IPCOP: configurazione per uso scolastico



Documenti analoghi
Guida di Pro PC Secure

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

PORTALE CLIENTI Manuale utente

Console di Amministrazione Centralizzata Guida Rapida

Note di rilascio. Aggiornamento disponibile tramite Live Update a partire dal. Il supporto per Windows XP e Office 2003 è terminato

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

Impostare il browser per navigare in sicurezza Opzioni di protezione

Guida alla configurazione

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

Acronis License Server. Manuale utente

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

ELENCO CLIENTI FORNITORI Patch1

Creazione e installazione di un NAS utilizzando FreeNAS

Fatti Raggiungere dal tuo Computer!!

IMPORTANTE PER ESEGUIRE QUESTA INSTALLAZIONE NEI SISTEMI OPERATIVI NT-2000-XP, BISOGNA AVERE I PRIVILEGI AMMINISTRATIVI.

GUIDA ALLA CONFIGURAZIONE DEL SERVIZIO INTERNET E DELLA POSTA ELETTRONICA V2.2

FPf per Windows 3.1. Guida all uso

COMUNICAZIONE UTENTI SISTEMI-PROFIS INSTALLAZIONE GE.RI.CO e PARAMETRI2015

Procedura di abilitazione alla Rete di Lombardia Integrata

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

Online Help StruxureWare Data Center Expert

GUIDA UTENTE PRIMA NOTA SEMPLICE

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

01/05/2013 Istruzioni per l installazione

GateManager. 1 Indice. tecnico@gate-manager.it

Prima di iniziare l installazione, controlla che tutte le parti necessarie siano presenti. La scatola dovrebbe contenere:

Network Licensing Read Me

30 giorni di prova gratuiti, entra nel sito scarica e installa subito mypckey

Appliance software Sophos UTM

Configurazione VOIspeed IP6060

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Firewall e Abilitazioni porte (Port Forwarding)

Manuale Utente MyFastPage

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

Realizzazione di un Firewall con IPCop

Vlan Relazione di Sistemi e Reti Cenni teorici

LaCie Ethernet Disk mini Domande frequenti (FAQ)

ICARO Terminal Server per Aprile

Procedura di installazione di Xubuntu 8.10 su un PC

Guida all impostazione. Eureka Web

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress

Rete Mac -Pc. Mac Os X Dove inserire i valori (IP, Subnetmask, ecc) Risorse di Rete (mousedx-proprietà)>

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

LinuxDay Relatore: Andrea Cortopassi aka ByteEater

CONFIGURARE IL DISPOSITIVO DI TELEASSISTENZA

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

PowerDIP Software gestione presenze del personale aziendale. - Guida rapida all inserimento dei nominativi e delle timbrature -

Dynamic DNS e Accesso Remoto

Amministrazione gruppi (Comunità)

1. FileZilla: installazione

VADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7

SEGNALIBRO NON È DEFINITO.

Configurazione WAN (accesso internet)

Manuale Terminal Manager 2.0

Istruzioni. Il cuore del dispositivo è un Embedded PC Linux che raccoglie e gestisce tutte le funzioni dell' apparecchiatura.

Argo Mobile. Gestione Assenze. Manuale d Installazione e d uso del prodotto

Manuale d uso Software di parcellazione per commercialisti Ver [05/01/2015]

Indicazioni per una corretta configurazione del browser

Manuale per la configurazione di AziendaSoft in rete

MODULO HOTEL: INSTALLAZIONE E MANUALE UTENTE

Guida all utilizzo. Versione guida: 0.1alpha No layout grafico.

BACKUP APPLIANCE. User guide Rev 1.0

Blue s Hotel Pro Il software che hai sempre desiderato per il tuo Hotel!

Proteggiamo il PC con il Firewall di Windows Vista

Installazione LAMP. Installare un server lamp su Linux Ubuntu. Per installare un server LAMP in Ubuntu come prima cosa apriamo il terminale:

NAS 224 Accesso remoto Configurazione manuale

Guida all installazione di Easy

Guida Rapida di Syncronize Backup

GUIDA UTENTE BILLIARDS COUNTER (Vers )

Guida alla registrazione on-line di un DataLogger

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

GHPPEditor è un software realizzato per produrre in modo rapido e guidato un part program per controlli numerici Heidenhain.

