Premessa

I presupposti che hanno spinto la nostra azienda a scegliere soluzioni personalizzate includono la libera utilizzazione di alcuni software e la provata bontà delle loro potenzialità.

La sicurezza e la sua tutela, a garanzia del lavoro dei nostri clienti, sono alla base dello sviluppo delle nostre soluzioni. Ciò che abbiamo costruito in anni di esperienza e di analisi delle esigenze aziendali si traduce quindi in un’offerta esente da un’assidua necessità manutentiva. Difatti, fatto salvo il supporto di un hardware all’altezza dei compiti da svolgere, i nostri servizi software in funzione risultano autonomi per la quasi totalità delle loro funzionalità. La manutenzione da apportare successivamente alla prima implementazione solitamente si riduce ai normali ed essenziali aggiornamenti di sicurezza determinati dalla consueta evoluzione di nuovi malware o da nuove tecnologie di disturbo alla sicurezza della rete.

Le motivazioni che dovrebbero spingere un’organizzazione professionale alla scelta di queste soluzioni riguardano certamente il basso TCO (ovvero il costo totale di proprietà) ed i tempi di intervento ridottissimi, dovuti alla possibilità del controllo remoto da parte del personale tecnico specializzato.

Ogni azienda ha necessità di implementare policy di sicurezza di un certo livello. Si tratta di un passo naturale nell’evoluzione del sistema informativo dal momento che i rischi a cui esso viene sottoposto sono sempre maggiori e più insidiosi col passare del tempo e con l’evoluzione, purtroppo, delle tecnologie utilizzate per danneggiare gli altrui sistemi. Senza contare per altro la necessità di corrispondere alle richieste in materia di tutela dei dati personali poste in essere dal Decreto Legislativo 196 del 2003.

Le funzionalità di sicurezza si affiancano ad un’offerta di servizi evoluti, sempre basati su sistemi open source, che sono certamente interessanti per aziende che posseggano un dominio proprio sul quale appoggiare ad esempio un sistema di gestione del traffico di posta elettronica.

 

Slackware come sistema base

Le caratteristiche che fanno apprezzare Slackware sono la semplicità e la stabilità.

Si tratta di un avanzato sistema operativo Linux progettato appositamente per diventare facile all’utilizzo e sicuro nel tempo. Le sue doti sono il risultato di quanto di meglio si possa trovare relativamente a flessibilità e potenza.

Linux è stato originariamente sviluppato da Linus Torvalds nel 1991 ed ha beneficiato da allora del contributo di milioni di utenti e sviluppatori da tutto il mondo.

I requisiti minimi per eseguire Slackware sono i seguenti. Serve un processore almeno di generazione Pentium III; la ram, che come base dev’essere di 256MB, è consigliabile in 512MB. In dipendenza poi dei servizi che verranno implementati su Slackware sarà necessario adeguare le componenti interne della macchina ospite (più sono i servizi, più serve potenza).

Per quanto riguarda la compatibilità con Slackware, viene supportato lo stesso hardware supportato dal kernel Linux. Inoltre è possibile trovare driver per ulteriore hardware con delle semplici ricerche. Per informazioni più specifiche è possibile fare una verifica sul Linux Hardware Compatibility HOWTO. Oltre a lavorare su sistemi Intel, Slackware lavora anche su Alpha e SPARC.

Slackware Linux è attrezzato per servire sistemi di ogni dimensionamento, dai desktop ai grandi server come Web, FTP e mail server. Offre un’ampia varietà di tool di sviluppo, di editor e di librerie per utenti che necessitano sviluppare o compilare software aggiuntivo.

Slackware offre un ambiente in cui l’utente riesce a configurare il sistema nel modo più semplice possibile, ovvero editando normali file di testo. Naturalmente la semplicità di queste attività si applica ad utenti che hanno già esperienza nell’utilizzo di Linux.

Il creatore di Slackware, Patrick Volkerding, ha progettato il sistema in modo che potesse essere aggiornato con ogni patch ufficiale.

Gli init scripts adottati da Slackware differiscono rispetto agli init scripts System V più comunemente utilizzati dal resto delle distribuzioni Linux. Questo per l’utente Slackware si traduce in semplicità nell’abilitare e nel disabilitare i diversi servizi.

