Capitolo 13. Configurazione di base del firewall
Proprio come un muro che cerca di impedire che il fuoco si propaghi ad altre aree di un edificio in fiamme, il firewall del computer cerca di impedire a virus pericolosi e utenti non autorizzati di accedere al vostro computer. Il firewall si colloca tra il computer e la rete e determina i servizi del computer ai quali gli utenti remoti possono accedere tramite la rete. Un firewall configurato correttamente può potenziare la sicurezza del vostro sistema. Si consiglia di configurare un firewall per ogni sistema Red Hat Linux dotato di connessione a Internet.
13.1. Strumento di configurazione del livello di sicurezza
Nella schermata di Configurazione del firewall dell'installazione di Red Hat Linux, avete la possibilità di scegliere il livello di sicurezza (alto, medio, basso), nonché di abilitare dispositivi specifici, servizi in entrata e porte.
A installazione avvenuta, potete cambiare il livello di sicurezza del vostro sistema utilizzando Strumento di configurazione del livello di sicurezza. Se preferite un'applicazione basata su procedure guidate, consultate la Sezione 13.2.
Per avviare l'applicazione, selezionate Pulsante del menu principale (sul Pannello) => Impostazioni del sistema => Livello di sicurezza o digitate il comando redhat-config-securitylevel al prompt della shell, per esempio in un terminale XTerm o GNOME.
Selezionate il livello di sicurezza desiderato dal menu a tendina.
- Alto
Se scegliete Alto, il vostro sistema non accetterà le connessioni, diverse dalle impostazioni predefinite, che non siano state definite in modo esplicito. Per default, sono consentite solo le seguenti connessioni:
Risposte DNS
DHCP — per fare in modo che le interfacce di rete che utilizzano il protocollo DHCP possano essere configurate in modo appropriato
Se scegliete Alto, il vostro firewall non consentirà quanto segue:
FTP in modalità attiva (FTP in modalità passiva, utilizzato per default nella maggior parte dei client, dovrebbe comunque funzionare
Trasferimenti di file IRC DCC
RealAudio™
Client del sistema X Window remoto
La scelta più sicura è la connessione del sistema a Internet, quando non si stabilisce di installare un server. Se sono necessari servizi aggiuntivi, potete scegliere Personalizza per consentire servizi specifici attraverso il firewall.
Nota Bene Se selezionate un firewall medio o alto da configurare durante l'installazione, i metodi di autenticazione di rete (NIS e LDAP) non funzioneranno.
- Medio
Se scegliete Medio, il vostro firewall non consentirà ai computer remoti di avere l'accesso a determinate risorse del vostro sistema. Per default, non è consentito l'accesso alle seguenti risorse:
Porte inferiori alla 1023 — le porte standard riservate, utilizzate dalla maggior parte di servizi di sistema, come FTP, SSH, telnet, HTTP e NIS.
La porta del server NFS (2049) — NFS è disabilitato per i server remoti e i client locali.
La visualizzazione del sistema X Window locale per i client X remoti.
La porta del server dei font X (per default xfs non ascolta la rete ed è disabilitato nel server dei font).
Se desiderate consentire l'accesso a risorse come RealAudio™ pur continuando a bloccare l'accesso a servizi di sistema comuni, scegliete Medio. Selezionate Personalizza per consentire l'accesso a servizi specifici attraverso il firewall.
Nota Bene Se selezionate un firewall medio o alto da configurare durante l'installazione, i metodi di autenticazione di rete (NIS e LDAP) non funzioneranno.
- Nessun firewall
Questa opzione fornisce l'accesso completo al vostro sistema e non esegue alcun controllo sulla sicurezza. Tale controllo disabilita l'accesso a determinate risorse. L'opzione deve essere selezionata solo se è installata una rete fidata (non Internet) o se pianificate di eseguire la configurazione di più firewall in seguito.
Scegliete Personalizza per aggiungere dispositivi fidati o consentire altri servizi in ingresso.
