Linux – Sicurezza di base: Firestarter

L’antivirus non è sicuramente uno dei programmi indispensabili su una Linux Box. Un buon firewall invece non guasta, diventa anzi indispensabile soprattutto se abbiamo una connessione always-on.

Premetto che personalmente utilizzo la distribuzione Ubuntu 6.10 Edgy, è quindi su questa che saranno basati i miei commenti.

Nei sistemi GNU/Linux è già presente Netfilter, un componente direttamente integrato nel kernel che si occupa di gestire il traffico di rete. L’utente può naturalmente mettere mano sulle impostazioni di Netfiler senza la necessità di doversi districare col kernel! A tale scopo è infatti disponibile il programma Iptables. Un’eccellente documentazione su Iptables la trovate su Pluto (appunti di informatica libera) o su Wikipedia. Iptables si rivela sicuramente un tool ottimo e potente ma non risulta molto user-friendly: tanto per dirne una non è dotato di un’interfaccia grafica…

Per fortuna ci sono diverse applicazioni che vengono in nostro soccorso. Si tratta in genere di programmi che si limitano ad operare come “intermediari” tra noi e Iptables (il quale a sua volta va poi ad operare su Netfilter). Una di queste applicazioni che funziona egregiamente con la mia distribuzione di Linux è Firestarter.

Per installare Firestarter digitate in un terminale:
apt-get install firestarter
(Potete anche installare l’applicazione tramite Synaptic)

Ora andate in Sistema, Amministrazione, Firestarter (oppure controllate in Applicazioni, Internet, Firestarter). Se per qualche strano motivo non dovesse apparire l’icona potete comunque richiamare l’applicazione semplicemente digitando il comando “firestarter” in un terminale.

La procedura guidata vi porrà ora due semplici domande. Come prima cosa scegliete il dispositivo di rete che volete configurare. Se siete connessi tramite un router DSL selezionate la scheda Ethernet.

schermata-assistente-1.png

La seconda cosa che vi verrà chiesta è se volete attivare una condivisione Internet (utile se avete una LAN). Nella maggioranza dei casi non è un’opzione che ci possa interessare, non spuntiamo quindi la casella e procediamo oltre.

schermata-assistente-2.png

Ci verrà finalmente attivato il firewall.

Firestarter è composto da tre schede: Status, Events, Policy.
Status è il “sommario”: ci dice per esempio se il firewall è attivo e la quantità di dati in entrata e in uscita.
Events permette di vedere gli eventuali tentativi di accesso bloccati dal firewall.
La scheda Policy permette invece di andare a creare le regole per il firewall.

Le prime regole che andremo a creare sono quelle per il traffico in entrata. Controlliamo quindi che sia selezionato “Inbound traffic policy”. Potrete notare due finestre orizzontali: “allow connection from host” e “allow service”. Per un utilizzo “standard” quella che ci può servire configurare è “allow service”. Da qui possiamo decidere a quali servizi consentire il traffico in entrata. Clicchiamo quindi con il tasto destro del mouse all’interno di questa finestra.

schermata-firestarter-2bfree.png

Dal menù a tendina che comparirà selezioniamo “Add Rule”. Per esempio, per configurare le regole che permettono un corretto utilizzo del programma peer to peer “aMule” dovrete inserire le porte 4662, 4672, 4665, 4661.

schermata-add-new-inbound-rule.png

Possiamo ora passare all’impostazione delle regole per il traffico in uscita: “Outbound traffic policy”. Se ci trovassimo su un sistema Microsoft Windows, con tutti i malware che circolano, sarebbe d’obbligo scegliere la policy “Restrictive by default, whitelist traffic”; dato che invece utilizziamo Linux possiamo anche limitarci alla policy “Permissive by default, blacklist traffic”. Lasciamo quindi che qualsiasi applicazione possa liberamente comunicare con l’esterno, eccetto quelle che inseriremo eventualmente nella “lista nera”.

schermatafirestarter-2bfree.png

Per rendere immediatamente effettive tutte le modifiche apportate cliccare sul pulsante di conferma “Apply Policy”. Avete ora un minimo di protezione in più, buona navigazione🙂

~ di 2BFree su marzo 9, 2007.

