Repository 32bit  Forum
Repository 64bit  Wiki

Introduzione a Firestarter: differenze tra le versioni

Da Slacky.eu.
(Introduzione)
(Concetti Avanzzati del Firewalling)
Riga 18: Riga 18:
= Concetti Avanzzati del Firewalling =
= Concetti Avanzzati del Firewalling =
  +
* Ha preimpostate delle regole interne, ma accetta anche quelle prestabilite dall'utente
  +
* Filtrazione incorporata delle backdoors conosciute e dei Trojan
  +
* Contributo alla configurazione dei servizi
  +
* Sostegno per la sintonizzazione dei parametri dell'ICMP per arrestare gli attachi di interruzione del servizio (DOS)
  +
* Sostegno per la sintonizzazione dei parametri del TOS per migliorare i servizi per i calcolatori collegati in rete
  +
* Sostegno per le funzioni di NAT e port fowarding
  +
  +
Caratteristiche di sintonia del Kernel Avanzzate
  +
  +
* Sostiene "Sysctl" dei glibc per la protezione del firewall contro il flooding, broadcasting e spoofing
  +
* Kernel supportati: 2.4.x e 2.6.x
  +
  +
E molto più
  +
  +
= Installazione =
  +
  +
Installazione dei pacchetti precompilati
  +
Firestarter è convenientemente disponibile in un pacchetto precompilato per le distribuzioni di Linux basate su precompilato come Red Hat, Mandriva e Slackware.
  +
Una volta che avete trasferito il pacchetto di firestater dal server, aprite un termila e andate nella directory dove avete scaricato il precompilato. Scivete i
  +
seguenti comandi per installare il pacchetto:
  +
  +
[bash]$ su
  +
Password [vostra password di root seguita dalla pressine del tasto "invio"]
  +
[bash]# rpm -Uvh firestarter*.rpm
  +
  +
Eccetto tutte le dipendenze insolute o altri problemi, firestarter dovrebbe ora essere installato.
  +
  +
Installando dai .DEB
  +
Firestarter è stao creato in Debiam e può essere trasferito ed installato per mezzo di apt-get semplicemente scrivendo
  +
apt-get install firestarter
  +
  +
Installando in Gentoo
  +
Firestarter è completamente sostenuto nella distribuzione Gentoo dal sistema '''portage''', per installare il programma, eseguite:
  +
emerge firestarter
  +
  +
compilando ed installando dal sorgente
  +
Scompattare il tarball ed entrare nella directory appena creata:
  +
[bash]$ tar -xvzf firestarter-versione.tar.gz
  +
[bash]$ cd firestarter
  +
eseguite lo script '''configure", digittando '''./configure --help''' verrano mostrate tutte le opzioni disponibili.
  +
[bash]$ ./configure --sysconfdir=/etc
  +
  +
  +
Con l'opzione impostata, firestarter installerà i file di configurazione in '''/etc/firestarter'''. Di default, firestarter sarà installato nella directory '''/usr/local'''
  +
Se la fase di compilazione viene completata senza problemi potete compilare ed installare il program,ma:
  +
[bash]$ make
  +
[bash]$ su
  +
Password [vostra password di root seguita dalla pressine del tasto "invio"]
  +
[bash]# make install
  +
  +
Il passaggio '''make instaòll''' è opzionale, potete tranquillamente eseguire firestarter dalla directory '''src'''.
  +
se volete usufruire degli stessi privilegi che potete avere installando dai pacchetti, ma avete compiltato a mano, eseuite '''./postinstall'''. E' uno script
  +
che aggiunge firestarter ai processi caricati all'avvio.
  +
  +
Installare in Slackware
  +
Io personalmente, consiglio di usare '''swaret''' come tool d'intallazione. E' molto semplice da usare e da configurare, ed inoltre risolve in modo automatico
  +
eventuali dipendenze. Se avete settato come repository '''slacky.it''' (vi rimando al sito per maggiori informazioni e dettagli per come fare http://www.slacky.it).
  +
dopo un
  +
# swaret --update
  +
Possiamo installare firestarter con questo comando:
  +
# swaret --install firestarter
  +
== Iniziare ==
== Iniziare ==
  +
Se avete installato firestarter da un pacchetto binario come il DEB o il TGZ, ci sarà un icona del programma di firestarter nel menu di applicazioni di GNOME,
  +
sotto il menu internet. se non avate questa icona, eseguite '''firestarter''' da un terminale o dal menu di funzionamento di GNOME (ALT-F2).
  +
  +
1. Dare la password di root quando fate partire firestarter, il sistema può chiedervi la parola d'accesso per l'utente root. se non riuscite ad inserire la password
  +
di root (o non la conoscete) bisognerà far partire firestarter direttamente dal terminale di root. ciò si fa solitamente con '''su -'''. usate "'''man'''"
  +
per maggiori informazioni. Per una maggiore versatilità, in KDE possiamo cliccare sull'icona "'''K'''" e inserire come comando, "'''kdesu firestarter'''"
  +
per evitare di occupare una shell.
  +
  +
2. Finestra di configurazione automatica
  +
La prima volta che avviate firestarter dovreste trovarvi davanti alla finestra di configurazione automatica. Premi il tasto foward per continuare.
  +
  +
3. Configurazione dell'interfaccia di rete collegata all'esterno
  +
L'interfaccia di rete collegata all'esterno, è quella collegata ad internet. Se non avete le schede di rete multiple, modem o configurazioni VPN, va bene il valore suggerito
  +
Gli utenti collegati a voi (LAN, DSL o CAVO) dovrebbero permettere l'opzione di rilevamento del DHCP. ci sono molte altre opzioni nel wizard,
  +
