<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9"> <TITLE>Linux Security HOWTO: Sicurezza di Rete</TITLE> <LINK HREF="Security-HOWTO-9.html" REL=next> <LINK HREF="Security-HOWTO-7.html" REL=previous> <LINK HREF="Security-HOWTO.html#toc8" REL=contents> </HEAD> <BODY> <A HREF="Security-HOWTO-9.html">Avanti</A> <A HREF="Security-HOWTO-7.html">Indietro</A> <A HREF="Security-HOWTO.html#toc8">Indice</A> <HR> <H2><A NAME="network-security"></A> <A NAME="s8">8. Sicurezza di Rete</A></H2> <P>La sicurezza di rete diventa sempre più importante perché il tempo di connessione ad Internet è sempre maggiore. Compromettere la sicurezza di rete è spesso molto più facile che compromettere la sicurezza fisica o locale ed è anche molto più comune. <P>Esiste una serie di buoni strumenti per aiutare nella sicurezza di rete e molti nuovi vengono inclusi nelle distribuzioni Linux. <P> <P> <H2><A NAME="ss8.1">8.1 Sniffer di Pacchetti</A> </H2> <P>Uno dei modi più comuni con cui gli intrusori entrano in molti sistemi della vostra rete è l'uso di uno sniffer di pacchetti su un host già compromesso. Questo "sniffer" aspetta sulla porta Ethernet dati come <CODE>passwd</CODE>, <CODE>login</CODE> e <CODE>su</CODE> nel flusso dei dati e quindi registra il traffico successivo. In questo modo chi lo usa ottiene le password di sistemi a cui non hanno neppure tentato un attacco. Le password in chiaro sono molto vulnerabili a questo tipo di attacco. <P>Esempio: L'host A è stato compromesso. L'attaccante installa uno sniffer. Lo sniffer intercetta l'amministratore mentre fa un login dall'host B al C. Ottiene la password personale dell'amministratore. Poi, l'amministratore usa <CODE>su</CODE> per risolvere un problema. Ora si conosce anche la password di root per l'host B. Più tardi l'amministratore lascia che dal suo acconto qualcuno usi telnet per connettersi all'host Z. Ora l'attaccante ha il login e la password per l'host Z. <P>Oggi l'attaccante non ha neanche più bisogno di compromettere un sistema per usare questa tecnica: potrebbe semplicemente portare un portatile o un PC nell'edificio e connettersi alla vostra rete. <P>Usare <CODE>ssh</CODE> o altri metodi di crittografia delle password blocca questo attacco. Anche cose come APOP per gli account POP lo impediscono (I normali login POP sono molto vulnerabili a questo attacco, come ogni cosa che mandi password in chiaro su una rete). <P> <P> <H2><A NAME="ss8.2">8.2 Servizi di sistema e tcp_wrappers</A> </H2> <P>Prima di mettere un sistema Linux su <CODE>QUALSIASI</CODE> rete la prima cosa da sapere è quali servizi volete offrire. I servizi che non volete devono essere disabilitati, così da avere una cosa in meno di cui preoccuparsi e un possibile buco in meno per un intruso. <P>Ci sono molti modi per disabilitare i servizi sotto Linux. Potete leggere il vostro <CODE>/etc/inetd.conf</CODE> e vedere quali servizi vengono offerti dal vostro <CODE>inetd</CODE>. Potete disabilitare tutti quelli che non vi servono commentandoli (<CODE>#</CODE> all'inizio della linea), e quindi mandando al processo inetd un SIGHUP. <P>Potreste rimuovere (o commentare) servizi nel vostro <CODE>/etc/services</CODE>. Questo impedirà l'uso del servizio anche da client locali (cioè se rimuovete <CODE>ftp</CODE> e provate a connettervi con ftp ad un host remoto da quella macchina otterrete solo un messaggio di "servizio sconosciuto"). In genere il gioco non vale la candela, visto che non dà ulteriori garanzie. Se qualcuno volesse usare <CODE>ftp</CODE> anche se l'avete commentato, potrebbe farsi un proprio client che usi la porta FTP e funzionerebbe benone. <P>Alcuni servizi che dovreste lasciare disponibili sono: <P> <UL> <LI><CODE>ftp</CODE></LI> <LI><CODE>telnet</CODE> (o <CODE>ssh</CODE>)</LI> <LI>mail, come <CODE>pop-3</CODE> o <CODE>imap</CODE></LI> <LI><CODE>identd</CODE></LI> </UL> <P>Se sapete che non vi serve un pacchetto potete anche cancellarlo del tutto. <CODE>rpm -e <I>nome_pacchetto</I></CODE> nella distribuzione RedHat cancella un pacchetto intero. Nella Debian <CODE>dpkg --remove</CODE> fa lo stesso. <P>Inoltre, dovreste davvero evitare che le utility rsh/rlogin/rcp, inclusi login (usato da <CODE>rlogin</CODE>), shell (usato da <CODE>rcp</CODE>) ed exec (usato da <CODE>rsh</CODE>) siano eseguite da <CODE>/etc/inetd.conf</CODE>. Questi protocolli sono molto insicuri e sono stati l'origine di exploit in passato. <P>Dovreste controllare <CODE>/etc/rc.d/rc[0-9].d</CODE> (sulla Red Hat; <CODE>/etc/rc[0-9].d</CODE> sulla Debian), e vedere se vengono avviati server che non sono necessari. I file in quelle directory sono link simbolici ai file nella directory <CODE>/etc/rc.d/init.d</CODE> (sulla Red Hat; <CODE>/etc/init.d</CODE> sulla Debian). Rinominare i file nella directory <CODE>init.d</CODE> blocca tutti i link simbolici che puntano a quel file. Se volete solo disabilitare un servizio per un particolare runlevel, rinominate il giusto link simbolico sostituendo la <CODE>S</CODE> maiuscola con una minuscola, così: <P> <BLOCKQUOTE><CODE> <PRE> root# cd /etc/rc6.d root# mv S45dhcpd s45dhcpd </PRE> </CODE></BLOCKQUOTE> <P>Se avete file rc <CODE>rc</CODE> in stile BSD, controllate in <CODE>/etc/rc*</CODE> se ci sono programmi che non servono. <P>Con molte distribuzioni Linux viene distribuito un tcp_wrapper che "incapsula" tutti i vostri servizi TCP. Un tcp_wrapper(<CODE>tcpd</CODE>) viene invocato da <CODE>inetd</CODE> al posto del vero server. Quindi <CODE>tcpd</CODE> controlla l'host che sta richiedendo il servizio ed esegue il server o nega l'accesso all'host.<CODE>tcpd</CODE> permette di bloccare l'accesso ai vostri servizi TCP. dovreste creare un file <CODE>/etc/hosts.allow</CODE> e aggiungervi solo gli host che devono avere accesso ai servizi della macchina. <P>Se avete una connessione telefonica casalinga dovreste negarli TUTTI. Inoltre <CODE>tcpd</CODE> segna nei log i tentativi falliti di accedere ai servizi, per avvertirvi se siete sotto attacco. Se aggiungete nuovi servizi dovreste configurarli per usare i tcp_wrapper se usano TCP. Per esempio, un normale utente telefonico può impedire ad altri di connettersi alla propria macchina, conservando l'accesso alla posta e ad Internet. Per farlo, potreste aggiungere le linee seguenti al vostro <CODE>/etc/hosts.allow</CODE>: <P>ALL: 127. <P>E ovviamente /etc/hosts.deny dovrebbe contenere: <P>ALL: ALL <P>che bloccherà connessioni esterne alla macchina, ma permetterà la connessione a server su Internet. <P>Ricordatevi che i tcp_wrapper proteggono solo i servizi eseguiti da <CODE>inetd</CODE>, e pochi altri. Ci potrebbero benissimo essere altri servizi in esecuzione sulla vostra macchina. Potete usare <CODE>netstat -ta</CODE> per avere una lista di tutti i servizi offerti dalla vostra macchina. <P> <P> <H2><A NAME="ss8.3">8.3 Verificare i vostri DNS</A> </H2> <P>Tenere aggiornate le informazioni dei DNS su tutti gli host della vostra rete aiuta ad aumentare la sicurezza. Se un host non autorizzato si connette alla rete, potete riconoscerlo dalla sua mancata presenza sul DNS. Molti servizi possono essere configurati per negare l'accesso ad host che non sono elencati dal DNS. <P> <P> <H2><A NAME="ss8.4">8.4 <CODE>identd</CODE></A> </H2> <P><CODE>identd</CODE> è un piccolo programma che in genere è eseguito dal vostro <CODE>inetd</CODE>. Tiene nota di quale utente sta usando quale servizio e quindi fa rapporto a chi lo richiede. <P>Molte persone non capiscono l'utilità di <CODE>identd</CODE> e quindi lo disabilitano o bloccano tutte le richieste provenienti dall'esterno. <CODE>identd</CODE> non è al servizio di siti remoti. Non c'è modo di saper se i dati che ricevete da un <CODE>identd</CODE> remoto siano corretti o no. Non c'è autenticazione nelle richieste ad <CODE>identd</CODE>. <P>Perché eseguirlo allora? Perché aiuta <EM>voi</EM>, ed è un'informazione in più quando indagate. Se il vostro <CODE>identd</CODE> è integro, sapete che rivela ad altri l'user-name o l'uid di chi usa servizi TCP. Se l'amministratore di una rete remota viene a dire che un certo utente ha provato ad intromettersi nella