Ivan Zini - 25 Ottobre 2008
SmoothWall :
il front end grafico di iptables
SmoothWall: il front end grafico di Iptables
Smoothwall: cos'è??
Tradotto letteralmente significa :
“muro liscio” o “muro scivoloso”
..liscia e da
muro??!!...
“Muro liscio”
“Muro scivoloso”
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Smoothwall: cos'è??
Smoothwall
è una distribuzione firewall opensource
sottoposta ad Hardening, ovvero:
una distribuzione dedicata, in cui sono stati eliminati quei
servizi e moduli non indispensabili per il funzionamento del
firewall e che potrebbero rappresentare delle vulnerabilità.
Utilizza una semplice interfaccia grafica via browser e non
richiede mirate conoscenze di Linux e iptables per essere
installato e configurato.
L'utente può così tralasciare i dettagli tecnici e concentrarsi
sulla struttura di rete che intende realizzare.
Spiegare cos'è un firewall e iptables nel dettaglio esula
dagli scopi di questo documento ma è doveroso farne
almeno una breve introduzione.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Firewall: muro taglia fuoco!
Definizione n.1 :
Un firewall è un apparato che si interpone tra
due o più reti, configurato con un insieme di
regole
che determinano quali comunicazioni
sono permesse e quali invece sono vietate.
Definizione n.2 :
Un firewall è un componente hardware o
software sul quale viene installato un ambiente
operativo che analizza e gestisce il traffico dei
pacchetti in base alla tipologia di rete e alla
configurazione voluta.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Perchè usare un Firewall?
Un firewall serve a “chiunque si colleghi ad internet”
perché ha lo scopo di proteggere un computer, o una
rete di computer, dagli attacchi provenienti da una
rete “non sicura” esterna.
Il firewall diventa quindi il nodo in cui transita tutto
il traffico da e verso internet, che viene analizzato e
filtrato in base a regole di sicurezza e di accesso
stabilite.
La funzionalità principale in sostanza è quella di
creare un filtro sulle connessioni entranti ed uscenti.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Cosa proteggere?
Finché ad essere compromesso è un sistema casalingo il
danno può essere anche limitato, ma se si pensa ad
un'azienda, una compromissione o una perdita di dati
sensibili può essere un danno considerevole in termini di
costi, affidabilità e anche d'immagine.
DATI:
●Integrità
●Privacy
●Disponibilità
RISORSE:
●Integrità hardware e
software
●Tempo di calcolo.
REPUTAZIONE:
●Furto
d'identità(chiavi
d'accesso)
●Defacement
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Limiti di un firewall
Cosa fa:
Separazione fisica di una o più reti.
Restrizioni sul traffico.
Monitoraggio del traffico.
Logging del traffico.
Cosa non fa:
Non protegge da virus/spyware e phising.
Non protegge da attacchi non noti a priori.
Non può controllare accessi fisici ai sistemi.
Non protegge da errori di utenti leggittimi.
Non protegge da attacchi interni.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Manifesto del progetto
Progetto fondato nel 2000 da Lawrence Manning e Richard Morrell.
1)Creare una distribuzione linux stabile e opensource che
coverta pc, anche obsoleti, in un sistema firewall.
2)Semplice da installare anche da utenti che non hanno
conoscenza di linux.
3)Supporto ad ampie varietà di schede di rete e altro
hardware.
4)Supportare diversi metodi di connessione ad internet.
5)L'uso di un browser web per la gestione e la
configurazione
Versione attuale : Smoothwall Express 3.0 con 3
update
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Requisiti Hardware
Uno dei maggior pregi di Smoothwall è senz'altro quello
di poter realizzare un firewall praticamente a costo zero,
in quanto non richiede requisiti hardware evoluti o di
ultima generazione...basta un vecchio PC!
Memoria RAM : minimo 256Mb (consigliati 512Mb con servizio proxy)
Processore : minimo PII 500Mhz
Hard Disk: minimo 10Gb
Scheda video: qualunque
Scheda di rete: minimo 2 (consigliate le 3Com 3C905)
Un lettore CD-Rom
Una tastiera.
Un monitor qualunque.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Tipologie di rete
In Smoothwall sono definite 4 zone:
1)GREEN : scheda collegata alla rete interna locale.
2)RED : scheda collegata all'esterno (IP pubblico).
3)ORANGE : scheda collegata alla zona DMZ.
4)PURPLE : scheda collegata ad una zona Wirelless.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Tipologie di rete
GREEN-RED
GREEN-RED-ORANGE-PURPLE
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Installazione
1)Scaricare l'immagine di boot dal sito
http://www.smoothwall.org/get/index.php
2)Masterizzare L'immagine su CD.
3)Impostare da BIOS l'avvio del PC dal CD-ROM
ATTENZIONE !!!
In
fase
di
installazione,
completamente
tutte le vostre partizioni sul disco.
Smoothwall
cancellera'
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Installazione
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Installazione
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
installazione
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
installazione
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
installazione
ADMIN : l'utente più utilizzato,
permette l'amministrazione via
browser.
ROOT: l'utente che ha il
controllo completo del sistema.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Avvio SmoothWall!!
Ora potete scollegare tastiera e monitor...non vi serviranno più!!
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Firewall...ma non solo!
Firewall basato su Netfilter/Iptables con kernel 2.6.16
●Gestione NAT/PAT.
●Supporto per quattro interfacce di rete e supporto DMZ
● File system ext3 e supporto device SCSI.
●Supporto modem (analogici, ISDN, ADSL).
