Quick Start Guide Serie S-2
Transcript
Quick Start Guide Serie S-2
QUICK START GUIDE SERIE S PARAGRAFO ARGOMENTO Rev 1.0 PAGINA 1.1 Connessione dell’apparato 3 1.2 Primo accesso all’apparato 3 1.3 Wizard 4 2 Gestioni credenziali di acceso 6 2.1 Credenziali di accesso area Admin 6 2.2 Credenziali di accesso area Setup 7 3 Easy firewall 7 3.1 Forward 8 3.1.1 Forward esempi pratici 9 3.2 NAT 10 3.2.1 NAT esempi pratici 11 3.3 Servizi 13 3.3.1 Servizi esempi pratici 14 3.4 Admins 14 3.5 Siti diretti 15 3.6 Mail Proxy 15 3.7 SMTP Proxy 15 3.8 No Log 16 3.9 Strumenti Speciali di Easy Firewall 16 3.9.1 Lucchetto 16 3.9.2 Wizard Unlock 17 3.9.3 Restore 17 4 Configurazione Rete 18 4.1 Schede di Rete 18 1 PARAGRAFO ARGOMENTO PAGINA 4.1.1 Configurazione LAN (eth0) 19 4.1.2 Configurazione WAN (eth1) 19 4.2 Route & Failover 20 4.2.1 Router 21 4.2.2 Failover 21 4.2.3 Route statiche 22 4.3 Multi ADSL 22 4.3.1 ADSL Routing 23 4.3.1.1 Adsl Routing esempi pratici 24 5 Gestione VPN 25 5.1 VPN GRE 25 5.2 VPN OpenVPN 27 5.2.1 OpenVPN Server per PC 27 5.2.2 OpenVPN LAN to LAN 31 6 WebFilter 34 6.1 Gestione Gruppi di navigazione 34 6.2 Appartenenza ai Gruppi di Navigazione 39 6.2.1 Appartenenza ai Gruppi di Navigazione per indirizzo IP 39 6.2.2 Appartenenza ai Gruppi di Navigazione per Utente 40 6.3 Pagina di blocco 41 7 Server di posta 42 7.1 Gestione Utenti 42 7.2 Polling di posta remota 43 7.3 Posta configurazione 46 7.3.1 Autenticazione Smart Host 46 7.3.2 Domini gestiti localmente 47 7.3.3 Controllo RELAY 48 7.3.4 Domain routing 49 7.3.5 Alias 50 7.3.6 Virtual User 51 8 Guida in Linea (Knowledge Base) 52 2 1.1 Connessione dell’apparato Per interconnettere l’appliance alla propria LAN seguire i seguenti passaggi: - Collegare la porta ethernet LAN dell’appliance alla propria rete locale aziendale usando un cavo UTP Classe 5 o superiore. - Collegare la porta ethernet WAN dell’appliance al proprio router usando un cavo UTP Classe 5 o superiore. - N.B. Le porte ethernet LAN e WAN devono sempre essere collegate a due reti separate. - Collegare il cavo di alimentazione fornito alla presa elettrica a muro e al dispositivo nell’apposito connettore. - Dopo tre minuti c.a l’appliance sarà disponibile in rete. 1.2 Primo accesso all’apparato S620R Impostazioni di fabbrica dell’appliance: - Indirizzo IP LAN: 192.168.4.1 - Indirizzo IP WAN: 10.9.0.1 - Nome Utente: Admin - Password: “riportata sull’etichetta” - Gateway 10.9.0.2 - DNS1 151.99.125.2 - DNS2 151.99.125.1 - Time Server time.nist.gov 3 1.3 Wizard Una volta collegato l’apparato alla propria rete, seguendo i passi al punto 1.1, impostare sul proprio PC un indirizzo IP statico della rete 192.168.4.x (es. 192.168.4.5) in modo da poter raggiungere l’appliance via WEB. Lanciare il proprio browser, inserire nella barra degli indirizzi l’IP dell’appliance 192.168.4.1 Inseriamo nome utente e password (rispettivamente “Admin” e la password riportata sull’etichetta) negli appositi campi e selezioniamo “Login”. Al primo accesso viene visualizzato il Wizard che permette di configurare le impostazioni base dell’apparato in modo rapido. Nome macchina: Inserire il nome host che vogliamo assegnare all’apparato. Email amministratore: inserire l’indirizzo mail dell’amministratore di rete che riceverà giornalmente i log dell’apparato. Per modifiche successive riconfigurare l’alias “postmaster”. Email assistenza: inserire l’indirizzo mail del rivenditore del dispositivo che riceverà mensilmente la configurazione dell’apparato ed eventuali warning legati a problematiche hardware. Per modifiche successive riconfigurare l’alias “assistenza” (Paragrafo 7.3.5). Indirizzo IP LAN (eth0): Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet LAN che sarà utilizzato come gateway dalla rete locale aziendale. Netmask: Inserire la Subnet Mask relativa all’IP assegnato alla porta LAN. DNS1, DNS2: Inserire due indirizzi IP che l’apparato utilizzerà per la risoluzione DNS, tipicamente vengono forniti direttamente dal provider. Interfaccia WAN (eth1): Protocollo Statico: Con il protocollo impostato su statico la porta ethernet WAN verrà configurata con IP statico in base alle impostazioni inserite nei campi seguenti. Protocollo DHCP: Con il protocollo impostato su DHCP la porta ethernet WAN otterrà la configurazione dell’IP, del gateway e dei DNS dal router. N.B. per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la WAN dell’appliance deve essere collegata all’avvio dell’apparato. Indirizzo IP WAN: Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet WAN; tale indirizzo deve essere della stessa classe dell’IP presente sul router in modo che possa interfacciarsi con quest’ultimo, ad esempio: IP router 192.168.1.1, IP lato WAN 192.168.1.1 Netmask: Inserire la Subnet Mask relativa all’IP assegnato alla porta WAN. Gateway (Router): Indirizzo ip del Ruoter che l’appliance utilizzerà come gateway. N.B. la classe di indirizzamento IP per le porte LAN e WAN deve sempre essere diversa. 4 Una volta compilati tutti i campi selezionare “salva” per applicare la configurazione. ATTENZIONE: non disconnettere l’apparato dalla rete elettrica fino a che non sarà disponibile in rete al nuovo indirizzo ip assegnato. Il wizard è richiamabile in qualsiasi momento inserendo nella barra degli indirizzi del proprio browser http://ipdilanappliance/wizard. 5 2 Gestioni credenziali di acceso E’ consigliato modificare le credenziali di accesso all’apparato. 2.1 Credenziali di accesso area Admin Dall’home page dell’apparato selezioniamo “Setup” nel menù a sinistra. Una volta eseguito il log in selezioniamo “Altro” e “Credenziali accesso area Admin”, dalla lista utenti selezioniamo “Utente Admin”. Nella schermata successiva selezionare la spunta in corrispondenza del campo “Password” “Imposta a” e inserire nella casella di testo a fianco la nuova password. Per applicare le modifiche selezionare “Salva”. Tramite gli utenti presenti in questa lista è possibile accedere all’area di Admin, aprire il lucchetto (Paragrafo 3.9.1) direttamente da Homepage e disabilitare temporaneamente la pagina di blocco (Paragrafo 6.3) durante la navigazione web. 6 2.1 Credenziali di accesso area Setup Dall’home page dell’apparato selezioniamo “Setup” nel menù a sinistra. Una volta eseguito il log in selezioniamo “Altro” e “Modifica password”, dalla lista utenti selezioniamo “Admin”. Inseriamo nel campo “Nuova password”, e nel campo di conferma, la password per l’accesso all’area di setup. Tramite queste credenziali è possibile avere accesso completo all’area di setup e direttamente in console tramite ssh. 3 Easy firewall Di default l’appliance consente connessioni solo sulle porte TCP dalla 7 alla 134 e alle porte 443, 1723, 3389. Alcune delle porte aperte sono filtrate come la 80 TCP, filtro web sui contenuti, 25 e 110, filtro antispam e antivirus, e 21, filtro antivirus. Dall’esterno di default l’appliance non accetta connessioni su nessuna porta e non risponde al ping. E’ possibile personalizzare le regole di firewalling tramite l’apposita interfaccia Easy Firewall raggiungibile selezionando “Admin” nel menù a sinistra dalla Home page. Una volta eseguito il log in selezioniamo “Rete” e “Easy Firewall” 7 3.1 Forward Tramite la tabella “Forward” è possibile definire porte accessibili dalla LAN verso Internet. Selezionando “Nuova regola” è possibile accedere al menu di configurazione per le regole di Forward: IP di lan (opzionale): compilare questo campo solo se si vuole limitare la regola ad un determinato IP sorgente della nostra LAN. Se omesso la regola è valida per tutta la LAN. IP di destinazione (opz.): compilare questo campo solo se si vuole limitare la regola ad un determinato IP di destinazione. Se omesso la regola è valida verso qualsiasi destinazione. Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti. Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi i protocolli vanno create due regole. Dalla porta: inserire il numero della porta da gestire. Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso fra il valore inserito in “Dalla porta” e “Alla porta”. Se omesso verrà gestita solo la porta contenuta nel campo “Dalla porta”. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando “Permetti” il range o la porta specificati saranno disponibili dalla LAN verso Internet. Selezionando “Scarta” il range o la porta specificati non verranno concessi dalla LAN verso Internet. Selezionando “Scarta e Logga” il range o la porta specificati non verranno concessi dalla LAN verso Internet e verrà generato un log ad ogni richiesta scartata. Selezionare “Crea” per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest’ultima viene verificata e se corretta applicata. E’possibile tramite il tasto “Applica” ricaricare completamente le regole di firewalling. 8 3.1.1 Forward esempi pratici Come concedere la porta 993 TCP per tutta la LAN verso qualsiasi destinazione: Una volta creata la regola appare nella tabella Forward come di seguito: 9 Come impedire all’ip 192.168.4.50 di connettersi alla porta 3389 TCP verso Internet: Una volta creata la regola appare nella tabella Forward come di seguito: 3.2 NAT Tramite la tabella “NAT” è possibile rendere disponibili verso Internet dei servizi presenti all’interno della LAN, ad esempio Web Server, Desktop Remoto, eccetera. N.B. assicurarsi sempre che i servizi pubblicati su Internet siano servizi sicuri. Selezionando “Nuova regola” è possibile acceder al menu di configurazione per le regole di NAT. Indirizzo IP wan (opzionale): Selezionare l’ip di WAN del firewall sul quale abilitare la NAT. Utilizzabile solo nel caso di WAN virtuali o multiple. Se non specificato la NAT viene abilitata sull’interfaccia eth1. 10 Indirizzo IP interno: inserire l’indirizzo IP di LAN sul quale reindirizzare la connessione da Internet. Indirizzo IP chiamante Internet: Permette di abilitare la NAT per un solo IP pubblico sorgente. Se omesso la NAT sarà valida per qualsiasi IP pubblico sorgente. Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Porte note: permette di scegliere la porta da un elenco di servizi noti. Dalla porta: inserire il numero della porta da inoltrare verso l’IP di LAN specificato. Alla porta (opzionale): compilando questo campo viene inoltrato sull’IP interno specificato il range di porte compreso fra il valore inserito in “Dalla porta” e “Alla porta”. Se si definisce un range di porte lo stesso range va riportato anche nei campi relativi a “Porta Interna LAN (opzionale)”. Se omesso verrà gestita solo la porta contenuta nel campo “Dalla porta”. Porta Interna LAN (opzionale): Nel caso la NAT sia di una singola porta è possibile ridirigere una chiamata esterna su una porta interna differente specificando tale porta nel campo “Dalla porta (opzionale)”. Selezionare “Aggiungi” per aggiungere la regola. N.B. Per poter usufruire della funzionalità di NAT è necessario che l’appliance sia raggiungibile da internet o con IP pubblico statico direttamente sull’interfaccia eth1 o nattando dal router tutte le porte sull’ip privato di eth1. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest’ultima viene verificata e se corretta applicata. E’possibile tramite il tasto “Applica” ricaricare completamente le regole di firewalling. 3.2.1 NAT esempi pratici Come Inoltrare la porta 80 TCP da internet verso la porta 80 TCP dell’ip 192.168.4.50 11 Una volta creata la regola appare nella tabella NAT come di seguito: Come inoltrare la porta 81 TCP da Internet verso la porta 80 TCP dell’IP 192.168.4.51 Una volta creata la regola appare nella tabella NAT come di seguito: 12 3.3 Servizi Tramite la tabella “Servizi” è possibile rendere disponibili verso Internet dei servizi presenti direttamente sull’appliance. Ad esempio aprendo la porta 22 TCP sarebbe possibile connettersi in console tramite SSH dall’esterno. Selezionando “Nuova regola” è possibile acceder al menu di configurazione per i Servizi: Indirizzo IP chiamante (opzionale): compilare questo campo solo se si vuole limitare la regola ad un determinato IP pubblico sorgente. Se omesso la regola è valida qualsiasi IP sorgente. IP Destinazione (opz.): permette di definire su quale IP WAN deve essere in ascolto la porta specificata. Se omesso la regola sarà effettiva su tutte le WAN virtuali o fisiche. Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti. Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi i protocolli vanno create due regole. Dalla porta: inserire il numero della porta da gestire. Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso fra il valore inserito in “Dalla porta” e “Alla porta”. Se omesso verrà gestita solo la porta contenuta nel campo ”Dalla porta”. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando “Permetti” il range o la porta specificati saranno disponibili da Internet. Selezionando “Scarta” il range o la porta specificati non saranno disponibili Internet. Selezionando “Scarta e Logga” il range o la porta specificati non saranno disponibili da Internet e verrà generato un log ad ogni richiesta scartata. Selezionare “Crea” per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest’ultima viene verificata e se corretta applicata. E’possibile tramite il tasto “Applica” ricaricare completamente le regole di firewalling. 13 3.3.1 Servizi esempi pratici Come rendere disponibile la console SSH a qualsiasi IP pubblico sorgente: N.B. per potersi collegare in ssh bisogna conoscere nome utente e password di Setup (Paragrafo 2.2). Una volta creata la regola appare nella tabella Servizi come di seguito: 3.4 Admis Tramite la tabella Adminis è possibile definire IP della LAN che avranno tutte le porte aperte in uscita. Tali client pur avendo tutte le porte aperte verso l’esterno passano comunque attraverso i filtri dell’appliance come ad esempio il WebFilter. Indirizzo IP del PC di lan Trusted: permette di definire l’ip di LAN sul quale deve agire la regola. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando “Permetti” l’IP specificato avrà tutte le porte aperte dalla LAN verso Internet. Selezionando “NEGA” l’IP specificato non potrà effettuare alcuna connessione verso Intenet Selezionando “NEGA e Logga” l’IP specificato non potrà effettuare alcuna connessione verso Intenet e verrà generato un log ad ogni richiesta scartata. 14 Selezionare “Crea” per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest’ultima viene verificata e se corretta applicata. E’possibile tramite il tasto “Applica” ricaricare completamente le regole di firewalling. 3.5 Siti diretti Tramite la tabella Siti diretti è possibile definire siti web attendibili sui quali l’appliance non applica alcun tipo di filtro e non fa nemmeno caching. Sito Web Remoto (ip o nome): permette di definire il sito per il quale avrà effetto la regola. Inserire il nome completo del sito, comprensivo di www, o l’IP pubblico corrispondente. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando “Permetti” Il sito web specificato sarà raggiungibile da tutti i client della LAN senza alcun filtro da parte dell’apliance. Selezionando “NEGA” blocca la connessione al sito specificato per tutti i client della LAN. Selezionando “NEGA e Logga” blocca la connessione al sito specificato per tutti i client della LAN e verrà generato un log ad ogni richiesta scartata. 