Internet, si sa, e’ una risorsa piena di insidie. Dietro ad ogni angolo si puo’ nascondere, soprattutto per i non avvezzi ai problemi di sicurezza, uno “spyware“, un “dialer“, un qualsiasi tipo di programma maligno che tente di accedere a qualche risorsa del nostro computer.
In una rete aziendale, poi, dove i computer collegati ad Internet sono solitamente utilizzati da utenti inesperti, i rischi sono ancora maggiori, visto che all’interno della stessa rete sono presumibilmente presenti server su cui girano gestionali e web application di vario genere. Se la rete venisse violata, anche dal piu’ innoquo dei cosiddetti “malware“, la sicurezza di tutta la struttura informativa sarebbe compromessa, con conseguente pericolo per le informazioni che risiedono sui server.
Per questa ragione, la presenza di un firewall e’ altamente consigliata, sia in ambito aziendale che (se pure per ragioni meno “critiche” ma comunque importanti, vedi la protezione dai suddetti malware) casalingo.
Un firewall e’, sostanzialmente, un sistema in grado di separare fisicamente due o piu’ reti, impedendo l’accesso dall’esterno a meno che non vengano impostate regole mirate. In buona sostanza, si tratta di un dispositivo che blocca tutto il traffico in ingresso, e buona parte di quello in uscita, fino a quando l’utente non specifica esattamente quali servizi, porte o computer possono dialogare piu’ o meno liberamente con Internet.
Per realizzare il nostro firewall utilizzeremo IPCop, ottima distribuzione Linux pensata esclusivamente per questo scopo, dotata di una comodissima e completa interfaccia web per la sua amministrazione. Le richieste hardware sono minime, per cui potrà andar bene anche un vecchio Pentium 3, equipaggiato con almeno 256MB di RAM ed un numero sufficiente (fino a 4) di schede di rete, a seconda dell’utilizzo che se ne vorrà fare. IPCop, inoltre, mette a disposizione altri importanti servizi quali ad esempio: proxy server, DHCP, DNS, time server e VPN.
Il Sistema gestisce fino a quattro reti separate, identificate da quattro differenti colori: RED per quanto riguarda la WAN, GREEN per la LAN, BLUE per i dispositivi Wi-Fi e ORANGE per la DMZ. Chiaramente, ogni scheda dovrà avere sia una subnet che un indirizzo IP differente dalle altre. Uno schema indicativo di una configurazione con quattro schede di rete può essere il seguente:
Come vedete, ad ogni scheda è assegnato un IP ben differente dalle altre: 192.168.1.1 per la GREEN, 192.168.2.1 per la BLUE, 192.168.3.1 per la ORANGE e 192.168.8.1 per la RED. Le diverse interfacce verranno messe in comunicazone fra loro dalle regole iptables create dallo stesso IPCop.
Ipotizzeremo ora una configurazione molto semplice, con due sole schede di rete: la RED collegata a “Internet” tramite un modem ADSL Ethernet e la GREEN diretta verso la nostra LAN, messa in sicurezza proprio da IPCop.
Come prima cosa ci dovremo ovviamente procurare l’immagine .iso (di dimensioni molto ridotte, circa 50MB), la quale dovrà poi essere masterizzata sul CD da cui avvieremo l’installazione. Questo CD andrà in seguito inserito nel lettore del nostro futuro firewall, ed avviato al boot.
In seguito, una volta esauriti i primi messaggi di caricamento e scelta la lingua preferita, ci troveremo dinanzi all’installazione vera e propria:
Dovremo poi selezionare la sorgente di installazione. Nel nostro caso, CDROM
Dopo un paio di conferme avrà inizio la copia dei files:
Tralasciamo la richiesta di backup, utile solo in caso si stia ripristinando una precedente installazione, e passiamo a configurare la scheda di rete GREEN:
Facciamo “click” su Probe ed attendiamo che IPCop completi il riconoscimento automatico della scheda di rete (verificare comunque che sia presente nell’elenco di quelle supportate per evitare spiacevoli inconvenienti) ed andiamo quindi ad impostare l’IP della suddetta scheda:
Seguendo l’esempio illustrato all’inizio, presumiamo che i PC della nostra LAN abbiano 192.168.1.0 come Subnet, per cui la nostra interfaccia GREEN, prenderà come IP 192.168.1.1. Come Network Mask lasciamo 255.255.255.0 e confermiamo per proseguire con la configurazione.