che conoscerete quando diventerete più esperti. Per la vostra prima volta tuttavvia potete continuare a semplicemente premere il tasto di andata fino a
  +
completare il wizard.
  +
  +
Ora l'interfaccia grafica principale del programma vi sarà mostrata, e sarete liberi di esplorare le funzioni principali del programma ed iniziare a modificare il firewall.
  +
O anche sedersi comodo e guardare il firewall fare il suo lavoro :)
  +
  +
Se non avete nessun link nel menu, potete aprire una shell e dare "'''kdesu firestarter'''" o loggarvi come root e dare "'''firestarter'''".
  +
== I componenti di firestarter ==
== I componenti di firestarter ==
  +
L'interfaccia grafica principale di firestarter è divisa in sottosezioni denominate linguette. Attualmente tre linguette sono disponibili:
  +
* La linguetta dove è possibile vedere le hits:
  +
cioè dove i pacchetti di dati che si ottengono vengono arrestati dal firewall sono annotati. Potete realizzare le azioni su una hit, come ad esempio
  +
trasformarlo in una regola che interesserà tutti i pacchetti futuri.
  +
  +
* La linguetta delle regole
  +
è la sezione che modella il firewall, la sala di controllo di tutto il trafico della rete.
  +
  +
Oltre l'interfaccia principale ci sono altre due sezioni di interesse:
  +
  +
Il wizard è la prima cosa che vedete quando avviate per la prima volta firestarter. Permette il cambiamento rapido di un'ampia varietà di tregolazioni che
  +
controllano il firewall
  +
Le prferenze, che contengono tutte le opzioni necessarie a modificare/personalizzare il firewall. Sia l'interfaccia utente che la parte refrattaria possono
  +
essere modificate di qui.
  +
== Esecuzione del Firewall ==
== Esecuzione del Firewall ==
  +
Una domanda frequente è: in che stato è il firewall quando non viene lanciato firestarter? La risposta breve è: dipende. se firestarter è stato installato con
  +
pacchetti precompilati il firewall rimarrà sempre in esecuzione (tranne per gli utenti dial-up), perfino dopo un reboot. In questi casi il firewall è in esecuzione come
  +
un servizio e può essere gestito usando il servizio standard di sistema Linux e i tool di gestione dei runlevel.
  +
se firestarter è stato compilato ed installato da sorgente e si sta usando una distribuzione come Red Hat o Mandriva, bisognerebbe eseguire il "postinstall" script,
  +
disponibile tra i sorgenti di firestarter, ottenendo gli stessi effetti di un'installazione tramite pacchetti precompilato o DEB.
  +
Il firewall rimarrà persistente dopo un reboot e sarà generato uno script di init.
  +
Se firestarter è stato compilato da sorgente ma non si usa una distribuzione come Red Hat o Mandriva, il firewall sarà attivo dal suo avvio fino al reboot successivo.
  +
Vedere più avanti la sezione riguardante l'avvio manuale di firestarter per aumentare la copertura del firewall.
  +
In aggiunta ai componenti descritti sopra, l'uso di un demone DHCP aumenta ulteriormente la copertura.Quando al disposito di rete collegato al sevizio DHCP viene
  +
assegnato un indirizzo ip ( sia quando si connette per la prima volta sia quando l'indirizzo viene rinnovato) il firewall viene aggiornato. Da notare che questo
  +
succede persino se il firewall è stato precedentemente stoppato da firestarter o dagli script di init. attualmente questo servizio è usufruibile usando DHCPD
  +
oppure un programma '''dhcp-client''' (forniti dalla maggioranza delle distribuzioni).
  +
== Gli script di init del sistema ==
== Gli script di init del sistema ==
  +
Firestarter è distribuito con uno script nello stile SysV per gestire il firewall. Gli script forniscono le seguenti funzioni:
  +
* Start: avvia il firewall
  +
* Stop: ferma il firewall
  +
* Status: dà un'accurata descrizione dello stato interno del firewall
  +
* restart: ferma, poi avvia il firewall
  +
* panic: blocca il firewall
  +
  +
Queste funzioni possono essere invocate aggiungendole come parametri allo script. Ad esempio, è possibile avviare
  +
firestarter con "firestarter start". La maggior parte delle distribuzioni, inoltre includono dei tpools come
  +
"chkconfig", per gestire gli script di servizio. Questi tools consentono di cambiare la priotà d'avvio e molti parametri
  +
dei servizi.
  +
== Lanciare il firewall all'avvio ==
== Lanciare il firewall all'avvio ==
  +
Aggiungere la riga "'''/usr/bin/firestarter -s". che rappresenta lo script di attivazione del firewall.
  +
Sulle distribuzioni SysV-based (come slackware) questo script è il file "'''/etc/rc.d/rc.local'''".
  +
== Dial-Up ==
== Dial-Up ==
  +
Il firewall deve essere avviato dopo che è stata stabilita la connessione con il proprio ISP.
  +
Nel wizard di firestarter esiste un'opzione per avviare automaticamente il firewall.
  +
Quest'opzione non funziona con qualche dialer. Per esempio,se si sta usando l'applicazione dialer Kppp si dovrà
  +
settare il dialer per fargli avviare firestarter dopo che la connessione è stata stabilita.
  +
Kppp include un'opzione per lanciare gli script solo quando la connessione è stata stabilita.
  +
= Configurare firestarter =
= Configurare firestarter =
== Abilitare/Disabilitare il traffico ==
== Abilitare/Disabilitare il traffico ==

