Petra Firewall 2.8. Guida Utente

Транскрипт

1 Petra Firewall 2.8 Guida Utente

2 Petra Firewall 2.8: Guida Utente Copyright 1996, 2002 Link SRL ( Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti i diritti sono riservati. Non è permesso riprodurre e/o distribuire copie di questo documento senza preventiva ed esplicita autorizzazione di Link SRL. Link SRL non fornisce garanzie di nessun tipo circa le informazioni contenute in questo documento, comprese e non sole, le garanzie implicite di commerciabilità e uso per scopi specifici. Link SRL non è responsabile per gli errori contenuti in questo documento o per i danni accidentali conseguenti all uso di questo materiale. Tutti i nomi dei prodotti menzionati in questo documento sono posseduti dai rispettivi proprietari.

3 Sommario Introduzione Prerequisiti Installazione Dati per l installazione Installazione Attivazione di Petra Windows Client Configurazione del Firewall Primo Scenario: realizzazione di una Rete Privata Architettura della soluzione proposta Configurazione di Petra Firewall Prepararsi per la configurazione Configurazione Routing Configurazione Servizi Configurazione dei Filtri Visualizzazione dei filtri Configurazione dei PC della Rete Privata Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Architettura della soluzione proposta Configurazione di Petra Firewall Prepararsi per la configurazione Configurazione Routing Configurazione Servizi Configurazione dei Filtri Visualizzazione dei filtri Configurazione dei servizi della DMZ Configurazione Name Server Pubblico Configurazione via Petra Configurazione Mail Server Pubblico Configurazione via Petra Configurazione Web Server Pubblico Configurazione via Petra Configurazione Ftp Server Pubblico Configurazione via Petra Configurazione dei PC della Rete Privata Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Architettura della soluzione proposta Configurazione di Petra Firewall Prepararsi per la configurazione Configurazione Routing Configurazione Servizi

4 Configurazione dei Filtri Visualizzazione dei filtri Configurazione dei servizi della DMZ e Rete Privata Configurazione Name Server Pubblico Configurazione via Petra Configurazione Mail Server Pubblico Configurazione via Petra Configurazione Web Server Pubblico Configurazione via Petra Configurazione Ftp Server Pubblico Configurazione via Petra Configurazione Name Server Privato Configurazione via Petra Configurazione Mail Server Privato Configurazione via Petra Configurazione Web Server Privato Configurazione via Petra Configurazione dei PC della Rete Privata Configurazione dei moduli opzionali: Proxy e VPN Modulo Proxy Consultazione dei Proxy Report Modulo VPN Manutenzione ordinaria del firewall Administration Tools Reports Attivazione della reportistica Accesso alla reportistica Security Events Ids Reports Access report Logout Modulo proxy Gestione utenti Registrazione di un utente Eliminazione di un utente Modifica di un utente Access control Definizione di una Politica Ordine di valutazione delle politiche Eliminazione di una politica Modifica di una politica Esempi di politiche di accesso Accesso alla Manutenzione

5 Accesso ristretto ad un singolo Ip Manutenzione Remota Scenari Personalizzati Modalità di creazione dei filtri Traffico dal Firewall verso Internet Traffico da Internet verso il Firewall Traffico dalla DMZ verso Internet Traffico da Internet verso la DMZ Traffico dalla Rete Privata verso Internet Traffico da Internet verso la Rete Privata Dettagli Configurazione di Base

6 Lista delle Tabelle 2-1. Configurazione Petra Server Indirizzi IP del Primo scenario Indirizzi IP del secondo scenario Configurazione Indirizzi IP del terzo scenario Configurazione Modulo VPN: filtro da aggiungere Traffico consentito nella configurazione di base Oggetti nella configurazione di base Servizi nella configurazione di base

7 Introduzione Scopo di questo documento è mettere rapidamente il lettore in condizione di configurare un Petra Firewall server per la protezione della propria rete locale. Per maggiori dettagli sulle funzionalità del prodotto si rimanda alla Guida di Riferimento di Petra Windows Client. 7

8 Capitolo 1. Prerequisiti I prerequisiti per l utilizzo di Petra Firewall sono: un PC Server sul quale installare il software Petra Firewall. Tale PC sarà trasformato in un Petra Server; un PC Client con sistema Microsoft (Windows 9x, NT o 2000) collegato alla stessa sottorete del PC Server e fornito di CD-ROM dal quale si svolgerà la configurazione del firewall. In particolare, il PC Server dovrà avere le seguenti caratteristiche hardware: processore Intel 486 o successivi; almeno 32 MB RAM (si suggerisce di usarne almeno 64); un disco da almeno 2 GB; CD-ROM; le schede di rete richieste dall architettura che si vuole realizzare; l hardware deve essere compatibile Linux. 8

9 Capitolo 2. Installazione Vediamo di seguito le operazioni da effettuare per ottenere un installazione funzionante di Petra Firewall Dati per l installazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno richiesti dalla procedura di installazione. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 2-1. Configurazione Petra Server Campo Esempio Vostro valore IP Address Netmask Default Gateway Primary DNS Server Host Name petra 2.2. Installazione Dopo esservi assicurati che il PC Server sia correttamente collegato in rete, è possibile procedere con l installazione del software Petra, come specificato di seguito. 1. Sul PC Server, eseguire il boot da CD-ROM e seguire le istruzioni in linea. La guida completa di installazione è disponibile sul CD-ROM nel file doc/italiano/installazione.htm. Nota: durante la fase di configurazione di rete dell installazione, utilizzare i dati precedentemente predisposti nella Tabella 2-1; Attenzione: questa operazione comporterà la riformattazione di tutti i dischi del PC Server, e quindi la perdita di tutti gli eventuali dati presenti. 2. Sul PC Client della rete locale installare il client di gestione per Windows (Petra Windows Client), utilizzando l installatore disponibile sul CD Petra, "CDRom Drive":\win32\setup. Attenzione: il client di gestione richiede una risoluzione minima di 1024x768. 9

10 Capitolo 2. Installazione 2.3. Attivazione di Petra Windows Client 1. Attivare sul PC Client l applicazione Petra Windows Client 2. Utilizzare il menù File->Connect to... per collegarsi al Server Petra indicando: Host, l indirizzo IP assegnato al Server Petra durante l installazione (es ) Port, 2048 Password, quella specificata come password superuser durante l installazione del Petra Server Nota: Questa operazione richiede che il servizio TCP/IP sia correttamente configurato sul PC Windows. 3. Premere il pulsante OK. 4. Viene presentata una pagina relativa alla licenza d uso. Per accettare i termini della licenza cliccare sul pulsante Accept; 5. Fornire i dati relativi alla Vostra Organizzazione e cliccare sul pulsante Apply: 10

11 Capitolo 2. Installazione Dopo alcuni secondi il processo iniziale di registrazione è completato e il server dà accesso a tutti i menù di configurazione Configurazione del Firewall La configurazione di un firewall è una attività delicata, la cui difficoltà varia in funzione della complessità della topologia della rete e della politica di sicurezza che si intende realizzare. Nei prossimi capitoli vengono presentati alcuni possibili scenari architetturali e, per ognuno di essi, una possibile configurazione del Petra Firewall. Nota: questi scenari hanno l unica finalità di mostrare degli esempi di configurazioni del prodotto in alcune situazioni reali. Per quanto queste configurazioni siano sufficientemente comuni, è possibile che non siano adattabili alla Vostra specifica situazione. 11

12 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata 3.1. Architettura della soluzione proposta In questo primo scenario, rappresentato nella figura seguente, siamo nella situazione in cui i Servizi Internet per la rete locale sono ospitati (hosting) presso un ISP esterno. Il firewall deve permettere ai PC sulla rete privata di accedere ai servizi di Name Server e di Posta Elettronica (pop, imap e SMTP) presso l ISP, di accedere al web tramite protocollo http e https e di accedere a server ftp esterni. Sul firewall viene anche abilitato il servizio DHCP per gestire con semplicità la configurazione TCP/IP dei PC sulla Rete Privata Configurazione di Petra Firewall Prepararsi per la configurazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno necessari durante la configurazione dei Filtri. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. 12

13 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata Tabella 3-1. Indirizzi IP del Primo scenario Nome Esempio Vs. Valore Dominio Internet example.com Rete Privata Netmask rete privata IP Petra su rete privata Rete Pubblica Netmask rete pubblica IP Petra su rete pubblica Identificativo Petra su rete petrapub pubblica Default Gateway Name Server Primario ISP Name Server Secondario ISP ISP Mail Server Configurazione Routing Per configurare il routing procedere nel seguente modo: 1. Selezionare Configuration->Routing e configurare il routing in accordo al Vs. tipo di collegamento Internet. Per i casi in cui è lo stesso Petra Firewall a fare da router verso Internet consultare la documentazione del Capitolo Routing della Guida di Riferimento di Petra Windows Client. Di seguito mostriamo come configurare il routing nel caso in cui si utilizzi un router esterno dedicato, per il collegamento a Internet. Selezionare Lan, premere il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): Type, Ethernet IP Address, l indirizzo dell interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 3-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Pubblica della tabella (vedi Tabella 3-1); Premere il pulsante Apply per confermare i dati. 2. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet in tabella (vedi Tabella 3-1); 13

14 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata Name Servers,i campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP in tabella (vedi Tabella 3-1); eliminare eventuali altri valori presenti nella lista. Premere il pulsante Apply per confermare i dati. 3. Selezionare Configuration->Network fornendo i seguenti dati: IP Address, l indirizzo dell interfaccia verso la Rete Privata; inserire il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 3-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Privata della tabella (vedi Tabella 3-1); Default Gateway, l indirizzo del router verso Internet. Inserire il campo Vs. Valore di Default Gateway della tabella (vedi Tabella 3-1). Premere il pulsante Apply per confermare i dati. 4. Selezionare Services->Dns:Hosts, premere il pulsante Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di Identificativo Petra su rete pubblica della tabella (vedi Tabella 3-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Pubblica; scegliere Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 3-1). Premere il pulsante Apply per confermare i dati. Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Servizi 1. Assicurarsi che i seguenti servizi siano disabilitati, ossia in stato DOWN: Dns Mail Se lo stato fosse UP premere il pulsante DOWN nelle sezioni Status dei relativi pannelli. 2. Selezionare Services->Dhcp e configurare il servizio nel seguente modo: a. selezionare Add nella sezione Network/First IP/Last IP; appare un pannello; b. scegliere il valore Rete Privata nel campo Network; scegliere il primo e l ultimo ip nei successivi due campi presenti nel pannello; c. selezionare OK per confermare i dati inseriti; d. Name Servers, aggiungere i campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP alla lista dei DNS; 14

