Embed Size (px)
DESCRIPTION
i3wall è un firewall/antivirus/antispam/vpn server di realizzazione Intré S.r.l. È l'apparato che consente un utilizzo regolato e sicuro di Internet, evitando il rischio di accessi indesiderati dall'esterno e di utilizzi impropri o indiscriminati. Garantisce elevati livelli di protezione alla Vostra rete aziendale pur mantenendo flessibilità e facilità d'uso. È compatto e semplice da gestire ed utilizzare: i3wall non necessita di attività di manutenzione periodica
Citation preview
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 1
Corso i3wall
I3wall: una Introduzione
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 2
Corso i3wall
Agenda
1. Virtual Private Network (Cipe, OpenVPN,IPSec, PPTP)
2. Antivirus (ClamAV) e antispamming (SpamAssassin)
3. Proxy Http4. Regole di licensing di i3wall
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 3
Corso i3wall
Virtual Private Network: cos’èUna virtual private network, o più semplicemente VPN, è un sistema che consente di accedere in modo sicuro alla propria rete aziendale attraverso Internet, sostituendo l’ormai obsoleto accesso remoto attraverso modem analogici o digitali, aumentando così le prestazioni e diminuendo i costi.
VPNVPN
Accesso remoto
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 4
Corso i3wall
Le soluzioni offerte dalla VPN
Nella sua applicazione più semplice la VPN costituisce un accesso remoto alla LAN tramite la rete pubblica Internet. In particolare
permette di sfruttare le connessioni a banda larga (xDSL, Fibra) oltre alle più lente linee analogiche e
ISDN.
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 5
Corso i3wall
Le soluzioni offerte dalla VPN
In un contesto più avanzato, la VPN prevede la possibilità di mettere in
comunicazione due reti distinte agevolando lo scambio di dati: ad esempio tra due sedi della stessa
azienda.
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 6
Corso i3wall
Le soluzioni offerte dalla VPN
Nulla vieta poi di combinare i due ambienti analizzati in precedenza in una soluzione di connettività globale!
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 7
Corso i3wall
VPN attraverso IPSEC
Grazie al supporto di IPSec, standard di comunicazione crittografata, i3wall è in grado di stabilire connessioni VPN con apparecchiature di comunicazione che supportino lo stesso standard (firewall, router, server dei principali produttori).
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 8
Corso i3wall
OpenVPN: configurazione
Modificare il file extuser.ovpn specificando:...remote <company internet ip>port <porta tcp>...
ifconfig <lan ip address> <subnet mask>...
Modificare il file /i3cnf/openvpn/officex.conf specificando:...local <i3wall internet ip>port <porta tcp>...
Modificare il file /i3cnf/openvpn/intre.sh specificando:...ifconfig br0 <i3wall lan ip address> netmask <subnet mask> broadcast <broadcast address>...
Installare il client di openvpn sul client di rete remoto e copiarvi, in un’unica directory, i file:
1. Extuser.ovpn2. Extuser.crt3. Extuser.key4. I3wall.crt
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 9
Corso i3wall
Clam AntivirusSu i3wall è attivo
(se previsto dall’installazione)
ClamAV, programma
antivirus OpenSource in
grado di rilevare e bloccare eventuali pericoli presenti
nelle mail in ingresso ed uscita comunicando le
condizioni di allarme a mezzo
e-mail agli amministratori di
rete. La sua manutenzione è pressoché nulla (aggiornamento
automatico).
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 10
Corso i3wall
Clam Antivirus: configurazione
La configurazione dell’antivirus avviene molto banalmente eseguendo al prompt il comando:
/i3cnf/qmail-scanner/qmscanconf <dominio>
Dove <dominio> indica il dominio di posta elettronica di cui l’antivirus deve eseguire la scansione, ad esempio intre.it o microsoft.it.
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 11
i3wall dispone anche di SpamAssassin, programma anti spam opensource in grado di
rilevare messaggi indesiderati con una percentuale di successo
compresa fra il 95% e il 99%. Il subject delle mail riconosciute come spam viene normalmente modificato anteponendovi il tag ****SPAM ****.
Le mail così identificato sono comunque spedite insieme al resto
delle mail al server di posta per lasciare all’utente finale la decisione
sul loro trattamento.
Corso i3wall
SpamAssassin
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 12
Corso i3wall
SpamAssassin (configurazione qmail tramite webmin)
•Servers/Qmail/QmailOptions:Impostare il nome dell’host comprensivo di dominio (Local Host Name)
•Servers/Qmail/AcceptedDomains:Introdurre la lista di domini da gestire (Accepted local and relay domains)
•Servers/Qmail/DomainRouting:
Introdurre il server di posta al quale inviare le email dopo il controllo dello spam (Delivery directly)
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 13
Corso i3wall
SpamAssassin (configurazione)
E’ possibile aumentare o diminuire la sensibilità di
SpamAssassin permettendo quindi la rilevazione dello spam
con maggiore precisione a seconda del contesto
Indicando quali sono le lingue nelle quali si aspetta di
ricevere le mail è possibile aumentare l’efficienza nella
rilevazione dello spam
E’ possibile customizzare la tag con la quale viene segnato il subject delle mail identificate
come spam
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 14
Corso i3wall
Proxy
i3wall è anche un server proxy che aggiunge le seguenti funzionalità alla rete aziendale:
•Cache delle pagine web sul disco di i3wall aumentando le prestazioni•Maggiore sicurezza della rete in quanto gli accessi a pagine web vengono effettuati da i3wall per conto dei client della rete.•Controllo dell’accesso ad internet per mezzo di autenticazione•Limitazione del consumo della banda disponibile (Traffic Shaping)•Limitazione della tipologia di contenuti fruibili (Web Content Filtering) tramite appositi add-on opensource (pianificato per settembre 2004).
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 15
Corso i3wall
Proxy: configurazione in Webmin
System/BootUp&ShutDown:
Abilitare il servizio e impostare l’avvio dello stesso allo startup
•Servers/Squid/Ports&Network:Modificare eventualmente la porta del proxy
•Servers/Squid/AuthenticationPrograms:Impostare il metodo d’autenticazione (none,pop,imap)
•Servers/Squid/AccessControl/ProxyRestrictions:Sostituire la linea “Allow LocalNetwork” con “Allow users_auth” nel caso si sia scelto come metodo di autenticazione pop o imap
•Servers/Squid/DelayPools:Abilitare o disabilitare il traffic shaping impostando il throughput del delay pool configurato di default
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 16
Corso i3wall
Proxy: configurazione al prompt dei comandi
•Spostarsi nella directory /i3cnf/squid
•Modificare il file imapauth.py modificando la seguente linea:server=127.0.0.1inserver=<imap server>dove <imap server> è l’indirizzo ip o il nome del server imap.
•Modificare il file popauth.py modificando la seguente linea:server=127.0.0.1inserver=<pop server>dove <pop server> è l’indirizzo ip o il nome del server pop.
T1114
INTRÉ S.r.l.Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: [email protected].& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v. 17
Corso i3wall
Licensing
i3wall è protetto da un sistema di licensing basato su licenze autenticate crittograficamente.Ottenendo una licenza per N
utenti il sistema verifica la validità della stessa e limita
l’accesso ad internet (porte 80, 21, 22, 23) a N host
contemporanei.
