Petra Firewall 3.1. Guida Utente

Petra Firewall 3.1 Guida Utente

Petra Firewall 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti i diritti sono riservati. Non è permesso riprodurre e/o distribuire copie di questo documento senza preventiva ed esplicita autorizzazione di Link SRL. Link SRL non fornisce garanzie di nessun tipo circa le informazioni contenute in questo documento, comprese e non sole, le garanzie implicite di commerciabilità e uso per scopi specifici. Link SRL non è responsabile per gli errori contenuti in questo documento o per i danni accidentali conseguenti all uso di questo materiale. Tutti i nomi dei prodotti menzionati in questo documento appartengono ai rispettivi proprietari.

Sommario Introduzione... 5 1. Prerequisiti... 6 2. Installazione... 7 2.1. Dati per l installazione... 7 2.2. Installazione... 7 2.3. Configurazione del Firewall... 7 2.4. Default di configurazione... 8 3. Primo Scenario: Small Office... 9 3.1. Architettura della soluzione proposta... 9 3.2. Configurazione di Petra Firewall... 9 3.2.1. Prepararsi per la configurazione... 9 3.2.2. Configurazione Generale... 10 3.2.3. Configurazione Routing... 10 3.2.4. Configurazione Servizi... 13 3.2.5. Configurazione dei Filtri... 14 3.3. Configurazione dei PC della Rete Privata... 17 4. Secondo Scenario: Web Server... 19 4.1. Architettura della soluzione proposta... 19 4.2. Configurazione di Petra Firewall... 20 4.2.1. Prepararsi per la configurazione... 20 4.2.2. Configurazione Routing... 20 4.2.3. Configurazione dei Filtri... 21 4.2.4. Variazione dello scenario Web Server: un solo IP pubblico... 23 4.3. Configurazione dei PC della Rete Privata... 25 5. Scenari Personalizzati... 27 5.1. Modalità di creazione dei filtri... 27 5.1.1. Traffico dal Firewall verso Internet... 27 5.1.2. Traffico da Internet verso il Firewall... 28 5.1.3. Connessioni attraverso il Firewall (Rete Interna -> Rete Esterna)... 29 5.1.4. Connessioni attraverso il Firewall (Rete Esterna -> Rete Interna con IP privato)... 30 5.1.5. Connessioni attraverso il Firewall (Rete Esterna -> Rete Interna con IP pubblico)... 31 5.2. Modalità di creazione dei servizi... 32 5.3. Dettagli Configurazione di Base... 33 6. Manutenzione ordinaria del firewall... 36 6.1. Reportistica... 36 6.1.1. Attivazione e accesso... 36 6.1.2. Eventi di Sicurezza... 37 6.1.3. Ids (Intrusion Detection System)... 37 6.2. Strumenti di Amministrazione... 39 3

Lista delle Tabelle 2-1. Configurazione Petra Firewall... 7 3-1. Indirizzi IP del Primo scenario... 9 4-1. Indirizzi IP del Secondo scenario... 20 4-2. Indirizzi IP del Secondo scenario, DMZ con IP Privati... 23 5-12. Traffico consentito nella configurazione di base... 33 5-13. Oggetti nella configurazione di base... 34 5-14. Servizi nella configurazione di base... 34 4

Introduzione Scopo di questo documento è mettere rapidamente il lettore in condizione di configurare un Petra Firewall per la protezione della propria rete locale. La configurazione di un firewall è una attività delicata, la cui difficoltà varia in funzione della complessità della topologia della rete e della politica di sicurezza che si intende realizzare. Nei prossimi capitoli vengono presentati alcuni possibili scenari architetturali e, per ognuno di essi, una possibile configurazione del Petra Firewall: 1. scenario Small Office (Rete Privata): realizza una politica di sicurezza adatta ad una rete che debba accedere a servizi standard esterni (ftp, web, posta); 2. scenario Web Server (DMZ): aggiunge alla politica precedente una rete demilitarizzata atta ad ospitare un sito web aziendale; Verranno inoltre illustrate le modalità di personalizzazione degli scenari come la creazione di nuovi filtri, servizi, oggetti e la modifica di quelli esistenti, nonché la creazione di nuovi scenari. Infine verrà mostrato come effettuare la manutenzione ordinaria del Petra Firewall attraverso il controllo dei log (Eventi di Sicurezza, IDS, Web Report) e l uso degli strumenti di manutenzione che permettono l arresto e il riavvio del sistema, l aggiornamento del software, ecc... 5

Capitolo 1. Prerequisiti I prerequisiti per l utilizzo di Petra Firewall sono: un PC Server sul quale installare il software Petra Firewall. Tale PC sarà trasformato in un Petra Server; un PC Client fornito di un browser Internet dal quale si svolgerà la configurazione del firewall. In particolare, il PC Server dovrà avere le seguenti caratteristiche hardware: processore Intel 486 o successivi; almeno 32 MB RAM (si suggerisce di usarne almeno 64); un disco da almeno 2 GB; CD-ROM; le schede di rete richieste dall architettura che si vuole realizzare; l hardware deve essere compatibile Linux. 6