11 Risposte to “Linux – Sicurezza di base: Firestarter”

  1. Interessante la guida!!! .. Io però preferisco smanettare direttamente con iptables, conosci un posto dove ci siano TUTTE le regole “utili” da inserire nel firewall di base?!? ..

    Perchè ho sempre paura che me ne scappi qualcuna ..😉

  2. Alcune regole di base sono spiegate da How To Forge (http://www.howtoforge.com/linux_iptables_sarge). Adoro questo sito.

    La migliore documentazione per IpTables è comunque fornita direttamente dal sito ufficiale: http://www.netfilter.org/documentation/index.html
    Oppure ovviamente c’è sempre il buon vecchio comando “man iptables”.

    Uno dei migliori HowTo italiani credo invece sia questo: http://www.netfilter.org/documentation/HOWTO/it/packet-filtering-HOWTO.html

  3. Ma per internet via LAN e modem quali porte si devono abilitare?

  4. @ Rascal: le porte da abilitare non dipendono dal tipo di connessione ma dal programma a cui vuoi consentire l’accesso. Pertanto, se ti riferisci all’esempio della guida (programma aMule), le porte da abilitare sono le 4662, 4672, 4665, 4661. Se vuoi utilizzare anche la funzione “controllo remoto di aMule” devi abilitare anche la porta 4711.

  5. Grazie, questo l’ho trovato, ma quello che mi serve è aprire la connessione per il WEB, perchè non mi fa entrare in rete, per farlo devo disabilitare il firewall,quindi ho le porte di entrata al PC chiuse ( quelle in uscita sono sempre spalancate ) . Non ho ancora capito cosa devo fare con sto benedetto firewall

  6. @ Rascal: è strano, il web (http) dovrebbe funzionare anche se non apri la relativa porta, soprattutto perché stiamo parlando di connessioni in uscita… Ad ogni modo, se per curiosità vuoi provare, la porta da aprire sarebbe la n.80. Mi sembra però più un problema di errata selezione del dispositivo ( https://2befree.files.wordpress.com/2007/03/schermata-assistente-1.png ): vedo che hai un IP dinamico quindi se utilizzi un modem seleziona quello (cioè qualcosa di simile a “ppp0”) e non la scheda di rete (“eth0”) e prova anche magari a togliere il segno di spunta ad “indirizzo ip assegnato tramite DHCP”.

  7. Ti ringrazio, riguardo alla connessione può essere anche se il PC è collegato cosi scheda di rete nel PC e cavo LAN che va al modem un D-Link-320T. Sul modem sono aperte parecchie discussioni, c’è chi sostiene anche che in realtà sia un router, ma non so, comunque faccio delle prove , ciaoo.

  8. Allora l’ho installato, non mi fa configurare in pppO mi da solo EthO, dunque l’ho lasciato cosi come è e pare funzioni, grazie e ciaoo.

  9. […] potete dotarvi di un’interfaccia grafica che vi semplifichi il compito di impostarlo: vedi Firestarter. Come antivirus consiglio invece ClamAV: abbastanza aggiornato, semplice, leggero (ne esistono di […]

  10. io voglio condividere la musica mediante il DAAP di Rhythmbox, ma non riesco proprio a configurare Firestarter per farlo (porta 3689) a meno che non lo stoppo su entrambi i pc!
    😉

  11. Io facendo un test su https://www.grc.com/x/ne.dll?rh1dkyd2 ottengo tutte le porte stealth e ho inserito in outbound traffic quasi tutte le porte http,imap,ecc ecc però il test mi dice “Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers” cosa posso fare?

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger cliccano Mi Piace per questo: