GNU/Linux e i firewall

Транскрипт

1 GNU/Linux e i firewall un po' di teoria... Le reti Il termine rete indica una maglia di collegamenti, in pratica un insieme di componenti collegati tra loro a formare un sistema. Ogni nodo di questa rete corrisponde generalmente ad un elaboratore (che viene spesso definito host o stazione). I collegamenti tra questi nodi consentono lo scambio di dati sotto forma di pacchetti. Le reti vengono classificate in base alla loro estensione: LAN La LAN Local Area Network (rete locale) è una rete contenuta all'interno di un edificio o, al più, nell'ambito di un piccolo gruppo di edifici adiacenti. Una LAN può essere costituita da due PC interconnessi tra di loro, così come da sistemi molto complessi con centinaia di macchine tra server, workstation, stampanti ecc. All'interno della LAN può esistere un ramo specializzato che prende il nome di DMZ, nel quale vengono posti i server che offrono servizi che devono essere raggiungibili anche dall'esterno della LAN. DMZ sta per DeMilitarized Zone (zona demilitarizzata), ad indicare che le protezioni dagli accessi indesiderati dall'esterno in questo ramo devono essere meno restrittive. MAN La MAN Metropolitan Area Network (rete metropolitana) è una rete composta dall'unione di più LAN nell'ambito della stessa area metropolitana. In altri termini, si tratta di una rete estesa sul territorio di una città. Reti come quelle di AEMcom e FastWeb sono reti metropolitane. WAN La WAN Wide Area Network (rete geografica) è composta dall'unione di più LAN (o più MAN) che si estendono geograficamente oltre l'ambito di una singola città. Internet stessa è una WAN (forse la più grande...) VPN La VPN Virtual Private Network (rete privata virtuale) è una tecnologia, o meglio un assemblaggio di tecnologie, che serve per utilizzare un sistema di trasporto pubblico per scopi privati. Nella grande maggioranza dei casi, per essere pratici, la VPN serve ad usare Internet per interconnettere le LAN di due sedi aziendali fisicamente distanti o per permettere ai roadwarriors (lavoratori in trasferta) di accedere alla LAN aziendale. Il ruolo della VPN è quello di sfruttare due connessioni ad Internet per realizzare un tunnel di collegamento, che garantisca nel contempo la sicurezza e la riservatezza dei dati. pagina 1 di 23

2 Topologie di rete Le strutture fondamentali di rete sono di tre tipi: stella Si ha una rete a stella quando tutti i nodi periferici sono connessi a un nodo principale in modo indipendente dagli altri. Così, tutte le comunicazioni passano per il nodo centrale: il concentratore (solitamente un hub o uno switch) e in pratica sono gestite completamente da questo. Rientra in questa categoria, come caso limite, anche il semplice collegamento punto-punto (o point-to-point), in cui sono collegati direttamente tra di loro solo due nodi. È ormai la topologia più diffusa, usata per le connessioni Ethernet 10/100/1000 baset. D'ora in poi ci riferiremo praticamente solo a questo tipo di rete. Anello Si ha una rete ad anello quando tutti i nodi sono connessi tra loro in sequenza, in modo da formare un anello ideale, dove ognuno ha un contatto diretto solo con il precedente e il successivo. Inquesto modo, la comunicazione avviene (almeno in teoria) a senso unico e ogni nodo ritrasmette al successivo i dati che non sono destinati allo stesso. È la topologia usata dalle reti token ring. Bus Si ha una rete a bus quando la connessione dei nodi è condivisa da tutti, per cui i dati trasmessi da un nodo sono intercettabili da tutti gli altri. In questa situazione la trasmissione simultanea da parte di due nodi genera un collisione e la perdita del messaggio trasmesso. È la topologia usata per le connessioni 10 base2 con connettori BNC e terminatori 50 ohm. Anche Ethernet può usare questa topologia, come ricorda chi ha avuto per le mani una scheda di rete combo, che oltre ad avere il connettore RJ45 ha anche il BNC Pacchetti I dati viaggiano nella rete in forma di pacchetti. Il termine è appropriato perché si tratta di una sorta di confezionamento del flusso delle informazioni in piccole unità (contenenti le indicazioni del mittente e del destinatario), da ricomporsi all'arrivo per ricostruire il messaggio completo. Il confezionamento e le dimensioni dei pacchetti dipendono dal tipo di rete fisica utilizzata. I dati sono un materiale duttile che può essere suddiviso e aggregato in vari modi. Ciò significa che, durante il loro tragitto, i dati possono essere scomposti e ricomposti più volte e in modi differenti. Per esempio, per attraversare un segmento di una rete particolare, potrebbe essere necessario suddividere dei pacchetti troppo grandi in pacchetti più pagina 2 di 23

3 piccoli (questa operazione è detta frammentazione), oppure potrebbe essere utile il contrario. Si parla poi di incapsulamento quando i pacchetti vengono inseriti all interno di altri pacchetti. Protocolli I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione: un insieme di regole, conosciuto da tutti gli interlocutori, che governano il modo di scambiarsi i dati. La distinzione più importante tra i protocolli è quella che li divide in connessi e non connessi. Il protocollo non connesso, detto datagramma, non da la possibilità di determinare se il messaggio è giunto o meno a destinazione. Il protocollo connesso prevede la conferma dell invio di un messaggio, la ritrasmissione in caso di errore e la ricomposizione dell ordine dei pacchetti. Lo stack OSI/ISO Il modello OSI (Open System Interconnection), diventato parte degli standard ISO, scompone la gestione della rete in livelli, o strati (layer). Questo modello non definisce uno standard tecnologico, ma un riferimento comune ai concetti che riguardano le reti. I livelli del modello OSI/ISO sono sette e, per tradizione, vanno visti nel modo indicato nell elenco seguente, dove il primo livello è quello più basso ed è a contatto del supporto fisico di trasmissione, mentre l ultimo è quello più alto ed è a contatto delle applicazioni utilizzate dall utente. Lo stack OSI Le funzioni dei livelli sono le seguenti: 7 - Applicazione: Interfaccia di comunicazione con i programmi (Application program interface). 6 - Presentazione: Formattazione e trasformazione dei dati a vario titolo, compresa la cifratura e decifratura. 5 - Sessione: Instaurazione, mantenimento e conclusione delle sessioni di comunicazione. 4 - Trasporto: Invio e ricezione di dati in modo da controllare e, possibilmente, correggere gli errori. 3 - Rete: Definizione dei pacchetti, dell indirizzamento e dell instradamento in modo astratto rispetto al tipo fisico di comunicazione. 2 - Collegamento dati (data link): Definizione delle trame (frame) e dell indirizzamento infunzione del tipo fisico di comunicazione. 1 - Fisico: Trasmissione dei dati lungo il supporto fisico di comunicazione. Incapsulamento dei pacchetti I dati da trasmettere attraverso la rete, vengono prodotti al livello più alto del modello, quindi, con una serie di pagina 3 di 23