Capitolo 2. Installazione Vediamo di seguito le operazioni da effettuare per ottenere un installazione funzionante di Petra Firewall. 2.1. Dati per l installazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno richiesti dalla procedura di installazione. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 2-1. Configurazione Petra Firewall Campo Esempio Vostro valore IP Address 192.168.1.10 Netmask 255.255.255.0 Default Gateway 192.168.1.10 Primary DNS Server 127.0.0.1 Host Name petra 2.2. Installazione Dopo esservi assicurati che il PC Server sia correttamente collegato in rete, è possibile procedere con l installazione del software Petra, come specificato di seguito. 1. Sul PC Server, eseguire il boot da CD-ROM e seguire le istruzioni in linea. La guida completa di installazione è disponibile sul CD-ROM nel file doc/italiano/installazione.htm. Nota: durante la fase di configurazione di rete dell installazione, utilizzare i dati precedentemente predisposti nella Tabella 2-1; Attenzione: questa operazione comporterà la riformattazione di tutti i dischi del PC Server, e quindi la perdita di tutti gli eventuali dati presenti. 2.3. Configurazione del Firewall Una volta completata l installazione, dopo il reboot, sarà possibile collegarsi all applicazione di gestione raggiungibile da un qualsiasi pc all indirizzo http://ip-firewall:81/, dove ip-firewall sarà l indirizzo IP assegnato 7

Capitolo 2. Installazione al Petra Firewall in fase di installazione (vedi Tabella 2-1). Per entrare nell ambiente di gestione fornire la password di superuser, utilizzata in fase di installazione, e premere il pulsante Conferma. Nota: Nella barra in alto sono sempre disponibili i pulsanti Login, Logout, Aiuto (documentazione in linea), Caratteri piccoli/caratteri grandi (per cambiare la dimensione dei caratteri). 2.4. Default di configurazione Al termine della procedura d installazione avrete fornito al Petra Firewall i dati di rete e il nome del sistema. Sarà ora necessario configurare alcuni aspetti del Firewall secondo lo scenario prescelto: Routing (aggiunta delle interfacce di rete necessarie) Filtri (personalizzazione di una configurazione predefinita o creazione di una nuova) Infine, se la configurazione ottenuta è corretta, è possibile (e consigliabile) salvarla. 8

Capitolo 3. Primo Scenario: Small Office 3.1. Architettura della soluzione proposta In questo primo scenario, rappresentato nella figura seguente, siamo nella situazione in cui i Servizi Internet per la rete locale sono ospitati (hosting) presso un ISP esterno. Il Firewall deve permettere ai client sulla rete privata di accedere ai servizi presso il provider e di accedere ai servizi internet autorizzati (ftp, web, ecc...). L unico servizio locale è il DHCP (per gestire con semplicità la configurazione TCP/IP dei client sulla Rete Privata). 3.2. Configurazione di Petra Firewall 3.2.1. Prepararsi per la configurazione Per prima cosa occorre stabilire alcuni dati, relativi alla Vostra Organizzazione, che saranno necessari durante la configurazione dei Filtri. Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. 9

Capitolo 3. Primo Scenario: Small Office Tabella 3-1. Indirizzi IP del Primo scenario Nome Esempio Vs. Valore Identificativo Firewall petra.example.com Rete Privata 192.168.1.0 Netmask rete privata 255.255.255.0 IP Petra su rete privata 192.168.1.10 Netmask rete pubblica 255.255.255.0 IP Petra su rete pubblica 212.239.15.10 Default Gateway 212.239.15.1 Name Server Primario ISP 169.254.25.3 Name Server Secondario ISP 169.254.25.4 ISP Mail Server 169.254.25.2 Intervallo indirizzi per DHCP* 192.168.1.5/192.168.1.30 *Attenzione: il valore IP Petra su rete privata deve rimanere al di fuori dell intervallo degli indirizzi per DHCP. 3.2.2. Configurazione Generale La prima parte della configurazione riguarda l identificativo del Firewall e la posta elettronica: il Firewall deve essere impostato in modo da delegare al server mail del Provider la gestione della posta in uscita: 1. Selezionare il pannello Configurazione > Generale; 2. Premere il pulsante Aggiorna; 3. Inserire i seguenti dati: Nome host, l identificativo del Firewall; inserire il campo Vs. Valore di Identificativo Firewall della tabella (vedi Tabella 3-1); Indirizzo email per l invio dei report, l indirizzo email al quale si desidera inviare i report; Redirigi posta a, il nome (o l IP) del mailserver presso il Provider; inserire il campo Vs. Valore di ISP Mail Server della tabella (vedi Tabella 3-1); 4. Premere il pulsante Conferma; 10