Subito dopo aver selezionato la giusta fascia oraria, andremo a decidere l’hostname ed il dominio di appartenenza del nostro firewall.
Nella figura riportata si è scelto “ipcop“. Voi potete ovviamente scegliere il nome che preferite. Ad esempio, il mio IPCop si chiama “frodo” 🙂
Per quanto riguarda il dominio vale più o meno lo stesso discorso. Qui dovrete mettere il dominio (o workgroup, in caso non abbiate un PDC in casa) della vostra LAN.
Dal momento che vorremo collegare un modem ADSL Ethernet, tralasciamo tranquillamente la parte su ISDN.
Vi basti sapere che, volendo, possiamo usare anche una connessione di questo tipo sull’interfaccia RED .
Ora è giunto il momento di scegliere la nostra configurazione di rete. Come detto, realizzeremo un semplice sistema con due sole schede, per cui selezioniamo Network configuration type e poi scegliamo GREEN (RED is modem/ISDN).
Abbiamo quasi finito. IPCop ora dovrà fare il probe della seconda scheda di rete ed installare il driver corretto. Una volta eseguita questa operazione, andremo ad assegnare l’IP all’interfaccia RED, esattamente come si è fatto in precedenza con la GREEN :
Come prima cosa dobbiamo sapere come il nostro modem si connette ad Internet. Presumendo che la connessione (tipicamente, per le connessioni casalinghe, si utilizzano PPPoE o PPPoA) sia già stata configurata all’interno del pannello web dell’apparato, impostiamo “Static” ed immettiamo quindi l’indirizzo IP del modem (ad esempio, 192.168.1.254).
In alternativa possiamo impostare PPPoE ed immettere i parametri di connessione forniti dal provider (nome utente e password). In questo caso, il modem dovrà essere configurato come bridge.
La voce “Static” è comunque quella da scegliere in caso si installi IPCop in azienda, dove solitamente le connessioni fornite dai provider sono appunto ad IP statico e multi-IP.
Ultimiamo ora le configurazioni.
Definiamo i DNS da utilizzare per la connessione. Questi valori sono forniti dal provider Internet o. In altrrnativa, consiglio di usare gli OpenDNS.
Alla voce Gateway immettere l’IP del modem.
Qui dovremo decidere se utilizzare o meno il server DHCP. Personalmente, in assenza di un DHCP “serio” fornito da un server Windows o Linux, consiglio di abilitarlo, avendo prima cura di controllare che sia disattivato in ogni altra periferica di rete (ad esempio, modem/router ADSL o un access point wireless).
Alle voci Start address e End address andrà immesso il range di IP che IPCop dovrà fornire automaticamente alla LAN. Ad esempio, 192.168.1.30 e 192.168.1.100 per un range di 70 macchine.
Il nome del dominio dovrà essere lo stesso scelto all’inizio della fase di installazione, e lo stesso del vostro eventuale PDC.
Restano da immettere le password di root ed amministratore per ultimare la configurazione.
L’utente root ci servirà per amministrare il Sistema via console, mentre l’admin è l’utente che “lavora” nel firewall attraverso l’interfaccia web.
Non dobbiamo quindi far altro che premere OK ed attendere il reboot del Sistema.
Potremo poi testare che il tutto funzioni correttamente semplicemente “pingando” IPCop da un altro PC della LAN, in questo modo:
C: ping 192.168.1.1
Per accedere invece all’interfaccia web sarà sufficiente digitare il seguente indirizzo in un qualsiasi browser:
nota bene: ci si dovrà loggare come “admin“, con la password appena creata
Il vostro IPCop ora è completamente funzionante!
Per oggi, vista anche la mole di testo scritto, il “tutorial” si ferma qui. Nei prossimi giorni andremo a vedere come utilizzare i vari servizi e come attivarne altri molto utili, come ad esempio un controllo dei contenuti, un proxy decisamente più evoluto di quello di default ed infine una completa suite antivirus/antispam dotata anche di protezione web.
