Marco's Informatik Blog

In un sistema content-filter, può essere necessario permettere a determinati utenti di visitare certi siti, ed impedire ad altri di visitare gli stessi oppure scaricare file eseguibili o altro..
Per fare ciò è possibile creare diversi gruppi, ognuno con determinate caratteristiche.
Prima di tutto editate il file dansguardian.conf ed alla voce filtergroups = 1 mettete il numero di gruppi che alla fine utilizzerete e salvate il file.
A questo punto copiate il file dansguardianf1.conf in dansguardianf2.conf e così via, dansguardianf(X).conf
A questo punto editate questi file settando al loro interno le liste opportune, per esempio possono avere gli stessi file come riferimento e differire solo nella voce bannedsitelist.
L’uso tipico è quello che alcune utenti possono navigare tranquillamente, mentre altri andare solo nei siti presenti in exceptionsitelist, in quanto in bannedsitelist avremo tolto il commento davanti ad una linea composta dai soli caratteri ** ed un altra dai caratteri **ip.
Questi impediranno la navigazione totale verso qualsiasi sito e ip.
A questo punto nel file filtergrouplist setteremo a quale utente o ip applicare un determinato filtro; il filtro 1 è quello di default.
Ad esempio specifichiamo pippo=filter2 oppure 192.168.0.32=filter2, dove filter2 impedisce la totale navigazione tramite una bannedsitelist apposista, configurata in dansguardianf2.conf
Ovviamente più gruppi avremo, più la nostra macchina dovrà essere prestazionale.
Questa metodologia è tranquillamente applicabile in IPCop con l’addon COP+

Social Bookmarks

Hide Sites

The bad packets stop here, come recita il sito ufficiale.
IPCop è una delle prime e meglio riuscite distruzioni linux dedicate al firewalling.
Piccola, veloce ed immediata, è l’ideale per creare firewall con semplicità, ma può essere dotata di decine e decine di addons, quali content filtering (SquidGuard o Dansguardian), antivirus, monitoraggio reti, server OpenVPN e così via.
Inoltre da svariati test effettuati è molto più performante, sia in termini di ritardo di rete che di semplice reboot rispetto al suo fork italiano, Endian.
Personalemente ho usato entrambi, ma tropo IPCop meno “legata” e molto più customizzabile, specialemente per quanto riguarda il Content Filtering e controllo sulle connessioni in uscita.
A dire il vero questi sono moduli di IPCop, chiamati BOT e COP+.
Infatti per fare un firewall completo consiglio di installare oltre ai componenti sopracitati anche Net-Traffic, un comodo “riepilogo” del traffico, giornaliero, settimanale, mensile etc..etc..
Il sito maggiore per gli addons è http://firewalladdons.sourceforge.net oltre a http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopAddons .
Ah ovviamente IPCop supporta l’IDS Snort, utilissimo anche per individuare attività come la replicazione dei worms.
Tempo permettendo posterò via via configurazioni e “trucchetti” su vari moduli
Per finire, cosa molto interessante, dal road map della distribuzione è previsto il passaggio al kernel 2.6 nella versione 1.5 e all’utilizzo di Shorewall per la creazione delle regole dalla versione 1.6  

Social Bookmarks

Hide Sites

Siete un BOFH?Volete impedire ai vostri “sottoposti” di parlare con il/la fidanzata/o o la mammà attraverso MSN Live? EFW verrà in vostro aiuto.
Chiudere le porte serve a poco, in quanto MSN funziona sulla porta 80, la porta 1863 serve solo per lo scambio dei files, però in nostro soccorso viene Dansguardian, impedendo il download di componenti fondamentali.
Vi basterà attivare il filtro sui contenuti sul proxy server ed aggiungere a mano queste righe nel file /etc/dansguardian/blacklists/warez

rad.msn.com/ADSAdClient31.dll?
rad.microsoft.com/ADSAdClient31.dll?
rad.live.com/ADSAdClient31.dll?
a.rad.msn.com/ADSAdClient31.dll?
b.rad.msn.com/ADSAdClient31.dll?
sqm.microsoft.com/sqm/windows/sqmserver.dll
sqm.msn.com/sqm/messenger/sqmserver.dll

Vi chiederete, perchè in warez? Ogni altra categoria va bene, il fatto è che adesso la GUI non ha una categoria “custom” per i banned url, quindi dobbiamo mettere queste righe altrove, infatti i vari files /etc/dansguardian/banned* vengono ricreati ogni volta da zero, ad ogni riavvio del servizio, perdendo così i valori manuali.
In questo modo MSN Live darà un bell’errore all’avvio e non si loggherà!!
Adesso occhio alle minacce che riceverete da parte dei vostri luser!!!

