documento

IPCOP: configurazione per uso scolastico
Liceo Scientifico “Ettore Majorana” - Orvieto
gennaio 2009
IPCop è una piccola distribuzione GNU/Linux creata per funzionare come firewall.
IPCop è distribuita sotto licenza GPL e pertanto può essere scaricata liberamente da Internet (www.ipcop.org).
IPCop può "girare" anche su hardware obsoleto: con scarsa potenza di calcolo, poca memoria RAM, disco relativamente
piccolo, nessuna esigenza per quanto riguarda scheda grafica e altre periferiche, non ha una interfaccia grafica e
normalmente viene fatta girare su computer senza un monitor.
Nella configurazione hardware che viene considerata in questi appunti la macchina IPCop e dotata di due schede di rete:
• la scheda RED che comunica con Internet tramite il router (o il modem);
• la scheda GREEN che comunica con la rete scolastica tramite un hub o, preferibilmente, tramite uno switch.
Gli aspetti configurabili in un firewall IPCop sono numerosi: di seguito vengono illustrati solo quelli che riteniamo di
particolare interesse per una tipica rete di una piccola scuola omettendone molti altri.
La configurazione di IPCop può essere svolta (quasi in tutti gli aspetti) utilizzando la sua interfaccia web alla quale si
accede come utente admin (con la password stabilita in fase di installazione) all'indirizzo
http://<ip-della-macchina>: 81
L'accesso
all'interfaccia
web di IPCop avviene
normalmente da uno dei
pc della LAN, e che quindi
si trova "dietro" al firewall,
tramite
un
qualunque
browser web.
Il sistema IPCop offre
la possibilità di installare
come addon un sacco di
servizi aggiuntivi rispetto
alla distribuzione base.
Addon sono pacchetti confezionati per IPCop dai numerosi utenti che utilizzano questo sistema operativo
1 Cop+
In questi appunti viene considerato installato l'addon che si chiama Cop+ e che fornisce il software Dansguardian con una
interfaccia web di configurazione integrata con quella di IPCop e con un sistema di aggiornamento automatico.
Dansguardian è un software molto evoluto per il controllo del traffico web; è un software disponibile liberamente per
uso personale o educational; può essere aggiornato automaticamente; può essere configurato con grande dettaglio.
Dansguardian è un software evoluto ma anche piuttosto esigente per quanto riguarda la potenza di calcolo: pertanto è
conveniente utilizzare hardware un po' più potente rispetto ai requisiti minimi richiesti per il funzionamento del solo
sistema IPCop.
Cop+ e stato creato nell'ambito della vasta comunità di utenti di IPCop; tuttavia non è un software creato e "gestito" dal
team di ipcop: pertanto non è sempre garantita la facilità (o addirittura la possibilità) di installazione su nuove versioni di
IPCop. Quindi è necessario prendere le necessarie precauzioni qualora si voglia aggiornare un sistema operativo IPCop sul
quale deve girare l'addon Cop+: in pratica si deve verificare su Internet (o tramite installazione su una macchina di prova)
se la versione corrente di Cop+ è compatibile con la nuova versione di IPCop.
2
I menu di configurazione di IPCop
Di seguito vengono illustrate le operazioni che si possono svolgere utilizzando alcune (solo alcune!) delle voci di menu
dell'interfaccia web di IPCop.
SISTEMA:
password per ridefinire la password dell'utente admin con il quale si accede alla gestione da interfaccia web
ssh per attivare la possibilità di accesso alla macchina tramite protocollo ssh per amministrazione da interfaccia a
caratteri su terminale remoto (per
esempio utilizzando programmi client
ssh come putty); talvolta (molto
raramente) può essere opportuno
intervenire sulla configurazione di
IPCop tramite interfaccia a caratteri o
sulla console (tastiera e monitor) o
tramite
un
terminale
remoto:
tipicamente questo tipo di intervento e
necessario quando deve essere
riconfigurata la scheda di rete RED o
quella GREEN.
arresto per spengimento o riavvio della macchina e attivazione dello spengi-mento a tempo a un'ora stabilita in
giorni della settimana stabiliti
STATO :
permette di verificare lo stato del sistema IPCop; in particolare la prima voce stato sistema permette di visualizzare i
servizi attivi (per esempio DansGuardian Content Filter, Secure shell server, Server DHCP, Server NTP, Web
proxy) e l'uso della RAM e del disco.