Versione delle 14:46, 16 nov 2006

Indice

Introduzione

Firestater è un frontend grafico basato su GTK+/gnome ai vari sottoinsiemi per il firewalling disponibili nel kernel di Linux, per esempio Netfilter. E' nato per fornire un funzionale pratico ma tuttavia semplice approccio per le tecnologie di firewalling avanzzate. Questo documento descrive le versioni 1.0 e successivamente di firestarter. Dovrebbeessere considerato come "work in progress".

Firewalls in una nutshell

I firewall sono perlopiù usati nei PC che fungono da gateway per le connessioni ad internet. Uno dei requisiti fondamentali del firewall deve essere quella di protegere da una serie di attacchi i calcolatori. Firestarter può essere installato su una macchina diversa dal gateway per fornire le funzioni di firewalling anche solo per un segmento di LAN, o può essere installato su singole stazioni di lavoro Linux. La sicurezza è un processo non un prodotto. Un firewall non garantisce la sicurezza ma è nella maggior parte degli ambienti la prima linea di difesa contro i crackers.

Caratteristiche di Firestarter

Facile da usare, tuttavia potente.

  • interfaccia grafica facile da usare e ottimizzata per GNOME 2
  • wizard ed assistenti per essere utile sia ai principianti che agli esperti
  • Temi e regolazioni globali per GNOME
  • Traduzione disponibili per molte lingue (25 lingue a partire da luglio del 2002)

Concetti Avanzzati del Firewalling

  • Ha preimpostate delle regole interne, ma accetta anche quelle prestabilite dall'utente
  • Filtrazione incorporata delle backdoors conosciute e dei Trojan
  • Contributo alla configurazione dei servizi
  • Sostegno per la sintonizzazione dei parametri dell'ICMP per arrestare gli attachi di interruzione del servizio (DOS)
  • Sostegno per la sintonizzazione dei parametri del TOS per migliorare i servizi per i calcolatori collegati in rete
  • Sostegno per le funzioni di NAT e port fowarding

Caratteristiche di sintonia del Kernel Avanzzate

  • Sostiene "Sysctl" dei glibc per la protezione del firewall contro il flooding, broadcasting e spoofing
  • Kernel supportati: 2.4.x e 2.6.x