TOOLS

Tool specifici di Slackware come Swaret, Slapt-get (un clone di apt-get) e Slackupdate semplificano le operazioni di aggiornamento del sistema, sia per quanto riguarda gli update sia per quanto riguarda il passaggio del sistema a una nuova versione.

Anche se Slackware non integra Gnome, esiste Dropline Gnome che fornisce direttamente i pacchetti specifici per l’ultima versione dell’interfaccia grafica. Altro sito che fa parte del gruppo di Slackware è linuxpackages.net che rappresenta il deposito dei pacchetti di Slackware.

Digitalmind dispone di un proprio repository per gli aggiornamenti critici dei sistemi distribuiti e per semplificare l’installazione di ulteriori funzionalità.

 

Linux e i servizi che può offrire

Nei firewall basati su Linux, le operazioni di filtering e nat vengono effettutate direttamente all’interno del kernel del sistema operativo.

Questo subsystem interno al kernel prende il nome di “Netfilter”, ed è il framework con cui vengono gestite tutte le operazioni di firewalling, natting e manipolazione di pacchetti nel kernel Linux. Viene gestito con il comando iptables con cui si configurano appunto tutte le regole tramite cui gestire il traffico di rete.

Questi firewall sono estremamente flessibili e dispongono di estensioni (moduli kernel ed estensioni di iptables) in grado di incrementare ulteriormente le possibilità offerte.

Dalla versione 2.6 del kernel, Linux presenta un sottosistema di rete completamente riprogettato. Il nuovo codice trova poca concorrenza nel mercato dei sistemi operativi in quanto a prestazioni e funzionalità. Infatti il nuovo codice di routing, di filtraggio e classificazione ha più funzionalità di quello fornito con molti router, firewall e prodotti di traffic shaping dedicati.

Linux possiede un sistema sofisticato per la gestione della banda chiamato Traffic Control. Questo sistema supporta varie metodologie per classificare, assegnare priorità, condividere e limitare sia il traffico entrante che quello uscente.

Questo subsystem del kernel (“Iproute2”) è incaricato della gestione specifica di networking, tunneling e routing.

Si tratta di una soluzione che integra la migliore tecnologia offerta da un sistema operativo opensource con la competenza tratta solamente dall’esperienza di anni nella protezione di sistemi informativi complessi.

Una panoramica che può meglio chiarire cosa Linux offre nei confronti di esigenze di sicurezza avanzate viene data da un piccolo approfondimento delle relative peculiarità tecniche.

Segue un elenco delle features disponibili di default o in moduli aggiuntivi nei kernel linux serie 2.6 o superiori.

• Blanciamento di carico (suddivisione equa della banda)
• Policy Routing, consente di configurare il routing basato su: user id, mac address, indirizzo ip d’origine, porte, tipo di servizio, orario del giorno o contenuto.
• Bandwidth Limiting
• Protezione contro attacchi DoS (Denial of Service);
• Multiplexing di diversi server come uno solo, per load balancing o alta disponibilità;
• Stateless packet filtering sia per IPv4 che IPv6
• Stateful packet filtering per traffico IPv4
• Network Address Translation (NAT) e NetworkAddressPort Translation (NAPT), SNAT, DNAT, Port Forwarding, Double NAT, One-to-One NAT
• Proxy ARP, Bridging, Filtering/Masquerading Layer 2 (ebtables)
• Masquerading (NAT basato su interfaccia e non su ip)
• TCP ACK e TCP SYN matching
• Flood Protection e Rate Limiting (limit, iplimit e connlimit)
• Packet redirection (utilizzata per transparent proxying)
• Load Balancing basato su Firewall (nth e random match)
• Greylisting per bloccare temporaneamente e automaticamente determinati attacchi
• Regole basate su orario e data (time match)
• Layer7 Filtering: regole basate su protocollo, quindi è possibile bloccare o consentire traffico http, voip, msn, peer-to-peer (es: Emule, BitTorrent), etc, indipendentemente dalle porte che sono state configurate sui client
• Nessun limite sulle interfacce utilizzabili
  

Riassumendo, un elenco di cosa può fare Linux per voi:

• Limitare la banda di certi computer;
• Limitare la banda verso certi computer;
• Permettere la suddivisione equa della banda;
• Proteggere la rete da attacchi DoS;
• Impedire l’accesso ai vostri computer;
• Limitare l’accesso dei vostri utenti verso altri host;

La maggior parte delle estensioni/funzioni sono disponibili di serie nei kernel 2.6, le altre possono essere installate su richiesta in caso di necessità.