NETWORK
le prime voci di questo menu sono dedicate alla configurazione della connessione tramite modem.
L'ultima voce del menu serve a definire indirizzi IP alternativi per la scheda GREEN (ALIAS IP): può essere utile
per mantenere separate due sotto reti (per esempio laboratorio studenti e uffici) che possono in questo modo
comunicare verso internet essendo fisicamente collegate tramite lo stesso switch e tramite la stessa scheda GREEN
di IPCop ma non possono reciprocamente accedere alle risorse condivise.
SERVIZI :
proxy è un servizio che
permette di ottimizzare la
connessione a Internet
tramite una "cache" delle
pagine web;
lo configuriamo come
"proxy trasparente" sulla
scheda
GREEN;
la
dimensione massima della
cache
dipende
dalla
disponibilità di spazio sul
disco (precisamente nella
partizione /var/log) che può
essere
controllato
in
stato —> stato sistema —>
utilizzo disco.
content filter questo servizio (e la relativa voce di menu) esistono grazie al fatto che e stato installato Cop+; per la
configurazione e il tuning fine si rimanda a un opportuno paragrafo di questi appunti.
server dhcp è il servizio che permette di configurare automaticamente le schede di rete dei computer che vengono
collegati allo switch della LAN;
preferiamo tuttavia configurare
in modo statico le schede dei pc
in modo che ogni indirizzo IP
corrisponda sempre alla stessa
macchina della LAN; tuttavia
può essere utile disporre di un
dhcp server all'interno della
LAN nel caso si utilizzino
computer portatili.
DNS dinamico utile se si usa una
connessione con un IP pubblico
non statico (ma variabile nel
tempo) e si dispone di un nome di
dominio
(per
esempio
www.lamiascuola.org)
che
vogliamo venga automaticamente
associato al nostro IP attuale
quando attiviamo il collegamento a
Internet di IPCop.
time server IPCop può essere
configurato per ottenere l'ora esatta
da opportuni server remoti (per
esempio time.ien.it); se IPCop
verrà acceso e collegato a Internet
saltuariamente conviene impostare
l'aggiornamento dell'ora ogni 2
ore per avere la sicurezza che si
realizzi; IPCop può funzionare a
sua volta da server dell'ora esatta
per i computer della LAN (utile
per la sincronizzazione dei file
ecc.)
gestione banda permette di regolare (ridurre) la velocità del collegamento tra la scheda RED e Internet: sarebbe
molto più utile (e possibile grazie
alle funzionalità del kernel di
IPCop) poter agire sulla velocità di
collegamento
della
scheda
GREEN verso ogni IP della LAN;
purtroppo non esiste un addon per
questa operazione e avendo
necessita si deve intervenire a
"basso livello" scrivendo opportuni
programmi.
rilevamento intrusioni
può essere opportuno
attivare il server snort
sulla
scheda
RED
specialmente se il firewall
IPCop deve proteggere
dati sensibili nella LAN.
FIREWALL :
port forwarding ogni
servizio che funziona
nei computer della
LAN
può
essere
contattato
indicando
l'indirizzo IP della
macchina nella quale
esso è in funzione e il
numero della porta
sulla quale il servizio
stesso è in "ascolto"; il
port forwarding di IPCop permette di dirottare le chiamate che provengono da Internet sull'IP della scheda RED e su una
particolare porta, verso uno specifico IP interno alla LAN e su una specifica porta.
accesso esterno per abilitare la possibilità di accesso da Internet (cioè dalla scheda RED) alla macchina IPCop
stessa per esempio sulla porta 445 (per l'interfaccia web) o sulla porta 222 (per la connessione ssh sul
terminale remoto).