E molto più

Installazione

Installazione dei pacchetti precompilati Firestarter è convenientemente disponibile in un pacchetto precompilato per le distribuzioni di Linux basate su precompilato come Red Hat, Mandriva e Slackware. Una volta che avete trasferito il pacchetto di firestater dal server, aprite un termila e andate nella directory dove avete scaricato il precompilato. Scivete i seguenti comandi per installare il pacchetto:

[bash]$ su 
Password [vostra password di root seguita dalla pressine del tasto "invio"]
[bash]# rpm -Uvh firestarter*.rpm

Eccetto tutte le dipendenze insolute o altri problemi, firestarter dovrebbe ora essere installato.

Installando dai .DEB Firestarter è stao creato in Debiam e può essere trasferito ed installato per mezzo di apt-get semplicemente scrivendo

apt-get install firestarter

Installando in Gentoo Firestarter è completamente sostenuto nella distribuzione Gentoo dal sistema portage, per installare il programma, eseguite:

emerge firestarter

compilando ed installando dal sorgente Scompattare il tarball ed entrare nella directory appena creata:

[bash]$ tar -xvzf firestarter-versione.tar.gz
[bash]$ cd firestarter
eseguite lo script configure", digittando ./configure --help verrano mostrate tutte le opzioni disponibili.
[bash]$ ./configure --sysconfdir=/etc


Con l'opzione impostata, firestarter installerà i file di configurazione in /etc/firestarter. Di default, firestarter sarà installato nella directory /usr/local Se la fase di compilazione viene completata senza problemi potete compilare ed installare il program,ma:

[bash]$ make
[bash]$ su
Password [vostra password di root seguita dalla pressine del tasto "invio"]
[bash]# make install

Il passaggio make instaòll è opzionale, potete tranquillamente eseguire firestarter dalla directory src. se volete usufruire degli stessi privilegi che potete avere installando dai pacchetti, ma avete compiltato a mano, eseuite ./postinstall. E' uno script che aggiunge firestarter ai processi caricati all'avvio.

Installare in Slackware Io personalmente, consiglio di usare swaret come tool d'intallazione. E' molto semplice da usare e da configurare, ed inoltre risolve in modo automatico eventuali dipendenze. Se avete settato come repository slacky.it (vi rimando al sito per maggiori informazioni e dettagli per come fare http://www.slacky.it). dopo un

# swaret --update

Possiamo installare firestarter con questo comando:

# swaret --install firestarter

Iniziare

Se avete installato firestarter da un pacchetto binario come il DEB o il TGZ, ci sarà un icona del programma di firestarter nel menu di applicazioni di GNOME, sotto il menu internet. se non avate questa icona, eseguite firestarter da un terminale o dal menu di funzionamento di GNOME (ALT-F2).

1. Dare la password di root quando fate partire firestarter, il sistema può chiedervi la parola d'accesso per l'utente root. se non riuscite ad inserire la password di root (o non la conoscete) bisognerà far partire firestarter direttamente dal terminale di root. ciò si fa solitamente con su -. usate "man" per maggiori informazioni. Per una maggiore versatilità, in KDE possiamo cliccare sull'icona "K" e inserire come comando, "kdesu firestarter" per evitare di occupare una shell.

2. Finestra di configurazione automatica La prima volta che avviate firestarter dovreste trovarvi davanti alla finestra di configurazione automatica. Premi il tasto foward per continuare.

3. Configurazione dell'interfaccia di rete collegata all'esterno L'interfaccia di rete collegata all'esterno, è quella collegata ad internet. Se non avete le schede di rete multiple, modem o configurazioni VPN, va bene il valore suggerito Gli utenti collegati a voi (LAN, DSL o CAVO) dovrebbero permettere l'opzione di rilevamento del DHCP. ci sono molte altre opzioni nel wizard, che conoscerete quando diventerete più esperti. Per la vostra prima volta tuttavvia potete continuare a semplicemente premere il tasto di andata fino a completare il wizard.

Ora l'interfaccia grafica principale del programma vi sarà mostrata, e sarete liberi di esplorare le funzioni principali del programma ed iniziare a modificare il firewall. O anche sedersi comodo e guardare il firewall fare il suo lavoro :)

Se non avete nessun link nel menu, potete aprire una shell e dare "kdesu firestarter" o loggarvi come root e dare "firestarter".