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

FRITZ!WLAN Repeater 300E. Come estendere la copertura della rete Wi-Fi

Configurare una rete con PC Window s 98

GUIDA DELL UTENTE IN RETE

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

ARGOMOBILE Argo Software S.r.l. -

COME CREARE UNA LAN DOMESTICA

Modulo Rilevazione Assenze

ISTRUZIONI DI CONFIGURAZIONE

IRSplit. Istruzioni d uso 07/10-01 PC

Modem Fibra (ONT) ALU I-240W-Q. Manuale Utente

LINKSYS PAP2. Adattatore Telefonico Analogico GUIDA ALL INSTALLAZIONE

Ast-Rubrica 1.4. Manuale. Del 26 Aprile 2009

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

GUIDA RAPIDA CONFIGURAZIONE RETE DDNS - INTERNET

su Windows XP con schede D-Link DWL 650+

Amministrazione gruppi (all interno della Scuola)

INSTALLAZIONE DI JOOMLA! Guida alla installazione di Joomla!

Registratori di Cassa

Aggiornamenti Sistema Addendum per l utente

Installazione di Ubuntu (13.10)

GUIDA UTENTE WEB PROFILES

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

Transcript:

IPCOP: configurazione per uso scolastico Liceo Scientifico Ettore Majorana - Orvieto gennaio 2009 IPCop è una piccola distribuzione GNU/Linux creata per funzionare come firewall. IPCop è distribuita sotto licenza GPL e pertanto può essere scaricata liberamente da Internet (www.ipcop.org). IPCop può "girare" anche su hardware obsoleto: con scarsa potenza di calcolo, poca memoria RAM, disco relativamente piccolo, nessuna esigenza per quanto riguarda scheda grafica e altre periferiche, non ha una interfaccia grafica e normalmente viene fatta girare su computer senza un monitor. Nella configurazione hardware che viene considerata in questi appunti la macchina IPCop e dotata di due schede di rete: la scheda RED che comunica con Internet tramite il router (o il modem); la scheda GREEN che comunica con la rete scolastica tramite un hub o, preferibilmente, tramite uno switch. Gli aspetti configurabili in un firewall IPCop sono numerosi: di seguito vengono illustrati solo quelli che riteniamo di particolare interesse per una tipica rete di una piccola scuola omettendone molti altri. La configurazione di IPCop può essere svolta (quasi in tutti gli aspetti) utilizzando la sua interfaccia web alla quale si accede come utente admin (con la password stabilita in fase di installazione) all'indirizzo http://<ip-della-macchina>: 81 L'accesso all'interfaccia web di IPCop avviene normalmente da uno dei pc della LAN, e che quindi si trova "dietro" al firewall, tramite un qualunque browser web. Il sistema IPCop offre la possibilità di installare come addon un sacco di servizi aggiuntivi rispetto alla distribuzione base. Addon sono pacchetti confezionati per IPCop dai numerosi utenti che utilizzano questo sistema operativo 1 Cop+ In questi appunti viene considerato installato l'addon che si chiama Cop+ e che fornisce il software Dansguardian con una interfaccia web di configurazione integrata con quella di IPCop e con un sistema di aggiornamento automatico. Dansguardian è un software molto evoluto per il controllo del traffico web; è un software disponibile liberamente per uso personale o educational; può essere aggiornato automaticamente; può essere configurato con grande dettaglio. Dansguardian è un software evoluto ma anche piuttosto esigente per quanto riguarda la potenza di calcolo: pertanto è conveniente utilizzare hardware un po' più potente rispetto ai requisiti minimi richiesti per il funzionamento del solo sistema IPCop. Cop+ e stato creato nell'ambito della vasta comunità di utenti di IPCop; tuttavia non è un software creato e "gestito" dal team di ipcop: pertanto non è sempre garantita la facilità (o addirittura la possibilità) di installazione su nuove versioni di IPCop. Quindi è necessario prendere le necessarie precauzioni qualora si voglia aggiornare un sistema operativo IPCop sul quale deve girare l'addon Cop+: in pratica si deve verificare su Internet (o tramite installazione su una macchina di prova) se la versione corrente di Cop+ è compatibile con la nuova versione di IPCop.

