Capitolo 12. Configurazione di base del firewall
Proprio come un muro che cerca di impedire che il fuoco si propaghi ad altre aree di un edificio in fiamme, il firewall del computer cerca di impedire a virus pericolosi e utenti non autorizzati di accedere al vostro computer. Il firewall si colloca tra il computer e la rete e determina i servizi del computer ai quali gli utenti remoti possono accedere tramite la rete. Un firewall configurato correttamente pu� potenziare la sicurezza del vostro sistema. Si consiglia di configurare un firewall per ogni sistema Red Hat Linux dotato di connessione a Internet.
Security Level Configuration Tool
Nella schermata di Configurazione del firewall dell'installazione di Red Hat Linux, avete la possibilit� di scegliere il livello di sicurezza (alto, medio, basso), nonch� di abilitare dispositivi specifici, servizi in entrata e porte.
A installazione avvenuta, potete cambiare il livello di sicurezza del vostro sistema utilizzando Security Level Configuration Tool. Se preferite un'applicazione basata su procedure guidate, consultate la sezione GNOME Lokkit.
Per avviare l'applicazione, selezionate Pulsante del menu principale (sul Pannello) => System Settings => Livello di sicurezza o digitate il comando redhat-config-securitylevel al prompt della shell, per esempio in un terminale XTerm o GNOME.
Selezionate il livello di sicurezza desiderato dal menu a tendina.
- Alto
Se scegliete Alto, il vostro sistema non accetter� le connessioni, diverse dalle impostazioni predefinite, che non siano state definite in modo esplicito. Per default, sono consentite solo le seguenti connessioni:
Risposte DNS
DHCP — per fare in modo che le interfacce di rete che utilizzano il protocollo DHCP possano essere configurate in modo appropriato
Se scegliete Alto, il vostro firewall non consentir� quanto segue:
FTP in modalit� attiva (FTP in modalit� passiva, utilizzato per default nella maggior parte dei client, dovrebbe comunque funzionare
Trasferimenti di file IRC DCC
RealAudioTM
Client del sistema X Window remoto
La scelta pi� sicura � la connessione del sistema a Internet, quando non si stabilisce di installare un server. Se sono necessari servizi aggiuntivi, potete scegliere Personalizza per consentire servizi specifici attraverso il firewall.
Nota Bene Se selezionate un firewall medio o alto da configurare durante l'installazione, i metodi di autenticazione di rete (NIS e LDAP) non funzioneranno.
- Medio
Se scegliete Medio, il vostro firewall non consentir� ai computer remoti di avere l'accesso a determinate risorse del vostro sistema. Per default, non � consentito l'accesso alle seguenti risorse:
Porte inferiori alla 1023 — le porte standard riservate, utilizzate dalla maggior parte di servizi di sistema, come FTP, SSH, telnet, HTTP e NIS.
La porta del server NFS (2049) — NFS � disabilitato per i server remoti e i client locali.
La visualizzazione del sistema X Window locale per i client X remoti.
La porta del server dei font X (per default xfs non ascolta la rete ed � disabilitato nel server dei font).
Se desiderate consentire l'accesso a risorse come RealAudioTM pur continuando a bloccare l'accesso a servizi di sistema comuni, scegliete Medio. Selezionate Personalizza per consentire l'accesso a servizi specifici attraverso il firewall.
Nota Bene Se selezionate un firewall medio o alto da configurare durante l'installazione, i metodi di autenticazione di rete (NIS e LDAP) non funzioneranno.
- Nessun firewall
Questa opzione fornisce l'accesso completo al vostro sistema e non esegue alcun controllo sulla sicurezza. Tale controllo disabilita l'accesso a determinate risorse. L'opzione deve essere selezionata solo se � installata una rete fidata (non Internet) o se pianificate di eseguire la configurazione di pi� firewall in seguito.
Scegliete Personalizza per aggiungere dispositivi fidati o consentire altri servizi in ingresso.