LOG:
permette l'accesso alle registrazioni di tutte le attività di IPCop e delle connessioni che
vengono filtrate; da qui si accede anche ai log di Dansguardian e quindi si può ottenere
un resoconto dettagliato, per esempio, di quale risorsa web è stata richiesta (ed
eventualmente negata) da quale IP della LAN e a quale ora. Un controllo terribile ma
anche un impegno mooolto gravoso per l'amministratore della rete che sicuramente
avrà altro da fare. Tuttavia può essere usato come deterrente per esortare gli alunni a
evitare di combinare birichinate.
ADDONS :
non e il plurale di addon ma significa "addon Server"; è il primo addon che viene
usualmente installato in IPCop perchè viene utilizzato da molti altri addon, anche da
Cop+, per semplificare la loro installazione tramite l'interfaccia web. Addons deve
necessariamente essere installato "a mano" tramite accesso al terminale a caratteri,
locale o remoto.
3
La shell di IPCop
Altri importanti aspetti della configurazione di IPCop non possono essere gestiti tramite interfaccia web: per esempio la
configurazione dei parametri delle schede di rete (indirizzo, netmask, gateway, dns ecc.) deve essere fatta tramite
collegamento, locale o remoto, alla shell di linux.
L'accesso alla shell locale richiede che il pc sia dotato, oltre che della tastiera, anche del monitor; l'accesso da
remoto richiede invece che, da interfaccia web, sia stato attivato il server ssh.
La configurazione può essere allora eseguita dopo avere avuto l'accesso come utente root e lanciando il comando
setup.
Questo tipo di intervento è necessario quando, per esempio, viene modificato il tipo di accesso a Internet e quindi deve
essere riconfigurata la scheda RED.
Un'altra tipica operazione che si esegue rapidamente tramite la tastiera (e a dirla tutta manco è necessario il monitor
né la shell) è lo spengimento (o shutdown) della macchina: abbiamo visto che esiste una voce di menu che consente
l'arresto o il riavvio di IPCop ma usualmente è conveniente modificare una semplice opzione nel file /etc/inittab per
poter spengere rapidamente il computer con la famosa combinazione di tasti Ctrl-Alt-Canc. Senza tale modifica si
avrebbe un riavvio anziché l’arresto del sistema.
4
Dansguardian: configurazione
Come illustrato nel paragrafo precedente dal menu SERVIZI —> Content filter si entra nell'interfaccia di configurazione di
Dansguardian.
Tutti (o quasi) i parametri di Dansguardian possono essere configurati da questa interfaccia.
Si raccomanda di non apportare modifiche senza avere ben chiaro quali saranno gli effetti: cioè bisogna studiare un po' e
le prove vanno fatte a parte...
Di seguito vengono illustrati aspetti della configurazione di Dansguardian che ci sembra siano i più importanti per il
funzionamento di Dansguardian in una scuola.
Qualora vengano modificati parametri di configurazione sarà necessario riavviare il servizio con il pulsante RESTART.
4.1 Naughtyness
La soglia di intervento del filtro è registrata nel file di configurazione
/etc/dansguardian/dansguardianf1.conf
in realtà Dansguardian prevede la possibilità di usare numerosi file di configurazione da utilizzare per diversi "gruppi" di utenti; cosa
possibile se si usa un sistema di autenticazione su IPCop per gli utenti della rete.
e può essere modificata nella casella che si trova subito sotto la tabella nella prima pagina dell'interfaccia
web del "Content Filter".
Questo parametro definisce la soglia oltre la quale le pagine saranno bloccate. Il sostantivo naughtyness in questo
contesto deve essere inteso come "indecenza" o "volgarità".
Infatti a ogni frase che viene pesata viene attribuito un valore (positivo o negativo) e i valori vengono sommati; se la
somma dei valori delle frasi trovate nella pagina web supera la soglia allora la pagina viene bloccata. Dansguardian
suggerisce per questo parametro valore 50 per proteggere utenti "bambini", valore 100 per proteggere utenti "ragazzini",
valore 160 per proteggere utenti "giovani adulti".
