Allestire una soluzione per la sicurezza dell’intera rete locale è possibile utilizzando un software integrato qual è IPCop. Si tratta di una vera e propria distribuzione Linux che consente di mettere al sicuro tutti i personal computer della rete locale non solo dalle aggressioni esterne ma anche da comportamenti rischiosi che dovessero essere messi in atto dai vari utenti locali.
IPCop è un software libero, distribuito sotto forma di prodotto opensource, che può essere liberamente adottato sia in ambienti domestici che professionali.
Il programma, dopo ben tre anni di sviluppo, è da poco giunto alla versione 2.0, che vi presentiamo in quest’articolo. IPCop 2.0 non rinnega la sua anima di firewall integrando però, d’ora in poi, alcune funzionalità che in precedenza erano offerte esclusivamente come addon.
Il vantaggio derivante dall’utilizzo di IPCop è che il programma richiede una potenza di calcolo minima per poter operare: è sufficiente equipaggiarsi di una macchina che sia basata almeno su una CPU 486, che disponga di 512 MB di spazio su disco e 64 MB di RAM. E’ quindi possibile pensare di “riciclare” un vecchio personal computer per destinarlo all’importante ruolo di firewall.
Per quanto concerne la connettività, la macchina sulla quale si pianificherà l’installazione di IPCop dovrà essere dotata di due schede di rete oppure di una sola scheda nel caso in cui, per la connessione ad Internet, si utilizzi un modem analogico, una scheda ISDN oppure un modem GSM/UMTS. Nel nostro caso, utilizzeremo due schede di rete: la prima è collegata, mediante un cavo ethernet, al router/modem ADSL mentre la seconda ad un ulteriore dispositivo hardware (va bene anche un semplice hub oppure un router, eventualmente anche Wi-Fi) sul quale saranno attestati anche gli altri cavi ethernet provenienti dai sistemi connessi alla LAN.
La nuova procedura d’installazione di IPCop 2.0 permetterà di configurare la distribuzione Linux non soltanto sui dischi fissi di tipo tradizionale ma anche su memorie flash.
IPCop utilizza un’impostazione piuttosto semplice per definire le varie tipologie di flussi di dati con le quali avrà a che fare. Basti ricordare solo che l’interfaccia it
) quindi selezionare il fuso orario (Europe/Rome
) ed infine la data e l’ora di sistema.
Si dovrà quindi selezionare il disco fisso sul quale installare IPCop tenendo presente che tutti i dati eventualmente conservati sull’unità saranno totalmente rimossi. Il “setup” di IPCop 2.0 consente anche di optare tra un’installazione su hard disk di tipo tradizionale ed una memoria flash:
L’installazione flash consente di ridurre al minimo il numero di operazioni di scrittura sul disco: in questo modo, è possibile aumentare la vita delle memorie a stato solido.
La schermata dal titolo Ripristina si rivolge a coloro che hanno già usato IPCop in passato e che desiderano ripristinare un file di backup generato precedentemente. Il software mette infatti a disposizione una funzionalità che permette di creare una copia di sicurezza, sotto forma di file, della sua configurazione completa. Se si tratta della prima installazione di IPCop ci si potrà limitare a selezionare il pulsante Salta:
La fase d’installazione vera e propria si concluderà con la comparsa della finestra rappresentata in figura:
Selezionando il pulsante Congratulazioni, verrà richiesto di assegnare un nome mnemonico alla macchina IPCop, il nome del dominio ed il tipo di configurazione per l’interfaccia rossa:
E’ necesario specificare se la connessione ad Internet viene effettuata mediante un modem analogico od ISDN oppure, ad esempio, come nella maggior parte dei casi, se questa è negoziata da un modem-router ADSL. Selezionando Statico, si dovrà assegnare un indirizzo IP univoco alla macchina IPCop: tale IP non dovrà cambiare mai e non dovrà essere associato a nessun altro dispositivo. Viceversa, optando per DHCP, la macchina sul quale si sta installando IPCop resterà, ad ogni sua accensione, in attesa che un server DHCP le fornisce, di volta in volta, l’indirizzo IP da usare. Qualunque router od i modem ADSL più recenti hanno di solito la funzionalità DHCP attiva in modo predefinito.
Configurazione delle singole interfacce ed accesso al pannello di amministrazione web
L’elenco delle schede di rete installate sul personal computer sarà mostrato nella successiva schermata:
Nel nostro esempio schede di rete montate sono due e sono tra loro identiche (non è comunque assolutamente obbligatorio che lo siano). A ciascuna di esse si potrà associare un ruolo e quindi una delle interfacce precedentemente presentate. Spostando il cursore con i tasti freccia quindi premendo Invio, si potrà scegliere la scheda da configurare.
Noi abbiamo associato la prima scheda (eth0
) all’interfaccia rossa (ad essa è collegato, mediante cavo ethernet, il modem ADSL che instaura di volta in volta la connessione Internet) mentre la seconda (eth1
) all’interfaccia verde (su di essa si affacciano tutti i sistemi collegati in rete locale):
Per continuare, si dovrà premere il tasto Invio dopo aver evidenziato il pulsante Finito.