3.6 Mail Proxy Tramite la tabella Mail Proxy è possibile definire IP della LAN che non avranno alcun filtro sulle connessioni POP3. Client LAN (ip o nome): permette di definire l’IP di LAN per il quale avrà effetto la regola. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando “Permetti” l’ip specificato non avrà nessun filtro sulle connessioni POP3. Selezionando “NEGA” l’IP specificato non potrà effettuare connessioni in POP3. Selezionando “NEGA e Logga” l’IP specificato non potrà effettuare connessioni in POP3 e verrà generato un log ad ogni richiesta scartata. 3.7 SMTP Proxy Tramite la tabella SMTP Proxy è possibile definire server SMTP esterni ritenuti attendibili. Sulle connessioni verso questi SMTP non verrà effettuato alcun filtraggio antivirus e antispam. Server SMTP remoto: permette di definire l’IP o il nome del server SMTP per il quale avrà effetto la regola. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. 15 Azione: Selezionando “Permetti” sulle connessioni verso l’SMTP specificato non verranno applicati filtri antispam e antivirus. Selezionando “NEGA” non sarà possibile connettersi al server SMTP specificato. Selezionando “NEGA e Logga” non sarà possibile connettersi al server SMTP specificato e verrà generato un log ad ogni richiesta scartata. 3.8 No Log Tramite la tabella No Log è possibile definire IP della LAN sui quali non verranno applicati il filtro antivirus e il filtro sui contenuti in navigazione, per tali client non vengono registrati nemmeno i log di navigazione. Indirizzo di LAN del PC da NON filtrare in Navigazione: permette di definire l’IP di LAN per il quale avrà effetto la regola. Orario di validità: Definisce l’orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando “Permetti” per l’IP di LAN specificato non verrà applicato nessun filtro in navigazione http. Selezionando “NEGA” non sarà possibile per l’ip specificato navigare in HTTP. Selezionando “NEGA e Logga” non sarà possibile per l’ip specificato navigare in HTTP e verrà generato un log ad ogni richiesta scartata. 3.9 Strumenti Speciali di Easy Firewall 3.9.1 Lucchetto Il lucchetto, presente anche nell’home page del firewall, permette tramite un semplice click di aprire tutte le porte dalla LAN verso Internet e disabilitare tutti i filtri effettuati dall’appliance. Questa caratteristica può essere utile in caso di malfunzionamenti da parte di qualche applicazione o sito web, se una volta disarmato il firewall il problema persiste allora la problematica non è riconducibile all’appliance. Diversamente se il problema viene risolto si ha la certezza che l’applicativo utilizzato tenta di connettersi a una porta o a un sito bloccati. 16 Quando il firewall è disarmato appare il seguente messaggio. Per chiudere il lucchetto, e quindi riarmare il firewall, è sufficiente selezionare l’icona del lucchetto aperto oppure riavviare l’appliance. N.B. Disarmando il firewall tutte le NAT e i servizi erogati verso internet dall’appliance vengono temporaneamente disabilitati, sarà raggiungibile dall’esterno sono sulla porta 22 TCP per agevolare un’eventuale assistenza remota. 3.9.2 Wizard Unlock Wizard Unlock ci permette di visualizzare gli ultimi pacchetti scartati dall’appliance dalla LAN verso Internet e viceversa con la possibilità, selezionando direttamente la porta interessata, di creare una regola di sblocco per tutta la LAN o solo per l’IP che ha effettuato la richiesta. 3.9.3 Restore Ogni giorno, non appena viene eseguito l’accesso all’interfaccia di Easy Firewall, viene creato un backup delle regole allo stato attuale in modo da poterle facilmente ripristinare in seguito a modifiche accidentali. La lista delle configurazioni precedenti è accessibile selezionando il tasto Restore. 17 4 Configurazione Rete Dal menù “Configurazione Rete”, accessibile sotto “Setup” “Rete”, è possibile configurare gli indirizzi IP da assegnare alle porte ethernet dell’appliance, eventuali route statiche, il nome Host del dispositivo, in caso si più connettività ADSl il failover e su alcuni apparati il bilanciamento MULTI Adsl. 4.1 Schede di Rete Tramite questo menù è possibile modificare gli indirizzi IP delle singole schede di rete presenti sull’apparato ma anche creare interfacce virtuali. Per configurare una porta ethernet selezionarla dalla lista. 18 4.1.1 Configurazione LAN (eth0) Indirizzo IP: Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet LAN che sarà utilizzato come gateway dalla rete locale aziendale. Netmask: Inserire la Subnet Mask relativa all’IP assegnato. Time server: Inserire l’ip di un Time Server dal quale il firewall può ricavare la data e l’ora corrette, ad esempio time.nist.gov. IP Aggiuntivo: Permette di aggiungere IP di LAN virtuale per essere usato, ad esempio, come gateway da host con classi differenti dal LAN principale. Una volta compilati tutti i campi selezionare “Salva” e riavviare l’appliance per applicare la configurazione. ATTENZIONE: non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete al nuovo indirizzo ip assegnato. 4.1.2 Configurazione WAN (eth1) Interfaccia: Permette di impostare un nome identificativo all’interfaccia ethernet ad esempio WAN. DHCP: Si: Con il protocollo impostato su DHCP la porta ethernet WAN otterrà la configurazione dell’IP, del gateway e dei DNS dal router. N.B. per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la WAN dell’appliance deve essere collegata all’avvio dell’apparato. No: Con il protocollo impostato su statico la porta ethernet WAN verrà configurata con IP statico in base alle impostazioni inserite nei campi seguenti. 19 Indirizzo IP: Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet WAN, tale indirizzo deve essere della stessa classe dell’IP presente sul router in modo che possa interfacciarsi con quest’ultimo, ad esempio: IP router 192.168.1.1, IP lato WAN 192.168.1.2 Netmask: Inserire la Subnet Mask relativa all’IP assegnato. Gateway (Router): Indirizzo ip del Ruoter che l’appliance utilizzerà come gateway. Una volta compilati tutti i campi selezionare “Salva” e riavviare l’appliance per applicare la configurazione. ATTENZIONE: non disconnettere l’apparato dalla rete elettrica fino a che non sarà disponibile in rete al nuovo indirizzo ip assegnato o alla porta LAN. IP Aggiuntivo: Permette di aggiungere IP di WAN virtuale per sfruttare ad esempio più IP pubblici forniti dal provider. Una volta compilati tutti i campi selezionare “Salva” e riavviare l’appliance per applicare la configurazione. ATTENZIONE: non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete. 4.2 Route & Failover Tramite questo menù è possibile configurare il default gateway dell’appliance, un eventuale ADSL di backup (failover) e delle route statiche. 20 4.2.1 Router Indirizzo Router: Indirizzo ip del Ruoter che l’appliance utilizzerà come gateway. N.B. Il default gateway deve essere sempre raggiungibile tramite l’interfaccia di rete eth1. Una volta compilati tutti i campi selezionare “Salva” e riavviare l’appliance per applicare la configurazione. ATTENZIONE: non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete. 4.2.2 Failover Abilitando la funzione Failover verifica costantemente lo stato dell’ADSL principale, se dovesse cadere ridirigere in automatico tutto il traffico sull’ADSL di backup. Il router di backup può essere raggiunto sia tramite eth1, utilizzando un’interfaccia virtuale o direttamente con l’ip principale se il router appartiene alla stessa classe, o tramite interfacce di rete aggiuntive, se l’apparato ne è provvisto, appositamente configurate. Abilita: Si: Funzionalità Failover abilitata. No: Funzionalità Failover disabilitata. Router di backup: Inserire l’indirizzo IP del gateway che fornisce la connettività verso l’ADSL di backup. Indirizzo IP da pingare per il controllo del gateway di default: Inserire un IP pubblico che sarà utilizzato per testare il funzionamento dell’ADSL principale. N.B. l’IP in questione deve rispondere al ping. Notifica il seguente indirizzo email: Inserire un indirizzo mail che riceverà una notifica non appena entra in funzione il Failover. Selezionare “Salva” per applicare la configurazione. 