A proposito voglio segnalare l’utilità di questo post, che ha portato allosviluppo ed alcompimento di un’intera community. IPCop nell’arco di questi anni s’è davvero dimostrato un firewall completosemplice ma davvero professionale, nonchè maleabile d’utilizzo e personalizzazione.
Confermo la bonta’ di Zerina, nonche’ la superiorita’ di OpenVPN nei confronti della lentissima VPN Microsoft 🙂
Grazie william
considera che sono veramente alle prime armi con l’ambiente linux, per questo cercavo una guida passo passo..
io ho usato l’ addon
open vpn ZERINA-0.9.5b
installi l’ addon su ip cop
e un programma client sul pc
su google trovi tutto..
ciao
Ciao
devo configurare una vpn con ipcop
es. con un pc da casa devo fare in modo che ci si possa collegare in azienda
sto cercando una sorta di guida passo passo…qualcuno sa aiutarmi??
ciao
@Kuod: semplice: http://www.ipcop.org
Ah ok allora grazie mille e buona giornata 🙂
Salve a tutti ho installato ipcop a casa ed è verametne molto potente ma non so che distribuzione usa infatti i comandi che di solito lanciavo su fedora per riavviare un servizio non funzionano su ipcop, per caso c’è qualcuno che mi sa dire come avviare il dhcp httpd o riavvire semplicemente sshd dopo aver modificato il file di configurazione? Lo vorrei fare da linea di comando e non via http..
Grazie
IPCop e’ basato su Debian, come si vede anche dal tipo di installer che usa, molto famigliare a chi, appunto, ha installato anche una sola volta la distribuzione 🙂
Comunque IPCop si “governa” interamente via interfaccia web.
Grazie delle risposte e della rapidità . Vorrei focalizzare i collegamenti evidenziati in ‘connessioni’ (menù stato\connessioni). Chiaro quanto scrivi, ma mi incuriosisce vedere che (raramente) un client (zona verde) della mia piccola LAN riesca ad accedere direttamente (così interpreto io) alla zona rossa (internet), quindi ‘fora’ IPCOP? E’un’atteggiamento sano?
Un’altra curiosità , sono noti fault di IpCop? Con Google non ho trovato niente.
Un saluto e grazie,
Fabio.
@Fabio: innanzi tuttoti ringrazio per il complimento. Poi, in attesa di trovare il tempo necessario a scrivere la seconda (e terza…) parte della guida, vedro’ di rispondere qui alle tue domande
1. Il menu connessioni, una volta capito, risulta molto comodo. Qui NON vedi attacchi sicuri ma puoi, a colpo d’occhio, vedere se c’e’ qualcosa che richiama la tua attenzione.
Il concetto e’ semplice: le connessioni vengono originate -> vanno verso la loro destinazione -> escono da qualche parte -> arrivano al richiedente.
Ergo: se hai del “rosso” (scheda RED, Internet) nella prima colonna (ip:porta della sorgente originante) significa che hai qualcosa in ingresso. Questo qualcosa puo’ poi essere tutto, e lo cominci a capire dalla porta impiegata. Es: hai un server web e nella prima colonna hai una connessione rossa entrante nella 80? Beh, e’ normale. Hai una roba che entra in una porta sconosciuta? Beh, comincia a cercare nella tua LAN 😀
Seconda colonna: la destinazione della prima colonna. Ergo: nel nostro esempio, ti entra una richiesta sulla 80 da Internet (RED), ed IPCop la redirige verso l’ip “GREEN” del tuo web server. Ma prima di cio’, probabilmente verra’ passata da IPCop stesso. Per cui la seconda colonna sara’ nera (IPCop, appunto)
Terza colonna: La GREEN del webserver di cui sopra
Quarta colonna: Di nuovo RED, presumibilmente lo stesso ip entrante. Infatti il browser del nostro visitatore stara’ visualizzando la pagina richiesta.
Una volta che hai capito questo gioco di entrate<->uscite, hai capito tutto! 😀
2. Servizi: di questo devo parlare nella seconda parte, ma a grandi linee ti posso dire “attiva tutti quelli che ti servono”. Ti serve un DNS? Lo attivi e configuri. Ti serve un DHCP? Idem 🙂
Buona cosa sarebbe poi impostare IDS, il rilevamento delle intrusioni. Ancora migliore sarebbe farsi un account gratuito su snort.org e mantenere le regole aggiornate almeno una volta ogni 15 giorni.
