Pagina 1 Pagina 2 Pagina 3 Pagina 4
Internet, si sa, e’ una risorsa piena di insidie. Dietro ad ogni angolo si puo’ nascondere, soprattutto per i non avvezzi ai problemi di sicurezza, uno “spyware“, un “dialer“, un qualsiasi tipo di programma maligno che tente di accedere a qualche risorsa del nostro computer.
In una rete aziendale, poi, dove i computer collegati ad Internet sono solitamente utilizzati da utenti inesperti, i rischi sono ancora maggiori, visto che all’interno della stessa rete sono presumibilmente presenti server su cui girano gestionali e web application di vario genere. Se la rete venisse violata, anche dal piu’ innoquo dei cosiddetti “malware“, la sicurezza di tutta la struttura informativa sarebbe compromessa, con conseguente pericolo per le informazioni che risiedono sui server.
Per questa ragione, la presenza di un firewall e’ altamente consigliata, sia in ambito aziendale che (se pure per ragioni meno “critiche” ma comunque importanti, vedi la protezione dai suddetti malware) casalingo.
Un firewall e’, sostanzialmente, un sistema in grado di separare fisicamente due o piu’ reti, impedendo l’accesso dall’esterno a meno che non vengano impostate regole mirate. In buona sostanza, si tratta di un dispositivo che blocca tutto il traffico in ingresso, e buona parte di quello in uscita, fino a quando l’utente non specifica esattamente quali servizi, porte o computer possono dialogare piu’ o meno liberamente con Internet.
Per realizzare il nostro firewall utilizzeremo IPCop, ottima distribuzione Linux pensata esclusivamente per questo scopo, dotata di una comodissima e completa interfaccia web per la sua amministrazione. Le richieste hardware sono minime, per cui potrà andar bene anche un vecchio Pentium 3, equipaggiato con almeno 256MB di RAM ed un numero sufficiente (fino a 4) di schede di rete, a seconda dell’utilizzo che se ne vorrà fare. IPCop, inoltre, mette a disposizione altri importanti servizi quali ad esempio: proxy server, DHCP, DNS, time server e VPN.
Il Sistema gestisce fino a quattro reti separate, identificate da quattro differenti colori: RED per quanto riguarda la WAN, GREEN per la LAN, BLUE per i dispositivi Wi-Fi e ORANGE per la DMZ. Chiaramente, ogni scheda dovrà avere sia una subnet che un indirizzo IP differente dalle altre. Uno schema indicativo di una configurazione con quattro schede di rete può essere il seguente:
Come vedete, ad ogni scheda è assegnato un IP ben differente dalle altre: 192.168.1.1 per la GREEN, 192.168.2.1 per la BLUE, 192.168.3.1 per la ORANGE e 192.168.8.1 per la RED. Le diverse interfacce verranno messe in comunicazone fra loro dalle regole iptables create dallo stesso IPCop.
Nella prossima pagina ipotizzeremo una configurazione molto semplice, con due sole schede di rete: la RED collegata a “Internet” tramite un modem ADSL Ethernet e la GREEN diretta verso la nostra LAN, messa in sicurezza proprio da IPCop.
Pagina 1 Pagina 2 Pagina 3 Pagina 4
5 gennaio 2011 alle 10:23
A proposito voglio segnalare l’utilità di questo post, che ha portato allosviluppo ed alcompimento di un’intera community. IPCop nell’arco di questi anni s’è davvero dimostrato un firewall completosemplice ma davvero professionale, nonchè maleabile d’utilizzo e personalizzazione.
31 ottobre 2008 alle 17:16
Confermo la bonta’ di Zerina, nonche’ la superiorita’ di OpenVPN nei confronti della lentissima VPN Microsoft
31 ottobre 2008 alle 13:33
Grazie william
considera che sono veramente alle prime armi con l’ambiente linux, per questo cercavo una guida passo passo..