4.2 Advanced Settings
Il file /etc/dansguardian/dansguardian.conf è il file principale di configurazione.
In questo file viene stabilito il modo in cui agisce il filtro (blocca, avverte, registra ecc.) e altre caratteristiche generali.
Una della caratteristiche è la lingua con cui vengono presentate le pagine di avviso: è importante sapere che qualora si
voglia modificare la lingua è necessario includere la stringa corrispondente tra apici singoli; per esempio:
language='italian'
Omettendo gli apici singoli dansguardian non potrà essere riavviato.
La modifica di questo file di configurazione può essere fatta tramite interfaccia web clikkando sul bottone
"Advanced Settings": la casella di entry relativa alla lingua mostra la lingua attualmente configurata senza gli
apici e, sia che si faccia la modifica sia che non la si faccia, è necessario inserire gli apici singoli prima di
premere il bottone "salva".
4.3 uso delle blacklist
Dansguardian opera in modo semplice (ma non solo) ricorrendo alle blacklist: liste di domini (per es. "porno.com") e
liste di URL (parti di siti, cioè indirizzi completi di dominio e percorso di risorse web) che vengono periodicamente
aggiornate. Dansguardian installato in IPCop viene normalmente configurato per scaricare regolarmente gli aggiornamenti
alle blacklist.
Nella prima pagina dell'interfaccia deve essere lasciata la spunta nella casella "Enable automatic download" e non si
deve modificare l'indirizzo nella cella sottostante.
4.4 Banned site list e Banned URL list
Queste due liste permettono l'integrazione delle blacklist automaticamente scaricate da Dansguardian: quindi la lista dei
domini (per esempio: porno.com) e delle risorse web (URL, dominio e percorso, per esempio:
pubblica.istruzione.it/audiovisivi/pornophoto).
Non ci si deve preoccupare della parte iniziale "http://www." che viene omessa.
Insomma le "site list" si riferiscono a interi siti il cui indirizzo comincia con un certo dominio; le "url list" si
riferiscono a parti di siti web o a singole pagine.
4.5 Exception site list e Exception URL list
Le controparti dei due precedenti controlli sono "Exception site list" e "Exception URL list" in cui vengono elencati siti e
URL che in ogni caso non devono essere bloccati (whitelist).
4.6 Banned IP list
La "Banned IP list" è la lista degli indirizzi IP delle macchine client (cioè appartenenti alla rete locale protetta da IPCop)
cui deve essere in ogni caso proibito il collegamento al web.
4.7 Exception IP list
La "Exception IP list" è invece la lista degli indirizzi IP della macchine client (cioè appartenenti alla rete locale protetta
da IPCop) cui deve essere in ogni caso permesso il collegamento a tutte le risorse web.
In ambiente scolastico può essere comodo utilizzare questo controllo per lasciare fuori dall'intervento del filtro una
macchina (usata esclusivamente dal docente amministratore di rete) che deve periodicamente o automaticamente scaricare
aggiornamenti o software che sarebbero altrimenti bloccati.
4.8 Banned file extension list
Lista delle "estensioni" che caratterizzano file di cui deve essere proibito il download: per esempio può essere vietato
il download (tramite web) di file caratterizzati da estensioni di tipo .exe o .mp3 o .zip ecc.
4.9 DansGuardian Logs
Dalla prima pagina dell'interfaccia del "content filter" oppure dal menu Log di IPCop si può accedere alle "registrazioni" di
Dansguardian e quindi è possibile vedere da quali indirizzi IP della rete locale, e a quale orario, è stato tentato (con o senza
successo) il collegamento a una risorsa web.
Come già sottolineato in riferimento al menu Log di IPCop, questo controllo fine non è praticamente realizzabile in
modo sistematico (principalmente per motivi di tempo) ma e sicuramente opportuno che gli utenti della LAN sappiano che
esiste questa possibilità di controllo.