15 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata e. premere il pulsante Apply per configurare il servizio; f. premere il pulsante UP per attivare il servizio; 3. selezionare Services->Mail:Server e configurare il servizio nel seguente modo: a. indicare nel campo Local Relay l indirizzo specificato in Vs. Valore di ISP Mail Server della tabella (vedi Tabella 3-1). b. indicare nel campo Outgoing Relay l indirizzo specificato in Vs. Valore di ISP Mail Server della tabella (vedi Tabella 3-1) Configurazione dei Filtri Procedere nel seguente modo: 1. selezionare il pannello Acl->General: a. premere il pulsante Load Configuration; b. selezionare la configurazione PrivateNet e premere OK. In tal modo viene caricata una configurazione del firewall che realizza l architettura di questo scenario. Prima di attivare questa configurazione è necessario però personalizzare la configurazione con i dati reali della Vostra rete. Per farlo procedere come segue: 2. selezionare il pannello Acl->Objects; cambiare l indirizzo dei seguenti oggetti, secondo i Vs. valori, come definiti in Tabella 3-1. In particolare: privatenetobj, copiare in Address il campo Vs. Valore di Rete Privata; ispnameserver01obj, copiare in Address il campo Vs. Valore di Name Server Primario ISP; ispnameserver02obj, copiare in Address il campo Vs. Valore di Name Server Secondario ISP; ispmailserverobj, copiare in Address il campo Vs. Valore di ISP Mail Server. Per effettuare l operazione è necessario selezionare ogni oggetto sopraindicato nella lista a sinistra. Dopo la modifica premere il pulsante Apply per registrare il nuovo valore. 3. Selezionare il pulsante Deny nella sezione Default Policy di Acl->General. Premere il pulsante Apply. Nota: selezionando la politica DENY, si blocca tutto il traffico non esplicitamente abilitato. Per questo gli scenari contengono un filtro apposito per permettere la raggiungibilità dai client autorizzati al server petra sul firewall, in modo da poter proseguire la gestione del firewall anche dopo aver attivato la politica DENY. 15

16 Capitolo 3. Primo Scenario: realizzazione di una Rete Privata Attenzione: può capitare però che a causa di errori nella formulazione delle regole, il Petra Windows Client non sia più in condizione di collegarsi al Petra Firewall. In questo caso, per disabilitare manualmente tutti i filtri attivi sul sistema è necessario collegarsi direttamente alla console del firewall come utente root e digitare il seguente comando: service ipfilters stop 4. Attivare il servizio premendo il pulsante UP Visualizzazione dei filtri Per visualizzare i filtri previsti nello scenario selezionare il pannello Acl->Filters e premere il pulsante Show Filters: 3.3. Configurazione dei PC della Rete Privata È necessario configurare i PC della Rete Privata per usare DHCP. Utilizzare l opzione ottieni dinamicamente l IP (o un opzione equivalente) presente sul PC client. Nota: tutte le informazioni aggiuntive per la configurazione di rete sono automaticamente gestite dal servizio DHCP. Pertanto, per i PC client che usano il servizio DHCP non occorre nessun altra indicazione. Se è presente il modulo Proxy è necessario anche riconfigurare il proprio browser perché faccia uso del proxy server (vedi Capitolo 6). 16

17 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata 4.1. Architettura della soluzione proposta In questo secondo scenario, rappresentato nella figura seguente, siamo nella situazione in cui i Servizi Internet sono ospitati in casa, direttamente nella rete che ospita il firewall, anzichè presso un ISP esterno. In questo caso, per aumentare la sicurezza della rete privata, i servizi Internet raggiungibili dall esterno sono ospitati su una rete separata, denominata Rete Demilitarizzata (DMZ). I servizi ospitati sulla DMZ sono il Name Server, il server di posta elettronica (SMTP), il server WWW e il server FTP. Il firewall deve permettere: alle reti esterne di accedere ai servizi pubblici WWW, FTP, DNS e Mailserver (SMTP) sulla DMZ; al DNS Server sulla DMZ di raggiungere i DNS Server dell ISP; al Mail Server sulla DMZ di raggiungere i Mail Server esterni (SMTP); ai PC sulla rete privata di accedere ai servizi di Name Server e di Posta Elettronica sulla DMZ; ai PC sulla rete privata di accedere al server web sulla DMZ per l aggiornamento dei documenti tramite protocollo ftp;. ai PC sulla rete privata di accedere al web tramite protocollo http e https e di accedere a server ftp esterni. 17

18 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Sul firewall resta abilitato il servizio DHCP per gestire con semplicità la configurazione TCP/IP dei PC sulla rete privata Configurazione di Petra Firewall Prepararsi per la configurazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno necessari durante la configurazione dei Filtri. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 4-1. Indirizzi IP del secondo scenario Nome Esempio Vs. Valore Dominio Internet example.com Rete Privata Netmask rete privata IP Petra su rete privata Rete Pubblica Netmask rete pubblica IP Petra su rete pubblica Identificativo Petra su rete petrapub pubblica Default Gateway Rete Demilitarizzata (DMZ) Netmask DMZ IP Petra su DMZ Identificativo Petra su DMZ petradmz Mail Server Pubblico Web Server Pubblico Ftp Server Pubblico Name Server Pubblico Name Server Primario ISP Name Server Secondario ISP Name Server Secondario

19 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Configurazione Routing Per configurare il routing procedere nel seguente modo: 1. Selezionare Configuration->Routing e configurare il routing in accordo al Vs. tipo di collegamento Internet. Per i casi in cui è lo stesso Petra Firewall a fare da router verso Internet consultare la documentazione del Capitolo Routing Guida di Riferimento di Petra Windows Client. Di seguito mostriamo come configurare il routing nel caso in cui si utilizzi un router esterno dedicato, collegato in rete ethernet con il Petra Firewall. Selezionare Lan, premere il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): Type, Ethernet IP Address, l indirizzo dell interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Pubblica della tabella (vedi Tabella 4-1); Premere il pulsante Apply per confermare i dati Premere nuovamente il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): Type, Ethernet; IP Address, l indirizzo dell interfaccia verso la Rete Demilitarizzata (DMZ); inserire il campo Vs. Valore di IP Petra su rete DMZ della tabella (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask Rete DMZ della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. 2. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet in tabella (vedi Tabella 4-1); Name Servers, inserire il campo Vs. Valore di Name Server Pubblico in tabella (vedi Tabella 4-1); eliminare eventuali altri valori presenti nella lista. Premere il pulsante Apply per confermare i dati. 3. Selezionare Configuration->Network fornendo i seguenti dati: IP Address, l indirizzo dell interfaccia verso la Rete Privata; inserire il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Privata della tabella (vedi Tabella 4-1); Default Gateway, l indirizzo del router che gestisce il collegamento a Internet. Inserire il campo Vs. Valore di Default Gateway della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. 19

20 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata 4. Selezionare Services->Dns:Hosts, premere il pulsante Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di Identificativo Petra su rete pubblica della tabella (vedi Tabella 4-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Pubblica; scegliere Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. Premere di nuovo Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete DMZ; inserire il campo Vs. Valore di Identificativo Petra su DMZ della tabella (vedi Tabella 4-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Demilitarizzata (DMZ) ; scegliere Vs. Valore di IP Petra su DMZ della tabella (vedi Tabella 4-1). Premere il pulsante Apply per confermare i dati. Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Servizi 1. Assicurarsi che i seguenti servizi siano disabilitati, ossia in stato DOWN: Dns Mail Se lo stato fosse UP premere il pulsante DOWN nelle sezioni Status dei relativi pannelli. 2. Selezionare Services->Dhcp e configurare il servizio nel seguente modo: a. selezionare Add nella sezione Network/First IP/Last IP; appare un pannello; b. scegliere il valore Rete Privata nel campo Network; scegliere il primo e l ultimo ip nei successivi due campi presenti nel pannello; c. selezionare OK per confermare i dati inseriti; d. Name Servers, aggiungere il campo Vs. Valore di Name Server Pubblico; e. premere il pulsante Apply per configurare il servizio; f. premere il pulsante UP per attivare il servizio; 3. selezionare Services->Mail:Server e configurare il servizio nel seguente modo: a. indicare nel campo Local Relay l indirizzo specificato in Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 4-1). 20

21 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata b. indicare nel campo Outgoing Relay l indirizzo specificato in Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 4-1) Configurazione dei Filtri Procedere nel seguente modo: 1. selezionare il pannello Acl->General: a. premere il pulsante Load Configuration; b. selezionare la configurazione DmzNet1 e premere OK. In tal modo viene caricata una configurazione del firewall che realizza l architettura di questo scenario. Prima di attivare questa configurazione è necessario però personalizzare la configurazione con i dati reali della Vostra rete. Per farlo, procedere come segue: 2. selezionare il pannello Acl->Object; cambiare l indirizzo dei seguenti oggetti, secondo i valori della Tabella 4-1. In particolare: privatenetobj, copiare in Address il campo Vs. Valore di Rete Privata; dmznetobj, copiare in Address il campo Vs. Valore di Rete Demilitarizzata (DMZ); ispnameserver01obj, copiare in Address il campo Vs. Valore di Name Server Primario ISP; ispnameserver02obj, copiare in Address il campo Vs. Valore di Name Server Secondario ISP; dnspubserver, copiare in Address il campo Vs. Valore di Name Server Pubblico; webpubserver, copiare in Address il campo Vs. Valore di Web Server Pubblico; ftppubserver, copiare in Address il campo Vs. Valore di Ftp Server Pubblico; mailpubserver, copiare in Address il campo Vs. Valore di Mail Server Pubblico; dnssecserverobj, copiare in Address il campo Vs. Valore di Name Server Secondario. Per effettuare l operazione è necessario selezionare ogni oggetto sopraindicato nella lista a sinistra. Dopo la modifica premere il pulsante Apply per registrare il nuovo valore. Se uno dei Name Server del Provider svolge funzionalità di Name Server Secondario per il Vs. dominio è necessario aggiungerlo al gruppo secondarydnsservers. Ad esempio, nel caso in cui il Name Server Secondario per il Vs. dominio sia il server identificato dall oggetto ispnameserver01obj bisognerà procedere nel seguente modo: a. selezionare l oggetto secondarydnsservers; b. premere il pulsante Add; c. selezionare l oggetto ispnameserver01obj e premere il pulsante Ok; 21

