ipcop: un firewall open source per le aziende

(giovedì 26 febbraio 2009 di daniele luconi)

internet e’ un mare pieno di opportunità, dove però troviamo anche qualche insidia  nei meandri  dei fondali soprattutto per qualche navigatore inesperto si può nascondere uno spyware, un dialer oppure un qualsiasi tipo di programma maligno che tenta di accedere a qualche risorsa del nostro computer.

oggi le aziende non possono fare a meno della tecnologia, del computer, di internet. ma soprattutto non possono prescindere dall’avere una rete e dei servizi internet sicuri, senza rischio di intrusioni dall’esterno o di perdita dei dati. in una rete aziendale i rischi sono ancora maggiori, visto che all’interno della stessa rete sono presenti server su cui girano applicazioni di vario genere. se la rete venisse violata, anche dal più innocuo di questi malware la sicurezza di tutta la struttura informativa sarebbe compromessa, con conseguente pericolo per le informazioni che risiedono sui server.

per questa ragione, la presenza di un firewall è altamente consigliata. occorre un sistema in grado di separare fisicamente due o più reti, impedendo l’accesso dall’esterno a meno che non vengano impostate regole mirate: un dispositivo che blocca tutto il traffico in ingresso, e buona parte di quello in uscita, fino a quando l’utente non specifica esattamente quali servizi, porte o computer possono dialogare con internet.

utilizziamo e da tempo ipcop come soluzione firewall/proxy: potente, modulare e parco nella richiesta di risorse per i sistemi linux. è un’ottima soluzione per piccole reti, reti aziendali e SOHO (small office-home office), può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato.

in attesa della versione 1.5, che sarà finalmente basata su kernel 2.6, l’ultima versione disponibile è la 1.4.21. chi come e-xtrategy usa sarg come addon ipcop per generare i report dei log di squid, si sarà sicuramente imbattuto in alcune difficoltà: report a volte non generati, dati errati, report enormi che riempiono il disco: dopo varie ricerche e contatti diretti con la community di sviluppo dell’addon abbiamo finalmente trovato delle configurazioni da applicare per risolvere questi problemi.

ipcop in fase di installazione crea 3 partizioni: / boot e /var/log. tolti i 16MB necessari per la partizione /boot, il restante 10% viene assegnato alla partizione root (/), il resto alla /var/log. sarg nella configurazione di default crea i report in /home/httpd/html/squid-reports (quindi nella partizione /), per questo, specialmente in reti dove si genera molto traffico web, accade spesso che si esaurisca lo spazio della partizione /, causando il down del sistema. per evitare questo problema, facciamo in modo che i report generati vengano creati nella partizione ‘/var/log’. spostiamo quindi la cartella /home/httpd/html/squid-reports in /var/log/squid-reports e creiamo un link simbolico con il comando ‘ln -s /var/log/squid-reports /home/httpd/html/squid-reports’. ora occorre modificare il file di configurazione dell’apache /etc/httpd/conf/httpd.conf per fare in modo che il server web esegua i link simbolici e quindi che i report siano visibili dall’interfaccia web. ecco la parte da modificare:

<Directory /home/httpd/html>
Options ExecCGI FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>

in particolare è da aggiungere l’attributo ‘followsymlinks’ alla direttiva ‘options’

un altro problema della configurazione di default di sarg è che spesso i report sono difficilmente leggibili, in quanto nella pagina di dettaglio navigazione del singolo host vengono riportate le url complete. per evitarlo editiamo il file /var/ipcop/sarg/local/sarg/sarg.conf impostando questi 2 parametri:

user_report_limit 100
long_url no

il primo limiterà a cento il numero dei siti visualizzati per host, il secondo farà in modo che venga visualizzata solo la base url

infine, occorre modificare la frequenza del rotate dei log di squid in quanto questi vengono ruotati di default settimanalmente e in questo caso sarg non riuscirebbe a creare un report mensile completo. per farlo editare il file /etc/logrotate.conf e cambiare da ‘weekly’ a ‘monthly’ il rotate dei seguenti file:

