Petra Firewall 2.8. Guida Utente

Transcript

1 Petra Firewall 2.8 Guida Utente

2 Petra Firewall 2.8: Guida Utente Copyright 1996, 2002 Link SRL ( Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti i diritti sono riservati. Non è permesso riprodurre e/o distribuire copie di questo documento senza preventiva ed esplicita autorizzazione di Link SRL. Link SRL non fornisce garanzie di nessun tipo circa le informazioni contenute in questo documento, comprese e non sole, le garanzie implicite di commerciabilità e uso per scopi specifici. Link SRL non è responsabile per gli errori contenuti in questo documento o per i danni accidentali conseguenti all uso di questo materiale. Tutti i nomi dei prodotti menzionati in questo documento sono posseduti dai rispettivi proprietari.

3 Sommario Introduzione Prerequisiti Installazione Dati per l installazione Installazione Attivazione di Petra Windows Client Configurazione del Firewall Primo Scenario: realizzazione di una Rete Privata Architettura della soluzione proposta Configurazione di Petra Firewall Prepararsi per la configurazione Configurazione Routing Configurazione Servizi Configurazione dei Filtri Visualizzazione dei filtri Configurazione dei PC della Rete Privata Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Architettura della soluzione proposta Configurazione di Petra Firewall Prepararsi per la configurazione Configurazione Routing Configurazione Servizi Configurazione dei Filtri Visualizzazione dei filtri Configurazione dei servizi della DMZ Configurazione Name Server Pubblico Configurazione via Petra Configurazione Mail Server Pubblico Configurazione via Petra Configurazione Web Server Pubblico Configurazione via Petra Configurazione Ftp Server Pubblico Configurazione via Petra Configurazione dei PC della Rete Privata Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Architettura della soluzione proposta Configurazione di Petra Firewall Prepararsi per la configurazione Configurazione Routing Configurazione Servizi

4 Configurazione dei Filtri Visualizzazione dei filtri Configurazione dei servizi della DMZ e Rete Privata Configurazione Name Server Pubblico Configurazione via Petra Configurazione Mail Server Pubblico Configurazione via Petra Configurazione Web Server Pubblico Configurazione via Petra Configurazione Ftp Server Pubblico Configurazione via Petra Configurazione Name Server Privato Configurazione via Petra Configurazione Mail Server Privato Configurazione via Petra Configurazione Web Server Privato Configurazione via Petra Configurazione dei PC della Rete Privata Configurazione dei moduli opzionali: Proxy e VPN Modulo Proxy Consultazione dei Proxy Report Modulo VPN Manutenzione ordinaria del firewall Administration Tools Reports Attivazione della reportistica Accesso alla reportistica Security Events Ids Reports Access report Logout Modulo proxy Gestione utenti Registrazione di un utente Eliminazione di un utente Modifica di un utente Access control Definizione di una Politica Ordine di valutazione delle politiche Eliminazione di una politica Modifica di una politica Esempi di politiche di accesso Accesso alla Manutenzione

5 Accesso ristretto ad un singolo Ip Manutenzione Remota Scenari Personalizzati Modalità di creazione dei filtri Traffico dal Firewall verso Internet Traffico da Internet verso il Firewall Traffico dalla DMZ verso Internet Traffico da Internet verso la DMZ Traffico dalla Rete Privata verso Internet Traffico da Internet verso la Rete Privata Dettagli Configurazione di Base

6 Lista delle Tabelle 2-1. Configurazione Petra Server Indirizzi IP del Primo scenario Indirizzi IP del secondo scenario Configurazione Indirizzi IP del terzo scenario Configurazione Modulo VPN: filtro da aggiungere Traffico consentito nella configurazione di base Oggetti nella configurazione di base Servizi nella configurazione di base

7 Introduzione Scopo di questo documento è mettere rapidamente il lettore in condizione di configurare un Petra Firewall server per la protezione della propria rete locale. Per maggiori dettagli sulle funzionalità del prodotto si rimanda alla Guida di Riferimento di Petra Windows Client. 7

