Ivan Zini - 25 Ottobre 2008 SmoothWall : il front end grafico di iptables SmoothWall: il front end grafico di Iptables Smoothwall: cos'è?? Tradotto letteralmente significa : “muro liscio” o “muro scivoloso” ..liscia e da muro??!!... “Muro liscio” “Muro scivoloso” Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Smoothwall: cos'è?? Smoothwall è una distribuzione firewall opensource sottoposta ad Hardening, ovvero: una distribuzione dedicata, in cui sono stati eliminati quei servizi e moduli non indispensabili per il funzionamento del firewall e che potrebbero rappresentare delle vulnerabilità. Utilizza una semplice interfaccia grafica via browser e non richiede mirate conoscenze di Linux e iptables per essere installato e configurato. L'utente può così tralasciare i dettagli tecnici e concentrarsi sulla struttura di rete che intende realizzare. Spiegare cos'è un firewall e iptables nel dettaglio esula dagli scopi di questo documento ma è doveroso farne almeno una breve introduzione. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Firewall: muro taglia fuoco! Definizione n.1 : Un firewall è un apparato che si interpone tra due o più reti, configurato con un insieme di regole che determinano quali comunicazioni sono permesse e quali invece sono vietate. Definizione n.2 : Un firewall è un componente hardware o software sul quale viene installato un ambiente operativo che analizza e gestisce il traffico dei pacchetti in base alla tipologia di rete e alla configurazione voluta. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Perchè usare un Firewall? Un firewall serve a “chiunque si colleghi ad internet” perché ha lo scopo di proteggere un computer, o una rete di computer, dagli attacchi provenienti da una rete “non sicura” esterna. Il firewall diventa quindi il nodo in cui transita tutto il traffico da e verso internet, che viene analizzato e filtrato in base a regole di sicurezza e di accesso stabilite. La funzionalità principale in sostanza è quella di creare un filtro sulle connessioni entranti ed uscenti. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Cosa proteggere? Finché ad essere compromesso è un sistema casalingo il danno può essere anche limitato, ma se si pensa ad un'azienda, una compromissione o una perdita di dati sensibili può essere un danno considerevole in termini di costi, affidabilità e anche d'immagine. DATI: ●Integrità ●Privacy ●Disponibilità RISORSE: ●Integrità hardware e software ●Tempo di calcolo. REPUTAZIONE: ●Furto d'identità(chiavi d'accesso) ●Defacement Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Limiti di un firewall Cosa fa: Separazione fisica di una o più reti. Restrizioni sul traffico. Monitoraggio del traffico. Logging del traffico. Cosa non fa: Non protegge da virus/spyware e phising. Non protegge da attacchi non noti a priori. Non può controllare accessi fisici ai sistemi. Non protegge da errori di utenti leggittimi. Non protegge da attacchi interni. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Manifesto del progetto Progetto fondato nel 2000 da Lawrence Manning e Richard Morrell. 1)Creare una distribuzione linux stabile e opensource che coverta pc, anche obsoleti, in un sistema firewall. 2)Semplice da installare anche da utenti che non hanno conoscenza di linux. 3)Supporto ad ampie varietà di schede di rete e altro hardware. 4)Supportare diversi metodi di connessione ad internet. 5)L'uso di un browser web per la gestione e la configurazione Versione attuale : Smoothwall Express 3.0 con 3 update Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Requisiti Hardware Uno dei maggior pregi di Smoothwall è senz'altro quello di poter realizzare un firewall praticamente a costo zero, in quanto non richiede requisiti hardware evoluti o di ultima generazione...basta un vecchio PC! Memoria RAM : minimo 256Mb (consigliati 512Mb con servizio proxy) Processore : minimo PII 500Mhz Hard Disk: minimo 10Gb Scheda video: qualunque Scheda di rete: minimo 2 (consigliate le 3Com 3C905) Un lettore CD-Rom Una tastiera. Un monitor qualunque. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Tipologie di rete In Smoothwall sono definite 4 zone: 1)GREEN : scheda collegata alla rete interna locale. 2)RED : scheda collegata all'esterno (IP pubblico). 3)ORANGE : scheda collegata alla zona DMZ. 4)PURPLE : scheda collegata ad una zona Wirelless. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Tipologie di rete GREEN-RED GREEN-RED-ORANGE-PURPLE Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Installazione 1)Scaricare l'immagine di boot dal sito http://www.smoothwall.org/get/index.php 2)Masterizzare L'immagine su CD. 3)Impostare da BIOS l'avvio del PC dal CD-ROM ATTENZIONE !!! In fase di installazione, completamente tutte le vostre partizioni sul disco. Smoothwall cancellera' Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Installazione Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Installazione Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables installazione Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables installazione Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables installazione ADMIN : l'utente più utilizzato, permette l'amministrazione via browser. ROOT: l'utente che ha il controllo completo del sistema. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Avvio SmoothWall!! Ora potete scollegare tastiera e monitor...non vi serviranno più!! Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Firewall...ma non solo! Firewall basato su Netfilter/Iptables con kernel 2.6.16 ●Gestione NAT/PAT. ●Supporto per quattro interfacce di rete e supporto DMZ ● File system ext3 e supporto device SCSI. ●Supporto modem (analogici, ISDN, ADSL). ●Supporto server DHCP. ●Supporto server SSH per connessioni remote. ● Supporto Proxy IM e SIP. ●Supporto proxy trasparente per il Web. ● Supporto server NTP per sincronizzare data e ora. ●IDS (Intrusion Detection System) su tutte le schede di rete. (SNORT) ●Gestione VPN. ●Caching e Dynamic or static DNS. ●Logging avanzato per ogni tipo di servizio. ●Grafici di stato e di traffico. ● Supporto Proxy per pop3 con antivirus integrato (ClamAV). ●Possibilità di patches e updates. ●Backup e Restore della configurazione. ● Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables In sostanza non ci si limita a filtrare il singolo pacchetto in base alla sua provenienza, alla sua destinazione e al contenuto, ma lo si pone in contesto con le attività che sono accadute sulla rete per identificare eventuali schemi di attacco che Tratto da Wikipedia: altrimenti sarebbero Netfilter è un componente delnon kernel del sistema operativo Linux, riconoscibili. Iptables & NetFilter che permette l'intercettazione e manipolazione dei pacchetti che attraversano il calcolatore. Netfilter permette di realizzare alcune funzionalità di rete avanzate come la realizzazione di firewall basata sul filtraggio stateful dei pacchetti o configurazioni anche complesse di NAT, un sistema di traduzione automatica degli indirizzi IP, tra cui la condivisione di un'unica connessione Internet tra diversi computer di una rete locale, o ancora la manipolazione dei pacchetti in transito. Iptables è il programma che permette agli amministratori di sistema di configurare netfilter, definendo le regole per i filtri di rete e il reindirizzamento NAT. Spesso con il termine iptables ci si riferisce all'intera infrastruttura, incluso netfilter. Smoothwall è un'interfaccia grafica intuitiva di Iptables. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Control Per accedere via web a smoothwall digitare https://ipgreen:441 e digitare utente “admin” e la relativa password Da qui potete controllare la versione del prodotto e l’uptime. Se non aggiornate da molto tempo, un messaggio vi ricorderà di farlo. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Maintenance : update Dopo l'installazione come prima cosa andate a maintenance >updates, e aggiornate la lista degli aggiornamenti disponibili premendo il relativo pulsante. Scaricateli ed installateli in sequenza. Potrebbe essere necessario riavviare SmoothWall alcune volte.(ma solo in rari casi) Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables About Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Services Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Networking Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables VPN Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Logs Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Logs Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Maintenance Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Breve intro a IPtables Riepilogando: netfilter/iptables gestisce tutte le attività di firewalling su Linux: ●Netfilter comprende i moduli del kernel. ●iptables è il comando con cui si gestisce netfilter. Esempio per permettere ad un pacchetto con IP sorgente 10.0.0.4 di raggiungere il server 192.168.0.1 attraversando il Iptablesfirewall: lavora su 3 tabelle (tables) di default: Filter - Regola il firewalling: quali pacchetti accettare, quali bloccare. iptables -I FORWARD -s 10.0.0.4 -d 192.168.0.1 -j ACCEPT Nat - Regola le attività di natting. Mangle - Interviene sulla alterazione dei pacchetti. Ogni tabella ha 3 catene di default: ●Input - Riguarda tutti i pacchetti destinati al sistema. In entrata da ogni interfaccia. ●Output - Riguarda i pacchetti che sono originati dal sistema e destinati ad uscire. ●Forward - Riguarda i pacchetti che attraversano il sistema, con IP sorgente e destinazione esterni. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables ADDONS SmoothWall può essere reso più performante e più versatile mediante l'installazione di moduli aggiuntivi detti “ADDONS” ATTENZIONE!! GLI ADDON NON SONO UFFICIALMENTE RICONOSCIUTI La list degli ADDONS è presente sul Forum utente di SmoothWall: http://community.smoothwall.org/forum/viewforum.php?f=26 Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables ADDONS ATTENZIONE!! E' possibile che dopo un aggiornamento ufficiale di Smoothwall alcuni Addons non più.informazioni dettagliate sull'installazione Sulfunzionino Forum trovate E' necessario dei disinstallarli vari addons e e sureinstallarli. problematiche inerenti. In generale una volta scaricato un'addon va copiato nella Cartella /tmp di smoothwall e collegandosi tramite un client ADDONS consigliati: SSH si lanciano i comandi di decompressione e di ●Full Firewall Control:permette di controllare dalla pagina Networkinginstallazione. Incoming interamente gli accessi e i forward potendo anche scegliere un protocollo specifico ed infine aggiungere alias IP ad ogni interfaccia. (+ IP PUBBLICI). ●Smoothbackup: permette di eseguire il backup via FTP o SCP dell'intero contenuto dell' Hard disk. ●S.M.A.R.T: modulo che utilizza la Self-Monitoring, Analysis, and Reporting Technology per verificare l'integrità dell'Hard disk. Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables My SmoothWall!! Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Conclusioni In definitiva SmoothWall è un'ottima alternativa a molti dei Firewall proprietari in commercio ed inoltre è molto flessibile e adattabile alle vostre esigenze. GRAZIE A TUTTI!!!... E BUON PROSEGUIMENTO! Ivan Zini - 25/10/2008 SmoothWall: il front end grafico di Iptables Ivan Zini - 25/10/2008