Capitolo 3. Primo Scenario: Small Office 3.2.3. Configurazione Routing Per configurare il routing procedere nel seguente modo: 1. selezionare il pannello Rete > eth0 e premere il pulsante Aggiorna; inserire quindi i seguenti valori: Label per eth0, un etichetta mnemonica per questa interfaccia, ad esempio Rete Privata; Indirizzo IP, l indirizzo da assegnare all interfaccia verso la Rete Privata; inserire il campo Vs. Valore di IP Petra su rete privata della tabella (vedi Tabella 3-1); Netmask, inserire il campo Vs. Valore di Netmask rete privata della tabella (vedi Tabella 3-1); Nat, spuntare la casella in modo da abilitare il NAT su questa interfaccia; 11

Capitolo 3. Primo Scenario: Small Office premere quindi il pulsante Conferma; 2. selezionare il pannello Rete > Generale e premere il pulsante Aggiorna; inserire quindi il valore contenuto nel campo Vs. Valore di Default Gateway della tabella (vedi Tabella 3-1); quindi premere il pulsante Conferma; 3. selezionare il pannello Rete > Generale e premere il pulsante Name Servers per aggiungere i Name Servers dell ISP: premere il pulsante Aggiungi; impostare il campo Indirizzo IP con il valore contenuto nel campo Vs. Valore di Name Server Primario ISP della tabella (vedi Tabella 3-1); quindi premere il pulsante Conferma; ripetere i due passi precedenti inserendo il campo Vs. Valore di Name Server Secondario ISP della tabella (vedi Tabella 3-1); 12

Capitolo 3. Primo Scenario: Small Office 4. selezionare il pannello Rete > Generale, premere il pulsante Nuova interfaccia, selezionare Ethernet e premere Conferma; verrà così generata l interfaccia eth1 con il corrispondente link posto sotto Rete Privata nella sezione Rete del menù; 5. selezionare il pannello Rete > eth1 e premere il pulsante Aggiorna; inserire quindi i seguenti valori: Label per eth1, un etichetta mnemonica per questa interfaccia, ad esempio Rete Pubblica; Indirizzo IP, l indirizzo da assegnare all interfaccia verso la Rete Pubblica; inserire il campo Vs. Valore di IP Petra su rete pubblica (vedi Tabella 3-1); Netmask, inserire il campo Vs. Valore di Netmask rete pubblica (vedi Tabella 3-1); Nota: Il NAT non è attivabile per la rete che comprende il default gateway, in questo caso la Rete Pubblica. 3.2.4. Configurazione Servizi È necessario configurare e attivare il servizio DHCP: 13

Capitolo 3. Primo Scenario: Small Office 1. selezionare il pannello Servizi > DHCP e premere il pulsante Aggiorna; inserire quindi i dati relativi al servizio: Intervallo di IP 1 - Rete, selezionare l indirizzo specificato nel campo Vs. Valore di Rete Privata nella tabella (vedi Tabella 3-1); Intervallo di IP 1 - Primo indirizzo, inserire il primo indirizzo specificato nel campo Vs Valore di Intervallo indirizzi per DHCP nella tabella (vedi Tabella 3-1); Intervallo di IP 1 - Ultimo indirizzo, inserire il secondo indirizzo specificato nel campo Vs Valore di Intervallo indirizzi per DHCP nella tabella (vedi Tabella 3-1); premere quindi il pulsante Conferma; 2. selezionare il pannello Servizi > Stato ed impostare su on il servizio DHCP; Nota: in questo scenario i proxy SMTP e HTTP non sono utilizzati, quindi il loro stato deve essere off. 3.2.5. Configurazione dei Filtri Procedere nel seguente modo: 14

Capitolo 3. Primo Scenario: Small Office 1. selezionare il pannello Firewall > Generale; 2. premere su Carica configurazione e selezionare i seguenti valori: Livello, Sovrascrivi; Nome configurazione, NetAccess; quindi confermare; in questo modo viene caricata una configurazione del Firewall che realizza l architettura di questo scenario. Prima di attivare questa configurazione è necessario però personalizzare la configurazione con i dati reali della Vostra rete. Per farlo procedere al passo successivo; 3. selezionare il pannello Firewall > Oggetti e modificare l indirizzo dei seguenti oggetti secondo i Vs Valori riportati nella tabella (vedi Tabella 3-1): ispnameserver01obj, inserire il Vs Valore di Name Server Primario ISP; ispnameserver02obj, inserire il Vs Valore di Name Server Secondario ISP; ispmailserverobj, inserire il Vs Valore di ISP Mail Server; privatenetobj, inserire il Vs Valore di Rete Privata; 15

