli apparati collegati alla LAN dell UTM. In pratica non dovremo fare altro che permettere all interfaccia pptp di comunicare con l interfaccia INT dove c è la LAN dell UTM. L interfaccia pptp è un interfaccia virtuale che viene creata quando si attiva la PPTP. Per creare la regola di firewall seguiamo quanto illustrato nel capitolo dedicato e andiamo a realizzare una regola come la seguente:

56 Con questa regola tutti quelli che si collegheranno in PPTP, potranno comunicare con tutti gli apparati collegati all interfaccia LAN ( chiamata INTERNA nell esempio) appartenenti alla nostra rete ( nell esempio la rete interna è definita dall item Rete Interna ).

57 VPN di tipo IPSEC tra due UTM e tra UTM e router Bintec L UTM ci permette di gestire VPN di tipo IPSEC. Per configurare un tunnel IPSEC andiamo su VPN IPSec Name: Nome del tunnel IPSec Tunnel Authentication Type: Metodo di autenticazione dei tunnel IPSec. In questo caso utilizziamo il metodo Shared Secret ovvero autenticazione mediante password. Status: Attiva o disattiva il tunnel. IPSec Policy: Policy utilizzata per creare il tunnel IPSec. Si possono modificare le Policy già esistenti o crearne di nuove, come mostreremo di seguito. L2TP Encapsulation: Permette di stabilire connessioni L2TP sfruttando il tunnel IPSec (L2TP over IPSec). Di seguito si vanno a settare i parametri IP relativi all End-Point locale, ovvero il Nostro UTM.

58 Tunnel Endpoint: E l interfaccia del nostro UTM da cui parte il tunnel IPSec, ovvero l interfaccia WAN ( chiamato ROUTER nel nostro esempio). Reachable Network: E la rete locale del nostro UTM che sarà visibile nella VPN. Ora si dovranno settare i parametri IP relativi all End-Point remoto, ovvero un altro UTM o un router Bintec. Remote Endpoint: Indirizzo Ip Pubblico dell End-Point remoto ( identificato dall item Router Studio nell esempio) Reachable Network: E la rete LAN remota che potremo raggiungere tramite la VPN ( nell esempio la item Rete Studio identifica la LAN remota). Local ID: Id locale assegnato al nostro UTM. L ID locale può essere un indirizzo , un FQDN (Fully Qualified Domain Name) o come nel nostro caso un indirizzo IP. Remote ID: Id dell End_Point remoto. Può essere un indirizzo , un FQDN (Fully Qualified Domain Name) o come nel nostro caso un indirizzo IP. Shared Secret: Password che si scambiano I due End-Point che instaurano la VPN. Dovrà essere uguale su entrambi gli End-Point. Le Policy dell IPSec possono essere create modificate dal sottomenù Policies. Nell esempio abbiamo utilizzato la Blowfish/MD5.

59 Tali parametri dovranno essere uguali nell End-Point remoto, pena il non stabilirsi del tunnel IPSec. Una volta creata la VPN, dovremo realizzare una regola di Firewall sull UTM per permettere alla rete LAN remota di comunicare con la rete LAN locale. Nel nostro esempio la regola ha questo aspetto: In Pratica permettiamo alla rete LAN remota ( Rete Studio) di comunicare con la nostra LAN locale ( Rete Interna). Se l End-Point remoto della VPN IPSec è un router Bintec, possiamo configurare l UTM esattamente come abbiamo appena illustrato. Qualora l UTM fosse dietro a NAT del router a cui è messo in cascata dovremo abilitare il NAT-Traversal sull UTM. Andremo su VPN IPSec Settings e abilitiamo il NAT-Traversal:

60 Per quanto riguarda il router Bintec possiamo creare un tunnel IPSec come illustrato nel manuale Bintec, dopodiché dovremo andare solo a fare qualche modifica nella Phsse1 e nella Phase2 per fare si che le Policy siano comuni tra UTM e Bintec. In particolare configureremo la Phase 1 della VPN sul Bintec come segue: Infine configureremo la Phase2 come segue:

61 A questo punto la VPN tra UTM e Bintec si stabilirà. Da notare che i parametri impostati nelle due schermate appena illustrate sono esattamente uguali ai parametri settati nella Policy dell UTM.

62 Scheduling Programmare un Riavvio dell UTM Dalla Versione Firmware è possibile programmare un riavvio dell UTM. Per impostarlo Andiamo su Local Services Scheduling eda qui clicchiamo su New. In questo esempio abbiamo programmato un riavvio giornaliero alle ore 4. Nel campo Interval è possibile definire la frequenza con cui effettuare il riavvio: ogni ora, ogni giorno, ogni settimana, ogni mese, oppure un riavvio solitario in un giorno predefinito.

63 Configurazione DynDNS L UTM ci permette di gestire l aggiornamento del DynDNS. Questo ci può essere utile qualora sulla WAN dell UTM è stata configurata una connessione PPPoE che ci forniscce un indirizzo IP pubblico diverso ogni volta che ci connettiamo a internet. Per impostare il DynDNS andiamo su Local Services Dynamic DNS e clicchiamo su New. Name: Nome della regola di DynDNS Enable: Abilita o disabilita questo account Interface: Interfaccia su cui va aggiornato il DynDNS; ovviamente mettiamo la WAN dell UTM Type: Tipologia di account di DNS dinamico Host Name: è il nome di dominio scelto in fase di registrazione Username: è il nome utente scelto in fase di registrazione Password: è la password scelta in fase di registrazione Wildcard: se il nome di dominio che abbiamo scelto contiene caratteri speciali (_~$%* etc ) MX: se il provider ci fornisce anche un Mail exchange possiamo configurarlo qui Backup MX: se il provider ci fornisce anche un Mail Exchange di Backup, possiamo configurarlo qui Use SSL: se il provider richiede l autenticazione protetta possiamo impostarlo qui