21 4.2.3 Route Statiche Tramite questa interfaccia è possibile creare delle route statiche utili se si ha la necessità di utilizzare gateway differenti da quello di default per alcune destinazioni. Destinazione/maschera di rete: Inserire l’ip e la relativa subnetmask per il quale si intende utilizzare un gateway differente da quello di default. Gateway da utilizzare: Inserire l’ip del gateway da utilizzare per la destinazione specificata. Tale indirizzo deve essere raggiungibile dal firewall. 4.3 Multi ADSL La funzionalità Multi ADSL è disponibile solo su alcuni modelli della Serie S. Permette di utilizzare 2 o più ADSL in bilanciamento di carico, ovvero il traffico in uscita verrà smistato sulle ADSL disponibili in base alle impostazioni definite dall'amministratore. 22 Abilitato: Si: Funzionalità Multi ADSL attiva. No: Funzionalità Multi ADSL disattiva. ADSL Numero 1 connessa alla ethernet eth1: L’ADSL primaria è quella collegata all’eth1 (come configurare l’interfaccia eth1 al punto 4.1.2). Impostare la velocità della linea ADSL. ADSL Numero 2 connessa alla ethernet: Selezionare dal menù l’interfaccia al quale è collegato il router che fornisce la connettività all’ADSL2 ed inserire l’IP del router stesso. Impostare la velocità della linea ADSL. N.B. l’interfaccia dovrà avere un indirizzo IP della stessa classe del router. Non è possibile usare interfacce virtuali per questo tipo di configurazione. Procedere in questo modo per tutte le ADSL che si intendono configurare. Selezionare “Salva e applica” per attivare il bilanciamento. 4.3.1 Adsl Routing Tramite la tabella “Adsl Routing” presente in Easy Firewall (paragrafo 3) è possibile instradare connessioni in base alla porta di destinazione su una determinata ADSL. Selezionando “Nuova regola” è possibile accedere al menu di configurazione per le regole di Adsl Routing: IP di lan (opzionale): compilare questo campo solo se si vuole limitare la regola ad un determinato IP sorgente della nostra LAN. Se omesso la regola è valida per tutta la LAN. IP di destinazione (opz.): compilare questo campo solo se si vuole limitare la regola ad un determinato IP di destinazione. Se omesso la regola è valida verso qualsiasi destinazione. Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti. 23 Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi i protocolli vanno create due regole. Dalla porta: inserire il numero della porta da gestire. Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso fra il valore inserito in “Dalla porta” e “Alla porta”. Se omesso verrà gestita solo la porta contenuta nel campo “Dalla porta”. Usa ADSL numero: Selezionare dal menù l’ADSL sulla quale vogliamo instradare le connessioni verso le porte specificate. Una volta creata la regola appare nella tabella Adsl Routing come di seguito: Se omesso la regola è sempre attiva. Selezionare “Crea” per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest’ultima viene verificata e se corretta applicata. E’possibile tramite il tasto “Applica” ricaricare completamente le regole di firewalling. 4.3.1.1 Adsl Routing esempi pratici Come instradare le connessioni SMTP sull’ADSL numero 1 24 Una volta creata la regola appare nella tabella Adsl Routing come di seguito: 5 Gestione VPN L’appliance supporta diversi tipi di VPN che possono essere usati contemporaneamente. N.B. Per poter utilizzare qualsiasi VPN in modalità server l’appliance deve essere raggiungibile da internet o configurando opportunamente il router o con IP pubblico direttamente sull’appliance stessa. 5.1 VPN GRE La VPN GRE, o pptp, è di rapida configurazione e nativamente compatibile con la grande maggioranza dei sistemi operativi. Tuttavia ha alcuni limiti come ad esempio l'impossibilità di accettare più di una connessione da un IP pubblico remoto e il suo protocollo non è supportato in modalità passante da alcuni router. Dal menù “VPN Server GRE / L2TP”, accessibile sotto “Setup” “Rete”, è possibile gestire le impostazioni per tale tipologia di VPN. Dal pannello di gestione selezionare “Opzioni VPN GRE” per gestire le configurazioni generali. 25 Nel pannello Opzioni VPN GRE verificare che il range di indirizzi “Indirzzi IP lato server” ed “Indirizzi IP lato client” siano della stessa classe della rete LAN ed eventualmente modificarli in base alle proprie esigenze. Una volta ultimate le modifiche selezionare “Salva”. Dal pannello di gestione selezioniamo “Utenti VPN” per gestire le credenziali di accesso. Selezionare l’icona per creare un nuovo utente. Nome Utente: Spuntare a fianco la casella di testo e inserire il nome utente che si intende utilizzare per la connessione remota. Password: Spuntare “Imposta a” e inserire nella casella a fianco la password relativa all’utente che si sta creando. Indirizzo Assegnato: Permetti Qualunque: Una volta eseguita l’autenticazione assegna un IP del range specificato in “Opzioni VPN GRE” in modo casuale. Nega: Non sarà possibile effettuare l’accesso con queste credenziali. Assegna il seguente indirizzo IP: Inserire l’indirizzo IP che si intende assegnare a questo utente ad ogni accesso. Una volta ultimata la configurazione selezionare “Salva”. 26 N.B. Per rendere utilizzabile la VPN GRE devono essere concesse le connessioni da internet sulla porta 1723 TCP del firewall (paragrafo 3.3). 5.2 VPN OpenVPN Tramite OpenVPN è possibile creare connessioni per singoli client remoti e gestire VPN LAN to LAN tramite apparati Gigasys. Dal menù “VPN Openvpn”, accessibile sotto “Setup” “Rete”, è possibile gestire le impostazioni per tale tipologia di VPN. Dal pannello “Configurazioni attive” è possibile gestire tutte le OpenVPN presenti sul sistema. 5.2.1 OpenVPN Server per PC Di default su tutti gli apparati è presente la OpenVPN chiamata “server”, con certificato digitale volutamente scaduto. Tale configurazione va utilizzata per la gestione di connessioni OpenVPN da parte di singoli host remoti che abbiano la necessità di collegarsi alla LAN aziendale. 