Capitolo 3. Primo Scenario: Small Office 4. selezionare il pannello Firewall > Generale e premere il pulsante Aggiorna; selezionare quindi Vieta e confermare per impostare la politica di default a Vieta; Nota: selezionando la politica Vieta, si blocca tutto il traffico non esplicitamente abilitato. Per questo gli scenari contengono un filtro apposito per permettere la raggiungibilità del Petra Firewall dai client autorizzati, in modo da poter continuare ad effettuarne la gestione anche dopo aver attivato la politica Vieta. 5. selezionare il pannello Firewall > Politiche per visualizzare i filtri previsti nello scenario. 16

Capitolo 3. Primo Scenario: Small Office Non sono necessarie modifiche in questa sezione. Le politiche della configurazione PrivateNet implementano esattamente lo scenario Small Office. Le politiche enableproxy e proxyservice saranno ad off se non si utilizza il Proxy Http per l accesso al servizio Web, mentre sarà necessario impostare ad on la politica webservice se si vuole che i client della rete locale possano accedere direttamente al servizio Web su Internet. 6. selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. Dopo questa operazione lo scenario Small Office sarà operativo. 3.3. Configurazione dei PC della Rete Privata 17

Capitolo 3. Primo Scenario: Small Office È necessario configurare i PC della Rete Privata per usare DHCP. Utilizzare l opzione ottieni dinamicamente l IP (o un opzione equivalente) presente sul PC client. Nota: tutte le informazioni aggiuntive per la configurazione di rete sono automaticamente gestite dal servizio DHCP. Pertanto, per i PC client che usano il servizio DHCP non occorre nessun altra indicazione. Se è presente il modulo Proxy è necessario anche riconfigurare il proprio browser perché faccia uso del proxy server (consultare il manuale Proxy per ulteriori informazioni). 18

Capitolo 4. Secondo Scenario: Web Server 4.1. Architettura della soluzione proposta In questo secondo scenario, rappresentato nella figura seguente, siamo nella situazione in cui il server Web è ospitato in casa, direttamente nella rete che ospita il Firewall, anziché presso un ISP esterno. Per aumentare la sicurezza della rete privata, il server Web (che deve essere raggiungibile da Internet) è ospitato su una rete separata, denominata Rete Demilitarizzata (DMZ). In questo scenario gli altri servizi (Name Server, posta elettronica, FTP) continuano ad essere ospitati dall ISP. Il Firewall deve permettere quindi: alle reti esterne di accedere al server Web sulla DMZ ai PC sulla rete privata di accedere al server Web sulla DMZ per l aggiornamento dei documenti tramite protocollo Ftp ai PC sulla rete privata di accedere al web tramite protocollo Http e Https e di accedere a server DNS, SMTP e FTP esterni. L unico servizo locale è il DHCP (per gestire con semplicità la configurazione TCP/IP dei client sulla Rete Privata). 19

Capitolo 4. Secondo Scenario: Web Server 4.2. Configurazione di Petra Firewall 4.2.1. Prepararsi per la configurazione Importante: Questo scenario costituisce un ampliamento del precedente ed è necessario prima di tutto effettuare la configurazione sopra descritta per lo scenario Small Office. Una volta terminata questa fase si può proseguire con la configurazione aggiuntiva di questo scenario. Per la configurazione di questo scenario sono necessari alcuni dati supplementari relativi alla Vostra Organizzazione, oltre a quelli già elencati nello scenario Small Office (vedi Tabella 3-1). Tabella 4-1. Indirizzi IP del Secondo scenario Nome Esempio Vs. Valore Rete Demilitarizzata (DMZ) 212.239.15.0 Netmask DMZ 255.255.255.0 IP Petra su DMZ 212.239.15.11 Web Server 212.239.15.20 4.2.2. Configurazione Routing Per completare la configurazione del routing, partendo dallo scenario Small Office, procedere nel seguente modo: 1. selezionare il pannello Rete > Generale, premere il pulsante Nuova interfaccia, selezionare Ethernet e premere Conferma; verrà così generata l interfaccia eth2 con il corrispondente link posto sotto Rete Pubblica nella sezione Rete del menù; 2. selezionare il pannello Rete > eth2 e premere il pulsante Aggiorna; inserire quindi i seguenti valori: Label per eth2, un etichetta mnemonica per questa interfaccia, ad esempio Rete DMZ; Indirizzo IP, l indirizzo da assegnare all interfaccia verso la Rete DMZ; inserire il campo Vs. Valore di IP Petra su DMZ (vedi Tabella 4-1); Netmask, inserire il campo Vs. Valore di Netmask DMZ (vedi Tabella 4-1); 20

