Securitate IT

Totusi, utilizatorul obisnuit cu Windows si cu interfata grafica ar avea trei posibilitati: fie sa instaleze pe server si interfata grafica si sa incerce sa configureze firewall-ul cu utilitarele care au un corespondent in X Window, fie sa instaleze pachetul webmin, care permite administrarea de la distanta, utilizand o interfata Web, accesibila in mod obisnuit pe portul 10000, cu sau fara o conexiune securizata.

IPcop - pazitorul IP-ului
IPCop, o distributie excelenta de Linux, derivata din Smoothwall (o alta distributie de tip Firewall dedicat), ne-a retinut atentia prin flexibilitatea oferita, in ciuda faptului ca este dedicata. Desi echipa care programeaza distributia nu a inclus chiar orice facilitate ne-am fi dorit de la un firewall, exista entuziasti care au completat cu mare succes distributia prin add-on-urile produse, publicate pe site-ul oficial al distributiei (link-urile sunt in tabelul de la sfarsit).

PASUL 1: Necesarul pentru un firewall Ethernet
In primul rand, avem nevoie de un PC. In functie de ce dorim sa obtinem de la serverul nostru, vom alege un PC mai slab (incepand chiar de la Pentium I - nu recomandam 486, desi functioneaza fara gres) sau mai puternic (acesta poate efectua filtrari avansate - detalii despre aceasta la pasul 14).
PC-ul va avea nevoie de doua placi de retea, una pentru a fi conectata la Internet, cealalta pentru reteaua interna. Este indicat sa dezactivam in BIOS toate porturile neutilizate, pentru a lasa suficiente resurse libere pentru placile de retea si evitarea conflictelor.
Recomandam pentru aceasta un sistem cu video integrat pe placa de baza, intrucat nu vom utiliza monitorul decat in faza initiala a configurarii. Preventiv, chiar daca placa de baza include o placa de retea, ar trebui utilizate doua placi PCI separate, pentru usurinta inlocuirii in cazul unei defectiuni.
Daca sunteti fericitii posesori ai unui PC racit pasiv sau cu un ventilator cu zgomot redus, nu veti regreta daca aceasta v-a costat putin mai mult.
Un hard disc de 4 GB este arhisuficient ca si capacitate, dar vechimea acestuia si viteza mica sunt factori de care sa tinem seama in alegerea discului. Nu strica sa avem un disc cu 8 sau 10 sau 20 GB.
128 MB de memorie sunt suficienti, dar fara 256 MB nu vom putea utiliza cu succes unul dintre cele mai pretioase plugin-uri. Este obligatoriu sa avem instalat un CD-ROM pe care il vom elimina dupa instalare.

PASUL 2: Descarcarea si inregistrarea
Cum intram in posesia IPCop? Site-ul oficial este www.ipcop.org. La sectiunea Download gasim link-uri spre site-ul SourceForge.net, un site care are mirror-uri in toata lumea, dar nu si in Romania. Alegem acolo link-ul pentru ISO, care va fi inregistrat pe un CD. Cum legatura noastra la Internet este rapida cu Germania, am ales mirror-ul din DŸsseldorf.
Imaginea ISO descarcata poate fi inregistrata pe un disc cu ajutorul unui program ca Nero Burning Rom sau CDBurnerXP. Acesta din urma este gratuit si poate fi descarcat de pe www.softpedia.com sau de pe site-ul producatorului.

PASUL 3: Instalarea
O data inregistrat discul, putem trece la instalarea propriu-zisa. Daca avem un PC foarte lent, este bine sa eliminam din start detectarea automata a unor echipamente hardware, ca USB sau PCMCIA. Primul ecran ne ofera informatii despre cum putem face acest lucru.
Trebuie sa avem grija la apasarea butonului ãCancelÒ. In oricare moment, acesta intrerupe instalarea si operatiunea trebuie reluata cu reboot. Selectam apoi ca sursa de instalare CD-ROM.
Scriptul de instalare va crea automat partitiile necesare, utilizatorul neavand posibilitatea de a modifica partitionarea. La urmatorul pas alegem "Skip", pentru ca avem o instalare proaspata si nu o reinstalare.
La capitolul interfete de retea, cel mai usor este sa autodetectam placile de retea. Prima placa detectata va fi asignata pentru reteaua interna (sau Green Network). Trebuie sa introducem adresa de IP a interfetei: 192.168.10.254.
La pasul urmator, alegem Zona de timp: Etc/GMT+2. Este important sa alegem corect zona de timp, pentru a putea sincroniza apoi PC-urile din retea cu serverul.

