SmoothWall : il front end grafico di iptables Ivan Zini - 25 Ottobre 2008.

SmoothWall SmoothWall : : il front end grafico di il front end grafico di

iptablesiptables

Ivan Zini - 25 Ottobre 2008Ivan Zini - 25 Ottobre 2008

Smoothwall: cos'è??Smoothwall: cos'è??

Ivan Zini - 25/10/2008Ivan Zini - 25/10/2008

Tradotto letteralmente significa :“muro liscio” o “muro scivoloso”

“Muro liscio”

“Muro scivoloso”

..liscia e da muro??!!...

SmoothWall: il front end grafico di Iptables

SmoothwallSmoothwall è una distribuzione firewall opensource sottoposta ad Hardening, ovvero:una distribuzione dedicata, in cui sono stati eliminati quei servizi e moduli non indispensabili per il funzionamento del firewall e che potrebbero rappresentare delle vulnerabilità.Utilizza una semplice interfaccia grafica via browser e non richiede mirate conoscenze di Linux e iptables per essere installato e configurato.L'utente può così tralasciare i dettagli tecnici e concentrarsi sulla struttura di rete che intende realizzare.



Spiegare cos'è un firewall e iptables nel dettaglio esuladagli scopi di questo documento ma è doveroso farne almeno una breve introduzione.

Smoothwall: cos'è??Smoothwall: cos'è??

Firewall: muro taglia fuoco!Firewall: muro taglia fuoco!



Definizione n.1 :Un firewall è un apparato che si interpone tra due o più reti, configurato con un insieme di regole che determinano quali comunicazioni sono permesse e quali invece sono vietate.

Definizione n.2 :Un firewall è un componente hardware o software sul quale viene installato un ambiente operativo che analizza e gestisce il traffico dei pacchetti in base alla tipologia di rete e alla configurazione voluta.



Perchè usare un Firewall?Perchè usare un Firewall?Un firewall serve a “chiunque si colleghi ad internet” perché ha lo scopo di proteggere un computer, o una rete di computer, dagli attacchi provenienti da una rete “non sicura” esterna.

Il firewall diventa quindi il nodo in cui transita tutto il traffico da e verso internet, che viene analizzato e filtrato in base a regole di sicurezza e di accesso stabilite.

La funzionalità principale in sostanza è quella di creare un filtro sulle connessioni entranti ed uscenti.



Cosa proteggere?Cosa proteggere?Finché ad essere compromesso è un sistema casalingo il danno può essere anche limitato, ma se si pensa ad un'azienda, una compromissione o una perdita di dati sensibili può essere un danno considerevole in termini di costi, affidabilità e anche d'immagine. DATI:●Integrità●Privacy●Disponibilità

RISORSE:●Integrità hardware e software●Tempo di calcolo.

REPUTAZIONE:●Furto d'identità(chiavi d'accesso)●Defacement

Limiti di un firewallLimiti di un firewall


Cosa fa:Separazione fisica di una o più reti.Restrizioni sul traffico.Monitoraggio del traffico.Logging del traffico.


Cosa non fa:Non protegge da virus/spyware e phising.Non protegge da attacchi non noti a priori.Non può controllare accessi fisici ai sistemi.Non protegge da errori di utenti leggittimi.Non protegge da attacchi interni.



Manifesto del progettoManifesto del progetto

1)Creare una distribuzione linux stabile e opensource che coverta pc, anche obsoleti, in un sistema firewall.2)Semplice da installare anche da utenti che non hanno conoscenza di linux.3)Supporto ad ampie varietà di schede di rete e altro hardware.4)Supportare diversi metodi di connessione ad internet.5)L'uso di un browser web per la gestione e la configurazione

Progetto fondato nel 2000 da Lawrence Manning e Richard Morrell.