Capitolo 4. Secondo Scenario: Web Server 4.2.3. Configurazione dei Filtri Per completare la configurazione dei filtri, partendo dallo scenario Small Office, procedere nel seguente modo: 1. selezionare il pannello Firewall > Oggetti, premere il pulsante Aggiungi e fornire i seguenti dati: Nome, un etichetta mnemonica per identificare l oggetto, ad esempio WebServer; Tipo, il tipo di oggetto, selezionare host; Indirizzo, l indirizzo IP dell oggetto, inserire il campo Vs Valore di Web Server della tabella (vedi Tabella 4-1); 2. selezionare il pannello Firewall > Politiche, premere il pulsante Aggiungi e fornire i seguenti dati: Nome, un etichetta mnemonica per identificare la politica, ad esempio WebSite; Descrizione, un breve descrizione della politica; Abilitato, spuntare la casella per abilitare la politica; 21

Capitolo 4. Secondo Scenario: Web Server Sorgente, provenienza del traffico, selezionare allnets (ovvero qualsiasi rete); Destinazione, destinazione del traffico, selezionare WebServer (ovvero il server Web sulla DMZ); Servizio, tipo di traffico controllato dalla politica, selezionare WebSevice; Azione, azione da compiere, selezionare accept; Nota: Il servizio WebService è predefinito ed è un gruppo formato dai protocolli http (porta 80) e https (porta 443) (è possibile visualizzare questi dettagli dal pannello Firewall > Servizi e selezionando la dicitura yes della colonna gruppo del servizio WebService). Il filtro (WebSite) appena creato quindi abilita il traffico da qualsiasi IP verso il server Web in DMZ destinato alle porte 80 e 443. 3. selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. Dopo questa operazione lo scenario Web Server sarà operativo. 22

Capitolo 4. Secondo Scenario: Web Server 4.2.4. Variazione dello scenario Web Server: un solo IP pubblico Nel caso si disponga di un solo IP pubblico alcuni dati della Vostra Organizzazione saranno diversi (alcuni indirizzi IP pubblici dovranno essere privati). Tali dati sono riassunti nella tabella che segue. La tabella offre esempi per ogni campo. Tabella 4-2. Indirizzi IP del Secondo scenario, DMZ con IP Privati Nome Esempio Vs. Valore Rete Demilitarizzata (DMZ) 192.168.7.0 IP Petra su DMZ 192.168.7.1 Web Server 192.168.7.5 Partendo dalla configurazione Web Server si dovrà procedere nel seguente modo: 1. selezionare il pannello Rete > Rete DMZ (il nome dipende dal etichetta assegnata all interfaccia eth2); inserire nel campo Indirizzo IP il campo Vs Valore di IP Petra su DMZ della tabella (vedi Tabella 4-2); spuntare la casella Nat; premere il pulsante Conferma; 23

Capitolo 4. Secondo Scenario: Web Server 2. selezionare il pannello Firewall > Oggetti: selezionare l oggetto WebServer; inserire nel campo Indirizzo il campo Vs Valore di Web Server della tabella (vedi Tabella 4-2); premere il pulsante Conferma; 3. selezionare il pannello Firewall > Politiche: selezionare la politica WebSite e modificare i seguenti dati: Destinazione, selezionare firewall; Azione, selezionare redirect; Oggetto destinazione, selezionare WebServer; premere il pulsante Conferma; 24

Capitolo 4. Secondo Scenario: Web Server 4. selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. 4.3. Configurazione dei PC della Rete Privata È necessario configurare i PC della Rete Privata per usare DHCP. Utilizzare l opzione ottieni dinamicamente l IP (o un opzione equivalente) presente sul PC client. 25

Capitolo 4. Secondo Scenario: Web Server Nota: tutte le informazioni aggiuntive per la configurazione di rete sono automaticamente gestite dal servizio DHCP. Pertanto, per i PC client che usano il servizio DHCP non occorre nessun altra indicazione. Se è presente il modulo Proxy è necessario anche riconfigurare il proprio browser perché faccia uso del proxy server (consultare il manuale Proxy per ulteriori informazioni). 26

Capitolo 5. Scenari Personalizzati In questo capitolo vengono mostrati alcuni esempi di gestione di servizi aggiuntivi rispetto a quelli già contenuti negli scenari proposti nei capitoli precedenti. Nota: per creare un proprio scenario completamente nuovo, si suggerisce comunque di partire dalla configurazione di base, che contiene alcune definizioni di servizi, oggetti e filtri di uso comune. La configurazione di Base può essere attivata premendo Carica configurazione nel pannello Firewall > Generale e selezionando Base. I dettagli della configurazione di base, comune anche a tutti gli altri scenari, sono presentati in la Sezione 5.3. 5.1. Modalità di creazione dei filtri 5.1.1. Traffico dal Firewall verso Internet In questo esempio vogliamo consentire al Petra Firewall, di accedere al servizio di aggiornamento del software on-line. Il servizio viene erogato tramite protocollo http dal sito web ufficiale di Link.it (www.link.it). Procedere nel modo seguente: 1. selezionare il pannello Firewall > Oggetti e creare un nuovo oggetto di tipo Host che identifichi il server per l aggiornamento software di Petra Firewall, utilizzando i dati nella seguente tabella: Tabella 5-1. Oggetto da creare per abilitare aggiornamento Firewall Nome Tipo Indirizzo linkupdatesserver Host 212.239.14.210 premere il pulsante Aggiungi; utilizzare i campi Nome, Tipo e Indirizzo della tabella inserendoli nel pannello; premere il pulsante Conferma per registrare l oggetto creato; 2. selezionare il pannello Firewall > Politiche: creare il filtro descritto nella seguente tabella: Tabella 5-2. Abilitazione aggiornamento software Petra Nome Sorgente Destinazione Servizio Azione Descrizione 27