8 Capitolo 1. Prerequisiti I prerequisiti per l utilizzo di Petra Firewall sono: un PC Server sul quale installare il software Petra Firewall. Tale PC sarà trasformato in un Petra Server; un PC Client con sistema Microsoft (Windows 9x, NT o 2000) collegato alla stessa sottorete del PC Server e fornito di CD-ROM dal quale si svolgerà la configurazione del firewall. In particolare, il PC Server dovrà avere le seguenti caratteristiche hardware: processore Intel 486 o successivi; almeno 32 MB RAM (si suggerisce di usarne almeno 64); un disco da almeno 2 GB; CD-ROM; le schede di rete richieste dall architettura che si vuole realizzare; l hardware deve essere compatibile Linux. 8

9 Capitolo 2. Installazione Vediamo di seguito le operazioni da effettuare per ottenere un installazione funzionante di Petra Firewall Dati per l installazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno richiesti dalla procedura di installazione. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 2-1. Configurazione Petra Server Campo Esempio Vostro valore IP Address Netmask Default Gateway Primary DNS Server Host Name petra 2.2. Installazione Dopo esservi assicurati che il PC Server sia correttamente collegato in rete, è possibile procedere con l installazione del software Petra, come specificato di seguito. 1. Sul PC Server, eseguire il boot da CD-ROM e seguire le istruzioni in linea. La guida completa di installazione è disponibile sul CD-ROM nel file doc/italiano/installazione.htm. Nota: durante la fase di configurazione di rete dell installazione, utilizzare i dati precedentemente predisposti nella Tabella 2-1; Attenzione: questa operazione comporterà la riformattazione di tutti i dischi del PC Server, e quindi la perdita di tutti gli eventuali dati presenti. 2. Sul PC Client della rete locale installare il client di gestione per Windows (Petra Windows Client), utilizzando l installatore disponibile sul CD Petra, "CDRom Drive":\win32\setup. Attenzione: il client di gestione richiede una risoluzione minima di 1024x768. 9

10 Capitolo 2. Installazione 2.3. Attivazione di Petra Windows Client 1. Attivare sul PC Client l applicazione Petra Windows Client 2. Utilizzare il menù File->Connect to... per collegarsi al Server Petra indicando: Host, l indirizzo IP assegnato al Server Petra durante l installazione (es ) Port, 2048 Password, quella specificata come password superuser durante l installazione del Petra Server Nota: Questa operazione richiede che il servizio TCP/IP sia correttamente configurato sul PC Windows. 3. Premere il pulsante OK. 4. Viene presentata una pagina relativa alla licenza d uso. Per accettare i termini della licenza cliccare sul pulsante Accept; 5. Fornire i dati relativi alla Vostra Organizzazione e cliccare sul pulsante Apply: 10

11 Capitolo 2. Installazione Dopo alcuni secondi il processo iniziale di registrazione è completato e il server dà accesso a tutti i menù di configurazione Configurazione del Firewall La configurazione di un firewall è una attività delicata, la cui difficoltà varia in funzione della complessità della topologia della rete e della politica di sicurezza che si intende realizzare. Nei prossimi capitoli vengono presentati alcuni possibili scenari architetturali e, per ognuno di essi, una possibile configurazione del Petra Firewall. Nota: questi scenari hanno l unica finalità di mostrare degli esempi di configurazioni del prodotto in alcune situazioni reali. Per quanto queste configurazioni siano sufficientemente comuni, è possibile che non siano adattabili alla Vostra specifica situazione. 11

12 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata 3.1. Architettura della soluzione proposta In questo primo scenario, rappresentato nella figura seguente, siamo nella situazione in cui i Servizi Internet per la rete locale sono ospitati (hosting) presso un ISP esterno. Il firewall deve permettere ai PC sulla rete privata di accedere ai servizi di Name Server e di Posta Elettronica (pop, imap e SMTP) presso l ISP, di accedere al web tramite protocollo http e https e di accedere a server ftp esterni. Sul firewall viene anche abilitato il servizio DHCP per gestire con semplicità la configurazione TCP/IP dei PC sulla Rete Privata Configurazione di Petra Firewall Prepararsi per la configurazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno necessari durante la configurazione dei Filtri. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. 12