31 ottobre 2008 alle 11:27
io ho usato l’ addon
open vpn ZERINA-0.9.5b
installi l’ addon su ip cop
e un programma client sul pc
su google trovi tutto..
ciao
31 ottobre 2008 alle 09:15
Ciao
devo configurare una vpn con ipcop
es. con un pc da casa devo fare in modo che ci si possa collegare in azienda
sto cercando una sorta di guida passo passo…qualcuno sa aiutarmi??
ciao
26 ottobre 2008 alle 12:23
@Kuod: semplice: http://www.ipcop.org
24 ottobre 2008 alle 07:56
Ah ok allora grazie mille e buona giornata
23 ottobre 2008 alle 12:51
Salve a tutti ho installato ipcop a casa ed è verametne molto potente ma non so che distribuzione usa infatti i comandi che di solito lanciavo su fedora per riavviare un servizio non funzionano su ipcop, per caso c’è qualcuno che mi sa dire come avviare il dhcp httpd o riavvire semplicemente sshd dopo aver modificato il file di configurazione? Lo vorrei fare da linea di comando e non via http..
Grazie
23 ottobre 2008 alle 18:55
IPCop e’ basato su Debian, come si vede anche dal tipo di installer che usa, molto famigliare a chi, appunto, ha installato anche una sola volta la distribuzione
Comunque IPCop si “governa” interamente via interfaccia web.
3 ottobre 2008 alle 20:35
Grazie delle risposte e della rapidità . Vorrei focalizzare i collegamenti evidenziati in ‘connessioni’ (menù stato\connessioni). Chiaro quanto scrivi, ma mi incuriosisce vedere che (raramente) un client (zona verde) della mia piccola LAN riesca ad accedere direttamente (così interpreto io) alla zona rossa (internet), quindi ‘fora’ IPCOP? E’un’atteggiamento sano?
Un’altra curiosità , sono noti fault di IpCop? Con Google non ho trovato niente.
Un saluto e grazie,
Fabio.
17 settembre 2008 alle 14:01
@Fabio: innanzi tuttoti ringrazio per il complimento. Poi, in attesa di trovare il tempo necessario a scrivere la seconda (e terza…) parte della guida, vedro’ di rispondere qui alle tue domande
1. Il menu connessioni, una volta capito, risulta molto comodo. Qui NON vedi attacchi sicuri ma puoi, a colpo d’occhio, vedere se c’e’ qualcosa che richiama la tua attenzione.
Il concetto e’ semplice: le connessioni vengono originate -> vanno verso la loro destinazione -> escono da qualche parte -> arrivano al richiedente.
Ergo: se hai del “rosso” (scheda RED, Internet) nella prima colonna (ip:porta della sorgente originante) significa che hai qualcosa in ingresso. Questo qualcosa puo’ poi essere tutto, e lo cominci a capire dalla porta impiegata. Es: hai un server web e nella prima colonna hai una connessione rossa entrante nella 80? Beh, e’ normale. Hai una roba che entra in una porta sconosciuta? Beh, comincia a cercare nella tua LAN
Seconda colonna: la destinazione della prima colonna. Ergo: nel nostro esempio, ti entra una richiesta sulla 80 da Internet (RED), ed IPCop la redirige verso l’ip “GREEN” del tuo web server. Ma prima di cio’, probabilmente verra’ passata da IPCop stesso. Per cui la seconda colonna sara’ nera (IPCop, appunto)
Terza colonna: La GREEN del webserver di cui sopra
Quarta colonna: Di nuovo RED, presumibilmente lo stesso ip entrante. Infatti il browser del nostro visitatore stara’ visualizzando la pagina richiesta.
Una volta che hai capito questo gioco di entrate< ->uscite, hai capito tutto!
2. Servizi: di questo devo parlare nella seconda parte, ma a grandi linee ti posso dire “attiva tutti quelli che ti servono”. Ti serve un DNS? Lo attivi e configuri. Ti serve un DHCP? Idem
Buona cosa sarebbe poi impostare IDS, il rilevamento delle intrusioni. Ancora migliore sarebbe farsi un account gratuito su snort.org e mantenere le regole aggiornate almeno una volta ogni 15 giorni.
Per quanto riguarda SSH (Secure Shell Server), se non lo abiliti non potrai amministrare IPCop via console e quindi, ad esempio, caricare nuovi moduli.
3. Fai benissimo. A morte l’USB! ;D
17 settembre 2008 alle 12:01
Un saluto a tutti, bella, utile e sintetica la descrizione. Sarebbe molto interessante capire alcune cose dopo l’installazione di IPCOP:
1. “IPTables Connection Tracking” (da menu Stato/Connessioni) non è di facile interpretazione, qualcuno ha dei riferimenti da consultare? Come si vedono eventuali attacchi o intrusioni?
