Feeds:
Articoli
Commenti

Archive for the ‘Firewall’ Category

IPCop è una distribuzione Linux gratuita studiata per essere un pratico firewall per reti casalinghe e uffici di piccole medie dimensioni. IPCop è facilmente installabile su vecchi pc che invece di essere rottamati e buttati con conseguente danno ambientale (i componenti del pc sono inquinanti) possono essere riciclati e trovare un nuovo valido impiego per migliorare la nostra sicurezza. Per alcuni il concetto di firewall coincide con quello di un programma che gira sul proprio pc: sia in ambiente Windows (Zone Alarm, BlackICE, Look’n’Stop, lo stesso firewall di Windows XP) che Linux (Iptables) ci sono vari esempi, tuttavia in questi casi si parla di “personal firewall” e non di “firewall” vero e proprio. IPCop appartiene alla seconda categoria: per alcuni sarà scontato ma giova ricordare che IPCop non è appunto un personal firewall ma a suo modo un vero e proprio sistema operativo minimale che necessita di una macchina dedicata e pensato solo per svolgere le funzioni di firewall e router. Una soluzione di questo tipo è più professionale e più sicura per varie ragioni su cui non mi soffermo e permette di impostare policy di sicurezza comuni a più utenti.

A dire il vero questo post non è un vero e proprio how-to che spiega passo passo l’installazione e configurazione di IPCop: in rete si trova molta documentazione a riguardo anche se prevalentemente in inglese. Diciamo piuttosto che ho speso qualche parola in più sul hardware (cosa serve, dove infilare i cavi, ecc.) e sul come mettere assieme i vari pezzi, più qualche altro appunto sull’installazione vera e propria teso principalmente a chiarire alcuni passaggi critici ed evitare alcuni errori che ho sperimentato di persona.
Io ho approfittato del fatto che l’azienda per cui lavoro ha deciso di mandare in pensione dei vecchi pc che ormai avevano fatto il loro dovere. In questo modo sono entrato in possesso di un Pentium 3 (1Ghz), 256Mb di ram e 20 Gb di hard disk (caratteristiche che, ad essere onesti, per IPCop sono anche troppo generose) e lettore cd rom indispensabile per l’installazione. Il primo passo consiste nell’adattare l’hardware alle nostre esigenze. In casa ci sono 5 laptop quindi il supporto wireless è obbligatorio. Ho deciso anche di installare una rete non wireless in modo che sia sempre possibile connettersi ad internet inserendo nel pc un semplice cavo ethernet.
Entriamo subito nella terminologia di IPCop che definisce diversi tipi di interfacce:

  • Un interfaccia RED (rossa): questa è l’interfaccia verso internet e verso il mondo esterno. In termini hardware è la scheda di rete ethernet che collegherà il pc su cui andremo ad installare IPCop al modem ADSL (che quindi deve avere una presa ethernet)
  • Un interfaccia GREEN (verde): è la rete protetta di tutti quei pc che si connetteranno a IPCop con un cavo ethernet (eventualmente attraverso un hub se più pc devono essere connessi in contemporanea). Da un punto di vista pratico, questa interfaccia consiste in una scheda ethernet che andremo ad installare sul pc su cui risiede IPCop e da cui partirà un cavo ethernet che si andrà direttamente a connettere ad un pc o a più pc attraverso un hub. Se avete un pc desktop, questa è l’interfaccia a cui lo collegherete.
  • Un interfaccia BLUE: questa è l’interfaccia opzionale per la rete wireless (sempre che ne abbiate bisogno). Anche in questo caso corrisponde ad una scheda ethernet da cui partirà il relativo cavo diretto ad un wireless access point (o wireless router).
  • Un interfaccia ORANGE (arancio): l’interfaccia opzionale dedicata a server (per esempio un web server). In questo post non prenderò in considerazione questa ipotesi, peraltro abbastanza inusuale per una rete casalinga.

struttura rete
Riepiloghiamo:

  1. dobbiamo avere un vecchio pc su cui installeremo IPCop. Almeno durante la fase d’installazione dobbiamo anche collegare ad esso un monitor e una tastiera. Quando avremo installato e testato il tutto, tastiera e monitor potranno essere rimossi.
  2. dobbiamo avere un modem connesso ad internet (farò riferimento in seguito ad un modem ADSL) con una presa ethernet
  3. se vogliamo allacciare e proteggere dietro il firewall anche una rete wireless, dobbiamo avere un wireless access point o un wireless router. In parole semplici, la differenza tra un access point e un router è che l’access point permette ad un solo computer alla volta di essere connesso alla rete wireless mentre il router gestisce anche accessi contemporanei e concorrenti. Se quindi avete, per esempio, più portatili che si vogliono connettere ad internet nello stesso momento, dovete optare per un wireless router.

Il passo successivo è quello di connettere assieme tutti questi pezzi. Sul vecchio computer dobbiamo avere quindi tre schede ethernet distinte.

