Realizzazione di un Firewall con IPCop http://www.pluto.

it/files/journal/pj0612/ipcop

<- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 ->

Sistemi Liberi

Realizzazione di un Firewall con IPCop

di Stefano Sasso

L'articolo...
In un mio precedente articolo avevo spiegato come realizzare un firewall basato su iptables. La soluzione
proposta richiedeva delle buone competenze di Linux e di reti per essere portata a termine. Con questo
articolo vedremo invece come installare IpCop, una distribuzione GNU/Linux per firewall facile da installare e
da gestire (grazie alla sua interfaccia di amministrazione web-based) anche da persone con competenze
informatiche intermedie.

Cos'è IPCop
IPCop[1] è una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce
un'efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

È un'ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Può essere adattata ad ogni
esigenza e può essere usata anche su hardware piuttosto datato. Può essere usata da amministratori di rete che non
conoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linux
ovviamente!) ma non ha il tempo per configurare manualmente un PC.

Il progetto IPCop è attivo da un paio d'anni e nelle ultima versioni è risultato essere così maturo da acquistare crescente
successo in una vasta comunità di utenti e di sviluppatori.

Il manifesto della distribuzione si articola nei seguenti punti:

Offrire una distribuzione Firewall Linux stabile sicura e opensource

Creare ed offrire una distribuzione Firewall Linux estremamente configurabile

Offrire una distribuzione Firewall Linux di facile manutenzione

Caratteristiche tecniche di IPCop

IpCop offre un'ampia gamma di caratteristiche tecniche: si va dal Linux netfilter standard con capacità di NAT al supporto
per DMZ via DNAT, dal supporto DHCP (sia server che client) al supporto NTP per sincronizzare e servire la data e l'ora,
dalla possibilità di attivare un proxy a quella di attivare un IDS. Inoltre supporta quattro schede di rete e un numero
illimitato di connessioni VPN, oltre ad offrire la possibilità di backup e restore della configurazione. È inoltre facilmente
estendibile grazie a numerosi moduli presenti in Internet.

IpCop non richiede molta potenza di calcolo per poter funzionare egregiamente: è richiesto un Pentium II con 64 Mb di ram
e qualche GB di hard disk. Se si intende utilizzare le funzioni di proxy sono consigliati 256 MB di ram e qualche GB in più
libero. Ovviamente per l'installazione del sistema è necessario un lettore CD.

Nomenclatura delle interfacce di rete

IPCop nomina le interfacce di rete con dei colori. Ecco i significati:

ROSSO - rappresenta l'interfaccia connessa ad internet.

1 di 7 13/10/2009 12.04
Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

VERDE - rappresenta l'interfaccia per la rete interna.

BLU - rappresenta l'interfaccia per una seconda rete interna o per una rete wireless.

ARANCIONE - rappresenta l'interfaccia per un'eventuale zona DMZ in cui si trovano server che offrono servizi
all'esterno.

La configurazione minima, che vedremo in questo articolo, prevede due interfacce di rete: ROSSO (internet) e VERDE (la
rete da proteggere); tuttavia non è difficile estendere queste istruzioni per la configurazione un firewall più complesso.

Nel caso esistano due reti locali che devono rimanere separate si utilizza anche l'interfaccia BLU.

Installazione
Prima di procedere con l'installazione è necessario controllare che il disco su cui installeremo IPCop non contenga dati per
noi importanti; infatti la procedura di installazione cancellerà l'intera tabella delle partizioni.

Cominciamo quest'avventura procurandoci l'immagine ISO del disco di installazione da www.ipcop.org e scrivendola su un
CD. Ora possiamo partire con l'installazione del nostro futuro firewall. È necessario assicurarsi che il PC sul quale andrà
installato IPCop faccia il boot da CD.

Via!

La prima schermata che comparirà sarà quella per la scelta della lingua.

Successivamente si dovrà scegliere da quale dispositivo effettuare l'installazione. Scegliamo CD-ROM.

2 di 7 13/10/2009 12.04
Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

Ci verrà chiesto se vogliamo procedere con la creazione di una nuova tabella delle partizioni. Scegliamo SI e aspettiamo che
le partizioni vengano create e formattate.

Quindi attendiamo la copia dei file sul disco.

3 di 7 13/10/2009 12.04
Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

Ci verrà quindi chiesto quale sarà la nostra interfaccia di rete GREEN, di indicare il layout della tastiera e il fuso orario, di
settare un nome host e di dominio per il nostro firewall.

Da notare la citazione dantesca: «Caron, non ti crucciare, vuolsi così colà dove si puote ciò che si vuole, e più non dimandare.»