27 Per utilizzare la configurazione “Server per PC” è necessario innanzitutto rigenerare il certificato digitale in modo che risulti valido al momento della connessione. Per rigenerare il certificato cliccare sulla data di scadenza. Nella schermata successiva è possibile compilare i campi per la creazione del certificato con i propri dati oppure mantenere i valori randomici inseriti automaticamente dal sistema. Di default la validità del certificato sarà di 365 giorni dal momento della creazione, variando il valore del campo “Valido per (Giorni)” è possibile aumentarne o diminuirne la validità. Una volta scaduto il certificato non sarà possibile effettuare la connessione. Una volta compilati tutti i campi cliccare su rigenera per creare il nuovo certificato. Il sistema mostrerà automaticamente la sezione di “Certification Authority” con la lista dei certificati attivi, compreso quello appena creato. Selezionare “Torna alla configurazione OpenVPN” tramite il link presente nel suggerimento. Dalla lista delle configurazione OpenVPN attive selezioniamo il tasto modifica accedere al pannello di configurazione. per 28 Nome: Lasciare invariato il campo nome nella modalità Server per PC. Protocollo: scegliere fra TCP e UDP, il protocollo UDP assicura una maggior velocità di connessione. Porta: inserire la porta sul quale deve funzionare questa connessione VPN, la porta ufficialmente assegnata a OpenVPN è la 1194 tuttavia può funzionare su qualsiasi porta. N.B. Non possono essere presenti più configurazioni OpenVPN sulla stessa porta. Compressione: SI: utilizza compressione per una velocità maggiore. NO: non utilizza compressione. Utilizza Utente e Password: SI: Oltre al certificato, per la connessione, vengono richiesti anche nome utente e password. Questa funzione può essere utile nel caso più utenti utilizzino la stessa connessione. Se si dovesse inibire l’accesso a uno di questi basterà rimuovere le sue credenziali senza dover rigenerare il certificato e distribuirlo a tutti gli utenti. NO: Per collegarsi basterà possedere i certificati. Interfaccia: Definisce su quale interfaccia deve essere in ascolto questa VPN. Utile soprattutto in caso di Multi ADSL. DNS: Se si vuole che il client remoto possa risolvere nomi sulla LAN inserire l’IP del server DNS locale. WINS: Se si vuole che il client remoto utilizzi il WINS della LAN inserirne l’IP in questo campo. Max Clients: Numero massimo di client contemporanei che possono connettersi a questa VPN. Una volta ultimata la configurazione cliccare su salva. 29 N.B. Di default il servizio OpenVPN è disattivo. Per arrivarlo, dal pannello principale, spuntare “Si” e premere il tasto “Avvia con il sistema”. Ciò attiverà il servizio in avvio con l’apparato. Ad ogni modifica successiva cliccare su “Riavvia OpenVPN” per applicare. Se la gestione utenti è attivata all’interno della configurazione è necessario creare le credenziali per l’accesso. Per accedere all’interfaccia di gestione utenti basta selezionare “SI” sotto la relativa colonna “UTENTI”. Dall’interfaccia di gestione utenti è possibile creare nuovi utenti validi tramite il tasto “Aggiungi Utente” e cancellare quelli già esistenti selezionandoli e cliccando su elimina. Una volta ultimata la configurazione ricordarsi di applicare tramite l’apposito tasto Riavvia OpenVPN. N.B. Per rendere utilizzabile la OpenVPN devono essere concesse le connessioni da internet sulla porta utilizzata del firewall (paragrafo 3.3). 30 Per scaricare il certificato da utilizzare sui client che si devono connettere selezionare il tasto relativo alla configurazione “Server per PC”. Nel menù successivo selezionare “DOWNLOAD CLIENT”. Cliccare poi sul link “Scaricare la Configurazione (Client-Ovpn-server.zip)”. Verra scaricato un file .zip contenente i certificati e il file di configurazione. Seguire questa guida per la configurazione del proprio PC . 5.2.2 OpenVPN LAN to LAN La VPN LAN to LAN permette di unire due LAN remote, tutti gli apparati che avranno come gateway l’appliance saranno in grado di usufruire della VPN. N.B. Requisito fondamentale è che le tutte le reti connesse in VPN abbiano classe differente. Per creare una nuova VPN LAN to LAN selezionare “Nuova VPN” dal sistema che dovrà funzionare come Server. Questo sistema dovrà avere un IP pubblico statico in modo da poter essere raggiunto dal sistema Client. Nel pannello successivo compilare tutti i campi per creare una VPN LAN to LAN. Nome: Inserire un nome identificativo per la configurazione VPN (es. MilanoRoma). Protocollo: scegliere fra TCP e UDP, il protocollo UDP assicura una maggior velocità di connessione. Porta: inserire la porta sulla quale deve funzionare questa connessione VPN, la porta ufficialmente assegnata a OpenVPN è la 1194 tuttavia può funzionare su qualsiasi porta. N.B. Non possono essere presenti più configurazioni OpenVPN sulla stessa porta. LAN remota: inserire la classe della rete LAN remota che deve essere per forza differente da quella locale. Selezionare “Salva” per creare la nuova configurazione VPN. 31 Nella lista delle configurazioni attive sarà visibile anche la VPN appena creata. Per modificare la configurazione della VPN e scaricare il file contenente la chiave privata da caricare sul sistema remoto selezionare Nome: Nome identificativo della VPN LAN to LAN. Protocollo: scegliere fra TCP e UDP, il protocollo UDP assicura una maggior velocità di connessione. Porta: inserire la porta sulla quale deve funzionare questa connessione VPN, la porta ufficialmente assegnata a OpenVPN è la 1194 tuttavia può funzionare su qualsiasi porta. N.B. Non possono essere presenti più configurazioni OpenVPN sulla stessa porta. Compressione: SI: utilizza compressione per una velocità maggiore. NO: non utilizza compressione. Interfaccia: Definisce su quale interfaccia deve essere in ascolto questa VPN. Utile soprattutto in caso di Multi ADSL. LAN remota: inserire la classe della rete LAN remota che deve essere per forza differente da quella locale. Una volta ultimata la configurazione cliccare su “salva”. 32 Per scaricare la configurazione, dal menù precedente, selezionare “DOWNLOAD CLIENT” e nella schermata successiva “Scarica la configurazione”. Il file .zip scaricato va caricato, così com’è, sull’apparato Gigasys remoto tramite l’apposito tasto “Importa configurazione”. Nella lista delle configurazioni attive sarà visibile anche la VPN appena importata. Per eliminare una VPN LAN to LAN cliccare il tasto relativo e confermare. N.B. Di default il servizio OpenVPN è disattivo. Per attivarlo, dal pannello principale, spuntare “Si” e premere il tasto “Avvia con il sistema”. Ciò attiverà il servizio in avvio con l’apparato. Ad ogni modifica successiva cliccare su “Riavvia OpenVPN” per applicare. 33 6 WebFilter Di default l’appliance per la sicurezza di rete applica sulle connessioni http, per i client che la usano come gateway, il filtro web trasparente sui contenuti e tiene traccia dei log di navigazione. Dal menù “WebFilter”, accessibile sotto “Setup” “Navigazione”, è possibile definire le regole di filtraggio applicate durante la navigazione in internet. 6.1 Gestione gruppi di navigazione Dal menù principale “WebFilter” selezioniamo “Gruppi di navigazione” per accedere al menù di gestione dei gruppi. E’ possibile creare fino a nove gruppi di navigazione totalmente personalizzabili. Esistono anche due gruppi di default non gestibili dall’amministratore: Gruppo Admin: Agli utenti o agli indirizzi IP appartenenti a questo gruppo non verrà applicato alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e verrano registrati i log di navigazione. Se si intende escludere tutti i filtri fare riferimento al paragrafo 3.8. 34 Gruppo No Web: Agli utenti o agli indirizzi IP appartenenti a questo gruppo non sarà concessa la navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione. Di default è presente un solo gruppo di navigazione. Per aggiungere nuovi gruppi selezionare dal menù dedicato il numero totale di gruppi che si intende utilizzare e cliccare sull’apposito tasto “Gruppi” per applicare. Per eliminare dei gruppi di navigazione abbassare il numero di gruppi dallo stesso menù e cliccare sull’apposito tasto “Gruppi” per applicare, verranno conservati il numero di gruppi specificato con numero di gruppo più basso. Ad esempio se sono presenti gruppi dall’uno al cinque e viene impostato tre come numero di gruppi, saranno eliminati i gruppi quattro e cinque mantenendo i gruppi uno due e tre. Selezionando un gruppo dalla lista è possibile accedere alle impostazioni di filtraggio che verranno applicate a tutti gli utenti appartenenti a questo gruppo. Nel Menù successivo selezionare il Tab “Gruppo” per accedere alle impostazioni generali del gruppo. Nome per il gruppo x: Inserire un nome identificato per il gruppo in oggetto. Ad esempio se il gruppo identifica un reparto inserire Magazzino piuttosto che Amministrazione. Se invece identifica una policy inserire ad esempio Restrittivo piuttosto che Permissivo. Punteggio massimo dei vocaboli consentiti: Il filtraggio web, basandosi su dei vocabolari contenuti all’interno dell’apparato, applica un punteggio totale ad ogni singola pagina richiamata dagli utenti. Se la pagina supera il punteggio specificato in questo campo viene bloccata. Aumentare il punteggio per rendere il filtro più permissivo. Possibilità di sblocco (Tramite password): Permetti: Sarà possibile visualizzare temporaneamente una pagina bloccata conoscendo le credenziali di amministratore. Non permettere: Non sarà concessa la visualizzazione temporanea della pagina. 