Alla luce dei problemi visti con router e stateful firewall, l'unica soluzione che rimane per controllare il problema della distribuzione di Internet alla rete locale è quella di usare un proxy, magari in modalità trasparente per evitare di dover configurare tutti client o distribuire il WPAD.
Si trova in Rete una soluzione comoda ed efficace che ci permette di usare un proxy Squid senza perdere molto tempo per la configurazione, e che integra controllo degli accessi e del traffico e molte altre features che possono essere aggiunte con comodi plugin. La soluzione in questione è IPCop.
La comodità di tale software sta tutta nella velocità di implementazione: infatti il sistema una volta installato è pronto e funzionante, e basta aggiungere i plugin desiderati.
IPCop usa Linux 2.4, IPTABLES, Squid (già presenti nell'installazione di default), SquidGuardian, ClamAV e altri ancora, a seconda dei plugin installati.
Come plugins consiglio di dare un'occhiata al sito mhaddons che contiene, nella sezione Downloads, una serie di aggiunte quasi indispensabili. Fra queste i filtri layer 7, utili nel caso si voglia usare il traffic shaping a livello di protocollo applicazione o se si vuole bloccare certi tipi di traffico (es. il P2P, vedi "p2pblock" in mhaddons). Nel caso si vogliano installare i filtri è necessario sostituire il kernel di IPCop con uno che li integra. Istruzioni nel sito alla pagina Layer7 blocker.
C'è da osservare che la scelta di bloccare il P2P non si rivela molto efficace a causa della scarsa efficenza dei pattern di riconoscimento.
lunedì, febbraio 23, 2009
martedì, febbraio 03, 2009
Staful firewall: pro e contro
Gli stateful firewall sono dei firewall che operano a livello 4 della pila ISO-OSI, cioè consentono di specificare delle regole che coinvolgono tipo di protocollo (TCP, UDP, ICMP, ecc.) e porta di origine o destinazione. In uno dei precedenti articoli in questo blog abbiamo visto come implementare una soluzione simile in RRAS di Windows Server. La soluzione proposta aveva queste caratteristiche:
- efficace contro le connessioni a server di P2P come Emule;
- meno efficace nel contrastare le connessioni peer nel P2P (ad es. rete Kad o Bittorrent);
- efficace nel filtrare tutti i tipi di pacchetti acconsentendo il traffico solo attraverso le porte note;
- poco efficace nel protocollo FTP in passive mode, dato che le porte dati sono scelte random fra le PASV (1025-65535).
Visti questi pregi e difetti, la caratteristica più appariscente all'utente finale era sicuramente il mancato accesso all'FTP, sia con programmi dedicati che da browser.
Il problema, usando uno stateful firewall (e anche RRAS), non è risolvibile, a meno di rinunciare alla sicurezza della rete...
Si può considerare un proxy come Squid come valida alternativa, ma quest'ultimo lascia passare comunque i P2P. Nel prossimo articolo vedremo una soluzione basata su L7filter, programma che opera a livello sette della pila OSI e che permette quindi di intervenire nei protocolli "applicativi" come HTTP, POP3, FTP, ecc.
A presto!
Iscriviti a:
Post (Atom)