22 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata d. premere il pulsante Apply per confermare i dati. 3. Selezionare il pulsante Deny nella sezione Default Policy di Acl->General. Premere il pulsante Apply; Nota: attivando la politica DENY, si blocca tutto il traffico non esplicitamente abilitato. Per questo gli scenari contengono un filtro apposito per permettere la raggiungibilità dai client autorizzati al server petra sul firewall, in modo da poter proseguire la gestione del firewall anche dopo aver attivato la politica DENY. Attenzione: può capitare però che a causa di errori nella formulazione delle regole, il Petra Windows Client non sia più in condizione di collegarsi al Petra Firewall. In questo caso, per disabilitare manualmente tutti i filtri attivi sul sistema è necessario collegarsi direttamente alla console del firewall come utente root e digitare il seguente comando: service ipfilters stop 4. Attivare il servizio premendo il pulsante UP Visualizzazione dei filtri Per visualizzare i filtri previsti nello scenario selezionare il pannello Acl->Filters e premere il pulsante Show Filters: 22

23 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata 4.3. Configurazione dei servizi della DMZ Per questo scenario è necessario configurare opportunamente i server dns, mail e web della DMZ. Di seguito sono riportate le caratteristiche essenziali delle configurazioni, facendo riferimento ai Vostri valori come stabilito in Tabella 4-1. Per ogni configurazione verrà riportata, a titolo d esempio, come è possibile realizzarla se i servizi sono gestiti tramite software Petra Configurazione Name Server Pubblico L oggetto Petra si chiama dnspubserver. Occorre configurare il server come primario per il vostro dominio definendo la lista dei nameserver e mailserver secondari. È inoltre necessario attivare la modalità Forwarder Only, indicando come forwarders gli indirizzi corrispondenti ai campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP della tabella (vedi Tabella 4-1). Su questo server devono essere registrati solo tutti gli indirizzi di host appartenenti alla Rete Pubblica. In particolare, tutti gli indirizzi relativi a servizi pubblici, ossia accessibili dall esterno, (web, ftp, dns, mail) devono coincidere col valore del campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 4-1) Configurazione via Petra 1. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 4-1); Name Servers, fornire unicamente l indirizzo Premere il pulsante Apply per confermare i dati. 2. Selezionare Services->Dns:Server indicando: Secondary Name Servers, la lista dei name server secondari per il Vostro dominio nel formato esteso (server_name.dominio). Consultare il proprio Provider per indicazioni al riguardo; Secondary Mail Servers, la lista di mail server secondari per il Vostro dominio nel formato esteso (server_name.dominio). Consultare il proprio Provider per indicazioni al riguardo; Soa options, fornire i valori corretti dei parametri di refresh, retry, expire e minimum. Consultare il proprio Provider per indicazioni al riguardo; Other Networks, aggiungere la rete corrispondente al campo Vs. Valore di Rete Pubblica della tabella (vedi Tabella 4-1); premere il pulsante Apply per confermare i dati. 3. Selezionare Services->Dns:Advanced indicando: 23

24 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Forwarders, premere il pulsante Add e fornire gli indirizzi corrispondenti al campo Vs. Valore di Name Server Primario ISP e Vs. Valore di Name Server Secondario ISP della tabella (vedi Tabella 4-1); premere il pulsante Forwarder Only; premere il pulsante Apply per confermare i dati; se il servizio è in stato down, premere il pulsante UP per attivarlo. 4. Selezionare Services->Dns:Hosts e registrare i seguenti host: Tabella 4-2. Host predefiniti Nome IP Aliases dns mailserver il campo Vs. Valore di IP Petra su Rete Pubblica della tabella (vedi Tabella 4-1) il campo Vs. Valore di IP Petra su Rete Pubblica della tabella (vedi Tabella 4-1) www ftp Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Mail Server Pubblico L oggetto Petra si chiama mailpubserver. I passi da fare sono: configurare il server come Mail Server per il Vs. dominio Internet; se sono attive funzionalità antispam/antirelay assicurarsi che solo i client della Rete Privata siano abilitati ad utilizzare il servizio smtp per la spedizione dei messaggi Configurazione via Petra Selezionare Services->Mail:Anti Relay/Spam Control e procedere nel seguente modo: 1. abilitare il relay per la Rete Privata. Premere il pulsante Add e fornire i seguenti dati: Network, l indirizzo di rete corrispondente al campo Vs. Valore di Rete Privata della tabella (vedi Tabella 4-1); Nota: Devono essere inseriti soltanto i primi tre ottetti dell indirizzo di rete. Così se il valore di Rete Privata è , dovrà essere inserito il valore

25 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata Action, Relay. 2. Premere il pulsante Anti Spam se si desidera attivare la funzionalità antispam (scelta consigliata). 3. Disattivare Relay For Local Network premendo sul bottone nel caso sia selezionato. 4. Premere il pulsante Apply per confermare i dati. 5. Se il servizio è in stato down, premere il pulsante UP per attivarlo Configurazione Web Server Pubblico L oggetto Petra si chiama webpubserver. Occorre configurare il server per utilizzare il nome www come server name (vedi opzione ServerName di apache) o un qualsiasi altro nome registrato nel dns pubblico. Il server sarà accessibile dal resto di Internet come dove vostro_dominio corrisponde al campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 4-1). L accesso al server dai client della Rete Privata sarà possibile richiamando l indirizzo dove IpWebServerPubblico corrisponde al campo Vs. Valore di Web Server Pubblico della tabella (vedi Tabella 4-1) Configurazione via Petra 1. Selezionare Services->Web indicando: Server Name, www; premere il pulsante Apply per confermare i dati. 2. Se il servizio è in stato down, premere il pulsante UP per attivarlo Configurazione Ftp Server Pubblico L oggetto Petra si chiama ftppubserver. Occorre assicurarsi che il servizio Ftp sia attivo sul server Configurazione via Petra Selezionare Services->Ftp. Se il servizio è in stato di down, premere il pulsante UP per attivarlo Configurazione dei PC della Rete Privata 25

26 Capitolo 4. Secondo Scenario: realizzazione di una Rete Privata con Rete Demilitarizzata È necessario configurare i PC della Rete Privata per usare DHCP. Utilizzare l opzione ottieni dinamicamente l IP (o un opzione equivalente) presente sul PC client. Nota: tutte le informazioni aggiuntive per la configurazione di rete sono automaticamente gestite dal servizio DHCP. Pertanto, per i PC client che usano il servizio DHCP non occorre nessun altra indicazione. Se è presente il modulo Proxy è necessario anche riconfigurare il proprio browser perché faccia uso del proxy server (vedi Capitolo 6). È infine necessario configurare i PC per utilizzare il servizio di Posta Elettronica fornito dal server sulla DMZ. Questo si ottiene impostando i seguenti valori: Tabella 4-3. Configurazione Campo Incoming Server Outgoing (Smtp) Server Valore il campo Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 4-1) il campo Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 4-1) 26

27 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata 5.1. Architettura della soluzione proposta Questo terzo scenario rappresenta una evoluzione dello scenario precedente, in cui i servizi sono realizzati sia in versione pubblica (Internet) che privata (Intranet), come rappresentato nella figura seguente. In questo caso spariscono dal firewall servizi come il DHCP e il Proxy server, eventualmente realizzati sulla rete privata. Il firewall deve permettere: alle reti esterne di accedere ai servizi pubblici WWW, FTP, DNS e Mailserver (SMTP) sulla DMZ; ai Server Mail e DNS della rete Privata di interagire con i server Mail e DNS sulla DMZ; al Proxy sulla rete privata di accedere al web tramite protocollo http e https; al DNS Server sulla DMZ di raggiungere i DNS Server dell ISP; 27

28 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata al Mail Server sulla DMZ di raggiungere i Mail Server esterni (SMTP). ai PC sulla rete privata di accedere al server web sulla DMZ per l aggiornamento dei documenti tramite protocollo ftp. ai PC sulla rete privata di accedere a server ftp esterni Configurazione di Petra Firewall Prepararsi per la configurazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno necessari durante la configurazione dei Filtri. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 5-1. Indirizzi IP del terzo scenario Nome Esempio Vs. Valore Dominio Internet example.com Rete Privata Netmask rete privata IP Petra su rete privata Identificativo Petra su rete privata petrapriv Name Server Privato Mail Server Privato Identificativo Mail Server Privato mailserverpriv Proxy Server Privato Rete Pubblica Netmask rete pubblica IP Petra su rete pubblica Identificativo Petra su rete petrapub pubblica Default Gateway Rete Demilitarizzata (DMZ) Netmask DMZ IP Petra su DMZ Identificativo Petra su DMZ petradmz 28

29 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Nome Esempio Vs. Valore Name Server Pubblico Mail Server Pubblico Identificativo Mail Server mailserverpub Pubblico Web Server Pubblico Ftp Server Pubblico Name Server Primario ISP Name Server Secondario ISP Name Server Secondario Configurazione Routing Per configurare il routing procedere nel seguente modo: 1. selezionare Configuration->Routing e configurare il routing in accordo al Vs. tipo di collegamento Internet. Per i casi in cui è lo stesso Petra Firewall a fare da router verso Internet consultare la documentazione del Capitolo Routing Guida di Riferimento di Petra Windows Client. Nel seguito mostriamo come configurare nel caso in cui si utilizzi un router esterno dedicato, collegato in rete ethernet con il Petra Firewall. Selezionare Lan, premere il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): indicare Ethernet nel campo Type; IP Address, l indirizzo dell interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 5-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Pubblica della tabella (vedi Tabella 5-1). Premere il pulsante Apply per confermare i dati. Premere nuovamente il pulsante Add e fornire i seguenti dati (per i campi non menzionati i valori di default sono corretti): indicare Ethernet nel campo Type; IP Address, l indirizzo dell interfaccia verso la Rete Demilitarizzata (DMZ); inserire il campo Vs. Valore di IP Petra su rete DMZ della tabella (vedi Tabella 5-1); Netmask, inserire il campo Vs. Valore di Netmask Rete DMZ della tabella (vedi Tabella 5-1). Premere il pulsante Apply per confermare i dati. 2. Selezionare Configuration->Domain fornendo i seguenti dati: 29