4 trasformazioni e aggiungendo le informazioni necessarie (header), vengono passati di livello in livello fino a raggiungere il primo, quello del collegamento fisico. Nello stesso modo, quando i dati vengono ricevuti dal livello fisico, vengono passati e trasformati da un livello al successivo, fino a raggiungere l ultimo. In questo modo, si può dire che a ogni passaggio verso il basso i pacchetti vengano incapsulati in pacchetti (più grandi) del livello inferiore, mentre, a ogni passaggio verso l alto, i pacchetti vengono estratti dal contenitore di livello inferiore. Livello 1 Fisico La connessione tipica in una rete locale è fatta utilizzando hardware Ethernet. Il cavo o i cavi e le schede Ethernet appartengono a questo primo livello, così come i ripetitori. Il ripetitore tipico è l HUB, ovvero il concentratore di rete, che dunque non filtra in alcun caso i pacchetti. Livello 2 Collegamento dati (Data link) Il tipo di hardware utilizzato nel primo livello determina il modo in cui avviene effettivamente la comunicazione. Nella maggior parte dei casi, ormai, il sistema più affermato è l'ethernet. Ethernet opera indirizzando il contenuto dei propri frames (detto payload in italiano: carico utile) ad un indirizzo MAC (Medium Access Control address) di 48 bit, utilizzato per identificare univocamente ogni scheda di rete Ethernet. A differenza degli indirizzi IP, gli indirizzi MAC sono generalmente statici ed incisi nella EPROM della scheda di rete al momento della sua costruzione. Gli indirizzi MAC sono espressi con 6 gruppi di 2 cifre esadecimali separati da : Per esempio: 08:00:2B:4C:00:8A. Ogni costruttore di schede Ethernet ha un proprio range di indirizzi MAC assegnati e si preoccupa di impostare un indirizzo sempre diverso ad ogni scheda che produce. Non ci si deve quindi scomodare ad assegnare indirizzi, subnet, gateway... come con il protocollo IP (che sta al livello OSI superiore). Con Ethernet tutto funziona a livello link. Ad esempio, tra due schede collegate tra loro con un cavo cross-over oppure tramite un hub o uno switch. pagina 4 di 23

5 Un hub riceve i frames dalla scheda Ethernet e li ritrasmette su tutte le sue porte. Uno switch, invece, impara (ascoltando il traffico dei frames in transito) la corrispondenza tra le proprie porte e gli indirizzi MAC delle schede di rete ad esse collegate, inoltrando i frame diretti ad un certo MAC solo alla porta corrispondente. Livello 3 Rete Per poter avere un tipo di comunicazione di rete indipendente dal supporto fisico utilizzato, è necessaria un astrazione che riguarda il modo di inviare blocchi di dati, l indirizzamento di questi e il loro instradamento. Per quanto riguarda il TCP/IP, questo è il livello del protocollo IP, attraverso il quale vengono definiti gli indirizzi e gli instradamenti relativi. Quando un pacchetto è più grande della dimensione massima trasmissibile in quel tipo di rete fisica utilizzata, è il protocollo IP che si deve prendere cura di scomporlo in segmenti più piccoli e di ricombinarli correttamente alla destinazione. All'interno di una LAN, il compito di mettere in relazione gli indirizzi IP con gli indirizzi MAC (necessari per inviare i pacchetti a livello datalink) è svolto dal protocollo ARP Address Resolution Protocol (protocollo di risoluzione degli indirizzi). Altri possibili protocolli di livello 3 (alternativi all'ip) sono IPX, NetBeui ed altri. A questo livello OSI operano i router. Livello 4 Trasporto A questo livello appartengono i protocolli di comunicazione che si occupano di frammentare e ricomporre i dati, di correggere gli errori e di prevenire intasamenti della rete. I protocolli principali di questo livello sono ICMP (Internet Control Message Protocol), TCP (Transmission control protocol) e UDP (User datagram protocol). pagina 5 di 23

6 Livello 5 Sessione Ogni servizio di rete (condivisione del file system, posta elettronica, FTP, ecc.) ha un proprio protocollo, porte di servizio e un meccanismo di trasporto (quelli definiti nel livello inferiore). Quando si avvia una comunicazione a questo livello, si parla di sessione. Quindi, si apre o si chiude una sessione. Livello 6 Presentazione A questo livello si inseriscono normalmente delle librerie in grado di gestire un eventuale conversione dei dati tra l applicazione e la sessione di comunicazione. Livello 7 Applicazione L ultimo livello è quello dell applicazione che utilizza le risorse di rete. Il protocollo TCP/IP In realtà è un insieme di protocolli che si collocano al terzo e quarto livello dello stack OSI: Livello 3 - Rete Il protocollo IP Si occupa di instradare i pacchetti dalla sorgente alla destinazione attraverso reti locali e geografiche. Ogni macchina affacciata su una rete deve avere un indirizzo IP univoco. Gli indirizzi IP sono composti da una sequenza di 32 bit, suddivisi convenzionalmente in quattro gruppetti di 8 bit, rappresentati in modo decimale e separati da un punto. Questo tipo di rappresentazione è definito come: notazione decimale puntata. Per esempio, corrisponde all'indirizzo IP Ognuna delle quattro cifre decimali, rappresentando 8 bit, può assumenr valori compresi tra 0 e 255. sottomaschera di rete (netmask) All interno di un indirizzo del genere si distinguono due parti: l indirizzo di rete e l indirizzo del nodo particolare. Il meccanismo è simile a quello del numero telefonico in cui la prima parte del numero, il prefisso, definisce il distretto telefonico, mentre il resto identifica l apparecchio telefonico specifico di quella zona. La suddivisione tra le parti prefisso di rete e identificativo del nodo all'interno della rete è definita dal valore di netmask (maschera di rete). Una netmask applicata all'indirizzo indica che x è l'identificativo della rete e che 4 è l'identificativo del nodo sarà l'indirizzo della rete sarà l'indirizzo di broadcast usato per inviare pacchetti particolari diretti a tutta la rete locale nel suo complesso e non ad una macchina specifica. Classi di rete Una rete con netmask si dice di classe C e può quindi contenere fino a 254 nodi numerati da x.y.z.1 a x.y.z.254 (x.y.z devono essere compresi tra e ) Una rete di classe B avrà netmask e potrà contenere fino a nodi numerati da x.y.0.1 a x.y ; l'indirizzo di rete sarà x.y.0.0 e l'indirizzo di broadcast sarà x.y (x.y dovranno essere compresi tra e ) Una rete di classe A avrà netmask e potrà contenere fino a nodi numerati da x a x ; l'indirizzo di rete sarà x e l'indirizzo di broadcast sarà x (x deve essere compreso tra 1 e 126) pagina 6 di 23

7 Esistono anche le classi D ed E, destinate ad usi speciali. Spesso viene utilizzata la notazione CIDR (Classless Inter Domain Routing) con la quale si possono identificare l'indirizzo IP e la netmask in un colpo solo: l'indirizzo IP con netmask viene espresso in /24 che significa che i primi 24 dei 32 bit (quindi i primi tre gruppetti di 8 bit) che compongono l'indirizzo IP sono quelli che identificano la rete. Analogamente w.x.y.z/16 sarà un indirizzo di classe B e w.x.y.z/8 un indirizzo di classe A. Gateway Il nodo IP che si trovi nella necessità di inviare un pacchetto, per prima cosa confronterà la parte identificativa di rete del proprio indirizzo IP con i corrispondenti bit dell'indirizzo IP di destinazione. Se le due porzioni corrispondono, significa che il nodo da raggiungere si trova nella stessa rete locale; in questo caso, attraverso il protocollo ARP, recupera l'indirizzo MAC della scheda di destinazione e le invia direttamente il pacchetto. Se, viceversa, le due porzioni non corrispondono significa che il nodo destinatario appartiene ad un'altra rete. In questo caso, il pacchetto viene inviato all'indirizzo di una macchina particolare detta gateway che si incaricherà a sua volta di inoltrare il pacchetto verso la destinazione finale. Il gateway (punto di passaggio obbligato per uscire dalla propria rete locale) è un router: una macchina dotata di più interfacce di rete (possono essere schede di rete ma anche modem o TA), in grado di instradare i pacchetti tra le interfacce, usata per mettere in comunicazione tra loro più reti. La decisione riguardo quale via fare percorrere ad un pacchetto è presa consultando la tabella di routing Gli hop e il routing La tabella di routing è visualizzabile e modificabile tramite il comando #route. root@caronte:~ # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth2 (Internet) U eth0 (LAN) U eth1 (DMZ) UG eth2 (defaultroute) La tabella di routing viene consultata dall'alto verso il basso in cerca di una corrispondenza con l'indirizzo IP di destinazione del pacchetto da inoltrare. Se l'indirizzo di rete indicato in una riga della tabella di routing è compatibile con l'indirizzo del pacchetto, questo verrà inoltrato sull'interfaccia indicata nella riga stessa. Se sulla riga è indicato un gateway, il pacchetto viene inoltrato al gateway stesso, sempre attraverso l'interfaccia indicata. Sarà poi il gateway ad occuparsi di inoltrare a sua volta il pacchetto al passo successivo verso la destinazione. Ogni passo che il pacchetto compie verso la destinazione (ovvero ogni host che incontra sul proprio percorso) è detto hop o salto. Con il comando #traceroute (tracert per win32), possiamo visualizzare gli hop che i nostri pacchetti compiono per arrivare ad una data destinazione: [root@portlinux sandman]# traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms 3 core-sw-cr-02.aemcom.net ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms Il server è molto vicino a noi (sulla stessa MAN) eppure ci servono sei salti per raggiungerlo. pagina 7 di 23

8 Proviamo ora con qualcosa di un poco più distante: sandman]# traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms 3 bgp-cr-vr-inf-01.aemcom.net ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 8 ams-e4.ams.nl.net.dtag.de ( ) ms ms ms 9 ams-ix.tc2.xs4all.net ( ) ms ms ms 10 0.so xr1.d12.xs4all.net ( ) ms ms ms 11 0.so cr1.d12.xs4all.net ( ) ms ms ms 12 klecker.debian.org ( ) ms ms ms IPV6 L'univocità dell'indirizzo IP riguarda soprattutto la rete delle reti ovvero Internet. Ogni connessione affacciata direttamente ad Internet deve avere un indirizzo IP diverso da quello di tutte le altre macchine, pena la collisione dei pacchetti. Dato che le macchine connesse ad Internet sono moltissime, capirete come ci si stia avviando verso la saturazione dello spazio di indirizzamento disponibile. Per risolvere il problema della carenza di indirizzi IP pubblici si è sviluppato un nuovo protocollo chiamato IPv6. IPV6 è in fase di sperimentazione avanzata ed è già operativo su diversi server in rete. GNU/Linux è già pronto sin da ora per usarlo. Indirizzi ad uso speciale Lo spazio lasciato libero tra la classe A e la classe B, ovvero gli indirizzi 127.*.*.*, sono riservati per identificare una rete virtuale interna al nodo stesso. All interno di questa rete si trova un interfaccia di rete immaginaria corrispondente all indirizzo , mentre gli altri indirizzi di questo gruppo non vengono mai utilizzati. Per identificare questi indirizzi si parla di loopback. All interno di ogni nodo, quindi, l indirizzo corrisponde a se stesso. Serve in particolare per non disturbare la rete quando un programma (che usa la rete) deve fare riferimento a se stesso. L indirizzo speciale , conosciuto come default route, è il percorso, o strada predefinita, per l instradamento dei pacchetti. Si usa spesso la parola chiave defaultroute per fare riferimento automaticamente a questo indirizzo particolare che punta al gateway. Abbiamo poi degli indirizzi IP ad uso speciale per reti private (ovvero non direttamente affacciate ad Internet). Sono gli indirizzi da usare se non si ha la necessità di rendere direttamente accessibili i nodi della propria rete locale alla rete globale Internet. Abbiamo a disposizione: 1 rete privata di classe A: 10.x.x.x (indirizzi compresi tra ) 16 reti private di classe B: 172.Y.x x (indirizzi compresi tra ) 256 diverse reti private di classe C: Y.x (indirizzi compresi tra ) dove Y è usato come identificativo della rete privata e va scelto (secondo l'rfc Address Allocation for Private Internets) a caso tra 0 e 255 dall'amministratore di rete, in modo da minimizzare le possibilità di collisioni in caso di possibili future connessioni con altre reti private. Indirizzi IP privati o pubblici, statici o dinamici Gli indirizzi IP ad uso speciale per reti private sono conosciuti come IP privati, ovvero non raggiungibili direttamente da Internet. Gli altri indirizzi sono conosciuti come IP pubblici, ovvero raggiungibili da Internet. Gli indirizzi IP (privati e pubblici) possono essere statici o dinamici. Gli indirizzi statici vengono impostati dall'utente e non variano mai, quelli dinamici vengono assegnati automaticamente da un server DHCP - Dynamic Host Configuration Protocol. Nel caso di una connessione ad un Internet service provider via modem, ci viene pagina 8 di 23