La disponibilità di un modulo non implica che questo sia attivo di default, in base alle esigenze, è infatti necessario configurare esplicitamente le regole di iptables in modo che vengano attivati i vari controlli e limitazioni.

Protezione - La questione della sicurezza

Ci sono individui che “bazzicano” internet alla costante ricerca di computer dotati di protezioni fragili. Il motivo per cui lo fanno può essere semplice divertimento oppure può essere la necessità di trovare un sistema che, penetrato, faccia da fantoccio per irrompere in altri sistemi. In questo modo le prove lasciate dai danni arrecati non possono che condurre al sistema sfruttato per il rimbalzo.

Se eseguite un’installazione standard di Windows, probabilmente non avete i mezzi per capire chi sta tentando di controllare la vostra macchina. Certo, finchè la condivisione file e stampanti è disattivata, sarete per lo più al sicuro. Tuttavia è sempre

possibile che qualcuno riesca a trovare un nuovo buco di sicurezza nel vostro pc e a sfruttarlo a piacimento.

Se invece state eseguendo Linux, potete controllare i log di sistema. Nel caso di un firewall, potete disattivare o limitare molti servizi. In generale l’efficacia della sicurezza del vostro firewall diminuisce all’aumentare dei servizi aperti versi internet, dal momento che ogni servizio è quasi un invito per qualcuno a provare ad insinuarsi nel vostro sistema. Per esempio se aprite il telnet, qualcuno può utilizzarlo per entrare. Un’alternativa sicura è la limitazione del telnet a certi indirizzi IP entranti, come ad esempio l’indirizzo IP che potreste usare per accedere al vostro sistema del lavoro da casa. Se non avete intenzione di aprire il telnet o l’FTP nel firewall da internet e tutto il vostro traffico è originato all’interno della rete locale, potete bloccare completamente il firewall. E’ comunque sempre una buona idea restare all’erta riguardo nuovi buchi di sicurezza e relativi fix.

Per quanto riguarda il traffico uscente, tutto quello destinato ad un indirizzo IP al di fuori della LAN entrerà nel firewall. Il firewall sostituirà l’indirizzo d’origine del PC che nella LAN ha originato il pacchetto con il proprio indirizzo IP, in modo che da internet il traffico sembri come se fosse originato dal firewall e come se stesse giungendo da un valido indirizzo IP. Ogni pacchetto che poi rientrerà da internet subirà la trasformazione inversa, in modo che il traffico troverà la via del ritorno verso il PC che lo ha originato.

Si fa sempre più frequente nelle realtà aziendali del globo la necessità di proteggere il sistema informativo con un efficace soluzione che risulti anche semplice da implementare e da gestire.

Non è detto però che qualsiasi apparato o software con funzionalità di firewall possa offrire, assieme alla semplicità, anche la configurabilità richiesta da chi è consapevole delle proprie esigenze di sicurezza.

Ebbene, talvolta la nascita di una soluzione completa e gestibile che copra tali esigenze è obbligatoria e molto sentita in aziende che, come succede nella nostra, si occupano da sempre di fornire servizi e prodotti adeguati alla salvaguardia del lavoro.

La posta elettronica e Internet sono ormai entrati nel quotidiano di ogni impresa e questi strumenti, molto utilizzati o meno, sono di certo divenuti indispensabili mezzi di comunicazione a cui non si può più rinunciare. Per questo le reti e i server delle imprese debbono essere giustamente protetti da ogni tipo di attacco proveniente da personaggi con intenzioni malevole che si aggirano sulla rete pubblica pronti a penetrare sistemi privati.

La nostra soluzione si basa sul concetto fondamentale di customizzazione, dal quale siamo partiti alla ricerca di un prodotto al massimo adeguato alle esigenze peculiari di ogni organizzazione. Abbiamo impiegato tempo e sforzi per realizzare un sistema ottimizzato per la protezione dalle intrusioni, per il filtraggio della posta non richiesta e dannosa; abbiamo cercato, testato e scelto con cognizione di causa ogni singolo elemento che fa parte della nostra soluzione di sicurezza. Il risultato non può che essere l’ideale ed irrinunciabile contributo alla sicurezza delle reti insediate in ogni tipologia di business.