I componenti di firestarter

L'interfaccia grafica principale di firestarter è divisa in sottosezioni denominate linguette. Attualmente tre linguette sono disponibili:

  • La linguetta dove è possibile vedere le hits:

cioè dove i pacchetti di dati che si ottengono vengono arrestati dal firewall sono annotati. Potete realizzare le azioni su una hit, come ad esempio trasformarlo in una regola che interesserà tutti i pacchetti futuri.

  • La linguetta delle regole

è la sezione che modella il firewall, la sala di controllo di tutto il trafico della rete.

Oltre l'interfaccia principale ci sono altre due sezioni di interesse:

Il wizard è la prima cosa che vedete quando avviate per la prima volta firestarter. Permette il cambiamento rapido di un'ampia varietà di tregolazioni che controllano il firewall Le prferenze, che contengono tutte le opzioni necessarie a modificare/personalizzare il firewall. Sia l'interfaccia utente che la parte refrattaria possono essere modificate di qui.

Esecuzione del Firewall

Una domanda frequente è: in che stato è il firewall quando non viene lanciato firestarter? La risposta breve è: dipende. se firestarter è stato installato con pacchetti precompilati il firewall rimarrà sempre in esecuzione (tranne per gli utenti dial-up), perfino dopo un reboot. In questi casi il firewall è in esecuzione come un servizio e può essere gestito usando il servizio standard di sistema Linux e i tool di gestione dei runlevel. se firestarter è stato compilato ed installato da sorgente e si sta usando una distribuzione come Red Hat o Mandriva, bisognerebbe eseguire il "postinstall" script, disponibile tra i sorgenti di firestarter, ottenendo gli stessi effetti di un'installazione tramite pacchetti precompilato o DEB. Il firewall rimarrà persistente dopo un reboot e sarà generato uno script di init. Se firestarter è stato compilato da sorgente ma non si usa una distribuzione come Red Hat o Mandriva, il firewall sarà attivo dal suo avvio fino al reboot successivo. Vedere più avanti la sezione riguardante l'avvio manuale di firestarter per aumentare la copertura del firewall. In aggiunta ai componenti descritti sopra, l'uso di un demone DHCP aumenta ulteriormente la copertura.Quando al disposito di rete collegato al sevizio DHCP viene assegnato un indirizzo ip ( sia quando si connette per la prima volta sia quando l'indirizzo viene rinnovato) il firewall viene aggiornato. Da notare che questo succede persino se il firewall è stato precedentemente stoppato da firestarter o dagli script di init. attualmente questo servizio è usufruibile usando DHCPD oppure un programma dhcp-client (forniti dalla maggioranza delle distribuzioni).

Gli script di init del sistema

Firestarter è distribuito con uno script nello stile SysV per gestire il firewall. Gli script forniscono le seguenti funzioni:

  • Start: avvia il firewall
  • Stop: ferma il firewall
  • Status: dà un'accurata descrizione dello stato interno del firewall
  • restart: ferma, poi avvia il firewall
  • panic: blocca il firewall

Queste funzioni possono essere invocate aggiungendole come parametri allo script. Ad esempio, è possibile avviare firestarter con "firestarter start". La maggior parte delle distribuzioni, inoltre includono dei tpools come "chkconfig", per gestire gli script di servizio. Questi tools consentono di cambiare la priotà d'avvio e molti parametri dei servizi.

Lanciare il firewall all'avvio

Aggiungere la riga "/usr/bin/firestarter -s". che rappresenta lo script di attivazione del firewall. Sulle distribuzioni SysV-based (come slackware) questo script è il file "/etc/rc.d/rc.local".

Dial-Up

Il firewall deve essere avviato dopo che è stata stabilita la connessione con il proprio ISP. Nel wizard di firestarter esiste un'opzione per avviare automaticamente il firewall. Quest'opzione non funziona con qualche dialer. Per esempio,se si sta usando l'applicazione dialer Kppp si dovrà settare il dialer per fargli avviare firestarter dopo che la connessione è stata stabilita. Kppp include un'opzione per lanciare gli script solo quando la connessione è stata stabilita.

Configurare firestarter

Abilitare/Disabilitare il traffico

APPENDICE A

NAT - Condivisione della connessione a Internet

Il Setup Fisico

Configurazione del Gateway

Configurazione del client

Testare la configurazione

abilitare NAT in firestarter

APPENDICE B

Requisiti del kernel

Configurazione del kernel

Locazione delle funzioni del kernel

Ringraziamenti

Note finali

Strumenti personali
Namespace

Varianti