2 I menu di configurazione di IPCop Di seguito vengono illustrate le operazioni che si possono svolgere utilizzando alcune (solo alcune!) delle voci di menu dell'interfaccia web di IPCop. SISTEMA: password per ridefinire la password dell'utente admin con il quale si accede alla gestione da interfaccia web ssh per attivare la possibilità di accesso alla macchina tramite protocollo ssh per amministrazione da interfaccia a caratteri su terminale remoto (per esempio utilizzando programmi client ssh come putty); talvolta (molto raramente) può essere opportuno intervenire sulla configurazione di IPCop tramite interfaccia a caratteri o sulla console (tastiera e monitor) o tramite un terminale remoto: tipicamente questo tipo di intervento e necessario quando deve essere riconfigurata la scheda di rete RED o quella GREEN. arresto per spengimento o riavvio della macchina e attivazione dello spengi-mento a tempo a un'ora stabilita in giorni della settimana stabiliti

STATO : permette di verificare lo stato del sistema IPCop; in particolare la prima voce stato sistema permette di visualizzare i servizi attivi (per esempio DansGuardian Content Filter, Secure shell server, Server DHCP, Server NTP, Web proxy) e l'uso della RAM e del disco. NETWORK le prime voci di questo menu sono dedicate alla configurazione della connessione tramite modem. L'ultima voce del menu serve a definire indirizzi IP alternativi per la scheda GREEN (ALIAS IP): può essere utile per mantenere separate due sotto reti (per esempio laboratorio studenti e uffici) che possono in questo modo comunicare verso internet essendo fisicamente collegate tramite lo stesso switch e tramite la stessa scheda GREEN di IPCop ma non possono reciprocamente accedere alle risorse condivise. SERVIZI :

proxy è un servizio che permette di ottimizzare la connessione a Internet tramite una "cache" delle pagine web; lo configuriamo come "proxy trasparente" sulla scheda GREEN; la dimensione massima della cache dipende dalla disponibilità di spazio sul disco (precisamente nella partizione /var/log) che può essere controllato in stato > stato sistema > utilizzo disco. content filter questo servizio (e la relativa voce di menu) esistono grazie al fatto che e stato installato Cop+; per la configurazione e il tuning fine si rimanda a un opportuno paragrafo di questi appunti. server dhcp è il servizio che permette di configurare automaticamente le schede di rete dei computer che vengono collegati allo switch della LAN; preferiamo tuttavia configurare in modo statico le schede dei pc in modo che ogni indirizzo IP corrisponda sempre alla stessa macchina della LAN; tuttavia può essere utile disporre di un dhcp server all'interno della LAN nel caso si utilizzino computer portatili.

DNS dinamico utile se si usa una connessione con un IP pubblico non statico (ma variabile nel tempo) e si dispone di un nome di dominio (per esempio www.lamiascuola.org) che vogliamo venga automaticamente associato al nostro IP attuale quando attiviamo il collegamento a Internet di IPCop. time server IPCop può essere configurato per ottenere l'ora esatta da opportuni server remoti (per esempio time.ien.it); se IPCop verrà acceso e collegato a Internet saltuariamente conviene impostare l'aggiornamento dell'ora ogni 2 ore per avere la sicurezza che si realizzi; IPCop può funzionare a sua volta da server dell'ora esatta per i computer della LAN (utile per la sincronizzazione dei file ecc.) gestione banda permette di regolare (ridurre) la velocità del collegamento tra la scheda RED e Internet: sarebbe molto più utile (e possibile grazie alle funzionalità del kernel di IPCop) poter agire sulla velocità di collegamento della scheda GREEN verso ogni IP della LAN; purtroppo non esiste un addon per questa operazione e avendo necessita si deve intervenire a "basso livello" scrivendo opportuni programmi.

rilevamento intrusioni può essere opportuno attivare il server snort sulla scheda RED specialmente se il firewall IPCop deve proteggere dati sensibili nella LAN. FIREWALL : port forwarding ogni servizio che funziona nei computer della LAN può essere contattato indicando l'indirizzo IP della macchina nella quale esso è in funzione e il numero della porta sulla quale il servizio stesso è in "ascolto"; il port forwarding di IPCop permette di dirottare le chiamate che provengono da Internet sull'ip della scheda RED e su una particolare porta, verso uno specifico IP interno alla LAN e su una specifica porta. accesso esterno per abilitare la possibilità di accesso da Internet (cioè dalla scheda RED) alla macchina IPCop stessa per esempio sulla porta 445 (per l'interfaccia web) o sulla porta 222 (per la connessione ssh sul terminale remoto).