30 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Name, il campo Vs. Valore di Dominio Internet in tabella (vedi Tabella 5-1); Name Servers, inserire il campo Vs. Valore di Name Server Pubblico della tabella (vedi Tabella 5-1); eliminare eventuali altri valori presenti nella lista. Premere il pulsante Apply per confermare i dati. 3. Selezionare Configuration->Network fornendo i seguenti dati: IP Address, l indirizzo dell interfaccia verso la Rete Privata; inserire il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 5-1); Netmask, inserire il campo Vs. Valore di Netmask Rete Privata della tabella (vedi Tabella 5-1); Default Gateway, l indirizzo del router che gestisce il collegamento a Internet. Inserire il campo Vs. Valore di Default Gateway della tabella (vedi Tabella 5-1). Premere il pulsante Apply per confermare i dati. 4. Selezionare Services->Dns:Hosts, premere il pulsante Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di Identificativo Petra su rete pubblica della tabella (vedi Tabella 5-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Pubblica; scegliere Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 5-1). Premere il pulsante Apply per confermare i dati. Premere di nuovo Add e fornire i seguenti dati: Name, nome dell host che identifica l interfaccia verso la Rete DMZ; inserire il campo Vs. Valore di Identificativo Petra su DMZ della tabella (vedi Tabella 5-1); IP, indirizzo IP dell host che identifica l interfaccia verso la Rete Demilitarizzata (DMZ) ; scegliere Vs. Valore di IP Petra su DMZ della tabella (vedi Tabella 5-1). Premere il pulsante Apply per confermare i dati. Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Servizi 1. Assicurarsi che i seguenti servizi siano disabilitati, ossia in stato DOWN: Dns; Dhcp; Mail; 30

31 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Se lo stato fosse UP premere il pulsante DOWN nelle sezioni Status dei relativi pannelli. 2. Selezionare Services->Mail:Server e configurare il servizio nel seguente modo: a. indicare nel campo Local Relay l indirizzo specificato in Vs. Valore di Mail Server Privato della tabella (vedi Tabella 5-1); b. indicare nel campo Outgoing Relay l indirizzo specificato in Vs. Valore di Mail Server Pubblico della tabella (vedi Tabella 5-1). c. premere il pulsante Apply Configurazione dei Filtri Procedere nel seguente modo: 1. Selezionare il pannello Acl->General: a. premere il pulsante Load Configuration; b. selezionare la configurazione DmzNet2 e premere OK. In tal modo viene caricata una configurazione del firewall che realizza l architettura di questo scenario. Prima di attivare questa configurazione è necessario però personalizzare la configurazione con i dati reali della Vostra rete. Per farlo procedere come segue: 2. selezionare il pannello Acl->Objects: cambiare l indirizzo dei seguenti oggetti, secondo i valori della Tabella 5-1. In particolare: privatenetobj, copiare in Address il campo Vs. Valore di Rete Privata; dmznetobj, copiare in Address il campo Vs. Valore di Rete Demilitarizzata (DMZ); ispnameserver01obj, copiare in Address il campo Vs. Valore di Name Server Primario ISP; ispnameserver02obj, copiare in Address il campo Vs. Valore di Name Server Secondario ISP; dnspubserver, copiare in Address il campo Vs. Valore di Name Server Pubblico; webpubserver, copiare in Address il campo Vs. Valore di Web Server Pubblico; ftppubserver, copiare in Address il campo Vs. Valore di Ftp Server Pubblico; mailpubserver, copiare in Address il campo Vs. Valore di Mail Server Pubblico; dnsprivserver, copiare in Address il campo Vs. Valore di Name Server Privato; mailprivserver, copiare in Address il campo Vs. Valore di Mail Server Privato; proxyprivserver, copiare in Address il campo Vs. Valore di Proxy Server Privato; dnssecserverobj, copiare in Address il campo Vs. Valore di Name Server Secondario; 31

32 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Per effettuare l operazione è necessario, per ogni oggetto sopraindicato, selezionarlo nella lista a sinistra. Dopo la modifica premere il pulsante Apply per registrare il nuovo valore. 3. Selezionare il pulsante Deny nella sezione Default Policy di Acl->General. Premere il pulsante Apply. Nota: attivando la politica DENY, si blocca tutto il traffico non esplicitamente abilitato. Per questo gli scenari contengono un filtro apposito per permettere la raggiungibilità dai client autorizzati al server petra sul firewall, in modo da poter proseguire la gestione del firewall anche dopo aver attivato la politica DENY. Attenzione: può capitare però che a causa di errori nella formulazione delle regole, il Petra Windows Client non sia più in condizione di collegarsi al Petra Firewall. In questo caso, per disabilitare manualmente tutti i filtri attivi sul sistema è necessario collegarsi direttamente alla console del firewall come utente root e digitare il seguente comando: service ipfilters stop 4. Attivare il servizio premendo il pulsante UP Visualizzazione dei filtri Per visualizzare i filtri previsti nello scenario selezionare il pannello Acl->Filters e premere il pulsante Show Filters: 32

33 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata 5.3. Configurazione dei servizi della DMZ e Rete Privata Per questo scenario è necessario configurare opportunamente i server dns, mail, web e ftp della Rete Privata e della DMZ. Di seguito sono riportate le caratteristiche essenziali delle configurazioni, facendo riferimento agli oggetti come stabilito in Tabella 5-1. Per ogni configurazione verrà riportata, a titolo d esempio, come è possibile realizzarla se i servizi sono gestiti tramite software Petra Configurazione Name Server Pubblico L oggetto Petra si chiama dnspubserver. Occorre configurare il server come primario per il vostro dominio definendo la lista dei nameserver e mailserver secondari. È inoltre necessario attivare la modalità Forwarder Only, indicando come forwarders gli indirizzi dei campi Vs. Valore di Name Server Primario ISP e Name Server Secondario ISP della tabella (vedi Tabella 5-1). Su questo server devono essere registrati tutti e soli gli indirizzi di host appartenenti alla Rete Pubblica. In particolare, tutti gli indirizzi relativi a servizi pubblici, ossia accessibili dall esterno, (web,dns,mail) devono coincidere con l indirizzo del campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 5-1) Configurazione via Petra 1. Selezionare Configuration->Domain fornendo i seguenti dati: Name, il campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 5-1); Name Servers, inserire Premere il pulsante Apply per confermare i dati. 2. Selezionare Services->Dns:Server indicando: Secondary Name Servers, la lista dei name server secondari per il Vostro dominio nel formato esteso (server_name.dominio). Consultare il proprio Provider per indicazioni al riguardo; Secondary Mail Servers, la lista di mail server secondari per il Vostro dominio nel formato esteso (server_name.dominio). Consultare il proprio Provider per indicazioni al riguardo; Soa options, fornire i valori corretti dei parametri di refresh, retry, expire e minimum. Consultare il proprio Provider per indicazioni al riguardo; Other Networks, aggiungere l indirizzo di rete corrispondente al campo Vs. Valore di Rete Pubblica della tabella (vedi Tabella 5-1; Premere il pulsante Apply per confermare i dati. 3. Selezionare Services->Dns:Advanced indicando: 33

34 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Forwarders, premere il pulsante Add e fornire gli indirizzi corrispondenti al campo Vs. Valore di Name Server Primario ISP e Vs. Valore di Name Server Secondario ISP della tabella (vedi Tabella 5-1); premere il pulsante Forwarder Only; premere il pulsante Apply per confermare i dati; se il servizio è in stato down, premere il pulsante UP per attivarlo. 4. Selezionare Services->Dns:Hosts e registrare i i seguenti host: Tabella 5-2. Host predefiniti Nome IP Aliases dns mailserver mailserverpriv il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 5-1). il campo Vs. Valore di IP Petra su rete pubblica della tabella (vedi Tabella 5-1). il campo Vs. Valore di Mail Server Privato della tabella (vedi Tabella 5-1). www ftp Attenzione: il sistema visualizza un messaggio di warning, è necessario confermare l operazione Configurazione Mail Server Pubblico L oggetto Petra si chiama mailpubserver. I passi da fare sono: configurare il server per redirigere tutte le mail indirizzate a utente@vostro_dominio, dove vostro_dominio corrisponde al campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 5-1), al valore associato all indirizzo IP del Mail Server Privato mailserverpriv; se sono attive funzionalità antispam/antirelay assicurarsi che solo il server mailprivserver sia abilitato ad utilizzare il servizio smtp per la spedizione dei messaggi Configurazione via Petra 1. Selezionare Services->Mail:Server indicando: 34

35 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Local Relay, il valore corrispondente al campo Vs. Valore di Identificativo Mail Server Privato della tabella (vedi Tabella 5-1); premere il pulsante Apply per confermare i dati. 2. Selezionare Services->Mail:Anti Relay/Spam Control e procedere nel seguente modo: premere il pulsante Add e fornire i seguenti dati (questa operazione abilita il relay per il server MailPrivServer ): Network, l indirizzo corrispondente al campo Vs. Valore di Mail Server Privato della tabella (vedi Tabella 5-1); Action, Relay; premere il pulsante Anti Spam se si desidera attivare la funzionalità antispam (scelta consigliata); Rilasciare il pulsante Relay For Local Network; premere il pulsante Apply per confermare i dati. 3. Selezionare Services->Mail:Advanced indicando: Masquerade As, il valore corrispondente al campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 5-1); premere il pulsante Apply per confermare i dati; se il servizio è in stato down, premere il pulsante UP per attivarlo Configurazione Web Server Pubblico L oggetto Petra si chiama webpubserver. Occorre configurare il server per utilizzare il nome www come server name (vedi opzione ServerName di apache) o un qualsiasi altro nome registrato nel dns pubblico. Il server sarà accessibile dal resto di Internet e dai client della Rete Privata come dove vostro_dominio corrisponde al campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 5-1) Configurazione via Petra 1. Selezionare Services->Web indicando: www nel campo Server Name; premere il pulsante Apply per confermare i dati; 2. se il servizio è in stato down, premere il pulsante UP per attivarlo. 35