13 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata Tabella 3-1. Indirizzi IP del Primo scenario Nome Esempio Vs. Valore Dominio Internet example.com Rete Privata Netmask rete privata IP Petra su rete privata Rete Pubblica Netmask rete pubblica IP Petra su rete pubblica Identificativo Petra su rete petrapub pubblica Default Gateway Name Server Primario ISP Name Server Secondario ISP ISP Mail Server Configurazione Routing Per configurare il routing procedere nel seguente modo: 1. Selezionare Configuration->Routing e configurare il routing in accordo al Vs. tipo di collegamento Internet. Per i casi in cui è lo stesso Petra Firewall a fare da router verso Internet consultare la documentazione del Capitolo Routing della Guida di Riferimento di Petra Windows Client. Di seguito mostriamo come configurare il routing nel caso in cui si utilizzi un router esterno dedicato, per il collegamento a Internet. Selezionare Lan, premere il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): Type, Ethernet IP Address, l indirizzo dell interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 3-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Pubblica della tabella (vedi Tabella 3-1); Premere il pulsante Apply per confermare i dati. 2. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet in tabella (vedi Tabella 3-1); 13

14 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata Name Servers,i campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP in tabella (vedi Tabella 3-1); eliminare eventuali altri valori presenti nella lista. Premere il pulsante Apply per confermare i dati. 3. Selezionare Configuration->Network fornendo i seguenti dati: IP Address, l indirizzo dell interfaccia verso la Rete Privata; inserire il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 3-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Privata della tabella (vedi Tabella 3-1); Default Gateway, l indirizzo del router verso Internet. Inserire il campo Vs. Valore di Default Gateway della tabella (vedi Tabella 3-1). Premere il pulsante Apply per confermare i dati. 4. Selezionare Services->Dns:Hosts, premere il pulsante Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di Identificativo Petra su rete pubblica della tabella (vedi Tabella 3-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Pubblica; scegliere Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 3-1). Premere il pulsante Apply per confermare i dati. Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Servizi 1. Assicurarsi che i seguenti servizi siano disabilitati, ossia in stato DOWN: Dns Mail Se lo stato fosse UP premere il pulsante DOWN nelle sezioni Status dei relativi pannelli. 2. Selezionare Services->Dhcp e configurare il servizio nel seguente modo: a. selezionare Add nella sezione Network/First IP/Last IP; appare un pannello; b. scegliere il valore Rete Privata nel campo Network; scegliere il primo e l ultimo ip nei successivi due campi presenti nel pannello; c. selezionare OK per confermare i dati inseriti; d. Name Servers, aggiungere i campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP alla lista dei DNS; 14

15 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata e. premere il pulsante Apply per configurare il servizio; f. premere il pulsante UP per attivare il servizio; 3. selezionare Services->Mail:Server e configurare il servizio nel seguente modo: a. indicare nel campo Local Relay l indirizzo specificato in Vs. Valore di ISP Mail Server della tabella (vedi Tabella 3-1). b. indicare nel campo Outgoing Relay l indirizzo specificato in Vs. Valore di ISP Mail Server della tabella (vedi Tabella 3-1) Configurazione dei Filtri Procedere nel seguente modo: 1. selezionare il pannello Acl->General: a. premere il pulsante Load Configuration; b. selezionare la configurazione PrivateNet e premere OK. In tal modo viene caricata una configurazione del firewall che realizza l architettura di questo scenario. Prima di attivare questa configurazione è necessario però personalizzare la configurazione con i dati reali della Vostra rete. Per farlo procedere come segue: 2. selezionare il pannello Acl->Objects; cambiare l indirizzo dei seguenti oggetti, secondo i Vs. valori, come definiti in Tabella 3-1. In particolare: privatenetobj, copiare in Address il campo Vs. Valore di Rete Privata; ispnameserver01obj, copiare in Address il campo Vs. Valore di Name Server Primario ISP; ispnameserver02obj, copiare in Address il campo Vs. Valore di Name Server Secondario ISP; ispmailserverobj, copiare in Address il campo Vs. Valore di ISP Mail Server. Per effettuare l operazione è necessario selezionare ogni oggetto sopraindicato nella lista a sinistra. Dopo la modifica premere il pulsante Apply per registrare il nuovo valore. 3. Selezionare il pulsante Deny nella sezione Default Policy di Acl->General. Premere il pulsante Apply. Nota: selezionando la politica DENY, si blocca tutto il traffico non esplicitamente abilitato. Per questo gli scenari contengono un filtro apposito per permettere la raggiungibilità dai client autorizzati al server petra sul firewall, in modo da poter proseguire la gestione del firewall anche dopo aver attivato la politica DENY. 15