Naturalmente non è un caso che siano stati scelti software liberamente distribuiti o open source. Possiedono tutti una licenza gratuitamente utilizzabile (vantaggio sempre apprezzato da chi è ormai troppo abituato ad un certo “schiavismo” da copyright) e, cosa di fondamentale importanza, sono completamente e liberamente modificabili. Si tratta in effetti di prodotti semplici e pertanto inattaccabili, rilasciati dopo uno studio approfondito sul progetto e sviluppati proprio al fine di fornire stabilità e protezione ai sistemi host.

Le capacità che abbiamo integrato in queste soluzioni, alias il nostro valore aggiunto, risiedono quindi nella scrittura di codice e nello studio di una struttura di regole finalizzate allo sfruttamento massimo delle potenzialità del prodotto. Difatti, una soluzione firewall basata su software è buona quanto migliori sono le competenze e le conoscenze impiegate nel suo sviluppo e nella sua ottimizzazione.

Infine, la capacità di essere complementare ai requisiti di protezione di una rete dipende dal livello di complessità nella logica della struttura di un firewall. Logica che deve gioco forza essere rigorosa e progettata alla perfezione, ovvero esente da conflitti e dalla minima predisposizione alla creazione involontaria di buchi di sicurezza.

 

Firewall

Tipologie

Esistono diverse classificazioni di firewall a seconda di dove la comunicazione sta avvenendo, di dove viene intercettata e dello stato che viene tracciato.

Tipologie di firewall:

proxying firewall - i proxy server lavorano facendo richieste per conto dei vostri client;

packet filtering firewall - i packet filter lavorano esaminando i pacchetti IP (Netfilter).

inizio_pagina

I proxy

Un apparato proxy (che esegue su un hardware dedicato o come software su una macchina multifunzionale) può fungere da firewall nel rispondere a pacchetti di input (per esempio richieste di connessione) alla maniera di un’applicazione, mentre sta bloccando altri pacchetti.

L’interferenza di una rete esterna con un sistema interno viene resa più difficile da un proxy e l’uso improprio di un sistema interno non causerebbe necessariamente una breccia sfruttabile dall’esterno del firewall (finchè il proxy rimarrà intatto e configurato adeguatamente). Al contrario, gli intrusi possono sequestrare un sistema pubblicamente raggiungibile ed utilizzarlo come proxy per i propri scopi.

inizio_pagina

Network layer e packet filter

I firewall network layer, anche chiamati packet filter, operano ad un livello relativamente basso dello stack del protocollo TCP/IP, non permettendo che i pacchetti passino attraverso il firewall a meno che essi non rispondano al set di regole stabilito. L’amministratore del firewall può definire le regole, oppure possono essere applicate le regole di default. I firewall moderni possono filtrare il traffico basandosi su molti attributi di pacchetto come l’indirizzo IP d’origine, la porta d’origine, l’IP o la porta di destinazione, il servizio di destinazione come WWW o FTP. Possono filtrare basandosi anche sui protocolli, sui valori TTL, sulla fonte del nome di dominio e su molti altri attributi.

inizio_pagina

NAT - Cenni

I firewall spesso possiedono la funzionalità di network address translation (NAT), e gli host protetti dietro un firewall solitamente hanno indirizzi nella “private address range”, come definito nell’RFC 1918. I firewall hanno questa funzionalità per nascondere i veri indirizzi degli host protetti. Originariamente il NAT fu sviluppato per destinare il numero limitato di indirizzi Ipv4 che potevano essere utilizzati o assegnati alle società o agli individui, oltre che per ridurre sia il numero che il costo per l’ottenimento di sufficienti indirizzi pubblici per ogni computer delle organizzazioni. Nascondere gli indirizzi di apparati protetti è poi diventato una difesa sempre più importante contro il riconoscimento di rete.

inizio_pagina

Iptables

La logica di iptables è essenziale nella stesura delle policy di un firewall da cui ci si aspettano risultati e funzionalità ottimizzate.