36 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Configurazione Ftp Server Pubblico L oggetto Petra si chiama ftppubserver. Occorre assicurarsi che il servizio Ftp sia attivo sul server Configurazione via Petra Selezionare Services->Ftp. Se il servizio è in stato di down, premere il pulsante UP per attivarlo Configurazione Name Server Privato L oggetto Petra si chiama dnsprivserver. I passi da fare sono: configurare il server come primario per il Vs dominio. Su questo server devono essere registrati gli indirizzi di host appartenenti alla Rete Privata e l host corrispondente al Server Web Pubblico; attivare la modalità Forwarder Only, indicando come unico forwarder l indirizzo corrispondente al campo Vs. Valore di Name Server Pubblico della tabella (vedi Tabella 5-1) Configurazione via Petra 1. Selezionare Configuration->Domain indicando: Name, il campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 5-1); Name Servers, fornire unicamente l indirizzo ; premere il pulsante Apply per confermare i dati. 2. Selezionare Services->Dhcp e configurare il servizio nel seguente modo: a. selezionare Add nella sezione Network/First IP/Last IP; appare un pannello; b. scegliere la rete corrispondente a Vs. Valore di Rete Privata della tabella (vedi Tabella 5-1) nel campo Network; scegliere il primo e l ultimo ip nei successivi due campi presenti nel pannello; c. selezionare OK per confermare i dati inseriti; d. Name Servers, aggiungere il campo Vs. Valore di Name Server Privato della tabella (vedi Tabella 5-1; e. premere il pulsante Apply per configurare il servizio; f. premere il pulsante UP per attivare il servizio. 3. Selezionare Services->Dns:Server indicando: 36

37 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Soa options, fornire i valori corretti dei parametri di refresh, retry, expire e minimum. Non ci sono vincoli perché il server è privato. È possibile quindi utilizzare i valori di default proposti da Petra; Other Networks, la rete corrispondente al campo Vs. Valore di Rete Demilitarizzata (DMZ) della tabella (vedi Tabella 5-1; premere il pulsante Apply per confermare i dati. 4. Selezionare Services->Dns:Advanced indicando: Forwarders, premere il pulsante Add e fornire l indirizzo corrispondente al campo Vs. Valore di Name Server Pubblico della tabella (vedi Tabella 5-1); premere il pulsante Forwarder Only; premere il pulsante Apply per confermare i dati; se il servizio è in stato down, premere il pulsante UP per attivarlo. 5. Selezionare Services->Dns:Hosts e registrare il seguenti host: Tabella 5-3. Host predefiniti Nome IP Aliases www mailserverpub il campo Vs. Valore di Web Server Pubblico della tabella (vedi Tabella 5-1) il campo Vs. Valore di Identificativo Mail Server Pubblico della tabella (vedi Tabella 5-1) ftp Configurazione Mail Server Privato L oggetto Petra si chiama mailprivserver. Il server deve essere configurato come mail server per il Vs. dominio, corrispondente al campo Vs. Valore di Dominio Internet della tabella (vedi Tabella 5-1) ed è inoltre necessario configurarlo per redirigere tutte le mail indirizzate a utente@altro_dominio al valore associato al Mail Server Pubblico Configurazione via Petra 1. Selezionare Services->Mail:Server indicando: Outgoing Relay, il valore corrispondente al campo Vs. Valore di Identificativo Mail Server Pubblico della tabella (vedi Tabella 5-1); premere il pulsante Apply per confermare i dati. 37

38 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata 2. Selezionare Service->Mail:Advanced indicando: Act as Primary Mailserver for the following domains, premere il pulsante Add e fornire il valore corrispondente al campo Vs. Valore di Identificativo Mail Server Privato della tabella (vedi Tabella 5-1); premere il pulsante Apply per confermare i dati; 3. se il servizio è in stato down, premere il pulsante UP per attivarlo Configurazione Web Server Privato L oggetto Petra si chiama webprivserver. Se esiste un Web Server Privato (chiamiamolo internal-server) occorre configurarlo per distinguerlo dal Web Server Pubblico (chiamiamolo www). Registrare il nuovo nome (internal-web per esempio) come alias di internal-server nel DNS privato. Configurare il web server per usare il nome internal-web come server name (vedi per esempio l opzione ServerName di apache). Il server è accessibile solo per i client della Rete Privata come Configurazione via Petra 1. Selezionare Services->Dns:Host; Selezionare l host corrispondente a internal-server nella lista presente nel pannello; aggiungere internal-web nella lista degli alias presente nella parte destra del pannello; premere il pulsante Apply per confermare i dati. 2. Selezionare Services->Web; indicare server-name nel campo Server Name del pannello; premere il pulsante Apply per confermare i dati. 3. se il servizio è in stato down, premere il pulsante UP per attivarlo Configurazione dei PC della Rete Privata È necessario configurare i PC della Rete Privata per usare DHCP. Utilizzare l opzione ottieni dinamicamente l IP (o un opzione equivalente) presente sul PC client. Nota: tutte le informazioni aggiuntive per la configurazione di rete sono automaticamente gestite dal servizio DHCP. Pertanto, per i PC client che usano il servizio DHCP non occorre nessun altra indicazione. 38

39 Capitolo 5. Terzo Scenario: realizzazione di una Rete Privata con Servizi Interni e Rete Demilitarizzata Se è presente il modulo Proxy è necessario anche riconfigurare il proprio browser perché faccia uso del proxy server (vedi Capitolo 6). È infine necessario configurare i PC per utilizzare il servizio di Posta Elettronica, fornito dal server sulla Rete Privata. Questo si ottiene impostando i seguenti valori: Tabella 5-4. Configurazione Campo Incoming Server Outgoing (Smtp) Server Valore il campo Vs. Valore di Mail Server Privato della tabella (vedi Tabella 5-1) il campo Vs. Valore di Mail Server Privato della tabella (vedi Tabella 5-1) La presenza di un dns interno permette una migliore configurazione dei campi Incoming Server e Outgoing (Smtp) Server utilizzando il nome del mail server interno anzichè un indirizzo, in accordo a quanto registrato nel DNS interno. 39

40 Capitolo 6. Configurazione dei moduli opzionali: Proxy e VPN 6.1. Modulo Proxy Se il modulo Proxy è presente si configura nel seguente modo: 1. se si desidera che il servizio sia utilizzabile solo da utenti autorizzati selezionare Services->Proxy:Server, altrimenti saltare al passo successivo: nella sezione Authentication premere il pulsante Radius; premere il pulsante Apply per confermare il dato; 2. premere il pulsante UP per attivare il servizio. 3. Abilitare il traffico web via proxy e disabilitare il traffico web diretto. Facendo riferimento ai primi due scenari, applicare le modifiche alla configurazione dei filtri indicate di seguito. Nel terzo scenario invece, il proxy è previsto su una macchina della Rete Privata e non sono quindi necessarie modifiche ai filtri. Disattivare il filtro webservice: Attivare filtri enableproxy e proxyservice: Per attivare/disattivare un filtro selezionare Services->Acl:Filters, selezionare il filtro e settare il campo Status 4. Premere il pulsante RESTART per attivare le modifiche. È necessario anche riconfigurare il proprio browser perché faccia uso del proxy server. In questo caso le impostazioni da inserire sono: configurazione manuale del proxy; protocolli che devono essere gestiti via proxy: http e https; indirizzo IP del proxy: il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 3-1). porte da utilizzare: sempre la 8080, cioè la porta predefinita, oppure quella impostata nel pannello Services->Proxy->Server. Attenzione: La modalità configurazione automatica del Proxy su Firewall non è attiva (scenari 1 e 2). 40

41 Capitolo 6. Configurazione dei moduli opzionali: Proxy e VPN Attenzione: In caso di utilizzo del proxy è necessario disabilitare l accesso via Proxy al programma di amministrazioe via Web del Firewall. L amministratore deve quindi settare nel campo No Proxy For l IP del Firewall, come indicato nel campo IP Petra su rete privata della tabella (vedi Tabella 3-1) Consultazione dei Proxy Report Per la consultazione dei report generati consultare la Sezione Modulo VPN Se il modulo Vpn è presente si rimanda al manuale Petra VPN, Guida Utente per effettuarne la configurazione. Il server Petra gestisce in maniera automatica i filtri necessari a far transitare il traffico diretto verso le reti o gli hosts remoti raggiungibili tramite il canale IPSec. È necessario configurare il firewall in modo che permetta soltanto il traffico proveniente dagli altri nodi della VPN relativamente ai seguenti protocolli: IKE (Internet Key Exchange) per la negoziazione delle chiavi; protocollo 50 (ESP); protocollo 51 (AH). Per fare questo creare la seguente regola: Tabella 6-1. Modulo VPN: filtro da aggiungere Nome Provenienza Destinazione Azione Servizio Descrizione enablevpn allnets firewall Accept IPSEC Abilitazione del traffico VPN Importante: La regola appena illustrata è particolarmente adatta nel caso in cui siano state configurate connessioni di tipo road warrior. Al contrario, se le connessioni VPN sono ristrette ad un insieme definito di server, è consigliabile indicare come Provenienza anzichè l oggetto allnets un oggetto contenente gli indirizzi IP dei VPN server che partecipano alla rete privata virtuale. 41

42 Capitolo 7. Manutenzione ordinaria del firewall In questa sezione mostriamo come l amministratore del Firewall Petra possa gestire il sistema tramite l applicazione web di gestione, accessibile alla URL oppure, se è attivo https, Per attivare il protocollo https è necessario seguire le istruzioni contenute nella sezione Servizio Web della Guida di Riferimento di Petra Windows Client. Mostriamo inoltre, a titolo di esempio, quali passi sono necessari per aggiungere un filtro all interno degli scenari precedentemente descritti. Per entrare nell ambiente di gestione fornire la password di superuser, utilizzata in fase di installazione, e premere il pulsante Conferma. 42