9 assegnato un IP pubblico dinamico. Normalmente, per poter avere assegnato un indirizzo IP pubblico statico (in modo da poter essere sempre raggiungibili da Internet) dobbiamo pagare una quota periodica a chi ci fornisce la connettività. Livello 4 Trasporto RFC1700 Assigned names (nomi assegnati) Su ogni macchina predisposta all'accesso in rete vi è un file che riepiloga i protocolli in uso nel layer 4 trasporto e ne associa il nome al codice numerico. Questo file nei sistemi *nix è /etc/protocols, mentre nei sistemi Win è C:\WINDOWS\system32\drivers\etc\protocols [root@portlinux Documents]# cat /etc/protocols # /etc/protocols: # $Id: protocols,v /05/02 17:10:04 chmouel Exp $ # # Internet (IP) protocols # # 5.1 (Berkeley) 4/17/89 # # Updated for NetBSD based on RFC 1340, Assigned Numbers (July 1992). # # See also ip 0 IP # internet protocol, pseudo protocol number #hopopt 0 HOPOPT # hop-by-hop options for ipv6 icmp 1 ICMP # internet control message protocol igmp 2 IGMP # internet group management protocol ggp 3 GGP # gateway-gateway protocol ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'') st 5 ST # ST datagram mode tcp 6 TCP # transmission control protocol cbt 7 CBT # CBT, Tony Ballardie <[email protected]> egp 8 EGP # exterior gateway protocol igp 9 IGP # any private interior gateway (Cisco: for IGRP) bbn-rcc 10 BBN-RCC-MON # BBN RCC Monitoring nvp 11 NVP-II # Network Voice Protocol pup 12 PUP # PARC universal packet protocol argus 13 ARGUS # ARGUS emcon 14 EMCON # EMCON xnet 15 XNET # Cross Net Debugger chaos 16 CHAOS # Chaos udp 17 UDP # user datagram protocol mux 18 MUX # Multiplexing protocol dcn 19 DCN-MEAS # DCN Measurement Subsystems hmp 20 HMP # host monitoring protocol prm 21 PRM # packet radio measurement protocol I protocolli di questo livello sono numerosi (più di 130), ma quelli più utilizzati sono ICMP, TCP e UDP. Il protocollo ICMP ICMP è l'acronimo di Internet Control Message Protocol (protocollo dei messaggi di controllo Internet). È un protocollo molto semplice, usato per le attività di controllo del funzionamento della rete. Contiene solo le informazioni relative all'indirizzo IP del mittente, l'indirizzo IP di destinazione e dei codici numerici che identificano il tipo di messaggio trasmesso. Non ha porte. pagina 9 di 23

10 tipo codic e nome usato da 0 echo-reply risposta a un ping (pong) destination-unreachable traffico TCP/UDP 0 network-unreachable 1 host-unreachable 2 protocol-unreachable 3 port-unreachable 4 fragmentation-needed 5 source-route-failed 6 network-unknown 7 host-unknown 8 9 network-prohibited 10 host-prohibited 11 TOS-network-unreachable 12 TOS-host-unreachable 13 communication-prohibited 14 host-precedence-violation 15 precedence-cutoff 4 source-quench redirect 0 network-redirect 1 host-redirect 2 TOS-network-redirect 3 TOS-host-redirect 8 echo-request ping 9 router-advertisement 10 router-solicitation instradamento dei pacchetti 11 time-exceeded (ttl-exceeded) traceroute 0 ttl-zero-during-transit 1 ttl-zero-during-reassembly 12 parameter-problem 0 ip-header-bad 1 required-option-missing 13 timestamp-request 14 timestamp-reply 15 information-request 16 Information-reply 17 address-mask-request 18 address-mask-reply Tabella dei tipi di pacchetto ICMP Ping è un metodo semplice per testare il funzionamento della rete. Invia un pacchetto ICMP tipo 8 ed attende una risposta ICMP tipo 0 dall'altro lato pagina 10 di 23

11 Il protocollo UDP UDP è l'acronimo di User Datagram Protocol (protocollo datagramma utente). Il termine datagramma, rappresenta il pacchetto di un protocollo non connesso; per questo non va inteso come sinonimo di pacchetto in senso generale. È usato quando si privilegia la semplicità e la contemporaneità di trasmissione. Non implementa nessun meccanismo di conferma della ricezione dei pacchetti, quindi la loro ricezione non è garantita. Per questo è il protocollo usato dalle applicazioni multimediali (audio, video), nelle quali non importa tanto l'integrità del messaggio, quanto la sua temporizzazione. Porte Porte privilegiate o well-known (0 1023) Porte che possono essere aperte (per trasmettere, ricevere o anche solo per restare in ascolto) solo con i privilegi del superutente (di solito root in *nix e Administrator in Win*) Porte non privilegiate ( ) Porte che possono essere aperte da qualsiasi utente Il protocollo TCP TCP è l'acronimo di Transmission Control Protocol (protocollo per il controllo della trasmissione). Il protocollo TCP, in qualità di protocollo connesso, oltre alla scomposizione e ricomposizione dei dati, si occupa di verificare e riordinare i dati all arrivo: i pacchetti perduti o errati vengono ritrasmessi e i dati finali vengono ricomposti. Il flusso dei dati è quindi necessariamente bidirezionale. È usato quando è necessario verificare che ogni pacchetto trasmesso sia stato effettivamente ricevuto (anche se non vi è la garanzia che i pacchetti siano ricevuti nello stesso ordine nel quale sono stati trasmessi; sarà compito del sistema ricevente rimettere in ordine il contenuto). Ad esempio, nel caso dello scambio di file: cosa potremmo farcene di un file a cui manca un frammento? Porte Funzionano esattamente come le porte UDP, anche se sono completamente separate da esse, nonostatnte qualche servizio di rete possa usare entrambi i tipi: come il DNS (Domain Name System sistema dei nomi di dominio) che usa la porta 53/UDP ma può usare anche la 53/TCP Flags SYN SYN sta per synchronize (sincronizza) è il flag che indica che il pacchetto è usato per cercare di aprire un nuovo canale di comunicazione ACK ACK sta per acknowledge (conferma) ed indica che il pacchetto è la conferma della ricezione di un'informazione FIN FIN sta per finish (termina) ed indica che si intende porre fine alla comunicazione. RST RST per reset (resetta) indica che il canale di comunicazione viene chiuso a causa di un errore URG: Urgent Pointer field significant PSH: Push Function pagina 11 di 23