16 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata Attenzione: può capitare però che a causa di errori nella formulazione delle regole, il Petra Windows Client non sia più in condizione di collegarsi al Petra Firewall. In questo caso, per disabilitare manualmente tutti i filtri attivi sul sistema è necessario collegarsi direttamente alla console del firewall come utente root e digitare il seguente comando: service ipfilters stop 4. Attivare il servizio premendo il pulsante UP Visualizzazione dei filtri Per visualizzare i filtri previsti nello scenario selezionare il pannello Acl->Filters e premere il pulsante Show Filters: 3.3. Configurazione dei PC della Rete Privata È necessario configurare i PC della Rete Privata per usare DHCP. Utilizzare l opzione ottieni dinamicamente l IP (o un opzione equivalente) presente sul PC client. Nota: tutte le informazioni aggiuntive per la configurazione di rete sono automaticamente gestite dal servizio DHCP. Pertanto, per i PC client che usano il servizio DHCP non occorre nessun altra indicazione. Se è presente il modulo Proxy è necessario anche riconfigurare il proprio browser perché faccia uso del proxy server (vedi Capitolo 6). 16

17 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata 4.1. Architettura della soluzione proposta In questo secondo scenario, rappresentato nella figura seguente, siamo nella situazione in cui i Servizi Internet sono ospitati in casa, direttamente nella rete che ospita il firewall, anzichè presso un ISP esterno. In questo caso, per aumentare la sicurezza della rete privata, i servizi Internet raggiungibili dall esterno sono ospitati su una rete separata, denominata Rete Demilitarizzata (DMZ). I servizi ospitati sulla DMZ sono il Name Server, il server di posta elettronica (SMTP), il server WWW e il server FTP. Il firewall deve permettere: alle reti esterne di accedere ai servizi pubblici WWW, FTP, DNS e Mailserver (SMTP) sulla DMZ; al DNS Server sulla DMZ di raggiungere i DNS Server dell ISP; al Mail Server sulla DMZ di raggiungere i Mail Server esterni (SMTP); ai PC sulla rete privata di accedere ai servizi di Name Server e di Posta Elettronica sulla DMZ; ai PC sulla rete privata di accedere al server web sulla DMZ per l aggiornamento dei documenti tramite protocollo ftp;. ai PC sulla rete privata di accedere al web tramite protocollo http e https e di accedere a server ftp esterni. 17

18 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Sul firewall resta abilitato il servizio DHCP per gestire con semplicità la configurazione TCP/IP dei PC sulla rete privata Configurazione di Petra Firewall Prepararsi per la configurazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno necessari durante la configurazione dei Filtri. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 4-1. Indirizzi IP del secondo scenario Nome Esempio Vs. Valore Dominio Internet example.com Rete Privata Netmask rete privata IP Petra su rete privata Rete Pubblica Netmask rete pubblica IP Petra su rete pubblica Identificativo Petra su rete petrapub pubblica Default Gateway Rete Demilitarizzata (DMZ) Netmask DMZ IP Petra su DMZ Identificativo Petra su DMZ petradmz Mail Server Pubblico Web Server Pubblico Ftp Server Pubblico Name Server Pubblico Name Server Primario ISP Name Server Secondario ISP Name Server Secondario

19 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Configurazione Routing Per configurare il routing procedere nel seguente modo: 1. Selezionare Configuration->Routing e configurare il routing in accordo al Vs. tipo di collegamento Internet. Per i casi in cui è lo stesso Petra Firewall a fare da router verso Internet consultare la documentazione del Capitolo Routing Guida di Riferimento di Petra Windows Client. Di seguito mostriamo come configurare il routing nel caso in cui si utilizzi un router esterno dedicato, collegato in rete ethernet con il Petra Firewall. Selezionare Lan, premere il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): Type, Ethernet IP Address, l indirizzo dell interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Pubblica della tabella (vedi Tabella 4-1); Premere il pulsante Apply per confermare i dati Premere nuovamente il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): Type, Ethernet; IP Address, l indirizzo dell interfaccia verso la Rete Demilitarizzata (DMZ); inserire il campo Vs. Valore di IP Petra su rete DMZ della tabella (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask Rete DMZ della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. 2. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet in tabella (vedi Tabella 4-1); Name Servers, inserire il campo Vs. Valore di Name Server Pubblico in tabella (vedi Tabella 4-1); eliminare eventuali altri valori presenti nella lista. Premere il pulsante Apply per confermare i dati. 3. Selezionare Configuration->Network fornendo i seguenti dati: IP Address, l indirizzo dell interfaccia verso la Rete Privata; inserire il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Privata della tabella (vedi Tabella 4-1); Default Gateway, l indirizzo del router che gestisce il collegamento a Internet. Inserire il campo Vs. Valore di Default Gateway della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. 19