AGGIORNAMENTO AL POST: è altresì importante prima di tutto bloccare il traffico in uscita verso la porta 1863/tcp, ed inoltre nella custom blacklist della GUI è NECESSARIO aggiungere il sito gateway.messenger.hotmail.com

Social Bookmarks

Hide Sites

Eccomi qua dopo svariati giorni di assenza!! (ma non posso fare le ferie io??! )
Tornato al lavoro ho deciso di scaricare e provare (a casa) Endian Firewall 2.1 Community Edition, ovvero una buonissima distribuzione italiana dedicata al funzionamento di firewall, content filter, svariati tipi di proxy e molto altro ancora!
Inizialmente questa distribuzione è nata come un fork di IPCop, ma IMHO questa Endian Firewall è assolutamente superiore, sia nella cura (dall’installazione, alla configurazione tramite GUI, sia per i servizi che offre).
Inoltre se rileva 2 dischi in fase di installazione può essere impostato in modo automatico un RAID 1.
Altra cosa molto interessante, tutte le interfacce ethernet rilevate inzialmente vengono configurate in bridge, questo magari per un utente normale non ha interesse, ma lo è se ad esempio vogliamo facilmente creare un mini switch lato lan!
Anche la parte firewall è notevolemente curata, ma ciò che mi piace molto è la sezione proxy (HTTP,POP3,SMTP,SIP,FTP,DNS), inoltre mai visto un interfaccia grafica decente come questa per Dansguardian.
Ho aperto una categoria apposita per questa distribuzione e da oggi via via posterò sui pregi e sui difetti che troverò nell’uso quotidiano di questo “firewall”, ma ad occhio credo che adotterò questa distro al posto di Trustix per questi compiti!!(su Trustix devo fare tutto a mano, in certi casi il tempo è denarooooo!!!)
In ogni caso è possibile fare modifiche al livello di files conf tramite la console ssh (da attivare che non lo è di default), inoltre il sistema può essere accessibile via console tramite porta seriale
Che dire, bravi italiani!!!

Social Bookmarks

Hide Sites

Uno dei principali usi del nostro amato GNU/Linux è sicuramente quello del firewall.
Potente, economico, versatile e facile da configurare…bhe non sempre!!!
Rispetto ad ipchains, il vecchio firewall che stava nei kenrnel 2.0, Iptables/Netfilter ha reso la sintassi meno contorta, ma per creare regole elaborate può essere sempre una pratica ostica.
Inoltre le appliances firewall commerciali più conosciute, permettono di considerare il traffico entrante ed uscente non in schede di rete, ma in visione più ampia, in zone.
Ogni zona può “gestire” anche più schede di rete, e le interazioni tra zone saranno governate da policy di default che potranno essere “superate” da regole specifiche, ma andiamo con calma!!
Il files fondamentali che troverete in /etc/shorewall sono i seguenti

• zones
• interfaces
• policy
• rules

Ovviamente i nomi sono esplicativi, definizione delle zone, delle interfacce per ogni zona, delle policy di default tra zone e le specifiche regole.
Adesso vi riporterò una configurazione tipica con due schede di rete, con regole che bloccano il traffico di ingresso se non verso determinati ip, blocco totale del traffico in uscita (nattato) escluso determinate porte ed inoltre dei redirect per l’interazione con Dansguardian/Squid e p3scan, ovviamente il nome delle zone sono indicativi

/etc/shorewall/zones

#ZONE   TYPE            OPTIONS         IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
verde   ipv4
rossa   ipv4
#LAST LINE – ADD YOUR ENTRIES ABOVE THIS ONE – DO NOT REMOVE

/etc/shorewall/interfaces

#ZONE   INTERFACE       BROADCAST       OPTIONS
verde   eth0
rossa   eth1    -       routeback
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

