IPCop può salvare la vostra rete dagli attacchi

Galleria: 
Ipcop Linux firewall presentazione
Italiano

Durante la preparazione del discorso per il Linux day 2014 su un firewall linux stavo esaminando le interfacce web, creandone una descrizione, ho notato che questo stava facendo venire sonno a me, quindi ho pensato l'effetto che questo avrebbe potuto avere su un eventuale ascoltatore, che magari non è neanche affine alle tecniche di firewalling, port blocking e forwarding...

Ci voleva un approccio top-down e qualcosa di differente dalle solite guide che si trovano in rete in primo luogo sul sito ufficiale di ipcop

Ho quindi deciso di vedere la cosa in maniera più descrittiva e meno tecnica orientata ai servizi forniti e non alle mere maschere di configurazione, cercando di lasciare una visione di insieme di quelle che sono le funzionalità cercando di non scendere troppo nei dettagli tecnici di configurazione


Per procurarsi il software: Ipcop Linux download, in questa installazione abbiamo utilizzato la iso "Installation CD i486" per comodità ma era possibile nel caso non si avesse a disposizione un lettore utilizzare un immagine per USB


Tipologia di rete


In questo talk noi vedremo una rete molto semplice, formata da WAN a cui viene assegnata una scheda di rete indicata come RED e da un'interfaccia interna (LAN) visualizzata come GREEN


Ipcop RED e GREEN


Ipcop ci permette di avere delle topologie di reti più complesse, con DMZ (ORANGE) e con l'utilizzo di plugin altre interfacce


Servizi forniti o desiderati


  1. Filtri navigazione client e blacklist
  2. VPN
    1. Telelavoro tramite VPN

  3. Connessioni verso sedi remote (ipsec)
  4. Gestione priorità traffico (QoS)
  5. Plugin esterni
  6. Filtri antispamFiltri antivirus per:
    1. Posta
    2. Navigazione
    3. Messaging (msn, google...)
    4. Restrizioni sull'orario e il giorno

  7. Limiti nella dimensione dei file trasferiti (upload e download)
  8. Limiti nella velocità di trasferimento massima
  9. Limitazioni di banda basati sul tipo di contenuti
  10. Blocco di specifici mime (es: youtube flashvideo)
  11. Blocco di useragent indesiderati (Google heart o mediaplayer)


E' inoltre possibile sfruttare vari tipi di autenticazioni per l'accesso al proxy sia locali (interne al proxy) che remote (per connetterlo a sistemi di autenticazione già presenti)


Blacklist o filtraggio url


Questo tipo di servizio utilizza squidguard, una serie di strumenti per il filtraggio in base al nome dominio contattato dai client

Per prima cosa scegliere le blacklist nella sezione manutenzione e aggiornarle (la compilazione richiedera un po di tempo), abilitare i reindirizzatori nella categoria proxy, dopo di che avremo a disposizione la selezione di cosa bloccare e potremo personalizzare gli avvisi di blocco

Una nota per le opzioni avanzate va spesa: ci rendono possibile il blocco della connessione tramite indirizzio ip (facile metodo per baipassare il filtro) e di abilitare il safesearch su google.

Per quanto riguarda il safe-search di google essendo effettuato su https per avere la certezza dell'efficacia necessita dell'utilizzo di google in modalita no-ssl


VPN


Telelavoro tramite VPN (OpenVPN)


ipcop vpn client to lan


La prima necessità è creare un certificato tramite la maschera VPN/CA del nostro firewall Linux, le VPN possono essere utilizzate anche su connessioni di tipo “casalingo” con IP dinamico che cambia ad ogni riconnessione tramite dns dinamico

Si attiva il server sulle interfacce necessarie (RED in questo caso) e si avvia

A questo punto si possono aggiungere client e crearne i certificati con relative password che saranno settati sul client

NB: questo ci permette, nel momento di smarrimento del portatile/smartphone di eliminare velocemente il certificato e ricrearne uno nuovo all'occorrenza (limitando le possibilità di accessi non desiderati)


Lan to Lan (IPSec)



Ipcop lan to lan vpn


Molto simile come configurazione all'openvpn ma viene utilizzata per connettere due lan in modo che i client possano raggiungere in modo trasparente la sede remota


Priorità traffico


Spesso accade su connessioni molto sfruttate che si abbiano dei problemi di scarsa qualità soprattutto nei protocolli Real Time (Telefonia voip, Videoconferenza...) il Qos, quality of service, si presta allo scopo di dare priorità ai pacchetti in transito, un esempio banale:


  1. Alta: UDP 51 (SIP)
  2. Media: TCP 80 (HTTP)
  3. Bassa: TCP 25 (SMPT)


In questo esempio chi sta mandando posta e scaricando file pesanti da internet non va a intaccare la qualità della voce trasmessa al nostro server di telefonia SIP

Importante è anche definire la banda massima arrotondando per difetto in modo da lasciare un po di banda inutilizzata


Plugin esterni


Sono disponibili delle estensioni a parte da installare su ipcop, l'installazione tipica comporta l'estrazione dell'archivio nel firewall Linux e il lancio dell'installer associato.


Copfilter


Sicuramente uno dei migliori addon di ipcop, ci permette di utilizzare antispam, antivirus, watchdog dei processi, proxy Instant Messaging


Un particolare grazie a:

Ipcop.org

Linux Day 2014 Reggio emilia


Video Linux Day 2014



Grazie a tutti coloro che hanno partecipato