20 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata 4. Selezionare Services->Dns:Hosts, premere il pulsante Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di Identificativo Petra su rete pubblica della tabella (vedi Tabella 4-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Pubblica; scegliere Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. Premere di nuovo Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete DMZ; inserire il campo Vs. Valore di Identificativo Petra su DMZ della tabella (vedi Tabella 4-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Demilitarizzata (DMZ) ; scegliere Vs. Valore di IP Petra su DMZ della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Servizi 1. Assicurarsi che i seguenti servizi siano disabilitati, ossia in stato DOWN: Dns Mail Se lo stato fosse UP premere il pulsante DOWN nelle sezioni Status dei relativi pannelli. 2. Selezionare Services->Dhcp e configurare il servizio nel seguente modo: a. selezionare Add nella sezione Network/First IP/Last IP; appare un pannello; b. scegliere il valore Rete Privata nel campo Network; scegliere il primo e l ultimo ip nei successivi due campi presenti nel pannello; c. selezionare OK per confermare i dati inseriti; d. Name Servers, aggiungere il campo Vs. Valore di Name Server Pubblico; e. premere il pulsante Apply per configurare il servizio; f. premere il pulsante UP per attivare il servizio; 3. selezionare Services->Mail:Server e configurare il servizio nel seguente modo: a. indicare nel campo Local Relay l indirizzo specificato in Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 4-1). 20

21 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata b. indicare nel campo Outgoing Relay l indirizzo specificato in Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 4-1) Configurazione dei Filtri Procedere nel seguente modo: 1. selezionare il pannello Acl->General: a. premere il pulsante Load Configuration; b. selezionare la configurazione DmzNet1 e premere OK. In tal modo viene caricata una configurazione del firewall che realizza l architettura di questo scenario. Prima di attivare questa configurazione è necessario però personalizzare la configurazione con i dati reali della Vostra rete. Per farlo, procedere come segue: 2. selezionare il pannello Acl->Object; cambiare l indirizzo dei seguenti oggetti, secondo i valori della Tabella 4-1. In particolare: privatenetobj, copiare in Address il campo Vs. Valore di Rete Privata; dmznetobj, copiare in Address il campo Vs. Valore di Rete Demilitarizzata (DMZ); ispnameserver01obj, copiare in Address il campo Vs. Valore di Name Server Primario ISP; ispnameserver02obj, copiare in Address il campo Vs. Valore di Name Server Secondario ISP; dnspubserver, copiare in Address il campo Vs. Valore di Name Server Pubblico; webpubserver, copiare in Address il campo Vs. Valore di Web Server Pubblico; ftppubserver, copiare in Address il campo Vs. Valore di Ftp Server Pubblico; mailpubserver, copiare in Address il campo Vs. Valore di Mail Server Pubblico; dnssecserverobj, copiare in Address il campo Vs. Valore di Name Server Secondario. Per effettuare l operazione è necessario selezionare ogni oggetto sopraindicato nella lista a sinistra. Dopo la modifica premere il pulsante Apply per registrare il nuovo valore. Se uno dei Name Server del Provider svolge funzionalità di Name Server Secondario per il Vs. dominio è necessario aggiungerlo al gruppo secondarydnsservers. Ad esempio, nel caso in cui il Name Server Secondario per il Vs. dominio sia il server identificato dall oggetto ispnameserver01obj bisognerà procedere nel seguente modo: a. selezionare l oggetto secondarydnsservers; b. premere il pulsante Add; c. selezionare l oggetto ispnameserver01obj e premere il pulsante Ok; 21