12 Three-way handshake È la procedura usata da due nodi di rete per instaurare una connessione TCP. (A) > SYN > (B) (A) < SYN/ACK < (B) (A) > ACK > (B) Una macchina (A) che vuole connettersi ad un'altra macchina (B), invierà un pacchetto TCP verso una porta in ascolto sulla macchina (B). Questo pacchetto deve avere il flag SYN attivato, per far capire all'altro capo che si intende iniziare una nuova connessione. La macchina (B), ricevuto il pacchetto SYN, risponde ad (A) con un pacchetto TCP (proveniente dalla porta alla quale (B) è stata contattata e diretto alla porta di (A) che aveva emesso il pacchetto SYN) con i flag SYN ed ACK attivi. (A), riconosciuto il pacchetto SYN/ACK di (B), invia a (B) un nuovo pacchetto TCP con il solo flag ACK, che conferma l'apertura del canale di comunicazione. La connessione TCP a questo punto è stabilita e durerà fino a quando non verrà ricevuto un pacchetto FIN o RST. Four-way handshake È la procedura usata da due nodi di rete per terminare una connessione TCP. Essendo la connessione TCP una connessione a due vie, bisogna chiudere la comunicazione in entrambi i sensi. Per fare ciò viene inviato un pacchetto TCP con il flag FIN settato, al quale il nostro interlocutore risponde con un pacchetto FIN + ACK. (A) > FIN > (B) (A) < FIN/ACK < (B) (A) < FIN < (B) (A) > FIN/ACK > (B) Altri protocolli del livello 4 Trasporto ESP, AH: usati da IPSec per il traffico DMZ in tunnel... Protocolli dei servizi di rete Livello 5 Sessione Ogni servizio di rete (posta elettronica, ftp, http, ecc.) ha un proprio protocollo, una porta e un meccanismo di trasporto. Questi elementi sono indicati nel file /etc/services: # /etc/services: # $Id: services,v /07/19 20:13:27 notting Exp $ # # Network services, Internet style # # The Well Known Ports are those from 0 through # The Registered Ports are those from 1024 through # The Dynamic and/or Private Ports are those from through # # Each line describes one service, and is of the form: # # service-name port/protocol [aliases...] [# comment]... ftp-data ftp 20/tcp 21/tcp pagina 12 di 23

13 ssh 22/tcp # SSH Remote Login Protocol telnet 23/tcp... smtp 25/tcp mail... domain 53/tcp nameserver # name-domain server domain 53/udp nameserver... http 80/tcp www www-http # WorldWideWeb HTTP... pop3 110/tcp pop-3 # POP version 3... https 443/tcp # MCom... Nella riga relativa ad HTTP si può notare, per esempio, che il servizio www utilizza la porta 80 per comunicare ed il protocollo di trasporto è il TCP. Quando si avvia una comunicazione a questo livello si parla di sessione, quindi si apre o si chiude una sessione. Le porte aperte sul sistema (in ascolto, connesse, ecc.) sono visualizzabili attraverso il comando $ netstat [root@portlinux sandman]# netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp :32778 web5.w3.org:http ESTABLISHED tcp :32777 klecker.debian.org:http ESTABLISHED tcp :32779 ftp.slackware.com:ftp ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 12 [ ] DGRAM 3222 /dev/log unix 3 [ ] STREAM CONNECTED /tmp/.x11-unix/x0 unix 3 [ ] STREAM CONNECTED unix 3 [ ] STREAM CONNECTED /home/sandman/tmp/orbit- Si può notare come la macchina sia connessa a due siti web (http) e abbia attiva una sessione FTP HTTP HyperText Transfer Protocol (protocollo per il trasferimento di ipertesti). È il protocollo usato per il world wide web, ovvero per navigare con il nostro browser web preferito (Firefox, vero?). Prevede che il client apra una connessione TCP da una propria porta non privilegiata verso la porta TCP/80 del server. Le richieste di pagine da visitare e i dati da ricevere vengono tutti scambiati su questo canale SMTP Simple Mail Transfer Protocol (protocollo semplice per il trasferimento della posta), è il protocollo usato per inviare delle dal nostro client. La nostra macchina attiva una connessione TCP da una porta non privilegiata verso la porta TCP/25 del server della posta in uscita (per esempio mail.libero.it) POP3 Post Office Protocol v. 3 (protocollo di ufficio postale versione 3) È il protocollo che usiamo per scaricare la posta elettronica dalla nostra mailbox al programma di posta. Attiviamo una connessione da una porta non privilegiata alla porta TCP/110 del server di posta FTP File Transfert Protocol: protocollo per il trasferimento di file. È un po' più incasinato. Utilizza più connessioni contemporaneamente: una connessione di controllo verso la porta 21/TCP del server ed una o più connessioni per lo scambio dei dati sulla 20/TCP. pagina 13 di 23

14 Non bastasse ciò, il tutto può avvenire in due modalità diverse: attiva o passiva... Per avviare la comunicazione il computer client apre una porta locale n non privilegiata (> 1024) iniziando una connessione TCP verso la porta 21/TCP del server FTP. Nell'ambito di questa connessione (detta di controllo) vengono inviati i comandi dal programma client al programma server. Per consentire lo scambio dei dati deve essere aperta una seconda connessione TCP tra i due programmi: Nella connessione FTP attiva il programma client apre una seconda porta locale non privilegiata (di solito n+1) e la comunica al server, attraverso la connessione di controllo già attiva. A questo punto è il server ad iniziare la seconda connessione TCP tra la propria porta 20 e la porta comunicata dal client. Nella modalità FTP passiva il client chiede al server di operare in modalità passiva. Così facendo, è il programma server che apre una porta non privilegiata e ne comunica al client il numero in attesa di essere contattato. Sarà quindi sempre il client ad avviare (anche lui da porte non privilegiate) le connessioni verso il server. In questo caso la porta 20/TCP non viene utilizzata....ed altri Ma c'è di peggio: H.323, IPSec e molti altri. Questi protocolli hanno modalità ancora più complesse nell'instaurare le proprie comunicazioni, avendo la necessità di veicolare più flussi contemporaneamente: audio, video, dati, segnalazione, chiamata, autenticazione, scambio di chiavi, cifratura... I Firewall Un firewall è un apparato dotato di due (o più) interfacce di rete che seziona e mette in collegamento due (o più) tronconi di rete. Internet firewall LAN hub server client Solitamente il troncone esterno comprende tutta Internet, mentre il troncone interno corrisponde all'insieme dei computer della rete locale (LAN Local Area Network). Grazie alla sua posizione strategica, il firewall risulta il posto migliore ove imporre delle regole di traffico per i pacchetti in transito tra le interfacce ed eseguire un monitoraggio di tali pacchetti. Il firewall, software o hardware, permette o nega la comunicazione tra due o più reti diverse, a seconda del tipo di traffico (o meglio, in base al contenuto dei pacchetti) proteggendo da comunicazioni non desiderate. pagina 14 di 23