  • una verrà utilizzata per connettere la macchina IPCop con il modem ADSL (interfaccia RED)
  • una per connettere la macchina IPCop con il router wireless (interfaccia BLUE)
  • una per connettere la macchina IPCop con un pc direttamente con un cavo ethernet o con più computers attraverso un hub (interfaccia GREEN)

Qui c’è un primo passo molto delicato. è piuttosto improbabile che il vecchio pc in questione abbia tre schede ethernet installate. Se siamo fortunati ne ha una, e se siamo molto fortunati ne ha una compatibile con IPCop. Già perchè IPCop supporta un buon numero di schede ethernet ma non tutte. Trovate una lista di tutte le schede supportate qui. Ed è qua che dobbiamo stare attenti. Se abbiamo una scheda non supportata, all’atto dell’installazione, IPCop la potrebbe tranquillamente riconoscere salvo poi non riuscire a connetterci a quella scheda e indurci atroci dubbi su probabili errori commessi nella configurazione (sperimentato sulla mia pelle). Morale della favola dobbiamo essere assolutamente sicuri che le schede ethernet montate (o che monteremo) sul pc siano nella lista e prestare particolare attenzione al modello: una scheda RealTek RTL-8139C+ non è uguale ad una scheda RealTek RTL-8139D. Il metodo migliore consiste nel controllare il nome del chipset direttamente sulla scheda.
Ricapitolando

  • dovete assicurarvi che sul vecchio pc ci siano gli slot e lo spazio per installare le schede ethenet.
  • dovete avere un totale di due schede ethernet se non volete installare un interfaccia blue per la rete wireless e tre schede nel caso la vogliate abilitare.
  • dovete accertarvi che tutte le schede ethernet siano compatibili con IPCop e presenti nella lista delle schede supportate.
  • dovete materialmente installare le schede ethernet aprendo il vostro pc e sporcandovi un pò le mani. Di solito è un’operazione abbastanza intuitiva.

Ora possiamo passare all’installazione di IPCop sulla macchina. Scarichiamo IPCop dal sito (http://ipcop.org/index.php)
poi masterizziamo su un cd l’immagine .iso scaricata. Accertatevi che sia possibile avviare il pc da cd rom (in caso contrario cambiate appropriatamente la sequenza di boot da bios), infilate il cd rom di IPCop e avviate il pc.

L’installazione è molto ben documentata sulla guida ufficiale disponibile qui. È in inglese ma è corredata da una serie di screenshot che rendono la procedura accessibile anche ai non anglofoni. L’unica cosa che forse potrebbe non essere chiara a chi è a digiuno di networking è la scelta degli ip per le varie interfaccie associate alle differenti schede di rete. Le tre (o due) schede di rete, devono essere associate a reti differenti.

Scelta indirizzo IP

Vale a dire che se scegliamo, per esempio per l’interfaccia GREEN, un IP tipo 192.168.1.1 con una network mask 255.255.255.0 allora tutti gli indirizzi IP da 192.168.1.1 a 192.168.1.255 apparterranno alla stessa rete. I vari pc che si connetteranno alla interfaccia GREEN riceveranno (via DHCP) un IP all’interno di questo range (per esempio, 192.168.1.2, 192.168.1.3, ecc.). Ne consegue anche che possiamo avere fino a 255 pc connessi alla nostra interfaccia.
Se decidiamo di installare una seconda interfaccia (per esempio la BLUE per la rete wireless) questa dovrà ovviamente avere un diverso indirizzo IP, per esempio 192.168.2.1, che denoti una differente rete per suo conto. La network mask 255.255.255.0 ci dice che i due indirizzi IP 192.168.1.1 (per la green) e 192.168.2.1 (per la blue), appartengono a due diverse reti. I portatili che si connetteranno alla rete wireless in questo modo riceveranno un indirizzo IP compreso tra 192.168.2.2 e 192.168.2.255 e apparterranno tutti alla stessa rete che però è una rete diversa da quella a cui appartengono tutti i pc connessi all’interfaccia green.
Per quanto riguarda i cavi ethernet di collegamento, dovremmo avere:

  • un cavo che parte dalla scheda di rete che rappresenta l’interfaccia RED e si connette al modem ADSL
  • un cavo che parte dalla scheda di rete che rappresenta l’interfaccia GREEN e si connette direttamente ad un PC o portatile oppure ad un hub a cui saranno poi connessi altri computers (ovviamente se non abbiamo nessun pc da connettere alla green possiamo anche evitare l’uso di questo cavo)
  • un cavo che parte dalla scheda di rete che rappresenta l’interfaccia BLUE i si connette al router wireless (opzionale ovviamente)

Prima di chiudere spendo ancora un paio di parole sul router wireless. Essendo IPCop anche un router va da sé che vi sarà una certa sovrapposizione di competenze tra i due, potrebbe non essere un problema ma personalmente ho preferito incaricare IPCop anche dell’assegnazione degli indirizzi IP ai vari portatili connessi via wireless. In sostanza il servizio DHCP viene gestito da IPCop mentre ho disabilitato il servizio sul router wireless che ora incarica IPCop per il DHCP. La configurazione dipende molto dal tipo (marca e modello) di router wireless utilizzato e mi è quindi difficile scendere nei dettagli. Vi posso dire però che il wireless router in questione dovrebbe supportare “DHCP passthrough”. In caso di problemi insormontabili si può comunque sempre lasciare al wireless router la responsabilità di gestire il DHCP.

Read Full Post »