●Supporto server DHCP.
●Supporto server SSH per connessioni remote.
● Supporto Proxy IM e SIP.
●Supporto proxy trasparente per il Web.
● Supporto server NTP per sincronizzare data e ora.
●IDS (Intrusion Detection System) su tutte le schede di rete. (SNORT)
●Gestione VPN.
●Caching e Dynamic or static DNS.
●Logging avanzato per ogni tipo di servizio.
●Grafici di stato e di traffico.
● Supporto Proxy per pop3 con antivirus integrato (ClamAV).
●Possibilità di patches e updates.
●Backup e Restore della configurazione.
●
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
In sostanza non ci si limita a filtrare
il singolo pacchetto in base alla sua
provenienza, alla sua destinazione e
al contenuto, ma lo si pone in
contesto con le attività che sono
accadute sulla rete per identificare
eventuali schemi di attacco che
Tratto da Wikipedia:
altrimenti
sarebbero
Netfilter è un componente
delnon
kernel del
sistema operativo Linux,
riconoscibili.
Iptables & NetFilter
che permette l'intercettazione e manipolazione dei pacchetti che
attraversano il calcolatore. Netfilter permette di realizzare alcune
funzionalità di rete avanzate come la realizzazione di firewall basata
sul filtraggio stateful dei pacchetti o configurazioni anche complesse di
NAT, un sistema di traduzione automatica degli indirizzi IP, tra cui la
condivisione di un'unica connessione Internet tra diversi computer di
una rete locale, o ancora la manipolazione dei pacchetti in transito.
Iptables è il programma che permette agli amministratori di
sistema di configurare netfilter, definendo le regole per i filtri di
rete e il reindirizzamento NAT. Spesso con il termine iptables ci
si riferisce all'intera infrastruttura, incluso netfilter.
Smoothwall è un'interfaccia grafica intuitiva di Iptables.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Control
Per accedere via web a smoothwall digitare https://ipgreen:441 e
digitare utente “admin” e la relativa password
Da qui potete controllare
la versione del prodotto
e l’uptime. Se non
aggiornate da molto
tempo, un messaggio vi
ricorderà di farlo.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Maintenance : update
Dopo l'installazione come prima
cosa andate a maintenance >updates, e aggiornate la lista
degli aggiornamenti disponibili
premendo il relativo pulsante.
Scaricateli
ed
installateli
in
sequenza.
Potrebbe
essere
necessario riavviare SmoothWall
alcune volte.(ma solo in rari casi)
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
About
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Services
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Networking
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
VPN
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Logs
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Logs
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Maintenance
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Breve intro a IPtables
Riepilogando:
netfilter/iptables gestisce tutte le attività di firewalling su Linux:
●Netfilter comprende i moduli del kernel.
●iptables è il comando con cui si gestisce netfilter.
Esempio per permettere ad un pacchetto con IP sorgente
10.0.0.4 di raggiungere il server 192.168.0.1 attraversando il
Iptablesfirewall:
lavora su 3 tabelle (tables) di default:
Filter - Regola il firewalling: quali pacchetti accettare, quali bloccare.
iptables
-I FORWARD
-s 10.0.0.4 -d 192.168.0.1 -j ACCEPT
Nat - Regola
le attività
di natting.
Mangle - Interviene sulla alterazione dei pacchetti.
Ogni tabella ha 3 catene di default:
●Input - Riguarda tutti i pacchetti destinati al sistema. In entrata da
ogni interfaccia.
●Output - Riguarda i pacchetti che sono originati dal sistema e
destinati ad uscire.
●Forward - Riguarda i pacchetti che attraversano il sistema, con IP
sorgente e destinazione esterni.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
ADDONS
SmoothWall può essere reso più performante e più versatile mediante
l'installazione di moduli aggiuntivi detti “ADDONS”
ATTENZIONE!!
GLI ADDON NON SONO UFFICIALMENTE
RICONOSCIUTI
La list degli ADDONS è presente sul Forum utente di SmoothWall:
http://community.smoothwall.org/forum/viewforum.php?f=26
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
ADDONS
ATTENZIONE!!
E' possibile che dopo un aggiornamento ufficiale di Smoothwall alcuni
Addons non
più.informazioni dettagliate sull'installazione
Sulfunzionino
Forum trovate
E' necessario
dei disinstallarli
vari addons e e
sureinstallarli.
problematiche inerenti.
In generale una volta scaricato un'addon va copiato nella
Cartella /tmp di smoothwall e collegandosi tramite un client
ADDONS consigliati:
SSH si lanciano i comandi di decompressione e di
●Full Firewall
Control:permette di controllare dalla pagina Networkinginstallazione.
Incoming interamente gli accessi e i forward potendo anche scegliere
un protocollo specifico ed infine aggiungere alias IP ad ogni
interfaccia. (+ IP PUBBLICI).
●Smoothbackup:
permette di eseguire il backup via FTP o SCP
dell'intero contenuto dell' Hard disk.
●S.M.A.R.T: modulo che utilizza la Self-Monitoring, Analysis,
and Reporting Technology per verificare l'integrità dell'Hard disk.
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
My SmoothWall!!
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Conclusioni
In definitiva SmoothWall è un'ottima alternativa a molti dei Firewall
proprietari in commercio ed inoltre è molto flessibile e adattabile alle
vostre esigenze.
GRAZIE A TUTTI!!!...
E BUON PROSEGUIMENTO!
Ivan Zini - 25/10/2008
SmoothWall: il front end grafico di Iptables
Ivan Zini - 25/10/2008