15 Architetture di rete con firewall Esistono molte architetture possibili per inserire un sistema di firewalling nel proprio sistema. La più semplice è ovviamente quella che prevede l'interposizione di un singolo firewall tra Internet e la LAN, come schematizzato nell'illustrazione precedente. Nel caso esista anche una DMZ, abbiamo due possibilità: - collegare la DMZ ad una scheda di rete aggiuntiva sul Firewall, come schematizzato nella figura seguente: Internet firewall DMZ LAN hub server Web server client - oppure usare due firewall in cascata, detti esterno ed interno e porre la DMZ tra di essi. Il firewall esterno avrà criteri di protezione adatti a proteggere la DMZ, quello interno aggiungerà ulteriori criteri di protezione, utili a raggiungere il livello di sicurezza adatto ad una LAN. Vedi la figura seguente: Firewall esterno Firewall interno internet HUB DMZ Lan Tipi di firewall I firewall possono essere classificati in due categorie: packet filter firewall ed application firewall (detti anche proxy firewall) Application firewall Gli application firewall sono in grado di analizzare i pacchetti, o meglio gli header, che vi transitano fino al livello di applicazione, quello più alto possibile. Per esempio, un application firewall HTTP sarà in grado di inoltrare o bloccare i pacchetti in funzione dell'url del sito richiesto. pagina 15 di 23

16 Purtroppo questo tipo di firewall porta alcuni svantaggi: la grande richiesta di risorse hardware, la lentezza nelle operazioni, capacità di analizzare un numero limitato di servizi di rete, complessità della stesura delle regole, necessità di riscrivere le regole per ogni applicazione simile, anche se usano lo stesso protocollo, necessità di girare in userspace. Lasciamo perdere... Packet filter firewall I packet filter firewall sono invece in grado di analizzare gli header dei pacchetti solo fino al livello di trasporto. Ciò significa che sono in grado di discriminare un pacchetto in base all'header di livello fisico (ad esempio da quale interfaccia di rete proviene o è diretto il pacchetto), di livello data link (in base agli indirizzi MAC sorgente e destinazione), di livello rete (indirizzo IP sorgente o destinazione del pacchetto), di livello trasporto (ad esempio porta sorgente o destinazione) I vantaggi di questo tipo di firewall sono: la velocità, la capacità di analizzare tutti i pacchetti indipendentemente dall'applicazione che li ha generati, la semplicità delle strutture per la stesura delle regole di filtraggio, il poter girare in kernel space. Stateless Il kernel di Linux, nelle sue versioni passate (versioni del kernel fino alla 2.2) forniva, attraverso il comando #ipchains, le funzionalità di un firewall stateless. Stateful Un firewall di tipo stateful è in grado di basare le politiche di inoltro dei pacchetti anche sullo stato corrente delle connessioni, spingendo quindi il proprio campo di azione al livello di sessione, sapendo correlare le diverse connessioni relative ad una stessa sessione grazie all'aiuto del sistema di tracciamento delle connessioni (connection tracking, abbreviato in conntrack) e di helper, moduli software dedicati alla gestione dei protocolli più complessi. Il kernel di Linux a partire dalla versione 2.4 contiene un firewall stateful, configurabile con il comando #iptables. Stato della connessione NEW Una connessione è definita NEW (nuova) quando sono stati ricevuti solo i pacchetti con il flag SYN attivato, dunque la connessione è in corso di apertura. ESTABLISHED Una connessione diventa ESTABLISHED (stabilita) quando il processo di apertura è concluso e la comunicazione può avere corso. Nel caso del TCP: al ricevimento del pacchetto ACK, nel caso di UDP al ricevimento del pacchetto SYN/ACK, nel caso di ICMP al ricevimento del primo pacchetto di risposta. RELATED Una connessione è RELATED (correlata) quando non è parte di una connessione preesistente ma è correlabile ad essa. Ad esempio un pacchetto ICMP che segnali un errore di comunicazione relativo ad una connessione TCP o una nuova connessione FTPdata relativa ad una sessione FTP già stabilita. INVALID La connessione è dichiarata INVALID (non valida) se non è stato possibile identificarne l'appartenenza. Ad esempio quando si riceve un pacchetto TCP di una nuova connessione senza il flag SYN settato. Netfilter/iptables Il kernel Linux contiene uno stateful packet filter firewall (netfilter). In userspace, il comando iptables permette di configurare ed analizzare il comportamento del filtro del kernel. Netfilter/iptables è riconosciuto come un ottimo strumento. Basti pensare che il motore di numerosi firewall commerciali è proprio GNU/Linux. pagina 16 di 23