Capitolo 5. Scenari Personalizzati Nome Sorgente Destinazione Servizio Azione Descrizione updatespetra firewall linkupdatesserver http accept Abilito aggiornamento software Petra Per creare il filtro: a. premere il pulsante Aggiungi; b. utilizzare il campi Nome, Sorgente, Destinazione, Servizio e Azione della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Conferma; selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. 5.1.2. Traffico da Internet verso il Firewall In questo esempio vogliamo consentire ad uno specifico host di accedere alla manutenzione del firewall, tramite le applicazioni di gestione. Procedere nel modo seguente: 1. selezionare il pannello Firewall > Oggetti e creare un nuovo oggetto di tipo Host che identifichi il sistema al quale permettere accesso alle funzioni di Manutenzione del Firewall: Tabella 5-3. Oggetto da creare per la manutenzione remota del Firewall Nome Tipo Indirizzo remotemantainer Host 10.0.10.1 premere il pulsante Aggiungi; utilizzare i campo Nome, Tipo e Indirizzo della tabella inserendoli nel pannello; premere il pulsante Conferma per registrare l oggetto creato; 2. selezionare il pannello Firewall > Politiche: creare il filtro descritto nella seguente tabella: Tabella 5-4. Abilitazione Manutenzione Remota 28

Capitolo 5. Scenari Personalizzati Nome Sorgente Destinazione Servizio Azione Descrizione remotemaintenance remotemantainer firewall FirewallAdminServices accept Abilito Manutenzione Remota Per creare il filtro: a. premere il pulsante Aggiungi; b. utilizzare i campi Nome, Sorgente, Destinazione, Servizio e Azione della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Conferma; selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. 5.1.3. Connessioni attraverso il Firewall (Rete Interna -> Rete Esterna) In questo esempio vogliamo consentire ai sistemi della Rete Interna l uso del servizio News. In questo caso, prima di poter creare il filtro, dobbiamo creare il nuovo servizio nntp e l oggetto che identifica il server news del Provider. Procedere nel seguente modo: 1. selezionare Firewall > Servizi: creare il servizio descritto nella seguente tabella: Tabella 5-5. Creazione del servizio News Nome Tipo Destinazione inferiore nntp tcp 119 119 Destinazione superiore Per creare il servizio: premere il pulsante Aggiungi; utilizzare i campi della tabella inserendoli nel pannello premere il pulsante Conferma per registrare il servizio; 29

Capitolo 5. Scenari Personalizzati 2. selezionare Firewall > Oggetti e creare un nuovo oggetto di tipo Host: Tabella 5-6. Oggetto da creare per il servizio News Nome Tipo Indirizzo news.mioprovider.it Host 10.1.10.5 premere il pulsante Aggiungi; utilizzare i campo Nome, Tipo e Indirizzo della tabella inserendoli nel pannello; premere il pulsante Conferma per registrare l oggetto; 3. selezionare il pannello Firewall > Politiche: creare il filtro descritto nella seguente tabella: Tabella 5-7. Abilitazione servizio News Nome Sorgente Destinazione Servizio Azione Descrizione NewsService PrivateNets news.mioprovider.it nttp accept Servizio News per la Rete Privata Per creare il filtro: a. premere il pulsante Aggiungi; b. utilizzare il campi Nome, Sorgente, Destinazione, Azione e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Conferma; selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. Nota: Nel caso si abbia accesso a più server News è consigliabile creare più oggetti di tipo Host che li identificano e raggrupparli in un gruppo (un oggetto di tipo group). In questo caso il filtro di abilitazione del servizio utilizza il gruppo nel campo Destinazione. Questo evita di creare un filtro per ogni server News. 5.1.4. Connessioni attraverso il Firewall (Rete Esterna -> Rete Interna con IP privato) In questo esempio vogliamo pubblicare un server Web con IP Privato sulla Rete Interna. Procedere nel modo seguente: 30