35 Scansione Antivirus: Oltre al filtro sui contenuti l’apparato applica un filtro anti virus su tutte le connessioni http effettuate dagli utenti grazie al motore anti virus integrato. Attiva: Viene applicata la scansione Antivirus in tempo reale. Disattivata: Non viene applicata nessuna scansione anti virus. FIltraggio sulle immagini(ICRA): Attivo: verrà effettuato il filtraggio delle immagini basandosi sulla valutazione ICRA. Disattivo: non verrà effettuato questo tipo di filtro . Notifica Virus rilevati durante la navigazione:: SI: l’appliance invia via mail all’indirizzo inserito una segnalazione ad ogni virus riscontrato in navigazione. NO: Non viene inviata nessuna notifica qualora venissero rilevati dei virus. Notifica Virus rilevati via email all’indirizzo: inserire l’indirizzo mail che riceverà la segnalazione di virus rilevati se abilitato. Notifica Pagine Bloccate via Email: SI: l’appliance invia via mail all’indirizzo inserito una segnalazione ad ogni pagina che viene bloccata durante la navigazione. Notifica pagine bloccate via email all’indirizzo: SI: l’appliance invia via mail all’indirizzo inserito una segnalazione ad pagina bloccata in navigazione. NO: Non viene inviata nessuna notifica qualora venissero bloccate delle pagine. Una volta ultimate le modifiche cliccare su “Salva”. 36 Nel Menù successivo selezionare il Tab “Contenuti” per accedere al pannello di gestione dei filtri relativi al gruppo. Siti autorizzati indipendentemente dal contenuto: i siti inseriti in questa lista saranno visualizzabili a prescindere dal loro contenuto ma dovranno sottostare comunque al filtro antivirus e gli accessi a tali siti verranno registrati nei log di navigazione (per escludere totalmente un sito dal web filter fare riferimento al paragrafo 3.5). Per aggiungere un sito cliccare su aggiungi. Sito da concedere: inserire il dominio del sito da escludere dal controllo sui contenuti senza www. Ad esempio inserendo gigasys.it saranno concessi tutti i sotto domini come www.gigasys.it o backup.gigasys.it. Se si vuole concedere tutto ciò che termina con .gov inserire solo .gov nel suddetto campo. Commento: inserire un commento identificativo. Una volta compilato cliccare su “Aggiungi” per aggiungere il sito alla lista. Per eliminare o modificare un sito già presente in lista selezionarlo e scegliere l’opzione desiderata. 37 Siti negati indipendentemente dal contenuto: i siti inseriti in questa lista non saranno visualizzabili dagli utenti appartenenti a questo gruppo. Tutti i tentativi di accesso a tali siti saranno registrati nei log di navigazione. Per aggiungere un sito cliccare su aggiungi. Sito da negare: inserire il dominio del sito da negare senza www. Ad esempio inserendo gigasys.it saranno negati tutti i sotto domini come ad esempi www.gigasys.it o backup.gigasys.it. Se si vuole negare tutto ciò che termina con .gov inserire solo .gov nel suddetto campo. Commento: inserire un commento identificativo. Tramite il tasto “Blocca qualunque sito **” può essere attivato il blocco preventivo. Ossia tutti gli utenti appartenenti a questo gruppo potranno navigare esclusivamente sui siti presenti nella lista dei “Siti autorizzati indipendentemente dal contenuto”. Per disattivare il blocco preventivo selezionare “Aggiungi” e successivamente “Disattiva blocca tutto”. Per eliminare o modificare un sito già presente in lista selezionarlo e scegliere l’opzione desiderata. File Negati per estensione: tutti file con estensione contenuta in questa lista saranno negati sia in download che in upload. Selezionare “Aggiungi” per inserire una nuova estensione. Selezionandone una già presente nella lista è possibile modificarla o eliminarla. File negati per tipologia di contenuto MIME: tramite questa sezione è possibile bloccare alcune trasmissioni in base alla tipologia di contenuto binario. Ad esempio conoscendo il contenuto MIME di uno streaming video e inserendolo in questa lista è possibile bloccarlo. Frasi e parole che se contenute anche una sola volta all’interno di una pagina ne causano il blocco: tramite questa lista è possibile definire parole che se riscontrate all’interno di una pagina ne causano il blocco. Ad esempio aggiungendo la parola videopoker tramite il tasto “Aggiungi” tutti i siti contenenti il termine verranno bloccati. Frasi che permettono di bypassare qualunque controllo sulle pagine che le contengono: tramite questa lista è possibile definire parole che se contenute all’interno di una pagina questa verrà sempre concessa. Ad esempio inserendo la parola medicina tramite il tasto “Aggiungi” tutti i siti contenenti il termine verranno concessi. Url negati: tramite questa lista è possibile bloccare solo alcune parti di un sito web tramite l’url. 38 Url autorizzati: tramite questa lista è possibile concedere sempre una determinata parte di un sito tramite l’url a prescindere dal suo contenuto. Censura e sostituzione dei contenuti: in questa sezione è possibile definire parole da sostituire con valori definiti dall’amministratore. Ad esempio se volessimo sostituire la parola “firewall” con “server per la sicurezza” basta compilare il campo “Valore originale” con la parola “firewall” e inserire nel campo “Dato sostitutivo” la stringa “server per la sicurezza”. Selezionare aggiungi. L’appliance sostituirà direttamente nella pagina web tutte le parole qui definite con il valore sostitutivo definito dall’amministratore. Siti Grigi: tramite questa lista è possibile definire dei siti grigi. Un sito grigio è un sito del quale, pur essendo presente nella black list, viene concessa la visualizzazione solo se sottostà ai limiti di decenza. Ad esempio se è attivo il blocco totale della navigazione e viene inserito un sito in questa lista, gli utenti appartenenti al gruppo potranno navigare su tale sito solo se non supera il punteggio massimo dei vocaboli consentiti. Url Grigio: tramite questa lista è possibile definire degli url grigi. Il funzionamento è identico a quello dei Siti Grigi ma la regola verrà applicata solamente alla parte di sito definita dall’url. 6.2 Appartenenza ai Gruppi di Navigazione L’appartenenza ai gruppi di navigazione può essere definita in due modi: o per nome utente o per indirizzo IP. N.B. Nomi utente o indirizzi IP non definiti come appartenenti ad un gruppo appartengono automaticamente al gruppo uno quindi non è necessario definire gli utenti che devono appartenere a tale gruppo ma solo quelli che devo appartenere a gruppi successi , due tre ecc., o ai gruppi Admin o No Web. Dal menù principale “WebFilter” selezioniamo “Appartenenza ai Gruppi” per accedere al menù di gestione. 