formato pdf - Altervista

Smoothwall express
Un firewall hardware a costo zero
ALESSIO PORCACCHIA
porcacchia.altervista.org
www.debian.org/consultants/porcacchia
[email protected]
Perche' scegliere smoothwall
• E' un software per trasformare delle macchine
obsolete in firewall
• E' un firewall licenziato sotto GPL
• E' un prodotto stabile e funzionale
• E' un prodotto specifico per la creazione di
firewall
Installazione
E' richiesto uno spazio fisico
sull'hd completo (no partizioni)
dopo le classiche schermatine di
presentazione vengono definite
tre classi distinte
verde ( classe di indirizzi ip interni
con ip privati)
arancione (DMZ)
rosso collegamento diretto verso
l'esterno (internet)
Installazione 2
Dopo le classiche richieste: proxy nomehost
keyboard gateway dns etc.. vi chiedera'
se va configurato una linea isdn o adsl
configurando il modem direttamente
collegato al firewall come ad esempio nella
schermata 11
nella schermata 2 viene assegnato il tipo di
colore all'iterfaccia (verde, arancione
rossa) in base alla scelta che decidete di
fare e il tipo di reti definite.
Alla fine dovrete assegnare ad ogni interfaccia
l'indirizzo ip e ovviamente definere le
password per due soli utenti su smoothwall
admin e root
L'interfaccia
Collegandovi tramite
https://192.168.0.1:441
192.168.0.1:81 vi troverete la
interfaccina user friendly per
gestire il firewall.
Dovre avetre informazioni sui
logs, sui vari tools da usare, il
manteinance il networking etc.
About your smoothie
Sul menu troverete le principali informazioni (about
your smoothie) dove troverete i servizi up and
running e quelli fermi (stopped) schermata 1
troverete sempre in questo menu il sottomenu
advanced che vi da lo status delle interfaccie e
degli utenti collegati.
Ed una cosa molto pregiata per la mia esperienza lo
status grafico del traffico delle varie interfacce (se
pensate che sia una cosettina da poco, provate
ad installare cricket o qualsiasi altro sistema di
monitoring sulle interfaccie di rete!)
Services
La parte che apprezzo di piu' la ritengo
sicuramente questa l'utilizzo di
ulteriori servizi oltre il firewall
tali servzi sono integrati.
Web proxy servizio dhcp, dynamic dns,
accesso remoto ma la cosa che
ritengo bellissima e' l'abilitazione di
snort su un firewall. IDS integrato
E' assolutamente incredibile che in un
prodotto che viene rilasciato
liberamente si abbiano configurati tali
servizi in un unica soluzione con
pochissimo dispendio di tempo per il
sistemista.
Networking
In questa sezione ovviamente troviamo la gestione
classica del firewall quindi con la gestione del
blocco degli ip, il portfowarding il blocco del ping
verso l'esterno come potete vedere da queste
schermate il sistema e' comprensivo anche delle
classiche pinholes per DMZ che sono in uso
presso sistemi proprietari di firewall software
molto costoso e sopratutto molto proprietario!
Le pinholes o fori di spillo sono tutte quelle regole che
fanno si che dei servizi sulla dmz siano
raggiungibili dalla zona sicura (green zone)
dando il grant
tale sistema permette l'accesso in modo molto
specifico il permesso a destination ip e source
con la porta specificata per farvi un esempio tutti
quei servizi in dmz che devono accedere alla rete
di backend (webserver con php che deve
accedere a mysql ad esempio) inoltre vi sono
feature aggiuntive sull'abilitazione del traffico
multicast e dei syn cookies
VPN
Tale sistema non facendosi mancare nulla
ovviamente ha la possibilita' di abilitare le
VPN.
Con la possibilita' di abilitale VPN locali o
remote quindi con piu' hops possibili rende
smoothwall incredibilmente flessibile.
Logs tools e maintenance
• Negli ultimi tre sotto menu che
troviamo abbiamo la possibilita'
di visualizzare i logs di tutti i
servizi sul firewall
• Alcuni semplici tools
(traceroute ping e una secure
shell)
• E infine il sottomenu per
l'update dei vari firmware
In conclusione:
In definitiva smoothwall e' una buonissima alternativa a molti
dei firewall proprietari in commercio ed e' inoltre molto
flessibile e adattabile alle varie esigenze.
Manning ha fatto un buonissimo lavoro.
ALESSIO PORCACCHIA
[email protected]