17 Tabelle Iptables (come dice il nome stesso) indica che il filtro dei pacchetti è suddiviso in tre tabelle: mangle, nat e filter (in minuscolo!) mangle La tabella MANGLE è usata per fare il mangling (tagliuzzare in maniera un po' sadica) dei pacchetti, ovvero per modificarli a nostro piacimento. In pratica, è una tabella riservata agli hacker più esperti. nat NAT Network Address Tranlation (traduzione degli indirizzi di rete) è il sistema usato per permettere ad una rete locale di usare all'interno una serie di indirizzi IP privati e contemporaneamente di usare indirizzi IP pubblici per accedere all'esterno. Una macchina collocata nel punto in cui la LAN si connette ad Internet compie tutte le traduzioni di indirizzo necessarie. La tabella nat è utilizzata proprio per fare queste operazioni. Le principali operazioni di NAT si suddividono in: DNAT Destination NAT (traduzione degli indirizzi di rete di destinazione). È usata per permettere a più server di condividere lo stesso indirizzo IP pubblico. Immaginiamo di avere nella nostra DMZ un server web, un server FTP. Possiamo acquistare un solo IP statico pubblico e fare in modo che entrambi i server rispondano a quell'indirizzo. Le chiamate all'indirizzo pubblico verso la porta TCP/80 saranno dirette al server web, quelle verso la porta TCP/21 al server FTP. SNAT Source NAT (traduzione degli indirizzi di rete di origine). È usata, per esempio, per permettere a tutti i client della LAN di accedere a Internet usando un solo indirizzo IP pubblico. Quando un client cerca di connettersi ad un server su Internet, la funzione di SNAT modifica i pacchetti sostituendo l'indirizzo IP privato del client con l'indirizzo IP pubblico ed inoltrando il pacchetto verso il server. Quando il server invia dei pacchetti di risposta indirizzati all'ip pubblico, SNAT li modificherà sostituendo l'ip pubblico con l'indirizzo IP privato del client che aveva originato la chiamata e li inoltra sulla LAN. Masquerading (mascheramento): è un caso particolare dello SNAT, che si ha quando l'ip pubblico da usare non è statico, ma viene assegnato dinamicamente di volta in volta (come quando ci colleghiamo ad Internet via modem). Ciò comporta l'onere aggiuntivo di verificare ogni volta qual'è l'indirizzo IP pubblico assegnato. filter Nella tabella filter si impostano tutte le regole utili per filtrare i pacchetti e decidere se inoltrarli verso la LAN (ACCEPT), scartarli (DROP) o rifiutarli (REJECT) Catene Tutti i pacchetti che transitano per il firewall, oppure che sono originati o sono destinati al firewall stesso (compresi quelli di loopback), vengono analizzati in base a delle catene (delle sequenze) di regole. Esistono una serie di catene predefinite, alle quali è possibile collegare altre catene ausiliarie create dall'utente. catene predefinite Le catene predefinite sono: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING (tutto maiuscolo!). INPUT La catena di input viene percorsa solamente dai pacchetti che hanno come destinazione finale il firewall stesso. OUTPUT La catena di output è percorsa solamente dai pacchetti che sono originati dai processi del firewall stesso pagina 17 di 23

18 FORWARD La catena di forward è percorsa solo dai pacchetti che il firewall si incarica di inoltrare da una rete all'altra attraverso le sue schede di rete. PREROUTING La catena di PREROUTING è percorsa dai pacchetti in ingresso da una qualsiasi interfaccia, prima di essere instradato (in base alla tabella di routing) al firewall stesso o ad un'altra interfaccia. È in questa catena che vanno introdotte le regole di DNAT. POSTROUTING La catena di postrouting è percorsa dai pacchetti in uscita verso una qualsiasi interfaccia, dopo che sono stati instradati (in base alla tabella di routing) all'interfaccia di rete corretta. È in questa catena che vanno introdotte le regole di SNAT o di masquerading. L'immagine seguente schematizza la sequenza di tabelle e catene predefinite che i pacchetti incontrano lungo il loro percorso nel firewall: Ogni regola contiene i seguenti elementi: la tabella in cui deve agire (se non è specificata, viene usata di default la tabella filter) pagina 18 di 23

19 la catena nella quale è inserita le corrispondenze (match) in base alle quali selezionare il pacchetto oppure ignorarlo e lasciarlo passare alla regola successiva lungo la catena l'azione da intraprendere (sui soli pacchetti selezionati) (target) I pacchetti vengono analizzati in sequenza dalle regole presenti nella catena, fino a che non incontrino una regola di cui soddisfano i criteri di corrispondenza. Al pacchetto selezionato viene applicata l'azione definita nel target della regola. I pacchetti che raggiungessero la fine delle catene predefinite INPUT, OUTPUT o FORWARD senza soddisfare alcuna regola, subiranno l'azione definita dalla policy di default (politica predefinita) della catena. Queste policy possono assumere il valore di DROP, nel qual caso il pacchetto sarà scartato, o di ACCEPT, ed il pacchetto sarà accettato ed inoltrato alla sua destinazione. catene create dall'utente Le catene utente sono utili per definire sequenze di regole di filtraggio da applicare in maniera ripetitiva a pacchetti selezionati dalle corrispondenze di altre regole. Hanno un uso simile a quello delle subroutine nei linguaggi di programmazione. I pacchetti che raggiungono la fine delle catene utente tornano alla catena da cui erano stati inviati e continuano a percorrerla. Match I match (corrispondenze) definiscono i criteri in base ai quali vengono selezionati o meno i pacchetti. Ecco alcuni esempi di match: -p, --protocol seleziona i pacchetti in base al protocollo: #iptables -A INPUT -p udp seleziona solo i pacchetti UDP -s, --src, --source seleziona i pacchetti in base all'indirizzo IP di provenienza: #iptables -A INPUT -s! /24 seleziona solo i pacchetti che non provengono dalla rete x -d, --dst, --destination #iptables -A INPUT -d seleziona i pacchetti destinati all'indirizzo IP i, --in-interface #iptables -A INPUT -i eth0 seleziona i pacchetti arrivati dall'interfaccia di rete eth0 -o, --out-interface #iptables -A FORWARD -o eth1 seleziona i pacchetti che devono uscire dall'interfaccia eth1 --sport, --source-port #iptables -A INPUT -p tcp --sport 80 seleziona i pacchetti che provengono da una porta 80/TCP, cioè da un server web --dport, --destination-port #iptables -A INPUT -p tcp --dport 25 seleziona i pacchetti destinati ad una porta 25/TCP, ovvero ad un server SMTP (posta in uscita) --tcp-flags #iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN SYN pagina 19 di 23