/etc/shorewall/policy

#SOURCE         DEST            POLICY          LOG             LIMIT:BURST
#                                               LEVEL
rossa   fw      DROP
rossa   verde   DROP
verde   fw      ACCEPT
verde   rossa   DROP
fw      verde   ACCEPT
fw      rossa   ACCEPT
#LAST LINE — DO NOT REMOVE

/etc/shorewall/rules

#ACTION SOURCE          DEST            PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/
#                                               PORT(S) PORT(S)         DEST            LIMIT           GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
LOG:info        verde   fw      tcp     22
LOG:info        verde   fw      tcp     10000
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     22
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     10000
DNAT    rossa:XX.XX.XX.XX     verde:192.168.0.113     tcp     3389
REDIRECT        verde   8110    tcp     110
REDIRECT        verde   8080    tcp     80
ACCEPT  verde   rossa   tcp     13,17,21,22,23,25,43,53,80,81,110,113,119,143,443
ACCEPT  verde   rossa   tcp     465,993,995,1352,1755,1863,2003,2345,3389,4711
ACCEPT  verde   rossa   tcp     2082,2401,4800,4899,5190,5900,7070,8080,8081,8443,8827,8775,10000
ACCEPT  verde   rossa   tcp     50022,50080
ACCEPT  verde   rossa   tcp     6665:6669
ACCEPT  verde   rossa   tcp     1001:1010
ACCEPT  verde   rossa   tcp     65120:65122
ACCEPT  verde   rossa   tcp     60000:60010
ACCEPT  verde   rossa   tcp     31443
ACCEPT  verde   rossa   udp     37,53,123,3052,4569

Due breve righe su casi particolari (messi per esempio)
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     22 (accetta collegamenti ssh da un determinato ip)
ACCEPT  rossa:XX.XX.XX.XX   $FW     tcp     10000 (accetta collegamenti sulla porta webmin)
DNAT    rossa:XX.XX.XX.XX     verde:192.168.0.113     tcp     3389 (port forwarding su un server windows 2003 interno. sempre solo da un determinato ip esterno)
REDIRECT        verde   8110    tcp     110 (per il check del traffico da parte di p3scan)
REDIRECT        verde   8080    tcp     80 (per il controllo dei contenuti da parte di Dansguardian)
Questa serie di regole dovrebbero permettervi una navigazione tranquilla degli utenti, ma anche una certa sicurezza (ad esempio impedire il peer to peer)
Maggiori info sulla sintassi le trovate nella documentazione ufficiale.
Inoltre le distro più adatte per questo uso, IMHO sono Debian e Trustix.
A presto con nuovi articoli sul tema!
Ah dimenticavo, un ottimo frontend per Shorewall è l’onnipresente Webmin!

Social Bookmarks

Hide Sites

Dansguardian, come molti di voi sapranno, è un content filter, un applicativo che si frappone tra l’utente ed il proxy Squid.
Il suo compito è quello di impedire la visualizzazione di siti con contenuto inappropriato, per esempio siti di armi, pornografici, di estremismo religioso ma anche impedire il download di contenuti potenzialmente pericolosi quali file .dll .exe .scr .cab e così via.
Inoltre è disponibile una patch per integrare l’antivirus ClamAv.
Tornerò con un post specifico sulla configurazione di Dansguardian, in particolare per la distro Trustix ma adesso volevo parlare di un piccolo “bug” che affligge gli utenti MSN Messenger (ed il nuovo Live).
Infatti per funzionare non basta solamente che la porta 80 sia aperta, ma anche che sia possibile “scaricare” delle .dll indispensabili per il funzionamento del Messenger.
Questi file sono ad esempio sqmserver.dll e dClient31.dll.
Ovviamente noi non configureremo Dansguardian per permettere il download di qualsiasi dll, ma discrimineremo i siti dal quale sarà possibile farlo, ovvero nella cartella /etc/dansguardian troveremo il file exceptionsitelist, che come dice il nome stesso, contiene i siti che “saltano” la protezione del content filter.
I siti da aggiumgere, linea per linea, sono:

1. live.com (il nuovo portale Microsoft)
2. msn.com
3. microsoft.com (ovviamente)

Così facendo risolviamo contemporaneamente il problema dei download degli aggiornamenti di Windows ed Office (file .cab)

Social Bookmarks

Hide Sites