Capitolo 5. Scenari Personalizzati 1. selezionare Firewall > Oggetti e creare un nuovo oggetto di tipo Hostche identifichi il Server Web da pubblicare: Tabella 5-8. Oggetto da creare per la pubblicazione di un Web Server Nome Tipo Indirizzo www1 Host 192.168.7.7 premere il pulsante Aggiungi; utilizzare i campi Nome, Tipo e Indirizzo della tabella inserendoli nel pannello; premere il pulsante Conferma per registrare l oggetto; 2. selezionare il pannello Firewall > Politiche: creare il filtro descritto nella seguente tabella: Tabella 5-9. Pubblicazione Web Server su Rete Interna Nome Sorgente Destinazione Servizio Azione Oggetto Descrizione destinazione publicwebservice1 allnets firewall WebService redirect www1 Pubblicazione Web Server su Rete Interna Per creare il filtro: a. premere il pulsante Aggiungi; b. utilizzare il campi Nome, Sorgente, Destinazione, Servizio e Oggetto destinazione della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Conferma; selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. Nota: questo filtro utilizza nel campo Sorgente l oggetto predefinito allnets che identifica "qualsiasi provenienza", nel nostro caso "Internet". Inoltre utilizza nel campo Servizio il gruppo di servizi WebService, che comprende i protocolli http e https. In questo modo qualsiasi host su Internet viene abilitato a raggiungere il server in DMZ utilizzando il protocollo http o https. 5.1.5. Connessioni attraverso il Firewall (Rete Esterna -> Rete Interna con IP pubblico) 31

Capitolo 5. Scenari Personalizzati In questo esempio vogliamo pubblicare un server Web con IP Pubblico sulla Rete Interna. Procedere nel modo seguente: 1. selezionare Firewall > Oggetti e creare un nuovo oggetto di tipo Hostche identifichi il Server Web da pubblicare: Tabella 5-10. Oggetto da creare per la pubblicazione di un nuovo Web Server Nome Tipo Indirizzo www1 Host 212.239.15.30 premere il pulsante Aggiungi; utilizzare i campi Nome, Tipo e Indirizzo della tabella inserendoli nel pannello; premere il pulsante Conferma per registrare l oggetto; 2. selezionare il pannello Firewall > Politiche: creare il filtro descritto nella seguente tabella: Tabella 5-11. Pubblicazione Web Server su Rete Interna Nome Sorgente Destinazione Servizio Azione Descrizione publicwebservice1 allnets www1 WebService accept Pubblicazione Secondo Web in DMZ Per creare il filtro: a. premere il pulsante Aggiungi; b. utilizzare il campi Nome, Sorgente, Destinazione e Servizio della tabella inserendoli nel pannello (il campo Descrizione è opzionale); c. premere il pulsante Conferma; selezionare il pannello Firewall > Generale e premere Riconfigura per riconfigurare il Firewall con i nuovi valori. 5.2. Modalità di creazione dei servizi Per creare un nuovo servizio premere il pulsante Aggiungi nel pannello Firewall > Servizi e inserire i dati richiesti. 32

Capitolo 5. Scenari Personalizzati Nota: La porta destinazione (settabile solo per i tipi tcp e udp) può essere singola (se limite inferiore e superiore coincidono) o un range. Se si crea un gruppo è necessario associare i servizi a tale gruppo. Per farlo basta selezionare la dicitura yes della colonna Gruppo del gruppo appena creato, selezionare i servizi desiderati e premere il pulsante Aggiungi al gruppo. 5.3. Dettagli Configurazione di Base Questo capitolo descrive alcuni filtri predefiniti, comuni a tutti e tre gli scenari proposti. I filtri predefiniti riguardano funzionalità generali. Lo scopo di questi filtri è permettere un uso corretto dei servizi Internet senza introdurre ritardi nelle comunicazioni dovuti all impossibilita di utilizzare i messaggi del protocollo icmp (protocollo di servizio del livello Internet). Le seguenti tabelle riportano il dettaglio del traffico, dei servizi e degli oggetti utilizzati in questi filtri. Tabella 5-12. Traffico consentito nella configurazione di base 33

Capitolo 5. Scenari Personalizzati Nome Provenienza Destinazione Azione Servizio Descrizione WORLD_ REJECTED_ SERVICES WORLD_ ACCEPTED_ SERVICES allnets allnets reject WORLD_ REJECTED_ SERVICES allnets allnets accept WORLD_ ACCEPTED_ SERVICES Servizi da rifiutare Servizi da accettare LOOPBACK loopback loopback accept any Abilitazione del loopback Tabella 5-13. Oggetti nella configurazione di base Oggetto Tipo Valore Descrizione allnets Net 0.0.0.0/0 Indica tutte le possibili reti loopback Net 127.0.0.0/8 Rete di loopback, indica il sistema stesso Tabella 5-14. Servizi nella configurazione di base Servizio Tipo Valore Descrizione WORLD_ ACCEPTED_ Group icmp_t0 icmp_t3 icmp_t8 Servizi (icmp) abilitati SERVICES (*) icmp_t11 icmp_t12 WORLD_ REJECTED_ SERVICES Group auth Servizi da rifiutare perché troppo informativi any any Indica tutti i possibili servizi IPSEC Group ESP AH IKE Servizi IPSEC Nota: (*) i servizi di tipo icmp sono registrati nella forma icmp_tt[c] dove: T indica il numero del type C (facoltativo) indica il numero del code. Se non è presente indica tutti i servizi icmp con type T Per una descrizione dettagliata dei servizi icmp si rimanda alla Internet Assigned Numbers Authority (http://www.isi.edu/in-notes/iana/assignments/icmp-parameters) 34