Per quanto riguarda SSH (Secure Shell Server), se non lo abiliti non potrai amministrare IPCop via console e quindi, ad esempio, caricare nuovi moduli.
3. Fai benissimo. A morte l’USB! ;D
Un saluto a tutti, bella, utile e sintetica la descrizione. Sarebbe molto interessante capire alcune cose dopo l’installazione di IPCOP:
1. “IPTables Connection Tracking” (da menu Stato/Connessioni) non è di facile interpretazione, qualcuno ha dei riferimenti da consultare? Come si vedono eventuali attacchi o intrusioni?
2. “Servizi” (da menu Stato/Stato Sistema). Ci sono dei servizi alcuni attivati altri da attivare? Dove si può trovare una descrizione esauriente? Per esempio il mio “Secure shell server” è arrestato come faccio ad attivarlo e serve?
3. Forse sbaglio, ma preferisco collegare il modem ADSL via Etherner (scheda rossa)invece che via USB, mi da più sicurezza. Qualcuno ha dei commenti a riguardo?
Grazie e saluti,
Fabio.
Ciao,
ho scaricato la nuova release 20 per installarla su un server HP Dl360 g5 doppio processore.l’nstallazione va perfettamente e tramite il backup, riesco a ripristinare il tutto solo che non vede le schede di rete installate sulla piastra madre.ho provato ha fare l’installazione manuale selezionando come sk rete la broadcom extreme II ma dice che non trova i moduli .Esiste una procedura particolare per questa situazione?
grazie Ciao MARCO
ciao, rieccomi, iniziamo dai servizi di ipcop:
il proxy…..cosa ci permette di fare??
come si setta il proxy avanzato ??
……
L’ho conosciuto da poco, ma devo dire che non è niente male come soluzione… inoltre è gratuita e completa…
Ciao Angela,
la guida sulla configurazione, in realtà, la devo scrivere da un anno e rotti, solo che non ho mai il tempo sufficiente 🙁
Facciamo cosi’: chiedimi pure quello che vuoi sapere, ed io prendero’ le tue domande come spunto per realizzare la seconda parte della guida.
Ora ho un po’ piu’ di tempo libero, e dovrei riuscire finalmente a scriverla 🙂
ciao, sono alle prime armi con ipcop, e grazie anche a questa guida sono riuscita ad installarlo. Ho notato che il web abbonda di guide alla prima installazione, ma non sono stata in grado, nonostante le mie insistenti ricerche di trovare una guida che mi aiuti a configurarlo dalla web interface. (ne ho trovata una in inglese ma ci metterei troppoo tempo)
Voi sapreste come aiutarmi??
Grazie
Angela
l’ esperienza insegna…. da domani LDAP attivo 🙂
William, perdonami ma… 80 utenti nel proxy e NESSUNA AUTENTICAZIONE CENTRALIZZATA?
Nemmeno un semplice server Samba configurato come PDC? Non un Active Directory? Neppure un LDAP/Kerberos?
Ahi ahi ahi!!!
non è tanto il reinstallare gli addon, ma il ricreare gli 80 utenti del proxy 🙁
William, che risulti a me, una volta che la nuova macchina e’ riconosciuta da IPCop per tutto quello che gli serve (ACPI, schede di rete, controller hard disk), il sistema e’ perfettamente identico, indifferentemente dal hardware
Per cui, addon a parte (per i quali ovviamente ci saranno eventuali backup proprietari ed indipendenti da quello di IPCop), puoi tranquillamente backuppare tutta la config direttamente dall’interfaccia web. Una volta installato il nuovo, poi, potrai ripristinare il tutto semplicemente caricando il precendete file di config. In teoria potresti farlo pure in fase di installazione (se ricordi, ti chiede se hai un floppy con un backup precedente), ma non ho mai provato; chi userebbe ancora dei floppy, nel 2008? 😀
Ma parliamo sempre, fa’ attenzione, a backup della configurazione. Non e’ ovviamente possibile fare un’immagine disco da riversare su hardware differente.