22 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata d. premere il pulsante Apply per confermare i dati. 3. Selezionare il pulsante Deny nella sezione Default Policy di Acl->General. Premere il pulsante Apply; Nota: attivando la politica DENY, si blocca tutto il traffico non esplicitamente abilitato. Per questo gli scenari contengono un filtro apposito per permettere la raggiungibilità dai client autorizzati al server petra sul firewall, in modo da poter proseguire la gestione del firewall anche dopo aver attivato la politica DENY. Attenzione: può capitare però che a causa di errori nella formulazione delle regole, il Petra Windows Client non sia più in condizione di collegarsi al Petra Firewall. In questo caso, per disabilitare manualmente tutti i filtri attivi sul sistema è necessario collegarsi direttamente alla console del firewall come utente root e digitare il seguente comando: service ipfilters stop 4. Attivare il servizio premendo il pulsante UP Visualizzazione dei filtri Per visualizzare i filtri previsti nello scenario selezionare il pannello Acl->Filters e premere il pulsante Show Filters: 22

23 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata 4.3. Configurazione dei servizi della DMZ Per questo scenario è necessario configurare opportunamente i server dns, mail e web della DMZ. Di seguito sono riportate le caratteristiche essenziali delle configurazioni, facendo riferimento ai Vostri valori come stabilito in Tabella 4-1. Per ogni configurazione verrà riportata, a titolo d esempio, come è possibile realizzarla se i servizi sono gestiti tramite software Petra Configurazione Name Server Pubblico L oggetto Petra si chiama dnspubserver. Occorre configurare il server come primario per il vostro dominio definendo la lista dei nameserver e mailserver secondari. È inoltre necessario attivare la modalità Forwarder Only, indicando come forwarders gli indirizzi corrispondenti ai campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP della tabella (vedi Tabella 4-1). Su questo server devono essere registrati solo tutti gli indirizzi di host appartenenti alla Rete Pubblica. In particolare, tutti gli indirizzi relativi a servizi pubblici, ossia accessibili dall esterno, (web, ftp, dns, mail) devono coincidere col valore del campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 4-1) Configurazione via Petra 1. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 4-1); Name Servers, fornire unicamente l indirizzo Premere il pulsante Apply per confermare i dati. 2. Selezionare Services->Dns:Server indicando: Secondary Name Servers, la lista dei name server secondari per il Vostro dominio nel formato esteso (server_name.dominio). Consultare il proprio Provider per indicazioni al riguardo; Secondary Mail Servers, la lista di mail server secondari per il Vostro dominio nel formato esteso (server_name.dominio). Consultare il proprio Provider per indicazioni al riguardo; Soa options, fornire i valori corretti dei parametri di refresh, retry, expire e minimum. Consultare il proprio Provider per indicazioni al riguardo; Other Networks, aggiungere la rete corrispondente al campo Vs. Valore di Rete Pubblica della tabella (vedi Tabella 4-1); premere il pulsante Apply per confermare i dati. 3. Selezionare Services->Dns:Advanced indicando: 23

24 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Forwarders, premere il pulsante Add e fornire gli indirizzi corrispondenti al campo Vs. Valore di Name Server Primario ISP e Vs. Valore di Name Server Secondario ISP della tabella (vedi Tabella 4-1); premere il pulsante Forwarder Only; premere il pulsante Apply per confermare i dati; se il servizio è in stato down, premere il pulsante UP per attivarlo. 4. Selezionare Services->Dns:Hosts e registrare i seguenti host: Tabella 4-2. Host predefiniti Nome IP Aliases dns mailserver il campo Vs. Valore di IP Petra su Rete Pubblica della tabella (vedi Tabella 4-1) il campo Vs. Valore di IP Petra su Rete Pubblica della tabella (vedi Tabella 4-1) www ftp Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Mail Server Pubblico L oggetto Petra si chiama mailpubserver. I passi da fare sono: configurare il server come Mail Server per il Vs. dominio Internet; se sono attive funzionalità antispam/antirelay assicurarsi che solo i client della Rete Privata siano abilitati ad utilizzare il servizio smtp per la spedizione dei messaggi Configurazione via Petra Selezionare Services->Mail:Anti Relay/Spam Control e procedere nel seguente modo: 1. abilitare il relay per la Rete Privata. Premere il pulsante Add e fornire i seguenti dati: Network, l indirizzo di rete corrispondente al campo Vs. Valore di Rete Privata della tabella (vedi Tabella 4-1); Nota: Devono essere inseriti soltanto i primi tre ottetti dell indirizzo di rete. Così se il valore di Rete Privata è , dovrà essere inserito il valore