/var/log/squid/access.log
/var/log/squid/user_agent.log
/var/log/squid/referer.log
/var/log/squid/cache.log
/var/log/squid/store.log

in questo articolo abbiamo usato un pò di linguaggio tecnico, spero non vi siate spaventati: sono le competenze che abbiamo acquisito in questi anni che ci portano a scoprire sempre cose nuove e la passione per l’informatica che ci stimola ad approfondire questi argomenti.

daniele

Archiviato in: sicurezza e reti | Tags: , , , , , , | 7 Commenti »

7 commenti a “ipcop: un firewall open source per le aziende”

  1. carsperix scrive:
    7 marzo 2009 alle 01:36

    Ciao,
    utilizzo ipcop l’ultima versione la 1.21 ma non ho sarg. Sapresti dirmi da dove lo posso installare?
    Grazie

  2. daniele luconi scrive:
    7 marzo 2009 alle 12:48

    ciao carsperix,
    puoi scaricare sarg per ipcop dal sito mhaddons.tk, ecco il link alla pagina download
    http://mh-lantech.css-hamburg.de/ipcop/download.php?view.205

  3. Cristian scrive:
    19 marzo 2009 alle 08:35

    Intanto, grazie per il backlink :)

    Detto questo, io utilizzo IPCop ormai da anni e ne sono molto contento, ma comincio ad essere piuttosto tentato anche da Endian Community Edition. Che mi dici? Lo conosci? Ne hai esperienza?

    Di Endian mi piacciono molto ancune cosine, come la visualizzazione delle connessioni realtime, l’advanced Proxy e il content filtering gia’ integrati e il supporto nativo a OpenVPN, comprese le Lan2Lan
    Devo pero’ ancora capire come (mi sembra impossibile non si possa fare) gestire piu’ IP pubblici (l’Alias IP di IPCop)

  4. daniele luconi scrive:
    23 marzo 2009 alle 09:29

    ciao cristian
    sì conosco la endian ce, ma le mie esperienze in riguardo sono limitate a dei semplici test. non saprei dirti come gestire più ip, ma vedo qui http://www.endian.com/en/community/comparison/ che la feature “Multiple Public IPs” sembra essere disponibile anche per la versione community.

  5. Roberto scrive:
    13 agosto 2009 alle 11:52

    Salve … io ho eseguito tutte le note indicate però ho notato che i report mensili e giornalieri non sono mai create sapresti dirmi perchè?
    Grato per le indicazioni….

  6. daniele luconi scrive:
    14 agosto 2009 alle 11:56

    ciao roberto
    io proverei ad eseguire il comando per generare i report direttamente da shell, per i giornalieri:

    /var/ipcop/sarg/bin/sarg-reports daily

    e per i mensili:

    /var/ipcop/sarg/bin/sarg-reports monthly

    e controllerei se si ottengono degli errori. se tutto funziona, penso sia un problema del cron che non esegue i comandi..

    chiedi pure se hai altri problemi!

    ciao
    daniele

  7. Maurizio scrive:
    22 agosto 2009 alle 10:32

    Salve.
    Io ho configurato sarg come spiegate nella guida solamente ho questo tipo di problema.
    Io navigo con 2 pc e quando vado a controllare i report nella colonna user id mi mette 127.0.0.1 e mi da solo un pc.
    Cosa ho sbagliato?
    Grazie

Scrivi un commento

 
Creative Commons License tutti i contenuti del web site e-xtrategy (dove non diversamente specificato) sono pubblicati sotto creative commons 2.5 italia license.

e-xtrategy srl - p.iva: 02063740423 - via marche, 34 - 60030 monsano (an) italy - tel. +39.0731.60400 - fax +39.0731.60003 - info@e-xtrategy.net