Per gli addon, invece, te li dovrai reinstallare tutti. Ma e’ una cosa di pochi minuti, dai…
sono ancora qua!!!
a rompere le scatole ovviamente…
x le prove voip sono ancora in alto mare, ma mi si presenta un altro problema…
devo cambiare l’ hardware del mio ipcop, e volevo farne il backup su un’altra…
per non riconfigurare tutti gli addon installati…
ma a quanto pare la cosa non è possibile… perchè dalla guida ho capito che un backup
si può ripristinare solo sulla stessa macchina….
mi confermate tutto ciò????
ciao e grazie
http://www.twproject.org/wiki/index.php?n=TrixBox.IpCopSIP
ho trovato questo x il QoS….
appena mi arriva il centralino voip vi faccio sapere…
grazie ancora e ciao
ok x l’ accesso esterno, stavo dormendo 😉 , ma x il Qos che addons devo usare???
vole vo qualcosa di un pò più pofessional 🙂
grazie
L’accesso esterno (se per “esterno” intendiamo “proveniente da Internet”) e’ DISATTIVATO, e lo devi abilitare dall’apposito menu “ACCESSO ESTERNO”.
Per quanto riguarda il QoS, nulla di piu’ semplice! Vai nel menu GESTIONE BANDA ed imposta a quale porta in ingresso riservare una priorita’ maggiore (o minore, a seconda delle tue necessita’)
ciao cristian, sono ancora io….
installato tutto e funzionante, ma….
ssh abilitato, ma non riesco ad accedere alla macchina dall’ esterno….
inoltre vorrei installare il QoS per delle applicazioni voip, ma non ho capito quali e dove sono i pacchetti da installare…
mi daresti 2 dritte???
grazie ancora x la disponibilità .
ciao
William: tanto per cominciare, io non ti consiglio assolutamente di tenere ssh disabilitato. Senza ssh, non hai modo di amministrare il Sistema, se non direttamente sul pc in cui hai installato l’IPCop. Il che non è un bene 🙂
Per quanto riguarda il ping, verifica dal pannello di amministrazione, alla voce “Opzioni Firewall”, che il ping sia o disabilitato od abilitato sulla sola RED.
Per il backup, puoi evocare il setup (comando, appunto, “setup”) dalla shell direttamente sull’IPCop, dopo che ti sarai loggato come root.
Oppure direttamente dal pannello di amministrazione.
io ho un problema con la mia installazione.. ipcop 1.4.18
rete cofigurata in green red
ssh disabilitato
disabilitato l’ accesso esterno
non riesco a pingare la scheda GREEN…. (e la pingo al giusto indirizzo..)
come posso fare il backup della macchina da shell per poterla poi ripristinare su un’ altra???
grazie
A giorni 🙂
Purtroppo il tempo disponibile è quello che è, ma spero di riuscire a pubblicare qualcosa già entro questa settimana.
Ottimo articolo grazie! Volevo chiedervi a quanto la parte n.2 ??
Veramente un ottimo inizio per questo how-to, complimenti Cristian 😉
Quoto Vito,
io ho oramai 3 anni di Uptime (non continuativo ;D ) con IpCop: è davvero eccezionale.
Ha girato per 2 anni su un p133 con 32MB di ram, per poi passare su un k6-2 300 con 256MB di ram. Attualmente, su questa configurazione, gestisce come Proxy il traffico di ben 150 pc.
Attendo impaziente la continuazione della guida! =)
Ottimo prodotto … Uso IPCOP da ormai tre ( o forse più) e devo dire che lo trovo estremamente stabile ed affidabile. Permette di gestire qualsiasi situazione ed ha un ottimo sistema di plugin che ne estendono le funzionalità, dal controllo del traffico in uscita ( Block outgoing traffic ) a plugin che con il firewall e la sicurezza non c’entrano come asterisk ( per installare l’omonimo software per realizzare PBX e sistemi SIP/VOIP ).
Giudizio più che ottimo e guida molto chiara. Aspetto le altre puntate.
Ottima tutta la trattazione, ma dove trovo o scarico IPCOP????
Saluti