2. “Servizi” (da menu Stato/Stato Sistema). Ci sono dei servizi alcuni attivati altri da attivare? Dove si può trovare una descrizione esauriente? Per esempio il mio “Secure shell server” è arrestato come faccio ad attivarlo e serve?
3. Forse sbaglio, ma preferisco collegare il modem ADSL via Etherner (scheda rossa)invece che via USB, mi da più sicurezza. Qualcuno ha dei commenti a riguardo?
Grazie e saluti,
Fabio.
6 agosto 2008 alle 14:22
Ciao,
ho scaricato la nuova release 20 per installarla su un server HP Dl360 g5 doppio processore.l’nstallazione va perfettamente e tramite il backup, riesco a ripristinare il tutto solo che non vede le schede di rete installate sulla piastra madre.ho provato ha fare l’installazione manuale selezionando come sk rete la broadcom extreme II ma dice che non trova i moduli .Esiste una procedura particolare per questa situazione?
grazie Ciao MARCO
24 luglio 2008 alle 15:03
ciao, rieccomi, iniziamo dai servizi di ipcop:
il proxy…..cosa ci permette di fare??
come si setta il proxy avanzato ??
……
24 luglio 2008 alle 13:09
L’ho conosciuto da poco, ma devo dire che non è niente male come soluzione… inoltre è gratuita e completa…
2 luglio 2008 alle 10:17
Ciao Angela,
la guida sulla configurazione, in realtà, la devo scrivere da un anno e rotti, solo che non ho mai il tempo sufficiente
Facciamo cosi’: chiedimi pure quello che vuoi sapere, ed io prendero’ le tue domande come spunto per realizzare la seconda parte della guida.
Ora ho un po’ piu’ di tempo libero, e dovrei riuscire finalmente a scriverla
2 luglio 2008 alle 08:07
ciao, sono alle prime armi con ipcop, e grazie anche a questa guida sono riuscita ad installarlo. Ho notato che il web abbonda di guide alla prima installazione, ma non sono stata in grado, nonostante le mie insistenti ricerche di trovare una guida che mi aiuti a configurarlo dalla web interface. (ne ho trovata una in inglese ma ci metterei troppoo tempo)
Voi sapreste come aiutarmi??
Grazie
Angela
13 giugno 2008 alle 10:49
l’ esperienza insegna…. da domani LDAP attivo
12 giugno 2008 alle 20:31
William, perdonami ma… 80 utenti nel proxy e NESSUNA AUTENTICAZIONE CENTRALIZZATA?
Nemmeno un semplice server Samba configurato come PDC? Non un Active Directory? Neppure un LDAP/Kerberos?
Ahi ahi ahi!!!
12 giugno 2008 alle 19:27
non è tanto il reinstallare gli addon, ma il ricreare gli 80 utenti del proxy
12 giugno 2008 alle 18:48
William, che risulti a me, una volta che la nuova macchina e’ riconosciuta da IPCop per tutto quello che gli serve (ACPI, schede di rete, controller hard disk), il sistema e’ perfettamente identico, indifferentemente dal hardware
Per cui, addon a parte (per i quali ovviamente ci saranno eventuali backup proprietari ed indipendenti da quello di IPCop), puoi tranquillamente backuppare tutta la config direttamente dall’interfaccia web. Una volta installato il nuovo, poi, potrai ripristinare il tutto semplicemente caricando il precendete file di config. In teoria potresti farlo pure in fase di installazione (se ricordi, ti chiede se hai un floppy con un backup precedente), ma non ho mai provato; chi userebbe ancora dei floppy, nel 2008?
Ma parliamo sempre, fa’ attenzione, a backup della configurazione. Non e’ ovviamente possibile fare un’immagine disco da riversare su hardware differente.
Per gli addon, invece, te li dovrai reinstallare tutti. Ma e’ una cosa di pochi minuti, dai…
12 giugno 2008 alle 07:28
sono ancora qua!!!
a rompere le scatole ovviamente…
x le prove voip sono ancora in alto mare, ma mi si presenta un altro problema…
devo cambiare l’ hardware del mio ipcop, e volevo farne il backup su un’altra…
per non riconfigurare tutti gli addon installati…
ma a quanto pare la cosa non è possibile… perchè dalla guida ho capito che un backup
si può ripristinare solo sulla stessa macchina….
mi confermate tutto ciò????
ciao e grazie
5 maggio 2008 alle 10:25
http://www.twproject.org/wiki/index.php?n=TrixBox.IpCopSIP
ho trovato questo x il QoS….
appena mi arriva il centralino voip vi faccio sapere…
grazie ancora e ciao
5 aprile 2008 alle 19:07
ok x l’ accesso esterno, stavo dormendo
, ma x il Qos che addons devo usare???
vole vo qualcosa di un pò più pofessional
grazie
4 aprile 2008 alle 22:11
L’accesso esterno (se per “esterno” intendiamo “proveniente da Internet”) e’ DISATTIVATO, e lo devi abilitare dall’apposito menu “ACCESSO ESTERNO”.
Per quanto riguarda il QoS, nulla di piu’ semplice! Vai nel menu GESTIONE BANDA ed imposta a quale porta in ingresso riservare una priorita’ maggiore (o minore, a seconda delle tue necessita’)
4 aprile 2008 alle 21:31
ciao cristian, sono ancora io….
installato tutto e funzionante, ma….
ssh abilitato, ma non riesco ad accedere alla macchina dall’ esterno….
inoltre vorrei installare il QoS per delle applicazioni voip, ma non ho capito quali e dove sono i pacchetti da installare…
mi daresti 2 dritte???
grazie ancora x la disponibilità .
ciao
11 febbraio 2008 alle 20:34
William: tanto per cominciare, io non ti consiglio assolutamente di tenere ssh disabilitato. Senza ssh, non hai modo di amministrare il Sistema, se non direttamente sul pc in cui hai installato l’IPCop. Il che non è un bene
Per quanto riguarda il ping, verifica dal pannello di amministrazione, alla voce “Opzioni Firewall”, che il ping sia o disabilitato od abilitato sulla sola RED.
Per il backup, puoi evocare il setup (comando, appunto, “setup”) dalla shell direttamente sull’IPCop, dopo che ti sarai loggato come root.
Oppure direttamente dal pannello di amministrazione.
11 febbraio 2008 alle 20:27
io ho un problema con la mia installazione.. ipcop 1.4.18
rete cofigurata in green red
ssh disabilitato
disabilitato l’ accesso esterno
non riesco a pingare la scheda GREEN…. (e la pingo al giusto indirizzo..)
come posso fare il backup della macchina da shell per poterla poi ripristinare su un’ altra???
grazie
5 novembre 2007 alle 19:46
A giorni
Purtroppo il tempo disponibile è quello che è, ma spero di riuscire a pubblicare qualcosa già entro questa settimana.
5 novembre 2007 alle 15:54
Ottimo articolo grazie! Volevo chiedervi a quanto la parte n.2 ??
25 luglio 2007 alle 13:06
Veramente un ottimo inizio per questo how-to, complimenti Cristian
15 giugno 2007 alle 19:34
Quoto Vito,
io ho oramai 3 anni di Uptime (non continuativo ;D ) con IpCop: è davvero eccezionale.
Ha girato per 2 anni su un p133 con 32MB di ram, per poi passare su un k6-2 300 con 256MB di ram. Attualmente, su questa configurazione, gestisce come Proxy il traffico di ben 150 pc.
Attendo impaziente la continuazione della guida! =)
13 giugno 2007 alle 22:37
Ottimo prodotto … Uso IPCOP da ormai tre ( o forse più) e devo dire che lo trovo estremamente stabile ed affidabile. Permette di gestire qualsiasi situazione ed ha un ottimo sistema di plugin che ne estendono le funzionalità, dal controllo del traffico in uscita ( Block outgoing traffic ) a plugin che con il firewall e la sicurezza non c’entrano come asterisk ( per installare l’omonimo software per realizzare PBX e sistemi SIP/VOIP ).
Giudizio più che ottimo e guida molto chiara. Aspetto le altre puntate.
26 ottobre 2008 alle 10:05
Ottima tutta la trattazione, ma dove trovo o scarico IPCOP????
Saluti