6.2.1 Appartenenza ai Gruppi di Navigazione per indirizzo IP Per definire un client come appartenente ad un gruppo diverso dal gruppo di Default (Gruppo uno) selezionare “Appartenenza ai gruppi”. Nel menù successivo inserire nel campo “IP o utente” l’indirizzo IP e nel campo “Gruppo di appartenenza” selezionare il gruppo al quale l’IP specificato deve appartenere. E’ possibile inserire nell’apposito campo un eventuale commento. Cliccare poi su “Aggiungi” per aggiungere la regola alla lista. Creare una regola per ogni indirizzo IP. 39 IP da non filtrare: Agli indirizzi IP appartenenti a questo gruppo non verrà applicato alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e verranno registrati i log di navigazione. Se si intende escludere tutti i filtri fare riferimento al paragrafo 3.8 IP senza Navigazione: Agli indirizzi IP appartenenti a questo gruppo non sarà concessa la navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione. 6.2.2 Appartenenza ai Gruppi di Navigazione per Utente Per definire un client come appartenente ad un gruppo diverso dal gruppo di Default (Gruppo uno) è necessario abilitare l’autenticazione utente. Dal menù principale “WebFilter” selezioniamo “Abilita autenticazione”. I metodi di autenticazione necessari sono: Autenticazione forzata: abilitando questa tipologia di autenticazione è necessario impostare nel browser utilizzato dall’utente il proxy forzato sulla porta 8080 dell’IP dell’appliance. Gli utenti necessari per la configurazione vanno creati sull’appliance nell’apposita sezione di gestione utenti (Paragrafo 7.1). Se si vuole abilitare questa modalità di autenticazione selezionare la relativa spunta su “Si” e poi “Salva”. Autenticazione con client IDENT: in questa modalità di autenticazione è necessaria l’installazione del clienti IDENT su tutti i PC della LAN. Tale client passerà l’utente loggato in quel momento sul PC. In questa modalità non è necessario creare gli utenti sull’appliance. Questa modalità è consigliata nel caso di un dominio Active Directory. Se si vuole abilitare questa modalità di autenticazione selezionare la relativa spunta su “Si” 40 Per definire un client come appartenente ad un gruppo diverso dal gruppo di Default (Gruppo uno) selezionare “Appartenenza ai gruppi”. Nel menù successivo inserire nel campo “IP o utente” l’utente e nel campo “Gruppo di appartenenza” selezionare il gruppo al quale l’utente specificato deve appartenere. E’ possibile inserire nell’apposito campo un eventuale commento. Cliccare poi su “Aggiungi” per aggiungere la regola alla lista. Utenti da non filtrare: Agli utenti appartenenti a questo gruppo non verrà applicato alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e verrano registrati i log di navigazione. Utenti senza accesso: Agli utenti appartenenti a questo gruppo non sarà concessa la navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione. N.B. Per rendere effettiva qualsiasi modifica apportata alla configurazione del webfilter è necessario applicare con l’apposito tasto accessibile dal pannello principale. E’ possibile visualizzare i log di navigazione direttamente dall’interfaccia del firewall dalla sezione di “Admin” “Logs” “Log di Navigazione”. 6.3 Pagina di blocco Quando per qualsiasi motivo (limite punteggio, virus, blacklist, ecc.) un sito non viene concesso verrà visualizzata la pagina di blocco riportante la motivazione del blocco stesso. La pagina ci propone delle opzioni, alcune accessibili solo conoscendo le credenziali di amministratore del sistema. Richiedi lo sblocco del sito: questa è l’unica opzione accessibile a tutti gli utenti. Selezionando questa opzione verrà inviata una mail all'amministratore contenente la richiesta di sblocco del sito con informazioni quale l’indirizzo IP o il nome utente del richiedente, il sito oggetto della richiesta e il gruppo di appartenenza. Tramite un apposito link l'amministratore può concedere il sito per tutto il gruppo al quale appartiene l’IP o l’utente che ha effettuato la richiesta. Aggiungi ai siti concessi: selezionando questa opzione il sito in oggetto verrà concesso per tutto il gruppo al quale appartiene l’utente o l’ip con il quale si sta' navigando. Per eseguire questa operazione è necessario conoscere le credenziali di amministratore. 41 Visualizza comunque: questa opzione permette di visualizzare un sito negato per cinque minuti, passando comunque attraverso il filtro antivirus. Per poter visualizzare temporaneamente un sito bloccato è necessario conoscere le credenziali di amministratore. 7 Server di posta L’appliance può funzionare come server di posta reale o come connettore pop3 o imap. In entrambi i casi vengono applicati filtri antispam e antivirus sulle mail in ingresso e in uscita. L’area di gestione del Server di Posta è accessibile da “Setup” “Posta”. 7.1 Gestione Utenti Tramite la gestione utenti è possibile creare nuovi utenti di sistema che possono essere utilizzati sia come utenti in navigazione, sia come utenti FTP e come caselle di posta. Dal menù “Gestione Utenti”, accessibile sotto “Setup” “Posta”, è possibile gestire gli utenti di sistema. Selezionare “Nuovo utente” per creare un nuovo utente o selezionarne uno esistente per modificarne i parametri o eliminarlo. Nome utente: Nome dell’account che verrà utilizzato per il log in, non può contenere “.” Password: Password necessaria per l’accesso ai servizi. E’ buona norma inserire una password complessa di almeno 8 caratteri fra i quali almeno un numero e una lettera maiuscola. Home directory: Indica la cartella home dell’utente al quale avrà accesso via FTP se abilitato. Se lasciato in bianco sarà uguale al nome utente. 42 Tipo utente: Standard: tale tipologia di utenti saranno utilizzabili come utenti di posta e come credenziali di accesso al proxy ma non potranno utilizzare né l’auto risposta ne l’FTP. Con FTP: tale tipologia di utenti saranno utilizzabili come utenti di posta e come credenziali di accesso al proxy e potranno utilizzare l’auto risposta e l’area FTP. Indirizzi email associati: Permette di creare dei virtual user in modo rapido, se l'utente deve ricevere posta anche per un altro indirizzo inserirlo completo di dominio in questo campo. Una volta ultimata la configurazione selezionare “Salva”. Se si intende eliminare un utente entrare in modifica e selezionare “Elimina”. N.B. Dopo la creazione di un nuovo utente di posta eseguire il login alla webmail raggiungibile all’IP di eth0 dell’appliance /webmail. 7.2 Polling di posta remota Il pooling di posta remota permette di portare le mail da account su server esterni ad uno o più utenti di quest’appliance in modo automatico, applicando di conseguenza i filtri Antispam e Antivirus. Dal menù “Polling di posta remota”, accessibile sotto “Setup” “Posta”, è possibile creare nuovi connettori. Tramite l’apposito tasto è possibile creare un nuovo connettore. Nome descrittivo: campo puramente identificativo. Pooling abilitato?: permette di abilitare o disabilitare il download delle mail da questo server. 43 Mail server da contattare: Nome host o indirizzo IP del server esterno dal quale scaricare le mail. Protocollo: Selezionare il protocollo con il quale il file server si deve collegare al server di posta esterno per scaricare le mail. Porta: Se impostato a “Default” usa la porta di default associata al protocollo, per specificare una porta differente spuntare la casella di testo e inserire la porta desiderata. Utente remoto: nome utente da utilizzare per l’autenticazione al server remoto. Password remota: password da utilizzare per l’autenticazione al server remoto. Utente locale: inserire il nome dell'utente locale, senza dominio, nel quale depositare la posta scaricata dal server esterno. E’ possibile inserire anche degli alias precedentemente configurati. Lasciare i messaggi sul server remoto?: Si: Lascia una copia delle mail sul server esterno, l’utilizzo di questa opzione è sconsigliato in quanto le mail in ingresso potrebbero essere duplicate. No: Cancella tutti le mail dal server esterno dopo averle scaricate. Scarica sempre tutti i messaggi?: Si: Scarica sempre tutti i messaggi compresi quelli già letti. No: Non scarica i messaggi già scaricati, l’utilizzo di questa opzione è sconsigliato in quanto le mail in ingresso potrebbero essere duplicate. Connect in SSL mode?: Abilitare questa opzione se il server esterno supporta la connessione in SSL. Una volta ultimata la configurazione selezionare “Crea”. 44 E’possibile, dal pannello principale di gestione del pooling, modificare l’esecuzione pianificata del processo tramite l’apposito tasto “Scheduled Checking”, di default il download viene eseguito ogni cinque minuti. Tramite l’apposito tasto è possibile forzare l’esecuzione immediata del pooling, durante questa fase vengono visualizzati i log in tempo reale. 45 7.3 Posta configurazione Dal menù “Posta configurazione”, accessibile sotto “Setup” “Posta”, è possibile gestire le impostazioni avanzate del server SMTP. 7.3.1 Autenticazione Smart Host Di default l’appliance invia le mail direttamente. In alcuni casi, come ad esempio un Ip pubblico dinamico sulla propria ADSL, inviando direttamente le mail possono essere rifiutate dai server destinatari. Tramite questa sezione è possibile configurare l’appliance in modo che si appoggi su un server SMTP esterno per l’invio delle mail. Dal menù “Autenticazione Smart Host”, accessibile sotto “Setup” “Posta” “Posta configurazione”, è possibile configurare un server SMTP esterno. 46 Smarthost: Invia direttamente: l’appliance consegna direttamente le mail al destinatario. Utilizza il seguente: inserire in questo campo l’IP o il nome del server SMTP tramite il quale l’apparato invierà le mail. Se l’SMTP remoto supporta il protocollo SMTPS viene privilegiato automaticamente quest’ultimo. Autenticazione richiesta: se il server remoto richiese l’autenticazione è necessario abilitarla spuntando “Sì”. Nome Utente: in caso di autenticazione richiesta inserire in questo campo il nome utente da utilizzare per l’autenticazione SMTP sul server remoto. Password: in caso di autenticazione richiesta inserire in questo campo la password da utilizzare per l’autenticazione SMTP sul server remoto. Una volta ultimata la configurazione cliccare su “Salva”. 7.3.2 Domini gestiti localmente In questa lista sono presenti tutti i domini che l’apparato considera locali. Se dovesse arrivare una mail per un dominio non inserito in questa lista, se non diversamente specificato nella sezione “Controllo RELAY” (paragrafo 7.3.3), le mail verranno rifiutate. Se dovesse arrivare una mail per un dominio in questa lista verrà considerata locale. Dal menù “Domini gestiti localmente”, accessibile sotto “Setup” “Posta” “Posta configurazione”, è possibile definire i domini locali. Inserire nella lista i domini da gestire localmente in coda a quelli di default. Inserirne uno per riga. Una volta ultimata la configurazione selezionare “Salva”. 47 7.3.3 Controllo RELAY In questa sezione è possibile definire quali domini possono essere gestiti dall’apparato anche se non sono definiti come locali, quali indirizzi si possono inviare senza autenticarsi e anche definire delle liste di blocco. Di default tutti gli IP appartenenti alla classe di rete lan possono inviare senza autenticarsi. Dal menù “Controllo RELAY”, accessibile sotto “Setup” “Posta” “Posta configurazione”, è possibile definire i parametri di accesso all’SMTP. Esempi di configurazione: Permettere ad un dominio non locale di essere gestito dall’appliance: Sorgente: Selezionare dal menù la voce “dominio” ed inserire il dominio nella casella a fianco. Spuntare la voce “Permetti invio” e selezionare “crea”. Permettere ad un ip pubblico di inviare senza autenticazione: Sorgente: Selezionare dal menù la voce “network” ed inserire l’IP pubblico remoto nella casella a fianco. Spuntare la voce “Permetti invio” e selezionare “crea”. Rifiutare mail da un intero dominio: Sorgente: Selezionare dal menù la voce “dominio” ed inserire il dominio nella casella a fianco. Spuntare la voce “Scarta senza dire nulla”, “rispedisci indietro” e selezionare “crea”. 48 7.3.4 Domain routing In questa sezione è possibile definire a chi destinare le mail per domini non inseriti nei domini locali. Abilitare questa funzione se si vuole utilizzare l’apparato solamente come server antispam e antivirus per un server di posta interno alla LAN. Dal menù “Domain routing”, accessibile sotto “Setup” “Posta” “Posta configurazione”, è possibile raggiungere il pannello di configurazione del domain routing. Posta per il dominio: inserire il nome del dominio che deve essere ruotato ad un altro mail sever. Inoltra al server: inserire l’indirizzo IP del mail server al quale deve essere inoltrato il dominio citato. Una volta ultimata la configurazione selezionare “crea”. Per fare in modo che l’appliance accetti mail per questo dominio non essendo un dominio locale, va creata un apposita regola nella sezione “Controllo RELAY” (Paragrafo 7.3.3). 49 7.3.5 Alias In questa sezione è possibile gestire gli alias che permettono di definire liste di distribuzione locali e indirizzi fittizi la cui posta sarà inoltrata ad uno o più utenti reali. L’alias è valido per tutti i domini gestiti localmente. Dal menù “ALIAS”, accessibile sotto “Setup” “Posta” “Posta configurazione”, è possibile raggiungere il pannello di gestione degli alias. Indirizzo: inserire in questo campo il nome dell’alias. Abilitato: permette di definire se l’alias è attivo o disattivo. Alias a: selezionare dal menù “Indirizzo Email” e inserire nel campo di testo a fianco il nome utente al quale inoltrare le email destinate all’alias. Una volta ultimata la configurazione selezionare crea. Per fare in modo che un alias corrisponda a due o più indirizzi selezionarlo dalla lista aggiungere un ulteriore utente e salvare. Questa operazione va' eseguita per ogni utente da aggiungere. 50 7.3.6 Virtual User In questa sezione è possibile gestire i virtual user che permettono di creare indirizzi virtuali la cui posta sarà inoltrata ad un utente reale. Il virtual user deve essere completo di dominio e sarà valido sono per il dominio specificato. Dal menù “Virtual user”, accessibile sotto “Setup” “Posta” “Posta configurazione”, è possibile raggiungere il pannello di gestione dei virtual user. Mail per: Selezionare la spunta a fianco del campo “Indirizzi” ed inserire il nome del virtual user che si intende creare completo di dominio. Spedisci a: Selezionare la spunta a fianco del campo “Indirizzi” ed inserire il nome dell’utente local e al quale deve corrispondere il virtual user. Una volta ultimata la configurazione selezionare crea. 51 8 Guida in Linea (Knowledge Base) Da qualsiasi interfaccia del firewall è possibile ricercare direttamente all’interno della guida in linea. Per effettuare una ricerca nella Knowledge Base inserire una chiave di ricerca per l’argomento desiderato nell’apposita casella, subito sotto al menù di sinistra, in qualsiasi sezione. I risultati della ricerca verranno visualizzati nella parte alta della pagina corrente con il formato seguente. Nell’esempio la chiave di ricerca è “openvpn” Se non dovesse essere presente alcun record riguardo alla chiave di ricerca specificata è possibile inoltrare una richiesta, tramite l’apposito link, direttamente all'ufficio tecnico Gigasys. 52