PASUL 4: Configurarea initiala
Cam aici trecem de la instalare la configurare. Primul lucru pe care-l facem este sa alegem corect interfata externa (Internet). Propunerea initiala este ISDN. Alegem "Disable ISDN" si ajungem in programul de setup, pe care-l putem apela oricand mai tarziu scriind "setup" in consola.
Deci "Network Configuration Type". Alegem Green + Red. Desi IPCop suporta mai multe configuratii (cu pana la patru interfete de retea), aceste configuratii nu fac obiectul articolului de fata. Alegem apoi "Drivers and card assignments" si confirmam modificarea setarilor curente.
Din nou probam hardware-ul si interfata descoperita va fi asignata retelei externe, RED. Daca am setat deja adresa IP a interfetei Green, acum este timpul sa o setam pe cea externa. Daca avem o adresa statica, alegem "Static" si specificam adresa. Daca providerul de Internet ne ofera o adresa automata, selectam DHCP si confirmam.
In cazul unei adrese fixe, trebuie sa specificam si adresele serverelor DNS si Gateway. Altfel, serverul DHCP va comunica automat aceste valori  serverului.
In continuare trebuie sa specificam daca serverul nostru va oferi adrese automat in reteaua Green prin DHCP. Daca da (setare recomandata), atunci bifam casuta pentru "Enabled" si specificam intervalul de adrese IP acordate retelei Green.
Alegem apoi parola pentru "root" si pentru "admin". Root este userul care se conecteaza la consola serverului (linia de comanda), iar admin este cel care poate administra serverul de la distanta, prin interfata Web. Nu tratati cu usurinta crearea acestor parole! Faceti-le cat mai complicate, altfel serverul este expus. O parola sigura are cel putin sase caractere, care sunt litere, majuscule si minuscule, cifre, semne speciale. Atentie la acestea din urma si la tara pe care ati ales-o la tastatura. Tastaturile cele mai obisnuite au doar caracterele corespunzatoare limbii engleze/US. Orice alta limba selectata poate crea probleme in cazul unei schimbari ulterioare.

PASUL 5: Accesarea interfetei Web
Pentru a putea continua configurarea, trebuie sa renuntam la consola serverului si sa mergem la un  PC  conectat  la  reteaua  interna. De aici, printr-un browser, accesam adresa de IP a serverului pe portul 81: http://192.168.10.254:81 si acceptam certificatul de securitate. Pentru a face schimbari in configuratie, trebuie sa ne autentificam. Userul este "admin", iar parola este cea stabilita mai devreme.

PASUL 6: Meniul "System"
In meniul "System" putem regla optiuni legate de IPCop.
Updates - raporteaza update-urile disponibile pentru IPCop. Acestea se pot descarca tot de pe site-ul www.ipcop.org, cu link pe SourceForge.net. Odata descarcate local, acestea pot fi urcate pe server cu acest meniu.
Passwords - aici se pot schimba parolele pentru userul admin si pentru userul necesar pentru dial-up, daca se utilizeaza o legatura de tip dial-up (ADSL).
SSH Access - daca bifam prima casuta, atunci vom putea accesa serverul prin SSH (cu Putty, in Windows), pe portul 222.
GUI Settings - contine setari legate de interfata. Limba romana, desi prezenta in lista, produce oarecare probleme in utilizare, deci este bine sa pastram limba engleza.
Backup - meniul permite salvarea datelor principale de configurare pe PC-ul local.
Shutdown - putem reporni sau stinge serverul cu apasarea unui buton. Putem opta sa repornim serverul la o anumita ora in anumite zile ale saptamanii - lucru absolut necesar, cel putin o data pe zi.
Credits - contine lista tuturor celor care au contribuit la acest proiect cu tot cu adresele lor de e-mail.

PASUL 7: Meniul "Status"
System Status - aici gasim date despre starea sistemului. Memorie, spatiu pe hard disc, servicii pornite, timp de functionare, versiunea Kernel-ului.
Network Status - starea retelei, a interfetelor, a interfetei RED, tabelele de rutare, tabele ARP.
System Graphs - grafice despre starea sistemului, memoria consumata, procesor, spatiu pe disc, informatii absolut pretioase pentru evaluarea functionarii serverului.
Traffic Graphs - grafice despre traficul de informatie prin server, separat pe interfete. La un clic pe un grafic, putem vedea grafice zilnice, saptamanale, lunare.
Connections - lista conexiunilor stabilite de server, in functie de interfata, legenda arata care interfata este utilizata.

PASUL 8: Network
Dial-up - meniul se refera la conexiunile stabilite prin interfete de tip dial-up (prin modem sau ADSL, de exemplu).
Upload - permite upload-ul pe server a firmware-ului sau a unor drivere pentru diferite modemuri suportate de IPCop.
Modem - setari si comenzi pentru modem.

PASUL 9: Servicii
Proxy Server - bazat pe Squid, serviciul de proxy poate fi transparent pentru utilizatori sau poate fi setat pe portul 800 (fara proxy, portul pentru http este 80). Dimensiunea initiala a cache-ului este de 50 MB. Daca hard discul permite, alocarea unui spatiu de 1 GB pentru acest serviciu este foarte potrivita pentru a creste viteza de browsing si pentru a scadea traficul spre Internet.
DHCP Server - deja setat, serverul DHCP, permite si setari mai avansate decat am putut face in timpul instalarii.
Dynamic DNS - daca gazduim un site Web sau un domeniu si providerul ne ofera doar adrese IP dinamice, putem apela la un serviciu de DNS dinamic. In aceasta pagina gasim setarile pentru acest serviciu.
Edit Hosts - editeaza fisierul de hosts, care face rezolvarea numelor in mod static. Aici putem specifica numele unor PC-uri si adresele lor de IP.
Time Server - serverul de timp. Daca este pornit si setat in DHCP, atunci va fi automat utilizat de PC-urile din reteaua Green.
Traffic Shaping - permite "felierea" latimii de banda, in functie de portul de comunicatie si de prioritatea alocata.
Intrusion Detection - contine instructiuni pentru inscrierea la regulile Sourcefire VRT care pot ajuta la detectarea unui comportament agresiv al unui PC din Internet si blocarea comunicatiei cu acesta.