- Periferiche fidate
La selezione di una delle Periferiche fidate consente l'accesso al vostro sistema di tutto il traffico proveniente da tale dispositivo. Non fa parte delle regole del firewall. Se, per esempio, è installata una rete locale, ma la connessione a Internet avviene tramite un protocollo PPP, potete selezionare eth0 e tutto il traffico proveniente dalla rete locale sarà consentito. La selezione di eth0 come dispositivo fidato indica che è consentito tutto il traffico attraverso le reti Ethernet, purché l'interfaccia ppp0 sia ancora dotata di firewall. Se desiderate limitare il traffico relativo a un'interfaccia, lasciate l'opzione deselezionata.
Non è consigliabile rendere Periferiche fidate tutti i dispositivi connessi alle reti pubbliche, come Internet.
- Permetti in ingresso
L'abilitazione di queste opzioni consente ai servizi specificati di passare attraverso il firewall. Durante l'installazione di una workstation la maggior parte di questi servizi non è installata nel sistema.
- DHCP
Se consentite le query e le risposte DHCP in entrata, fate in modo che tutte le interfacce di rete che utilizzano il protocollo DHCP possano determinare il proprio indirizzo IP. DHCP è in genere abilitato. In caso contrario, il vostro computer non può più ottenere un indirizzo IP.
- SSH
Secure SHell (SSH) è una serie di strumenti per l'accesso e l'esecuzione di comandi in un computer remoto. Se stabilite di utilizzare gli strumenti SSH per accedere al vostro computer attraverso un firewall, abilitate questa opzione. È necessario che sia installato il pacchetto openssh-server per poter accedere al computer da remoto mediante gli strumenti SSH.
- Telnet
Telnet è un protocollo per l'accesso a computer remoti. Le comunicazioni Telnet non sono criptate e non forniscono alcuna sicurezza. L'abilitazione dell'accesso a Telnet in entrata non è consigliato. Se desiderate consentire l'accesso Telnet in entrata, sarà necessario installare il pacchetto telnet-server.
- WWW (HTTP)
Il protocollo HTTP è utilizzato da Apache e da altri server Web per le pagine Web. Se pensate di rendere il vostro server Web disponibile pubblicamente, abilitate questa opzione, che non è necessaria per visualizzare le pagine localmente o per sviluppare le pagine Web. Sarà necessario installare il pacchetto apache perché sia utile alle pagine Web.
La selezione di WWW (HTTP) non aprirà una porta per HTTPS. Per abilitare HTTPS, specificatelo nel campo Altre porte.
- Mail (SMTP)
Se desiderate consentire la ricezione della posta in entrata attraverso il vostro firewall, per fare in modo che gli host remoti possano connettersi direttamente al computer per inviare la posta, abilitate questa opzione. Non è necessario abilitarla se la posta vi arriva dal server del vostro provider di servizi Internet che utilizza POP3 o IMAP oppure se utilizzate uno strumento come fetchmail. Un server SMTP non configurato in modo appropriato può fare in modo che i computer remoti utilizzino il vostro server per inviare spam.
- FTP
Il protocollo FTP è utilizzato per trasferire i file tra i computer di una rete. Se stabilite di rendere il vostro server FTP disponibile pubblicamente, abilitate questa opzione. È necessario installare il pacchetto wu-ftpd e possibilmente anonftp perché questa opzione sia utile.
Cliccare OK per attivare il firewall. Dopo aver cliccato OK, le opzioni selezionate vengono trasmesse sui comandi iptables e scritte sul file /etc/sysconfig/iptables. Il servizio iptables viene avviato in modo tale che il firewall viene attivato immediatamente dopo aver salvato le opzioni selezionate.
 | Attenzione |
|---|---|
Se avete configurato un firewall o qualsiasi altre regole inerenti il firewall, nel file /etc/sysconfig/iptables, il suddetto file sará cancellato, se viene selezionato No Firewall e se cliccate OK per salvare i cambiamenti. |
Le opzioni selezionate sono anche scritte sul file /etc/sysconfig/redhat-config-securitylevel cosí l'impostazione puó essere ripristinata la prossima volta che l'applicazione viene avviata. Non modificate manualmente questo file.
Per attivare il servizio iptables ad un avvio automatico al momento dell'avvio, consultate la Sezione 13.3 per maggiori informazioni.