LOG: permette l'accesso alle registrazioni di tutte le attività di IPCop e delle connessioni che vengono filtrate; da qui si accede anche ai log di Dansguardian e quindi si può ottenere un resoconto dettagliato, per esempio, di quale risorsa web è stata richiesta (ed eventualmente negata) da quale IP della LAN e a quale ora. Un controllo terribile ma anche un impegno mooolto gravoso per l'amministratore della rete che sicuramente avrà altro da fare. Tuttavia può essere usato come deterrente per esortare gli alunni a evitare di combinare birichinate. ADDONS : non e il plurale di addon ma significa "addon Server"; è il primo addon che viene usualmente installato in IPCop perchè viene utilizzato da molti altri addon, anche da Cop+, per semplificare la loro installazione tramite l'interfaccia web. Addons deve necessariamente essere installato "a mano" tramite accesso al terminale a caratteri, locale o remoto. 3 La shell di IPCop Altri importanti aspetti della configurazione di IPCop non possono essere gestiti tramite interfaccia web: per esempio la configurazione dei parametri delle schede di rete (indirizzo, netmask, gateway, dns ecc.) deve essere fatta tramite collegamento, locale o remoto, alla shell di linux. L'accesso alla shell locale richiede che il pc sia dotato, oltre che della tastiera, anche del monitor; l'accesso da remoto richiede invece che, da interfaccia web, sia stato attivato il server ssh. La configurazione può essere allora eseguita dopo avere avuto l'accesso come utente root e lanciando il comando setup. Questo tipo di intervento è necessario quando, per esempio, viene modificato il tipo di accesso a Internet e quindi deve essere riconfigurata la scheda RED. Un'altra tipica operazione che si esegue rapidamente tramite la tastiera (e a dirla tutta manco è necessario il monitor né la shell) è lo spengimento (o shutdown) della macchina: abbiamo visto che esiste una voce di menu che consente l'arresto o il riavvio di IPCop ma usualmente è conveniente modificare una semplice opzione nel file /etc/inittab per poter spengere rapidamente il computer con la famosa combinazione di tasti Ctrl-Alt-Canc. Senza tale modifica si avrebbe un riavvio anziché l arresto del sistema.

4 Dansguardian: configurazione Come illustrato nel paragrafo precedente dal menu SERVIZI > Content filter si entra nell'interfaccia di configurazione di Dansguardian. Tutti (o quasi) i parametri di Dansguardian possono essere configurati da questa interfaccia. Si raccomanda di non apportare modifiche senza avere ben chiaro quali saranno gli effetti: cioè bisogna studiare un po' e le prove vanno fatte a parte... Di seguito vengono illustrati aspetti della configurazione di Dansguardian che ci sembra siano i più importanti per il funzionamento di Dansguardian in una scuola. Qualora vengano modificati parametri di configurazione sarà necessario riavviare il servizio con il pulsante RESTART. 4.1 Naughtyness La soglia di intervento del filtro è registrata nel file di configurazione / e t c / d a n s g u a r d i a n / d a n s g u a r d i a n f 1. c o n f in realtà Dansguardian prevede la possibilità di usare numerosi file di configurazione da utilizzare per diversi "gruppi" di utenti; cosa possibile se si usa un sistema di autenticazione su IPCop per gli utenti della rete. e può essere modificata nella casella che si trova subito sotto la tabella nella prima pagina dell'interfaccia web del "Content Filter". Questo parametro definisce la soglia oltre la quale le pagine saranno bloccate. Il sostantivo naughtyness in questo contesto deve essere inteso come "indecenza" o "volgarità". Infatti a ogni frase che viene pesata viene attribuito un valore (positivo o negativo) e i valori vengono sommati; se la