20 seleziona solo i pacchetti che abbiano attivo il solo flag SYN tra i flag SYN, ACK e FIN, ovvero i tentativi di instaurare nuove connessioni TCP --icmp-type #iptables -A INPUT -p icmp --icmp-type 8 seleziona i pacchetti ping in uscita --state #iptables -A INPUT -m state --state RELATED,ESTABLISHED seleziona solo i pacchetti appartenenti a connessioni stabilite o correlate -m mac o --mac-source controlla la corrispondenza delle regole delle catene in base all'indirizzo MAC della scheda di provenienza del pacchetto; è utile per impostare le regole su macchine che hanno l'indirizzo IP assegnato dinamicamente (via DHCP). Target I target (bersagli, obiettivi), detti anche jump (salti) stabiliscono che cosa deve fare la regola con ogni pacchetto che soddisfi perfettamente le corrispondenze (implicite o esplicite) stabilite nella regola stessa. I target di base sono: ACCEPT, DROP, REJECT,... o il rilancio del pacchetto verso una qualsiasi catena utente. Inoltre abbiamo i target LOG, MARK, SNAT, DNAT, MASQUERADE, REDIRECT, ed altri... Comandi Ecco un riepilogo dei principali comandi di iptables: -A, --append #iptables -A INPUT... Questo comando aggiunge la regola alla fine della catena quindi sarà l'ultima ad essere verificata. -D, --delete #iptables -D INPUT --dport 80 -j DROP #iptables -D INPUT 1 Questo comando cancella una regola dalla catena di INPUT. Questo può essere fatto in due modi. Nel primo esempio si cancella la regola che ha le caratteristiche riportate; nel secondo si cancella la prima regola della catena. -R, --replace #iptables -R INPUT 3 -s j DROP Questo comando sostituisce la terza regola della catena INPUT con una nuova regola con le caratteritiche descritte -I, --insert #iptables -I INPUT 8 --dport 80 -j ACCEPT Inserisce la nuova regola all'ottava posizione della catena -L, --list #iptables -L INPUT Questo comando mostra la lista di tutte le regole presenti nella catena specificata. Se non si specifica una catena, verranno mostrate le regole di tutte le catene -F, --flush #iptables -F INPUT Questo comando svuota la catena INPUT da tutte le regole presenti ed equivale a cancellare tutte le regole una per una con il comando -D -N, --new-chain #iptables -N allowed pagina 20 di 23

21 Questo comando dice al kernel di creare una nuova catena di nome allowed -X, --delete-chain #iptables -X allowed Cancella la catena allowed dalla tabella. Funziona solo se la catena è gia stata svuotata da tutte le regole. -P, --policy #iptables -P INPUT DROP Questo comando è usato per settare le policy di default per le catene predefinita. Tutti i pacchetti che non soddisfano nessuna regola della catena subiranno questa fine. I target possibili sono solo DROP, ACCEPT e REJECT -E, --rename-chain #iptables -E allowed consentiti Il comando rinomina la catena di nome allowed in consentiti Nella cassetta degli attrezzi... Nella cassetta degli attrezzi non possono mancare tcpdump ed ethereal. tcpdump ethereal IPCop Caratteristiche basilari Basato su GNU/Linux LFS (Linux From Scratch). IPCop è una distribuzione minimale di GNU/Linux. Minimale per questioni di sicurezza: nel kernel appositamente compilato sono state introdotte solo le funzionalità strettamente necessarie all'uso specifico, così come solo i programmi (e le relative librerie) necessari, in ossequio alla regola che meno programmi ci sono, meno possibilità abbiamo che esistano falle di sicurezza. Si installa ed è pronto all'uso in 15 minuti Stateful firewall con supporto per: LAN la rete locale da proteggere WLAN il tronco wireless della rete locale, considerato fidato, ma fino ad un certo punto... DMZ l'area della LAN in cui sono posizionati i server che offrono servizi accessibili da Internet e nella quale, dunque, le regole di filtraggio devono essere meno restrittive. Internet l'inferno là fuori... funzionalità di NAT per Single User Access: permette a tutte le macchine della rete locale di connettersi ad Internet usando un singolo account presso il Provider ed un singolo indirizzo IP. Sfrutta la funzionalità di SNAT (Source network address translation) nel caso si disponga di un indirizzo IP statico o il masquerading nel caso si usi un indirizzo IP dinamico gestione delle connessioni DialUp: automaticamente connette e disconnette il modem o il TA in base alle richieste dei client Port forwarding NAT/PAT : permette di offrire diversi servizi di rete, anche residenti su più server, usando un solo IP pubblico IP Alias: permette ai server in DMZ di rispondere a più indirizzi IP contemporaneamente server DHCP: assegna automaticamente gli indirizzi IP, la netmask, l'indirizzo del gateway e gli indirizzi dei server DNS alle macchine della LAN che ne facciano richiesta ( ottieni automaticamente un indirizzo IP ) pagina 21 di 23

22 server NTP DNS proxy proxy web con squid accetta le richieste di pagine web e provvede al loro download (funzionalità proxy) archivia le pagine in modo che si possa evitare di scaricarle di nuovo nelle richieste successive, riducendo sensibilmente il traffico di rete, soprattutto nell'uso DialUp (funzionalità di cache) permette il controllo della navigazione degli utenti gestione del DNS dinamico: permette di registrare un nome di dominio anche senza disporre di un indirizzo IP statico, sfruttando i servizi forniti da dyndns.org ed altri accesso remoto via SSH: consente di avere accesso alla shell (linea di comando) da remoto in maniera sicura, attraverso un tunnel cifrato, usando un client SSH come OpenSSH client su *nix o PuTTY su win* gestione (anche remota) via web https VPN con IPSec Logging LAN to LAN Road warriors Interoperabile con Windows, Cisco, ecc. visualizzazione grafica del traffico di rete sui vari segmenti visualizzazione grafica del carico di CPU, memoria, dischi, ecc. funzionalità di traffic shaping: consente di limitare la banda a disposizione delle varie connessioni aggiornamenti software via web che si autoinstallano con un clic funzionalità estendibili con software di terze parti è completamente open source con licenza GPL è gratis gira su un PC da rottamare (ed ora anche su SPARC) Vi basta??? IPCop non è l'unica distribuzione firewall proposta dal mondo opensource. Il bazaar è bello perchè è vario, dunque ricco di offerte. Potete date un'occhiata anche a SmoothWall (da cui IPCop deriva) e ad altri, tra cui Astaro... Richieste hardware Minime Tipologie supportate RED In IPCop è denominata RED la connessione che si affaccia ad Internet. Può essere una scheda di rete Ethernet (in caso di connessione via fibra ottica o modem xdsl Ethernet), una connessione USB (nel caso di modem ADSL USB), o seriale (nel caso di connessione via TA ISDN o modem) ORANGE ORANGE DMZ pagina 22 di 23

23 BLUE Il colore BLUE identifica lo spezzone di rete wireless della LAN, di cui ci fidiamo, ma non troppo... GREEN La rete locale da proteggere...passiamo alla pratica: Installazione di IPCop Aprire un vecchio PC Inserire le schede di rete Fare il boot da CD Seguire la procedura di installazione Eseguire il setup Configurare via web Pronti, via!... Dimostrazione pratica di funzionamento accesso ad Internet da LAN accesso a DMZ da Internet e LAN SSH e interfaccia web da remoto statistiche tcpdump con tentativi di accesso da Internet verso porte non autorizzate logging dei tentativi nmap portscan con log di snort pagina 23 di 23