Impostando, poi, ad esempio, l’indirizzo IP 192.168.1.1
per l’interfaccia verde (con una network mask 255.255.255.0
), tutti i sistemi della rete locale che si collegheranno al sistema IPCop, riceveranno via DHCP un IP compreso tra 192.168.1.2 e 192.168.1.255.
Allo stesso modo si dovrà assegnare all’interfaccia di rete rossa un IP corretto in modo tale che IPCop possa dialogare senza problemi con il modem-router ADSL (per esempio se il modem-router ADSL ha IP 192.168.0.1, all’interfaccia verde di IPCop si può attribuire 192.168.0.100).
Successivamente, IPCop richiederà di stabilire due server DNS (primario e secondario) nonché il “gateway predefinito” che saranno utilizzati nel caso in cui la funzionalità DHCP non dovesse essere disponibile sull’interfaccia rossa.
La schermata seguente permetterà di decidere se attivare il server DHCP di IPCop sull’interfaccia verde:
Con la configurazione riportata nell’immagine, i sistemi client collegati in rete LAN che facessero richiesta di un IP, riceverebbero automaticamente, da parte della macchina IPCop, un IP compreso tra 192.168.1.101 e 192.168.1.254.
L’importante, in questa fase, è non fare confusione con le varie reti e gli indirizzi IP. In questa figura è riportato un esempio di configurazione che, com’è immediato evincere, sfrutta tutte le quattro interfacce offerte da IPCop.
Infine, IPCop richiederà dapprima di impostare una password (è bene assicurarsi si introdurre una parola chiave sufficientemente lunga e complessa) che verrà utilizzata a protezione dell’utente root. Nella schermata seguente, quindi, si dovrà definire la password che permetterà all’utente amministratore di connettersi all’interfaccia web di IPCop e variarne eventualmente la configurazione.
Da ultimo, si dovrà specificare la cosiddetta “passwor di backup” che consentirà di esportare la chiave in modo sicuro.
Dopo qualche istante di attesa, dopo aver scelto la voce IPCop dal menù di boot, la distribuzione Linux verrà avviata e, ultimata la fase di caricamento, apparirà il prompt per l’effettuazione del login:
IPCop è già operativo e non è affatto necessario effettuare alcun login. Ad ogni modo, se per maggior sicurezza si volesse controllare la configurazione delle singole interfacce di IPCop, si potrà effettuare il login come utente root (utilizzando le credenziali definite in fase d’installazione) quindi impartire il comando ifconfig
.
IPCop è d’ora in avanti totalmente amministrabile dall’interfaccia web. “Armandosi” di un semplice browser web e digitando https://INDIRIZZO_IP_IPCOP:8443
, si potrà accedere all’interfaccia di configurazione dell’applicazione. Al posto di INDIRIZZO_IP_IPCOP andrà sostituito l’indirizzio IP associato all’interfaccia verde della macchina IPCop. La porta 8443 è l’unica utilizzata per l’amministrazione di IPCop 2.0.x: il server non effettua alcun reindirizzamento automatico dalle porte 445 (precedentemente utilizzata) e 81.
Al momento della connessione all’interfaccia di amministrazione web di IPCop, alcuni browser web potrebbero esporre un messaggio d’allerta (il certificato del server non è affidabile e simili). L’esposizione del messaggio deriva dal fatto che il certificato generato per la vostra macchina dalla procedura d’installazione di IPCop non è firmato digitalmente da un’autorità di cerificazione riconosciuta. L’allarme, in questo caso, può essere tranquillamente ignorato; la connessione è protetta con l’algoritmo TLS 1.0 e crittografia a 256 bit.
Alla comparsa della finestra di login, si dovranno quindi introdurre le credenziali d’accesso associate all’utente admin
:
Ci si troverà quindi dinanzi al pannello di amministrazione di IPCop:
A questo punto, è possibile esplorare i vari menù di IPCop per saggiarne le varie possibilità di configurazione. Il software è capace di bloccare tutti i tentativi di connessione provenienti dall’esterno e consente di impostare delle regole per bloccare o permettere determinate tipologie di comunicazioni.
Tramite l’interfaccia web di IPCop è possibile anche allestire un server OpenVPN con lo scopo di connettersi in modo sicuro da remoto la propria rete locale. Vedremo in un prossimo articolo come allestire un server OpenVPN con IPCop.
Ricorrendo ad appositi addon, è possibile estendere enormemente le funzionalità di base di IPCop. Utilizzando Copfilter (vi invitiamo comunque a verificare quali e quanti addon sono disponibili, visitando questa pagina), si può fare in modo che tutto il traffico da e verso i client collegati alla rete locale venga sottoposto ad un’analisi automatica. In questo modo, è possibile rilevare lo spam, bloccare la visita di siti web potenzialmente nocivi ed effettuare un costante controllo antivirus. Anche Copfilter sarà oggetto di un prossimo approfondimento.