Iptables di default lavora su tre tabelle che prevedono catene all’interno delle quali esistono elenchi di regole. Ogni regola identifica i pacchetti di rete secondo diversi criteri, sulla base di varie corrispondenze. La regola poi termina con un target che stabilisce cosa fare del pacchetto in questione.

Netfilter è il framework con cui vengono gestite tutte le operazioni di firewalling, natting e manipolazione di pacchetti nel kernel Linux. Viene gestito con il comando iptables con cui si configurano appunto tutte le regole tramite cui gestire il traffico di rete.

Numerosi Firewall commerciali (anche hardware) fanno oggi uso di sistemi basati su Netfilter/Iptables, tra i più blasonati:

Watchguard, Astaro, Fortigate, Gibraltar, Linksys (alcuni modelli), Aventail.

inizio_pagina

Traffic shaper

Cosa è il traffic/packet shaping? Semplicemente il traffic shaping è un tentativo di controllare il traffico di rete al fine di ottimizzare o garantire le prestazioni, bassa latenza e/o la banda. Il traffic shaping ha a che fare con i concetti di classificazione, disciplina delle code, policy di rinforzo, amministrazione della congestione, qualità del servizio (QoS) ed equità.

Per esempio è possibile assegnare parte della banda a disposizione con dei limiti definiti con lo scopo di garantire velocità di connessione a determinati apparati di rete.

C'è una tecnica che si chiama traffic shaping che serve proprio per gestire il QoS (quality of service) della rete. Si può decidere di dividere la banda totale con dei limiti ben definiti, in modo da garantire una velocità appropriata di downstream e upstream per tutti.

inizio_pagina

Interfaccia di gestione firewall - Armadillium

Interfaccia grafica di amministrazione

Armadillium è un'interfaccia di gestione per firewall Linux basati su iptables e gira su qualsiasi piattaforma Windows. È stata sviluppata per aziende e Internet Service Provider che necessitano di un alto livello di flessibilità e allo stesso tempo di sicurezza, unite ad un'estrema semplicità di utilizzo anche in presenza di architetture di rete molto complesse. L'interfaccia di amministrazione è ispirata alla management console di Checkpoint Firewall-1: questo firewall, oltre ad essere considerato uno dei migliori al mondo, è estremamente apprezzato per l'intuitività del suo software di gestione.

Sono state implementate molte funzionalità per venire incontro alle necessità dell'amministratore di rete, consentendogli di concentrarsi sullo scopo delle regole definite nel firewall più che sulla loro sintassi.

L'interfaccia è totalmente visuale, con supporto di cut-paste e di drag'n'drop di oggetti e regole. Computer e servizi (web,posta etc.) sono definiti come oggetti e possono essere raggruppati per creare oggetti più complessi. In questo modo è possibile impostare delle regole di accesso o di blocco a gruppi di computer e a servizi anche molto complessi e nidificati.

Armadillium è completamente indipendente da specifiche distribuzioni Linux. Pertanto è possibile utilizzare una versione qualsiasi o eventualmente cambiarla in futuro, senza che la gestione o le regole vengano modificate.

Graficamente non sono disponibili tutti i moduli/match di iptables (i più utilizzati sono stati comunque implementati), ma è possibile insererire in Armadillium regole personalizzate per attivare tutte le funzionalià richieste.

L'amministrazione del firewall Linux avviene tramite collegamento criptato con protocollo SSH2.

inizio_pagina

 

Caratteristiche tecniche:

• interfaccia a oggetti con host e servizi illimitati
• gestione di firewall con un numero illimitato di interfacce di rete
• nessun limite sugli indirizzi ip protetti (numero di utenti)
• la licenza è 'per Site', cioè consente l'amministrazione di un numero illimitato di firewall nella stessa azienda
• controllo di inserimento corretto delle regole sul firewall durante l'aggiornamento della configurazione
• non vengono sganciate eventuali connessioni preesistenti
• aggiornamenti automatici (Live Update) del software per un anno
• gestione contemporanea di più liste di regole e possibilità di disabilitarne temporaneamente alcune
• possibilità di creare 'chain' personalizzate per poter semplificare la gestione di molte regole
• network scanner per aggiungere automaticamente alla lista dei computer gestibili tutti i computer sulla rete
• elevato numero di moduli (match) disponibili oltre a quelli standard

Contattateci per saperne di più.