PASUL 10: Firewall
Firewall -  administreaza felul in care firewall-ul blocheaza accesul spre reteaua Green. Evident, se pot face setari astfel incat sa se permita accesul anumitor adrese pe anumite porturi, dupa caz.
External Access - regleaza accesul din exterior catre server.
Firewall Options - poate bloca raspunsul la pachetele ICMP pe portul 8 (ping) pentru oricare interfata, facand la prima vedere, serverul invizibil din Internet sau din reteaua locala. Aceasta setare nu fereste serverul de suprasolicitare cu pachete ICMP supradimensionate pe portul 8 (ping flood).

PASUL 11: VPN
Ofera posibilitatea de a stabili retele virtuale private, utilizate la "unirea" a doua segmente de retea peste Internet, intr-un mod sigur si criptat.

PASUL 12: Logs
Acest meniu prezinta inregistrarile sistemului. Aici se pot vedea toate conexiunile stabilite de server, precum si setari pentru aceste inregistrari.

PASUL 13: Tips and tricks
O metoda buna pentru a putea accesa interfata Web a serverului din Internet este modificarea portului din 445 (implicit) in 5445 sau altul neutilizat. Portul 445 este blocat de cei mai multi ISP-i, pentru ca este portul prin care se propaga LSASS si alti cativa viermi periculosi. Deci setam accesul SSH si accesam consola serverului cu Putty (Windows) sau SSH (Linux). Atentie la port, este 222. Comanda este "setreservedports" si portul pe care se doreste redirectarea.
Apoi este important sa setam External Access pentru adresa sau adresele IP care au voie sa acceseze serverul pe portul stabilit mai devreme.

PASUL 14: Add-ons
Cele mai valoroase add-on-uri se pot gasi pe site-ul www.mhaddons.tk. QoS NG este unul dintre ele. Acesta, desi nu este usor de setat, permite limitarea traficului in functie de foarte multi factori: port, protocol, aplicatie. Este insotit de un manual in engleza, foarte explicit si detaliat. Astfel, aplicatii de tipul Peer 2 Peer, spaima tuturor administratorilor de retea, pot fi limitate la o anumita latime de banda ocupata. Daca se doreste doar blocarea acestora, exista p2pblock, fara nici o alta prezentare.
Alte utilitare pot fi descarcate gratuit de pe site-ul mai sus mentionat, dar si urmand link-urile de la sectiunea de Download de pe site-ul www.ipcop.org. Un foarte interesant add-on este CopFilter. Acesta filtreaza virusi, Spyware si alte tipuri de malware, chiar daca sunt continute in arhive sau in mesaje e-mail. Acest add-on are cerinte mari de sistem: cel putin 256 MB de RAM, procesor puternic (800 MHz s-ar putea sa nu fie suficienti).
Daca acest add-on este tinut la zi, atunci, cu ajutorul unui antivirus pe statiile din retea, acestea pot fi protejate foarte aproape de siguranta 100%. CopFilter se bazeaza pe Clamav, dar suporta si F-Prot pentru Linux, care nu este sub licenta GPL. Alte add-on-uri interesante: Urlfilter, SquidGuard, CutBlock.
Atentie la add-on-urile care se angajeaza sa verifice traficul sau logurile si sa inchida automat conexiunea sau sa baneze anumite adrese in functie de loguri. Acestea au nevoie de o perioada de training.

AVERTISMENTE
Nu instalati add-on-uri pe care nu stiti sigur daca vreti sa le pastrati pe o masina care serveste deja o retea! Cautati un PC vechi si instalati alt IPCop, apoi testati noul add-on. Aveti mare grija la setarea CopFilter, pentru ca acesta poate face foarte usor sa dispara e-mail-uri perfect valide, daca regulile nu sunt setate corect. Acest lucru ramane valabil si pentru site-urile Web.
Daca ceva nu merge corect, log-urile sunt primul loc unde am putea gasi un indiciu. Add-on-urile se instaleaza relativ usor, fiecare avand un script de instalare: install sau setup. Daca aveti Windows pe statii, cautati Putty pentru Windows si WinSCP. Vor fi indispensabile.

Sursa: PcWorld

Comenteaza articolul

Comenteaza articolul

Te rog posteaza un comentariu legat de acest subiect. Nu folositi limbaje licentioase. Comentariile care au in continutul lor trivialitati vor fi sterse! In cazul in care gresiti codul de securitate apasati refresh pentru generarea unui cod nou.
Nume:
Adresa email:
Adresa website:
Titlu:
Comentariu:
Cod:*

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved