IPCop può salvare la vostra rete dagli attacchi
Durante la preparazione del discorso per il Linux day 2014 su un firewall linux stavo esaminando le interfacce web, creandone una descrizione, ho notato che questo stava facendo venire sonno a me, quindi ho pensato l'effetto che questo avrebbe potuto avere su un eventuale ascoltatore, che magari non è neanche affine alle tecniche di firewalling, port blocking e forwarding...
Ci voleva un approccio top-down e qualcosa di differente dalle solite guide che si trovano in rete in primo luogo sul sito ufficiale di IPCop
Ho quindi deciso di vedere la cosa in maniera più descrittiva e meno tecnica orientata ai servizi forniti e non alle mere maschere di configurazione, cercando di lasciare una visione di insieme di quelle che sono le funzionalità cercando di non scendere troppo nei dettagli tecnici di configurazione
Per procurarsi il software: IPCop Linux download, in questa installazione abbiamo utilizzato la iso "Installation CD i486" per comodità ma era possibile nel caso non si avesse a disposizione un lettore utilizzare un immagine per USB
Tipologia di rete
In questo talk noi vedremo una rete molto semplice, formata da WAN a cui viene assegnata una scheda di rete indicata come RED e da un'interfaccia interna (LAN) visualizzata come GREEN
Ipcop ci permette di avere delle topologie di reti più complesse, con DMZ (ORANGE) e con l'utilizzo di plugin altre interfacce
Servizi forniti o desiderati
- Filtri navigazione client e blacklist
- VPN
- Telelavoro tramite VPN
- Connessioni verso sedi remote (ipsec)
- Gestione priorità traffico (QoS)
- Plugin esterni
- Filtri antispamFiltri antivirus per:
- Posta
- Navigazione
- Messaging (msn, google...)
- Restrizioni sull'orario e il giorno
- Limiti nella dimensione dei file trasferiti (upload e download)
- Limiti nella velocità di trasferimento massima
- Limitazioni di banda basati sul tipo di contenuti
- Blocco di specifici mime (es: youtube flashvideo)
- Blocco di useragent indesiderati (Google heart o mediaplayer)
È inoltre possibile sfruttare vari tipi di autenticazioni per l'accesso al proxy sia locali (interne al proxy) che remote (per connetterlo a sistemi di autenticazione già presenti)
Blacklist o filtraggio url
Questo tipo di servizio utilizza squidguard, una serie di strumenti per il filtraggio in base al nome dominio contattato dai client
Per prima cosa scegliere le blacklist nella sezione manutenzione e aggiornarle (la compilazione richiedera un po di tempo), abilitare i reindirizzatori nella categoria proxy, dopo di che avremo a disposizione la selezione di cosa bloccare e potremo personalizzare gli avvisi di blocco
Una nota per le opzioni avanzate va spesa: ci rendono possibile il blocco della connessione tramite indirizzo IP (facile metodo per evitare il filtro) e di abilitare il safesearch su google.
Per quanto riguarda il safe-search di google essendo effettuato su https per avere la certezza dell'efficacia necessita dell'utilizzo di google in modalita no-SSL
VPN
Telelavoro tramite VPN (OpenVPN)
La prima necessità è creare un certificato tramite la maschera VPN/CA del nostro firewall Linux, le VPN possono essere utilizzate anche su connessioni di tipo “casalingo” con IP dinamico che cambia a ogni riconnessione tramite DNS dinamico
Si attiva il server sulle interfacce necessarie (RED in questo caso) e si avvia
A questo punto si possono aggiungere client e crearne i certificati con relative password che saranno settati sul client
NB: questo ci permette, nel momento di smarrimento del portatile/smartphone di eliminare velocemente il certificato e ricrearne uno nuovo all'occorrenza (limitando le possibilità di accessi non desiderati)
Lan to Lan (IPSec)
Molto simile come configurazione all'openvpn ma viene utilizzata per connettere due lan in modo che i client possano raggiungere in modo trasparente la sede remota
Priorità traffico
Spesso accade su connessioni molto sfruttate che si abbiano dei problemi di scarsa qualità soprattutto nei protocolli Real Time (Telefonia voip, Videoconferenza...) il QoS, quality of service, si presta allo scopo di dare priorità ai pacchetti in transito, un esempio banale:
- Alta: UDP 51 (SIP)
- Media: TCP 80 (HTTP)
- Bassa: TCP 25 (SMPT)
In questo esempio chi sta mandando posta e scaricando file pesanti da internet non va a intaccare la qualità della voce trasmessa al nostro server di telefonia SIP
Importante è anche definire la banda massima arrotondando per difetto in modo da lasciare un po di banda inutilizzata
Plugin esterni
Sono disponibili delle estensioni a parte da installare su ipcop, l'installazione tipica comporta l'estrazione dell'archivio nel firewall Linux e il lancio dell'installer associato.
Copfilter
Sicuramente uno dei migliori addon di ipcop, ci permette di utilizzare antispam, antivirus, watchdog dei processi, proxy Instant Messaging
Un particolare grazie a:
Ipcop.org
Linux Day 2014 Reggio emilia
Grazie a tutti coloro che hanno partecipato