- Periferiche fidate
La selezione di una delle Periferiche fidate consente l'accesso al vostro sistema di tutto il traffico proveniente da tale dispositivo. Non fa parte delle regole del firewall. Se, per esempio, � installata una rete locale, ma la connessione a Internet avviene tramite un protocollo PPP, potete selezionare eth0 e tutto il traffico proveniente dalla rete locale sar� consentito. La selezione di eth0 come dispositivo fidato indica che � consentito tutto il traffico attraverso le reti Ethernet, purch� l'interfaccia ppp0 sia ancora dotata di firewall. Se desiderate limitare il traffico relativo a un'interfaccia, lasciate l'opzione deselezionata.
Non � consigliabile rendere Periferiche fidate tutti i dispositivi connessi alle reti pubbliche, come Internet.
- Permetti in ingresso
L'abilitazione di queste opzioni consente ai servizi specificati di passare attraverso il firewall. Durante l'installazione di una workstation la maggior parte di questi servizi non � installata nel sistema.
- DHCP
Se consentite le query e le risposte DHCP in entrata, fate in modo che tutte le interfacce di rete che utilizzano il protocollo DHCP possano determinare il proprio indirizzo IP. DHCP � in genere abilitato. In caso contrario, il vostro computer non pu� pi� ottenere un indirizzo IP.
- SSH
Secure SHell (SSH) � una serie di strumenti per l'accesso e l'esecuzione di comandi in un computer remoto. Se stabilite di utilizzare gli strumenti SSH per accedere al vostro computer attraverso un firewall, abilitate questa opzione. � necessario che sia installato il pacchetto openssh-server per poter accedere al computer da remoto mediante gli strumenti SSH.
- Telnet
Telnet � un protocollo per l'accesso a computer remoti. Le comunicazioni Telnet non sono criptate e non forniscono alcuna sicurezza. L'abilitazione dell'accesso a Telnet in entrata non � consigliato. Se desiderate consentire l'accesso Telnet in entrata, sar� necessario installare il pacchetto telnet-server.
- WWW (HTTP)
Il protocollo HTTP � utilizzato da Apache e da altri server Web per le pagine Web. Se pensate di rendere il vostro server Web disponibile pubblicamente, abilitate questa opzione, che non � necessaria per visualizzare le pagine localmente o per sviluppare le pagine Web. Sar� necessario installare il pacchetto apache perch� sia utile alle pagine Web.
La selezione di WWW (HTTP) non aprir� una porta per HTTPS. Per abilitare HTTPS, specificatelo nel campo Altre porte.
- Mail (SMTP)
Se desiderate consentire la ricezione della posta in entrata attraverso il vostro firewall, per fare in modo che gli host remoti possano connettersi direttamente al computer per inviare la posta, abilitate questa opzione. Non � necessario abilitarla se la posta vi arriva dal server del vostro provider di servizi Internet che utilizza POP3 o IMAP oppure se utilizzate uno strumento come fetchmail. Un server SMTP non configurato in modo appropriato pu� fare in modo che i computer remoti utilizzino il vostro server per inviare spam.
- FTP
Il protocollo FTP � utilizzato per trasferire i file tra i computer di una rete. Se stabilite di rendere il vostro server FTP disponibile pubblicamente, abilitate questa opzione. � necessario installare il pacchetto wu-ftpd e possibilmente anonftp perch� questa opzione sia utile.
- Altre porte
� possibile consentire l'accesso a porte che non sono disponibili subito, elencandole nel campo Altre porte. Utilizzate il seguente formato: port:protocol. Se, per esempio, desiderate consentire l'accesso IMAP attraverso il vostro firewall, potete specificare imap:tcp. Potete inoltre specificare in modo esplicito porte numeriche. Per consentire pacchetti UDP sulla porta 1234 attraverso il firewall, immettete 1234:udp. Per specificare pi� porte, separatele con le virgole.
� necessario che il servizio iptables sia abilitato e in esecuzione per attivare il livello di sicurezza. Per ulteriori informazioni, consultate la sezione Attivazione del servizio iptables.