43 Capitolo 7. Manutenzione ordinaria del firewall Nota: con un click sul pulsante Help (in basso a sinistra) si accede alla documentazione in linea. Vediamo di seguito quali sono le funzionalità a disposizione dell amministratore Administration Tools Occasionalmente può essere necessario effettuare operazioni quali: arrestare Petra Firewall; riavviare Petra Firewall; riavviare i servizi di Petra Firewall; L accesso a queste operazioni si ottiene tramite il pulsante Admin Tools del menù principale selezionando il pulsante corrispondente all operazione desiderata: In questo pannello pannello sono presenti le seguenti sezioni: 43

44 Capitolo 7. Manutenzione ordinaria del firewall Indirizzo IP interfaccia principale, l indirizzo di rete del server Petra; Indirizzo IP connessione dialup, nel caso sia attiva una connessione dialup, viene visualizzato l indirizzo IP ad essa associato; Report , indirizzo dell utente che riceverà messaggi riguardanti i reports. Per modificarlo premere il pulsante Modifica. Manutenzione, contiene i seguenti pulsanti: 1. Services Reset riavvia i servizi di Petra Firewall (senza riavviare il sistema); 2. Computer Reset riavvia Petra Firewall; 3. Computer Halt arresta Petra Firewall; 4. Change Report Password permette di modificare la password che protegge gli Access Reports e i Security Events. Attenzione: Prima di spegnere il server che ospita Petra Firewall è necessario eseguire la procedura di Halt (Arresto). In caso contrario, è possibile che alla riaccensione il sistema non sia in uno stato corretto e che i dati sul sistema possano risultare danneggiati Reports Attivazione della reportistica Per attivare i sistemi di reportistica disponibili sul Firewall Petra procedere nel seguente modo: selezionare Acl->General, quindi nella sezione Reports: premere il pulsante Enabled; inserire una password nel campo Password per l accesso ai report via web; premere il pulsante Apply per confermare i dati; effettuare un restart del servizio premendo sul pulsante Restart. selezionare Logs, e nel campo Address indicare l indirizzo di posta elettronica al quale inviare i reports I Report Security Events vengono generati ad intervalli di sei ore. Oltre alla consultazione via Web, più dettagliata e descritta di seguito, vengono inviati per posta elettronica all indirizzo specificato. I Report Ids Reports vengono invece generati in tempo reale e sono consultabili solo via Web, come descritto di seguito. 44

45 Capitolo 7. Manutenzione ordinaria del firewall Se è attivo il modulo Proxy, per attivare il sistema di reportistica relativo all uso di Internet da parte degli utenti procedere nel seguente modo: selezionare Proxy->Server, quindi nella sezione Reports: premere il pulsante Enabled; inserire una password nel campo Password per l accesso ai report via web; premere il pulsante Apply per confermare i dati; Accesso alla reportistica Il pulsante Reports apre una nuova finestra in cui è possibile visualizzare i seguenti reports: Security Events (vedi la Sezione ); Ids Reports (vedi la Sezione ); Access Reports (vedi la Sezione ) Security Events Petra Firewall dispone di un meccanismo di reportistica in grado di generare dettagliati report HTML, consultabili quindi con un normale browser web. Questi report riportano tutto il traffico che Firewall Petra ha intercettato come non permesso, e quindi, dopo averlo ignorato, ne registra le caratteristiche. Per visualizzare i dati raccolti, premere il pulsante Reports del menù principale. Appare una finestra, premere il pulsante Security Events in alto a destra. Comparirà un pannello di richiesta, inserire petra nel campo nome utente e la password specificata nel pannello Acl->General di Petra Windows Client, nel campo password e premere OK. 45

46 Capitolo 7. Manutenzione ordinaria del firewall È possibile modificare la password usando Change Report Password nel pannello Admin Tools. Selezionare quindi il link corrispondente alla tipologia di report interessata. Attenzione: i report sono generati ogni sei ore, mentre ad intervalli più lunghi (il periodo è quello definito in Rotation Frequency in Security->Logs) viene generato un report unico riguardante l intero periodo. 46

47 Capitolo 7. Manutenzione ordinaria del firewall Nota: si può accedere direttamente ai report alla URL: oppure, se è attivo il servizio https, Per attivare il protocollo https è necessario seguire le istruzioni contenute nella sezione Servizio Web della Guida di Riferimento di Petra Windows Client Ids Reports Petra Firewall colleziona informazioni sul traffico, potenzialmente illegale che rileva. Per visualizzare i dati raccolti, premere il pulsante Reports del menù principale. Appare una finestra, premere il pulsante Ids Reports in alto a destra. Comparirà un pannello di richiesta, inserire petra nel campo nome utente e la password specificata nel pannello Acl->General di Petra Windows Client, nel campo password e premere OK. 47

48 Capitolo 7. Manutenzione ordinaria del firewall È possibile modificare la password usando Change Report Password nel pannello Admin Tools. Il pannello visualizza una tabella contenente una riga per ogni evento di intrusion rilevato. In ogni riga sono presenti i seguenti campi: Date, data in cui l evento è stato rilevato; Attack, tipo di operazione individuata; Source Host, indirizzo IP da cui l operazione è partita; Source Port, porta da cui l operazione è partita; Destination Host, indirizzo IP a cui l operazione era diretta; Destination Port, porta a cui l operazione era diretta; Selezionando il campo Date di un evento si ottiene una pagina contenente una descrizione dettagliata dell evento stesso. Invece selezionando Source Host di un evento viene eseguita una query al servizio Internet whois che restituisce il nome dell organizzazione a cui è stata assegnata la rete a cui appartiene l host da cui è partita l evento di intrusion. 48

49 Capitolo 7. Manutenzione ordinaria del firewall Nota: si può accedere direttamente ai report alla URL: oppure, se è attivo il servizio https, Per attivare il protocollo https è necessario seguire le istruzioni contenute nella sezione Servizio Web della Guida di Riferimento di Petra Windows Client Access report Petra Firewall è in grado di raccogliere dati sull utilizzo di Internet da parte degli utenti. Per visualizzare i dati raccolti, premere il pulsante Reports del menù principale. Appare una finestra, premere il pulsante Access Report in alto a destra. Comparirà un pannello di richiesta, inserire petra nel campo nome utente e la password specificata nel pannello Proxy di Petra Windows Client, nel campo password e premere OK. >È possibile modificare la password usando Change Report Password nel pannello Admin Tools. Selezionare poi il link corrispondente al periodo di interesse. 49

50 Capitolo 7. Manutenzione ordinaria del firewall Una nuova pagina mostra i dati dettagliati riferiti all utente selezionato: 50

51 Capitolo 7. Manutenzione ordinaria del firewall Attenzione: i report sono generati con la frequenza definita nel campo Rotation Frequency del pannello Security->Logs. Nota: Per accedere direttamente ai report, senza utilizzare lo strumento di amministrazione, accedere alla URL oppure, se è attivo il servizio https, a Per attivare il protocollo https è necessario seguire le istruzioni contenute nella sezione Servizio Web della Guida di Riferimento di Petra Windows Client Logout Al termine delle operazioni di gestione è opportuno effettuare il logout (disconnessione) dall interfaccia di gestione. Per questo premere il pulsante logout del menù principale e confermare l operazione. Per utilizzare nuovamente le funzionalità dell interfaccia Web di Petra Firewall sarà necessaria una nuova autenticazione Modulo proxy Se il modulo Proxy è presente, saranno disponibili ulteriori operazioni di seguito descritte Gestione utenti La gestione degli utenti, su Petra Firewall è necessaria soltanto nel caso in cui si voglia far accedere gli utenti della propria rete alle risorse Internet previa autenticazione (vedi Capitolo 6). L accesso alla gestione utenti si ottiene tramite il pulsante Users del menù principale. Il pannello che viene presentato è diviso in due sezioni: a sinistra l elenco degli utenti già registrati, a destra i dati relativi all utente selezionato Registrazione di un utente Per aggiungere un utente premere il pulsante Add; nella parte destra del pannello è possibile inserire i dati degli utenti: 51

52 Capitolo 7. Manutenzione ordinaria del firewall Username è l identificativo con cui l utente è riconosciuto da Petra Firewall; in particolare è utilizzato per la creazione della casella di posta elettronica; l indirizzo di posta elettronica dell utente sarà quindi username@nome-dominio dove nome-dominio corrisponderà al dominio impostato al momento dell installazione; Nome e Cognome nome e cognome dell utente; Password serve per l accesso ai servizi autenticati di Petra Firewall; l utente dovrà utilizzarla come password per l accesso alla rete; Conferma Password inserire nuovamente la password per la verifica di correttezza; Al termine dell inserimento dei dati, premere il pulsante Conferma per registrare l utente Eliminazione di un utente Per rimuovere un utente selezionarlo nella lista a sinistra nel pannello e premere Remove Modifica di un utente 52

53 Capitolo 7. Manutenzione ordinaria del firewall Per modificare i dati relativi a un utente esistente è necessario selezionare l utente nella lista a sinistra nel pannello e modificare i suoi dati Access control In molti casi può essere necessario limitare l utilizzo di Internet ad alcuni siti o ad alcuni utenti. A questo scopo Petra Firewall offre, nel pannello Access control, la possibilità di definire politiche che permettono di regolare l accesso ai siti web da parte dell utenza. L accesso alla gestione delle politiche si ottiene tramite il pulsante Access control del menù principale. Il pannello che viene presentato è diviso in due sezioni: a sinistra l elenco delle politiche già registrate, a destra i dati relativi alla politica selezionata Definizione di una Politica Per aggiungere una politica procedere nel modo seguente: premere il pulsante Add; nella parte destra del pannello è possibile inserire i dati della nuova politica: 53

