Firewall linux: The ZEROSHELL Way
Zeroshell è una distribuzione Linux che permette di gestire i servizi di rete in modo semplice ma professionale.
Si tratta di una distribuzione Live CD, quindi non è necessario installarla su hard disk ma mantenere solo il Database delle configurazioni su apposita partizione. Il database può essere anche comodamente salvato su dispostivi USB o Compact Flash.
Eventuali Bug Fix di sicurezze od aggiornamenti potranno essere scaricati dal sistema in modo automatico via internet.
Oltre all'immagine ISO per CD sono disponibili immagini per Compact Flash da cui è possibile fare il boot utilizzando sistemi come Soekris o Alix
Extensys in quanto Partner Zeroshell organizza CORSI DI FORMAZIONE sull'uso di ZEROSHELL.
Contenuti del corso:
- Iptables: Cos'è, come si usa, le catene PREROUTING, POSTROUTING, FORWARD, INPUT e OUTPUT, esempi ed esercizi
- netwoking e ssh: concetti base di Networking, l'uso di ssh
- router, virtual server e nat: cos'è il routing, e cosa si intende per NAT, esempi ed esercizi
- DNS forwarders e gestione: i principi del DNS
- VPN lan-2-lan e host-2-lan: Cosa è una VPN e come si instaura un collegamento tra client e server
- QoS e limitazione banda e garanzia di banda
- Netbalancer: come gestire connessioni internet multiple in failover o load-balancing e le regole per una corretta gestione
- Captive portal: L'accesso con login alla rete LAN e WiFi
- Certificati SSL
- Filtro contenuti: i casi piu comuni, laboratori scolastici e filtro per le aziende
- Installazione ed utilizzo ALIX, prova pratica di installazione
-
Cosa è un Firewall
Caratteristiche salienti ZEROSHELL
- Load Balancing e Failover tra connessioni Internet Multiple (es. UMTS,ADSL,Satellite,VDSL...)
- Gestione delle connessioni UMTS/HDSPA
- Radius Server per gestire in modo sicuro le autenticazioni degli apparati Wireless
- Captive Portal per supportare il login web delle reti wireless e wired
- QoS per la gestione dello shaping della banda e controllare il traffico della rete. Si può cosi garantire una banda minima garantita, molto utile per gli ISP
- HTTP Proxy server con filtro sui contenuti. Utilizzato molto spesso nei Laboratori scolastici per bloccare i siti a contenuto non didattico oppure in azienda per bloccare Facebook.
- Host-to-Lan e Lan-to-Lan tramite OpenVPN, L2TP/IpSec
- Gestione delle VLAN ( Tagged VLAN )
- Firewall Packet filtering e SPI ( Statefull Packet Inspection )
Il dettaglio completo lo trovate sul sito dello sviluppatore
Fulvio Ricciardi
Il nome Zeroshell sottolinea che pur trattandosi di un sistema Linux (tradizionalmente amministrabile da shell), tutte le operazioni di amministrazione possono essere svolte tramite un'interfaccia Web: è sufficiente infatti, dopo aver assegnato un indirizzo IP tramite un terminale VGA o seriale, collegarsi con un browser all'indirizzo assegnato per configurare il tutto.
Firewall freeBSD: The pfSense Way
pfSense è una distribuzione freeBSD gratuida, personalizzata per essere un firewall ed un router.
pfSense® è un progetto abbondantemente testato che conta ormai più di 1.000.000 (fine primo trimestre 2011) di download ed innumerevoli installazioni in tutto il mondo che variano dall'uso domestico fino alla grande azienda, ente pubblico, ministeri ed università
Extensys organizza CORSI DI FORMAZIONE sull'uso di pfSense.
Caratteristiche principali di pfSense:
- Filtraggio da sorgente e destinazione IP, protocollo IP, porta sorgente e destinazione per TCP e UDP traffic
-
Politiche di routing ad alta flessibilità per la selezione del gateway sulle regole di base per il bilanciamento di manda, failover, WAN multiple, backup su più ADSL, ecc…
-
ossibilità di creazione Alias di gruppi di IP e nomi di IP, networks e porte. Queste caratteristiche aiutano a tenere la configurazione pulita e facile da comprendere, specialmente in configurazioni dove ci sono svariati IP pubblici e numerosi Server
-
Filtraggio trasparente Layer 2. Possibilità di bridgiare interfacce e filtrare il traffico tra queste
-
Normalizzazione di pacchetto. Descritto dalla documentazione di pf scrub. (Vedi documentazione). Abilitato di default. È possibile disabilitarlo se necessario
-
Possibilità di disabilitare il filtraggio (firewalling) per utilizzare pfSense® come puro router
-
pfSense® è un stateful firewall, per default tutte le regole sono stateful. Molti firewall non hanno la capacità di controllare la tabella degli stati. pfSense® ha numerose funzioni in grado di eseguire un controllo granulare della tabella dello stato, grazie alle caratteristiche di OpenBSD's pf.
-
Il Port forwards include un ranges e uso di IP pubblici multipli
-
NAT 1:1 per IP individuali o intere subnet
-
NAT Reflection – in qualche configurazione, NAT Reflection è utilizzato per servizi che possono accedere con IP pubblici da reti interne
-
Outbound NAT: Impostato di default, tutto il traffico in uscita verso l'IP della WAN. In configurazioni con WAN multiple, verrà usato il traffico in uscita all'IP dell'interfaccia WAN
Advanced Outbound NAT
-
Cluster Firewall : Il protocollo CARP da OpenBSD gestisce l'hadware failover. Due o più gruppi di firewall hardware possono essere configurati come un gruppo di failover. Se un'interfaccia si guasta sul dispositivo primario o il dispositivo primario va offline, il secondo si attiva. pfSense® include anche una capacità di sincronizzazione automatica tra il dispositivo primario ed il secondario. pfsync assicura che la tabella di stato del firewall è replicata su tutti firewall inseriti nel failover. Questo significa che le connessioni esistenti saranno mantenute nel caso di failure.
-
Bilanciamento di carico in uscita: (Outbound)
Il load balancing in uscita è usato su WAN multiple per fornire il bilanciamento ed il failover. Il traffico è diretto verso un gateway designato o un pool di bilanciamento di carico definito nelle regole di base del firewall.
-
Inbound Load Balancing:
Il bilanciamento di carico in ingresso è usato per distribuire il carico tra vari server. È comunemente usato per con server web, server di posta e altri. I server che non rispondono al ping o connessione TCP su porta definita saranno esclusi dal pool.
-
VPN: pfSense® offre tre tipologie per la connettività VPN, IPsec, OpenVPN, e PPTP.
-
Report e Monitoraggio:
Grafici RRD. I grafici RRD in pfSense® forniscono le seguenti informazioni:
Utilizzo della CPU,
Traffico totale,
Stato del firewall,
Traffico individuale sulle interfacce,
Packets per second rates per tutte le interfacce,
Tempo di risposta al ping del gateway dell'interfaccia WAN,
Code di traffic shaper sul sistema se il traffic shaper è abilitato.
-
Informazioni in tempo reale:
Le informazioni della storia del sistema sono importanti, ma qualche volta sono più importanti le informazioni real time. I grafici SVG mostrano il traffico in real time per tutte le interfacce. La pagina iniziale include grafici AJAX che mostrano il tempo reale il carico della CPU, memoria, swap e spazio disco usato e la tabella di stato.