Versione attuale : Smoothwall Express 3.0Smoothwall Express 3.0 con 3 update



Requisiti HardwareRequisiti HardwareUno dei maggior pregi di Smoothwall è senz'altro quello di poter realizzare un firewall praticamente a costo zero, in quanto non richiede requisiti hardware evoluti o di ultima generazione...basta un vecchio PC!

Memoria RAM : minimo 256Mb (consigliati 512Mb con servizio proxy)Processore : minimo PII 500MhzHard Disk: minimo 10GbScheda video: qualunqueScheda di rete: minimo 2 (consigliate le 3Com 3C905)Un lettore CD-RomUna tastiera.Un monitor qualunque.



Tipologie di reteTipologie di rete

1)GREEN : scheda collegata alla rete interna locale.

2)RED : scheda collegata all'esterno (IP pubblico).

3)ORANGE : scheda collegata alla zona DMZ.

4)PURPLE : scheda collegata ad una zona Wirelless.

In Smoothwall sono definite 4 zone:



Tipologie di reteTipologie di reteGREEN-RED

GREEN-RED-ORANGE-PURPLE



InstallazioneInstallazione1)Scaricare l'immagine di boot dal sito http://www.smoothwall.org/get/index.php

2)Masterizzare L'immagine su CD.

3)Impostare da BIOS l'avvio del PC dal CD-ROM

ATTENZIONE !!!In fase di installazione, Smoothwall cancellera' completamentetutte le vostre partizioni sul disco.



InstallazioneInstallazione



installazioneinstallazione



installazioneinstallazione

ADMIN : l'utente più utilizzato, permette l'amministrazione via browser.

ROOT: l'utente che ha il controllo completo del sistema.



Avvio SmoothWall!!Avvio SmoothWall!!Ora potete scollegare tastiera e monitor...non vi serviranno più!!



●Firewall basato su Netfilter/Iptables con kernel 2.6.16●Gestione NAT/PAT.●Supporto per quattro interfacce di rete e supporto DMZ● File system ext3 e supporto device SCSI.●Supporto modem (analogici, ISDN, ADSL).●Supporto server DHCP.●Supporto server SSH per connessioni remote.● Supporto Proxy IM e SIP.●Supporto proxy trasparente per il Web.● Supporto server NTP per sincronizzare data e ora.●IDS (Intrusion Detection System) su tutte le schede di rete. (SNORT)●Gestione VPN.●Caching e Dynamic or static DNS.●Logging avanzato per ogni tipo di servizio.●Grafici di stato e di traffico.● Supporto Proxy per pop3 con antivirus integrato (ClamAV).●Possibilità di patches e updates.●Backup e Restore della configurazione.

Firewall...ma non solo!Firewall...ma non solo!



Iptables & NetFilterIptables & NetFilterTratto da Wikipedia:Netfilter è un componente del kernel del sistema operativo Linux, che permette l'intercettazione e manipolazione dei pacchetti che attraversano il calcolatore. Netfilter permette di realizzare alcune funzionalità di rete avanzate come la realizzazione di firewall basata sul filtraggio stateful dei pacchetti o configurazioni anche complesse di NAT, un sistema di traduzione automatica degli indirizzi IP, tra cui la condivisione di un'unica connessione Internet tra diversi computer di una rete locale, o ancora la manipolazione dei pacchetti in transito.

Iptables è il programma che permette agli amministratori di sistema di configurare netfilter, definendo le regole per i filtri di rete e il reindirizzamento NAT. Spesso con il termine iptables ci si riferisce all'intera infrastruttura, incluso netfilter.Smoothwall è un'interfaccia grafica intuitiva di Iptables.

In sostanza non ci si limita a filtrare il singolo pacchetto in base alla sua provenienza, alla sua destinazione e al contenuto, ma lo si pone in contesto con le attività che sono accadute sulla rete per identificare eventuali schemi di attacco che altrimenti non sarebbero riconoscibili.



ControlControlPer accedere via web a smoothwall digitare https://ipgreen:441 e digitare utente “admin” e la relativa password Da qui potete

controllare la versione del prodotto e l’uptime. Se non aggiornate da molto tempo, un messaggio vi ricorderà di farlo.



Maintenance : updateMaintenance : update

Dopo l'installazione come prima cosa andate a maintenance ->updates, e aggiornate la lista degli aggiornamenti disponibili premendo il relativo pulsante. Scaricateli ed installateli in sequenza. Potrebbe essere necessario riavviare SmoothWall alcune volte.(ma solo in rari casi)



AboutAbout



ServicesServices



NetworkingNetworking



VPNVPN



LogsLogs



MaintenanceMaintenance



Breve intro a IPtablesBreve intro a IPtables

Ogni tabella ha 3 catene di default:●Input - Riguarda tutti i pacchetti destinati al sistema. In entrata da ogni interfaccia.●Output - Riguarda i pacchetti che sono originati dal sistema e destinati ad uscire.●Forward - Riguarda i pacchetti che attraversano il sistema, con IP sorgente e destinazione esterni.

Riepilogando:netfilter/iptables gestisce tutte le attività di firewalling su Linux:●Netfilter comprende i moduli del kernel.●iptables è il comando con cui si gestisce netfilter.

Iptables lavora su 3 tabelle (tables) di default:Filter - Regola il firewalling: quali pacchetti accettare, quali bloccare.Nat - Regola le attività di natting.Mangle - Interviene sulla alterazione dei pacchetti.

Esempio per permettere ad un pacchetto con IP sorgente 10.0.0.4 di raggiungere il server 192.168.0.1 attraversando il firewall:

iptables -I FORWARD -s 10.0.0.4 -d 192.168.0.1 -j ACCEPT



ADDONSADDONSSmoothWall può essere reso più performante e più versatile mediante l'installazione di moduli aggiuntivi detti “ADDONS”

ATTENZIONE!!ATTENZIONE!!GLI ADDON NON SONO GLI ADDON NON SONO

UFFICIALMENTEUFFICIALMENTERICONOSCIUTIRICONOSCIUTI

La list degli ADDONS è presente sul Forum utente di SmoothWall:

http://community.smoothwall.org/forum/viewforum.php?f=26



ADDONSADDONSATTENZIONE!!

E' possibile che dopo un aggiornamento ufficiale di Smoothwall alcuni Addons non funzionino più.E' necessario disinstallarli e reinstallarli.

ADDONS consigliati:●Full Firewall Control:permette di controllare dalla pagina Networking- Incoming interamente gli accessi e i forward potendo anche scegliere un protocollo specifico ed infine aggiungere alias IP ad ogni interfaccia. (+ IP PUBBLICI).●Smoothbackup: permette di eseguire il backup via FTP o SCP dell'intero contenuto dell' Hard disk.●S.M.A.R.T: modulo che utilizza la Self-Monitoring, Analysis, and Reporting Technology per verificare l'integrità dell'Hard disk.

Sul Forum trovate informazioni dettagliate sull'installazionedei vari addons e su problematiche inerenti.In generale una volta scaricato un'addon va copiato nellaCartella /tmp di smoothwall e collegandosi tramite un clientSSH si lanciano i comandi di decompressione e di installazione.



My SmoothWall!!My SmoothWall!!



ConclusioniConclusioniIn definitiva SmoothWall è un'ottima alternativa a molti dei Firewall proprietari in commercio ed inoltre è molto flessibile e adattabile alle vostre esigenze.

GRAZIE A TUTTI!!!...GRAZIE A TUTTI!!!... E BUON PROSEGUIMENTO!E BUON PROSEGUIMENTO!

SmoothWall : il front end grafico di iptables Ivan Zini - 25 Ottobre 2008.

Documents

Transcript of SmoothWall : il front end grafico di iptables Ivan Zini - 25 Ottobre 2008.