54 Capitolo 7. Manutenzione ordinaria del firewall Nome della Politica è il nome con la quale la politica sarà poi elencata nella parte sinistra del pannello; scegliere se inserire tutti gli utenti o un sottoinsieme di utenti nel gruppo: nel primo caso selezionare: A tutti gli utenti; nel secondo caso selezionare: Agli utenti identificati dalla lista seguente e aggiungere gli utenti appartenenti al gruppo utilizzando il pulsante Add (usare lo username dell utente); scegliere se inserire un gruppo di domini ammessi o un gruppo di domini vietati: nel primo caso selezionare È consentito accedere ai seguenti siti e aggiungere l elenco dei domini o siti permessi utilizzando il pulsante Add; nel secondo caso selezionare: Non è consentito accedere ai seguenti siti e aggiungere l elenco dei siti vietati utilizzando il pulsante Add; ogni singola politica definisce interamente lo spazio Web per gli utenti selezionati. Questo significa che se si seleziona un gruppo di siti vietati il resto dei siti Internet risulta accessibile; viceversa, se si seleziona un gruppo di siti consentiti, il resto dei siti Internet risulta inaccessibile. Nota: da notare infine che una politica che nega o consente accesso ad un insieme vuoto di siti viene interpretata, rispettivamente, come accesso consentito o negato a tutto lo spazio Web Internet. L acecsso al server Web locale è invece sempre garantito a tutti gli utenti locali. premere Conferma per creare la politica. Attenzione: i domini sono i soli nomi dei siti o dei domini, senza altre indicazioni; ad esempio è corretto indicare link.it oppure mentre non è corretto indicare o Ordine di valutazione delle politiche Le politiche attive sul sistema vengono mostrate nella lista a sinistra e vengono valutate in modo sequenziale. Questo significa che la prima politica della lista ha la priorità maggiore, l ultima ha la priorità più bassa. È possibile modificare l ordine di priorità utilizzando i pulsanti UP/DOWN. Attenzione: Se un utente compare in più politiche vale quella a priorità maggiore Eliminazione di una politica Per rimuovere una politica selezionarla nella lista a sinistra nel pannello e premere Remove Modifica di una politica Per modificare i dati relativi a una politica esistente è necessario selezionare la politica nella lista a sinistra nel pannello e modificare i suoi dati. 54

55 Capitolo 7. Manutenzione ordinaria del firewall Esempi di politiche di accesso In questa sezione vengono mostrati alcuni esempi di definizione di politiche di accesso. Supponiamo di voler consentire a tutti gli utenti della rete locale l accesso esclusivamente al sito locale e a siti dei partners: e È sufficiente inserire la politica Partners: premere Add per introdurre la nuova politica; inserire nel campo nome Partners; selezionare A tutti gli utenti; selezionare È consentito accedere ai seguenti siti; aggiungere partner1.com e partner2.com nella lista dei domini; premere Conferma; come ne caso precedente ma concedendo al gruppo Dirigenti un accesso senza limitazioni al servizio Web. Procedere come segue: 55

56 Capitolo 7. Manutenzione ordinaria del firewall premere Add per introdurre una nuova politica; inserire nel campo Nome Dirigenti; selezionare Agli utenti identificati dalla lista seguente; inserire la lista degli utenti mediante il pulsante Add. Tali utenti sono i login name assegnati ai componenti del gruppo Dirigenti; selezionare Non è consentito accedere ai seguenti siti; premere Conferma; aggiungere la politica Partners, come nel caso precedente; (se era già stata inserita la politica Partners, utilizzare i pulsanti UP/DOWN per ottenere la lista ordinata: Dirigenti,Partners); come nel caso precedente ma concedendo al gruppo Sviluppatori un accesso senza limitazioni al servizio Web con l esclusione dei siti e Procedere come segue: premere Add per introdurre una nuova politica; inserire nel campo Nome Sviluppatori; selezionare Agli utenti identificati dalla lista seguente; inserire la lista degli utenti mediante il pulsante Add. Tali utenti sono i login name assegnati ai componenti del gruppo Sviluppatori; selezionare Non è consentito accedere ai seguenti siti; aggiungere vietato1.com e vietato2.com nella lista dei domini; premere Conferma; aggiungere le politica Dirigenti e partners, come nel caso precedente; (se erano già state inserite, utilizzare i pulsanti UP/DOWN per ottenere la lista ordinata: Dirigenti,Sviluppatori,Partners); Da notare che se un utente è contemporanemante dirigente e sviluppatore con una lista ordinata: Dirigenti, Sviluppatori, Partners ottiene diritti di accesso come dirigente, mentre con una lista: Sviluppatori, Dirigenti, Partners ottiene diritti di accesso come sviluppatore Accesso alla Manutenzione In tutti gli scenari proposti l accesso alla Manutenzione del Firewall è garantito per l intera Rete Privata. È possibile però modificare questa politica limitando l accesso a uno o più indirizzi della Rete Privata o dando accesso anche dall esterno in caso di Mantenzione Remota Accesso ristretto ad un singolo Ip Procedere nel seguente modo: 56

57 Capitolo 7. Manutenzione ordinaria del firewall 1. selezionare Acl->Objects 2. selezionare l oggetto Top, premere il pulsante Add e inserire un oggetto di tipo Host con l indirizzo da abilitare 3. premere il pulsante Apply per registrare il nuovo oggetto 4. selezionare l oggetto FirewallAdmin 5. premere il pulsante Add e selezionare dalla lista il nuovo oggetto 6. visualizzare il nuovo contenuto dell oggetto FirewallAdmin premendo il pulsante "+". Deve mostrare gli oggetti PrivateNet e il nuovo oggetto inserito al passo precedente 7. selezionare ora l oggetto PrivateNet ed eliminarlo dal contenuto premendo il pulsante Remove 8. visualizzare nuovamente il contenuto di PrivateNet per verificarne la nuova definizione 9. premere il pulsante Restart per attivare la modifica Manutenzione Remota In modo del tutto analogo è possibile modificare il contenuto dell oggetto FirewallAdmin per dare accesso alla manutenzione del Firewall ad uno o più indirizzi remoti. In questo caso si tratta di definire uno o più oggetti di tipo Host (o un oggetto di tipo Net) e aggiungerlo all oggetto FirewallAdmin. 57

58 Capitolo 8. Scenari Personalizzati In questo capitolo vengono mostrati alcuni esempi di gestione di servizi aggiuntivi rispetto a quelli già contenuti negli scenari proposti nei capitoli precedenti. Per maggiori informazioni sulle modalità di configurazione del firewall si rimanda al manuale di riferimento del Windows Client, in particolare alle sezioni "Routing Multihome" e "Security->Acl". Nota: per creare un proprio scenario completamente nuovo, si suggerisce comunque di partire dalla configurazione di base, che contiene alcune definizioni di servizi, oggetti e filtri di uso comune. La configurazione di Base può essere attivata selezionando Base nella sezione Load Configuration del pannello Acl->General. I dettagli della configurazione di base, comune anche a tutti gli altri scenari, sono presentati in la Sezione Modalità di creazione dei filtri Traffico dal Firewall verso Internet In questo esempio vogliamo consentire al Petra Firewall, di accedere al servizio di aggiornamento del software on-line. Il servizio viene erogato tramite protocollo http dal sito web ufficiale di Link.it ( Procedere nel modo seguente: 1. selezionare Acl->Objects e creare un nuovo oggetto di tipo Hostche identifichi il server per l aggiornamento software di Petra Firewall, utilizzando i dati nella seguente tabella: Tabella 8-1. Oggetto da creare per abilitare aggiornamento Firewall Nome Tipo Valore Descrizione linkupdatesserver Host server per aggiornamento software Petra Firewall ( selezionare l oggetto "Top" nella lista a sinistra del pannello, premere il pulsante Add; utilizzare i campi Nome, Tipo e Valore della tabella inserendoli nel pannello (il campo Descrizione è opzionale); premere il pulsante Apply per registrare l oggetto creato; 2. selezionare il pannello Acl->Filters: creare il filtro descritto nella seguente tabella: Tabella 8-2. Abilitazione aggiornamento software Petra 58

59 Capitolo 8. Scenari Personalizzati Nome Provenienza Destinazione Azione Servizio Descrizione updatespetra firewall linkupdatesserver accept http Abilito aggiornamento software Petra Per creare il filtro: a. premere il pulsante Add; b. utilizzare il campi Nome, Provenienza (Source Object nel pannello), Destinazione (To Object nel pannello), Azione e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Apply; selezionare il filtro appena creato e spostarlo, utilizzando i tasti di ordinamento, fino a collocarlo prima degli altri filtri che abilitato il servizio HTTP. Nel caso del secondo e terzo scenario dovrà essere posizionato prima del filtro denominato publicwebservice; premere Apply per confermare la modifica; effettuare un restart del servizio Acl premendo il pulsante Restart del pannello Acl per rendere operative le modifiche apportate Traffico da Internet verso il Firewall In questo esempio vogliamo consentire ad uno specifico host di accedere alla manutenzione del firewall, tramite le applicazioni di gestione. Attenzione: Gli scenari propongono già il gruppo FirewallAdmin e il filtro admin dedicati alla Manutenzione. In queste configurazioni pertanto, per abilitare un host alla Manutenzione del Firewall, è sufficiente inserire l oggetto nel gruppo FirewallAdmin (pannello Acl->Objects). Procedere nel modo seguente: 1. selezionare Acl->Objects e creare un nuovo oggetto di tipo Hostche identifichi il sistema al quale permettere accesso alle funzioni di Manutenzione del Firewall: Tabella 8-3. Oggetto da creare per la manutenzione remota del Firewall Nome Tipo Valore Descrizione remotemantainer Host sistema autorizzato alla Manutenzione Remota 59

60 Capitolo 8. Scenari Personalizzati selezionare l oggetto "Top" nella lista a sinistra del pannello, premere il pulsante Add; utilizzare i campo Nome, Tipo e Valore della tabella inserendoli nel pannello (il campo Descrizione è opzionale); premere il pulsante Apply per registrare l oggetto creato; 2. selezionare il pannello Acl->Filters: creare il filtro descritto nella seguente tabella: Tabella 8-4. Abilitazione Manutenzione Remota Nome Provenienza Destinazione Azione Servizio Descrizione remotemaintenance remotemantainer firewall accept FirewallAdminServices Abilito Manutenzione Remota Per creare il filtro: a. premere il pulsante Add; b. utilizzare il campi Nome, Provenienza (Source Object nel pannello), Destinazione (To Object nel pannello), Azione e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Apply; selezionare il filtro appena creato e spostarlo, utilizzando i tasti di ordinamento, fino a collocarlo prima degli altri filtri che abilitato il servizio HTTP. Nel caso del secondo e terzo scenario dovrà essere posizionato prima del filtro denominato publicwebservice; premere Apply per confermare la modifica; effettuare un restart del servizio Acl premendo il pulsante Restart del pannello Acl per rendere operative le modifiche apportate Traffico dalla DMZ verso Internet In questo esempio vogliamo consentire ad un server posizionato in DMZ di accedere agli aggiornamenti del proprio software antivirus, accessibili via protocollo http su Internet. Procedere nel seguente modo: 1. selezionare Acl->Objects e creare un nuovo oggetto che identifichi il server sul quale si trovano gli aggiornamenti per il software AntiVirus che si deve aggiornare, utilizzando i dati nella seguente tabella: 60