Successivamente dovremo decidere quale sarà la configurazione del nostro firewall: in questo articolo parleremo della
semplice installazione di IPCop per la protezione di una sola rete LAN, quindi scegliamo GREEN+RED.

4 di 7 13/10/2009 12.04
Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

Dovremo quindi assegnare gli indirizzi IP alle interfacce GREEN e RED, definire la password di root per l'accesso da
terminale e la password dell'utente admin per l'accesso da interfaccia web.

Ora l'installazione è completata. Possiamo quindi riavviare il sistema.

Configurazione base
Per la configurazione del nostro nuovo firewall accediamo all'interfaccia di configurazione web che risponde all'indirizzo
https://indirizzoIPinterfacciaGREEN:445/, dove 192.168.17.253 è l'indirizzo IP lato GREEN del firewall che, in questo
esempio, avevo assegnato in precedenza.

Ci apparirà una schermata simile alla seguente:

Possiamo ora navigare all'interno dei menù per accedere alle varie parti della configurazione del firewall. Sono presenti le
seguenti voci:

5 di 7 13/10/2009 12.04
Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

Sistema: qui possiamo trovare le utilità per la configurazione del sistema e di IPCop stesso

Stato: qui troviamo le informazioni dettagliate sullo stato del firewall

Network: le utilità per configurare/amministrare le connessioni di rete

Servizi: la configurazione/amministrazione dei servizi disponibili sul firewall

VPN: la configurazione delle possibili reti private virtuali (VPN)

Log: permette di visualizzare i vari log di IPCop (Proxy, IDS, ...)

Ad esempio, se vogliamo creare una VPN con un altro firewall andremo sul menù VPN: sul menù servizi potremo decidere
quali servizi avviare sul nostro firewall, come il proxy, il server DHCP e a altri.

Addon
Le potenzialità di IPCop sono davvero notevoli, anche grazie al fatto che è possibile installare degli addon[2] per estendere
le funzioni del nostro firewall.

Il metodo più facile per installare degli addon è usare il modulo "Addon Server", scaricabile sempre da
firewalladdons.sourceforge.net/

Procediamo quindi a scaricare dal sito l'ultima versione, copiamo il file sul firewall e da una console impartiamo i seguenti
comandi:

# tar zxvf addons-2.3-CLI-b2.tar.gz -C

# cd addons
# ./addoncfg -i

In seguito all'installazione, nel menù dell'interfaccia web comparirà la voce Addons, dalla quale sarà possibile installare gli
addon con pochi clic.

Ecco brevemente presentati i principali addon:

OpenVPN: permette di creare VPN usando OpenVPN. (di default IPCop crea VPN IPSEC)

AutoShutDown: permette di spegnere automaticamente, ad una determinata ora, il nostro firewall.

6 di 7 13/10/2009 12.04
Realizzazione di un Firewall con IPCop http://www.pluto.it/files/journal/pj0612/ipcop

Cop+: permette di aggiungere il supporto per l'autenticazione proxy e il filtraggio dei contenuti web con
DansGuardian.

IPBill: permette la navigazione a tempo e a pagamento. Utile per internet point o simili.

NTPD: permette a IPCop di essere anche un Time Server NTP.

POPFile: permette a IPCop di essere anche un Mail Proxy e filtro anti-SPAM.

SquidGuard: aggiunge il supporto al filtraggio dei contenuti web con SquidGuard.

Vantaggi e Svantaggi
Vantaggi

Tra i vantaggi di avere un firewall basato su IPCop annoveriamo il fatto che si può installare su hardware obsoleto, che è
Open Source, che non richiede un'approfondita conoscenza di Linux e Iptables e nemmeno una configurazione "manuale"
dei vari servizi. È inoltre facile da installare e da gestire, sicuro e stabile allo stesso tempo. Teniamo inoltre presente che il
costo di una soluzione commerciale simile è molto elevato.

Svantaggi

Gli svantaggi principali che ho riscontrato sono riferibili al fatto di non avere supporto per DMZ via routing diretto ma solo
via NAT. Inoltre IPCop indirizza tutto il traffico della rete interna verso la rete esterna: non è quindi utile in quelle situazioni
in cui si vuole consentire agli utenti di accedere solo a determinati servizi.

Riferimenti bibliografici
[1] IPCop:
http://www.ipcop.org/

[2] IPCop Addons:

http://firewalladdons.sourceforge.net/

L'autore
Stefano Sasso utilizza Linux dal 2000 e si diverte a programmare in Java, PHP, Perl e Python. Frequenta il
corso di laurea in Ingegneria Informatica presso l'Università di Padova e a tempo perso è consulente
informatico su piattaforme Open Source.

<- Editoriale - Copertina - Monitoraggio di sistemi - parte 2 ->

7 di 7 13/10/2009 12.04