somma dei valori delle frasi trovate nella pagina web supera la soglia allora la pagina viene bloccata. Dansguardian suggerisce per questo parametro valore 50 per proteggere utenti "bambini", valore 100 per proteggere utenti "ragazzini", valore 160 per proteggere utenti "giovani adulti". 4.2 Advanced Settings Il file /etc/dansguardian/dansguardian.conf è il file principale di configurazione. In questo file viene stabilito il modo in cui agisce il filtro (blocca, avverte, registra ecc.) e altre caratteristiche generali. Una della caratteristiche è la lingua con cui vengono presentate le pagine di avviso: è importante sapere che qualora si voglia modificare la lingua è necessario includere la stringa corrispondente tra apici singoli; per esempio: language='italian' Omettendo gli apici singoli dansguardian non potrà essere riavviato. La modifica di questo file di configurazione può essere fatta tramite interfaccia web clikkando sul bottone "Advanced Settings": la casella di entry relativa alla lingua mostra la lingua attualmente configurata senza gli apici e, sia che si faccia la modifica sia che non la si faccia, è necessario inserire gli apici singoli prima di premere il bottone "salva".

4.3 uso delle blacklist Dansguardian opera in modo semplice (ma non solo) ricorrendo alle blacklist: liste di domini (per es. "porno.com") e liste di URL (parti di siti, cioè indirizzi completi di dominio e percorso di risorse web) che vengono periodicamente aggiornate. Dansguardian installato in IPCop viene normalmente configurato per scaricare regolarmente gli aggiornamenti alle blacklist. Nella prima pagina dell'interfaccia deve essere lasciata la spunta nella casella "Enable automatic download" e non si deve modificare l'indirizzo nella cella sottostante. 4.4 Banned site list e Banned URL list Queste due liste permettono l'integrazione delle blacklist automaticamente scaricate da Dansguardian: quindi la lista dei domini (per esempio: porno.com) e delle risorse web (URL, dominio e percorso, per esempio: pubblica.istruzione.it/audiovisivi/pornophoto). Non ci si deve preoccupare della parte iniziale "http://www." che viene omessa. Insomma le "site list" si riferiscono a interi siti il cui indirizzo comincia con un certo dominio; le "url list" si riferiscono a parti di siti web o a singole pagine.

4.5 Exception site list e Exception URL list Le controparti dei due precedenti controlli sono "Exception site list" e "Exception URL list" in cui vengono elencati siti e URL che in ogni caso non devono essere bloccati (whitelist). 4.6 Banned IP list La "Banned IP list" è la lista degli indirizzi IP delle macchine client (cioè appartenenti alla rete locale protetta da IPCop) cui deve essere in ogni caso proibito il collegamento al web. 4.7 Exception IP list La "Exception IP list" è invece la lista degli indirizzi IP della macchine client (cioè appartenenti alla rete locale protetta da IPCop) cui deve essere in ogni caso permesso il collegamento a tutte le risorse web. In ambiente scolastico può essere comodo utilizzare questo controllo per lasciare fuori dall'intervento del filtro una macchina (usata esclusivamente dal docente amministratore di rete) che deve periodicamente o automaticamente scaricare aggiornamenti o software che sarebbero altrimenti bloccati. 4.8 Banned file extension list Lista delle "estensioni" che caratterizzano file di cui deve essere proibito il download: per esempio può essere vietato il download (tramite web) di file caratterizzati da estensioni di tipo.exe o.mp3 o.zip ecc. 4.9 DansGuardian Logs Dalla prima pagina dell'interfaccia del "content filter" oppure dal menu Log di IPCop si può accedere alle "registrazioni" di Dansguardian e quindi è possibile vedere da quali indirizzi IP della rete locale, e a quale orario, è stato tentato (con o senza successo) il collegamento a una risorsa web. Come già sottolineato in riferimento al menu Log di IPCop, questo controllo fine non è praticamente realizzabile in modo sistematico (principalmente per motivi di tempo) ma e sicuramente opportuno che gli utenti della LAN sappiano che esiste questa possibilità di controllo.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back