61 Capitolo 8. Scenari Personalizzati Tabella 8-5. Oggetto da creare per abilitare aggiornamento AntiVirus Nome Tipo Valore Descrizione antivirusupdatesserver Host server per aggiornamento software AntiVirus selezionare l oggetto "Top" nella lista a sinistra del pannello, premere il pulsante Add; utilizzare i campo Nome, Tipo e Valore della tabella inserendoli nel pannello (il campo Descrizione è opzionale); premere il pulsante Apply per registrare l oggetto creato; 2. selezionare il pannello Acl->Filters: creare il filtro descritto nella seguente tabella: Tabella 8-6. Abilitazione aggiornamento AntiVirus Nome Provenienza Destinazione Azione Servizio Descrizione updatesantivirus webpubserver antivirusupdatesserver Proxy:transparent Type:generic http Abilito aggiornamento AntiVirus Per creare il filtro: a. premere il pulsante Add; b. utilizzare il campi Nome, Provenienza (Source Object nel pannello), Destinazione (To Object nel pannello) e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. nella sezione Action del pannello selezionare Proxy, quindi premere il pulsante Proxy Properties per definire le sue proprietà (indicate nello stesso campo della tabella): selezionare il pulsante Transparent, quindi generic nella sezione Proxy Type, infine selezionare il pulsante Disabled nella sezione Preserve sender address; selezionare OK per confermare; d. premere il pulsante Apply; selezionare il filtro appena creato e spostarlo, utilizzando i tasti di spostamento, fino a collocarlo prima degli altri filtri che abilitano il servizio HTTP. Nel caso del secondo e terzo scenario dovrà essere posizionato prima del filtro denominato publicwebservice; premere Apply per confermare la modifica; 61

62 Capitolo 8. Scenari Personalizzati effettuare un restart del servizio Acl premendo il pulsante Restart del pannello Acl per rendere operative le modifiche apportate Traffico da Internet verso la DMZ In questo esempio vogliamo pubblicare un secondo server Web nella DMZ. Procedere nel modo seguente: 1. selezionare Acl->Objects e creare un nuovo oggetto di tipo Hostche identifichi il nuovo Web Server da pubblicare: Tabella 8-7. Oggetto da creare per la pubblicazione di un nuovo Web Server Nome Tipo Valore Descrizione www1 Host Secondo web Server su DMZ selezionare l oggetto "Top" nella lista a sinistra del pannello, premere il pulsante Add; utilizzare i campi Nome, Tipo e Valore della tabella inserendoli nel pannello (il campo Descrizione è opzionale); premere il pulsante Apply per registrare l oggetto creato; 2. selezionare il pannello Acl->Filters: creare il filtro descritto nella seguente tabella: Tabella 8-8. Pubblicazione Secondo Web Server in DMZ Nome Provenienza Destinazione Azione Servizio Descrizione publicwebservice1 allnets firewall Proxy:transparent Type:generic WebService Pubblicazione Secondo Web in DMZ Per creare il filtro: a. premere il pulsante Add; b. utilizzare il campi Nome, Provenienza (Source Object nel pannello), Destinazione (To Object nel pannello) e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. nella sezione Action del pannello selezionare Proxy, quindi premere il pulsante Proxy Properties per definire le sue proprietà (indicate nello stesso campo della tabella): selezionare il pulsante Redirect, selezionare generic nella sezione Proxy Type, selezionare l oggetto www1 nel campo Destination:Object; 62

63 Capitolo 8. Scenari Personalizzati selezionare OK per confermare; d. premere il pulsante Apply; premere Apply per confermare la modifica; effettuare un restart del servizio Acl premendo il pulsante Restart del pannello Acl per rendere operative le modifiche apportate. Nota: questo filtro utilizza nel campo Source Object l oggetto predefinito allnets che identifica "qualsiasi provenienza", nel nostro caso "Internet". Inoltre utilizza nel campo Service il gruppo di servizi WebService, che comprende i protocolli http e https. In questo modo qualsiasi host su Internet viene abilitato a raggiungere il server in DMZ utilizzando il protocollo http o https Traffico dalla Rete Privata verso Internet In questo esempio vogliamo consentire ai sistemi della Rete Privata l uso del servizio News, non presente negli scenari proposti. In questo caso, prima di poter creare il filtro, dobbiamo creare il nuovo servizio nntp e l oggetto che identifica il server news del Provider. Procedere nel seguente modo: 1. selezionare Acl->Services: creare il filtro descritto nella seguente tabella: Tabella 8-9. Creazione del servizio News Nome Tipo Porte Sorgente Porte Destinazione Protocolli Descrizione nntp tcp Inferior:1024, Superior:65535 Inferior:119, Superior:119 Proto:0,Icmp Type:0,Icmp Code:0 Servizio News selezionare l oggetto "Top" nella lista a sinistra del pannello, premere il pulsante Add; utilizzare i campi della tabella inserendoli nel pannello (il campo Descrizione è opzionale); premere il pulsante Apply per registrare il servizio; premere Apply per confermare la modifica; effettuare un restart del servizio Acl premendo il pulsante Restart del pannello Acl per rendere operative le modifiche apportate. 2. selezionare Acl->Objects e creare un nuovo oggetto di tipo Host: 63

64 Capitolo 8. Scenari Personalizzati Tabella Oggetto da creare per il servizio News Nome Tipo Valore Descrizione news.mioprovider.it Host News server del Provider selezionare l oggetto "Top" nella lista a sinistra del pannello, premere il pulsante Add; utilizzare i campo Nome, Tipo e Valore della tabella inserendoli nel pannello (il campo Descrizione è opzionale); premere il pulsante Apply per registrare l oggetto creato; 3. selezionare il pannello Acl->Filters: creare il filtro descritto nella seguente tabella: Tabella Abilitazione servizio News Nome Provenienza Destinazione Azione Servizio Descrizione NewsService PrivateNets news.mioprovider.it Proxy:transparent Type:generic nttp Servizio News per la Rete Privata Per creare il filtro: a. premere il pulsante Add; b. utilizzare il campi Nome, Provenienza (Source Object nel pannello), Destinazione (To Object nel pannello) e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. nella sezione Action del pannello selezionare Proxy, quindi premere il pulsante Proxy Properties per definire le sue proprietà (indicate nello stesso campo della tabella): selezionare il pulsante Transparent, quindi generic nella sezione Proxy Type, infine selezionare il pulsante Disabled nella sezione Preserve sender address; selezionare OK per confermare; d. premere il pulsante Apply; premere Apply per confermare la modifica; effettuare un restart del servizio Acl premendo il pulsante Restart del pannello Acl per rendere operative le modifiche apportate. 64

65 Capitolo 8. Scenari Personalizzati Nota: Nel caso si abbia accesso a più server News è consigliabile creare più oggetti di tipo Host che li identificano e raggrupparli in un gruppo (un oggetto di tipo Group). In questo caso il filtro di abilitazione del servizio utilizza il gruppo nel campo To Objects. Questo evita di creare un filtro per ogni server News Traffico da Internet verso la Rete Privata Anche se è possibile abilitare questo tipo di traffico sul Firewall, si raccomanda di utilizzare una VPN per gestire questo tipo di traffico. Per informazioni sulla realizzazione di una VPN in Petra si rimanda alla documentazione del Modulo VPN per Petra Firewall Dettagli Configurazione di Base Questo capitolo descrive alcuni filtri predefiniti, comuni a tutti e tre gli scenari proposti. I filtri predefiniti riguardano funzionalità generali. Lo scopo di questi filtri è permettere un uso corretto dei servizi Internet senza introdurre ritardi nelle comunicazioni dovuti all impossibilita di utilizzare i messaggi del protocollo icmp (protocollo di servizio del livello Internet). Le seguenti tabelle riportano il dettaglio del traffico, dei servizi e degli oggetti utilizzati in questi filtri. Tabella Traffico consentito nella configurazione di base Nome Provenienza Destinazione Azione Servizio Descrizione WORLD_ REJECTED_ SERVICES WORLD_ ACCEPTED_ SERVICES allnets allnets reject WORLD_ REJEC- TED_ SERVICES allnets allnets accept WORLD_ ACCEP- TED_ SERVICES Servizi da rifiutare Servizi da accettare LOOPBACK loopback loopback accept any Abilitazione del loopback Tabella Oggetti nella configurazione di base Oggetto Tipo Valore Descrizione allnets Net /0 Indica tutte le possibili reti 65

66 Capitolo 8. Scenari Personalizzati Oggetto Tipo Valore Descrizione loopback Net /8 Rete di loopback, indica il sistema stesso Tabella Servizi nella configurazione di base Servizio Tipo Valore Descrizione WORLD_ ACCEPTED_ Group icmp_t0 icmp_t3 icmp_t8 Servizi (icmp) abilitati SERVICES (*) icmp_t11 icmp_t12 WORLD_ REJECTED_ SERVICES Group auth Servizi da rifiutare perché troppo informativi any any Indica tutti i possibili servizi IPSEC Group ESP AH IKE Servizi IPSEC Nota: (*) i servizi di tipo icmp sono registrati nella forma icmp_tt[c] dove: T indica il numero del type C (facoltativo) indica il numero del code. Se non è presente indica tutti i servizi icmp con type T Per una descrizione dettagliata dei servizi icmp si rimanda alla Internet Assigned Numbers Authority ( In questa configurazione è stata selezionata la gestione automatica del meccanismo di antispoofing, realizzata selezionando il pulsante Auto nel pannello Acl->Spoofing di Petra Internet Firewall. 66

67