Capitolo 5. Scenari Personalizzati In questa configurazione è stata selezionata la gestione automatica del meccanismo di antispoofing, realizzata selezionando il pulsante Auto nel pannello Acl->Spoofing di Petra Internet Firewall. 35

Capitolo 6. Manutenzione ordinaria del firewall In questa sezione mostriamo come l amministratore del Firewall Petra possa gestire il sistema tramite l applicazione web di gestione. 6.1. Reportistica 6.1.1. Attivazione e accesso È necessario prima di tutto abilitare i servizi di reportistica: i report Ids sono attivabili dal pannello Configurazione > Generale; i report relativi agli Eventi di Sicurezza sono sempre presenti per quanto riguarda gli eventi non gestiti da alcuna politica, ma possono essere estesi agli eventi direttamente gestiti dalle politiche attive abilitando la voce Log nella configurazione di ciascuna politica di interesse; L accesso all interfaccia di consultazione dei report avviene premendo sul link Statistiche nella barra in alto. Sulla sinistra verranno visualizzati i report disponibili, e per ognuno di essi due link: Realtime: esegue una analisi del log corrente e visualizza gli ultimi eventi Archivi: accede agli archivi, generati con frequenza settimanale 36

Capitolo 6. Manutenzione ordinaria del firewall La visualizzazione dei report è protetta e sarà neccessario fornire la login petra e la relativa password, impostabile dall interfaccia di amministrazione nel pannello Configurazione > Generale tramite il link Modifica Report Password. 6.1.2. Eventi di Sicurezza In questa sezione vengono riportati tutti gli eventi non gestiti da alcuna politica e quelli gestiti dalle politiche su cui è abilitato il logging. Nel caso nessuna politica abbia i log abilitati e la politica di default sia Vieta, i report coincidono con gli eventi non permessi dalla politica di sicurezza. 6.1.3. Ids (Intrusion Detection System) In questa sezione vengono visualizzati i reports riguardanti il traffico potenzialmente illegale rilevato dal Petra Firewall. Nella prima pagina (start page) è visibile una lista degli eventi rilevati nel periodo in esame e una serie di informazioni su ognuno di essi. Cliccando sul link Summary dell evento si accede alla sua signature page, contenente maggiori dettagli (sorgenti e destinazioni dell attacco). 37

Capitolo 6. Manutenzione ordinaria del firewall Da qui si può cliccare su un IP (sorgente o destinazione) per accedere ad una pagina che elenca gli eventi che hanno interessato tale IP e fornisce informazioni approfondite su di essi, proponendo inoltre collegamenti verso strumenti esterni (Whois lookup, DNS lookup, database informativi sulle porte che hanno subito attacchi, ecc...) 38

Capitolo 6. Manutenzione ordinaria del firewall 6.2. Strumenti di Amministrazione Nel menù dell interfaccia di amministrazione è presente una sezione dedicata ad alcune operazioni particolari di manutenzione: 1. Dal pannello Strumenti di amministrazione > Generale è possibile: modificare la password di amministrazione arrestare il sistema riavviare il sistema 39

Capitolo 6. Manutenzione ordinaria del firewall 2. Dal pannello Strumenti di amministrazione > Aggiornamenti è possibile: eseguire un aggiornamento immediato del sistema (pulsante Esegui l aggiornamento) modificare le impostazioni di aggiornamento automatico del sistema Nota: se l accesso al web avviene tramite proxy questo deve essere segnalato nelle impostazioni, e nel caso il proxy richieda l autenticazione è necessario specificare la login e la password di accesso. Il servizio mantiene il sistema (sistema operativo+software petra) aggiornato al repository di Link.it (http://www.link.it/***/release). Ad ogni aggiornamento Link.it avvisa i propri clienti via mail e il servizio inoltra mail all amministratore con i dettagli dell operazione effettuata. 40

Capitolo 6. Manutenzione ordinaria del firewall Nota: l indirizzo email a cui vengono spediti i report degli aggiornamenti può essere modificato dal pannello Configurazione > Generale. 3. Dal pannello Strumenti di amministrazione > Configurazione è possibile: salvare la configurazione corrente del sistema (in formato XML) caricare una configurazione di sistema precedentemente salvata, compresa, se desiderato, la configurazione di rete 41