sua rete, potrete facilmente prendere provvedimenti contro l'utente. Se non aveste eseguito <CODE>identd</CODE>, avreste dovuto leggere log su log, capire chi era nel sistema alla tal ora e in generale sprecare molto tempo a trovare l'utente. <P>L'<CODE>identd</CODE> distribuito con molte distribuzioni si può configurare più di quanto molti pensino. Potete disabilitarlo per utenti specifici, (con un file <CODE>.noident</CODE>), potete avere i log di tutte le richieste a <CODE>identd</CODE> (È raccomandato), potete persino far sì che identd risponda con l'uid di un utente o persino con NO-USER. <P> <P> <H2><A NAME="ss8.5">8.5 SATAN, ISS, e altri scanner di rete</A> </H2> <P>C'è una serie di differenti pacchetti software che fanno scansioni di porte e servizi su macchine o reti intere. SATAN, ISS, SAINT e Nessus sono alcuni dei più conosciuti. Questo software si connette con la macchina bersaglio (o tutte le macchine bersaglio su una rete) su tutte le porte possibili e tentano di capire che servizio è attivo. Basandosi su queste informazioni si capisce se la macchina è vulnerabile ad un particolare exploit. <P>SATAN (Security Administrator's Tool for Analyzing Networks) è un port scanner con un'interfaccia web. Può essere configurato per eseguire controlli leggeri, medi o pesanti su una macchina o una rete. È una buona idea usare SATAN sulla vostra rete e sistemare i problemi che trova. Assicuratevi di avere la copia di SATAN da <A HREF="http://metalab.unc.edu/pub/packages/security/Satan-for-Linux/">metalab</A> o da un sito FTP o web affidabile. È stata distribuita in rete una copia trojan di SATAN. <A HREF="http://www.trouble.org/~zen/satan/satan.html">http://www.trouble.org/~zen/satan/satan.html</A>. Notate che SATAN non è stato aggiornato da molto tempo, ed altri strumenti potrebbero avere risultati migliori. <P>ISS (Internet Security Scanner) è un altro port scanner. È più veloce di Satan, quindi potrebbe essere migliore per grandi reti. Comunque Satan in genere fornisce più informazioni. <P>Abacus è una suite di strumenti che fornisce sicurezza agli host e rilevamento delle intrusioni. Leggete la home page sul web per ulteriori informazioni. <A HREF="http://www.psionic.com/abacus">http://www.psionic.com/abacus/</A> <P>SAINT è una versione aggiornata di SATAN. È basata sul web ed ha molti più test aggiornati di SATAN. Potete saperne di più presso: <A HREF="http://www.wwdsi.com/saint">http://www.wwdsi.com/~saint</A><P>Nessus è uno scanner di sicurezza libero. Ha una interfaccia grafica GTK per semplicità d'uso. Inoltre è basato su una struttura a plug-in per aggiungere nuovi test. Per ulteriori informazioni, date un'occhiata a: <A HREF="http://www.nessus.org/">http://www.nessus.org</A><P> <H3>Rilevare Scansioni delle Porte</H3> <P>Esistono strumenti progettati per avvisarvi di scansioni da parte di SATAN, ISS ed altri software di scansione. Comunque se usate molto i tcp_wrapper e leggete spesso i vostri log dovreste notare certe scansioni. Anche al settaggio inferiore SATAN lascia tracce nei log di un sistema RedHat "di serie". <P>Esistono anche port scanner "silenziosi". Un pacchetto con il bit TCP ACK attivo (come si fa per le connessioni stabilite) probabilmente passerebbe un firewall che filtri i pacchetti. Il pacchetto RST in risposta da una porta che <EM>_non aveva comunicazioni in corso_</EM> viene preso come una prova di vita su quella porta. Non penso che i tcp_wrapper lo rilevino. <P> <P> <H2><A NAME="ss8.6">8.6 <CODE>sendmail</CODE>, <CODE>qmail</CODE> e MTA (Agenti di Trasporto di Posta)</A> </H2> <P>Uno dei servizi più importanti che potete fornire è il server di posta. Sfortunatamente, è anche uno dei più vulnerabili agli attacchi, a causa del numero di compiti che esegue e dei privilegi che di solito richiede. <P>Se state usando <CODE>sendmail</CODE> è molto importante tenerlo aggiornato.<CODE>sendmail</CODE> ha una lunga, lunga storia di exploit di sicurezza. Assicuratevi di eseguire sempre l'ultima versione da: <A HREF="http://www.sendmail.org/">http://www.sendmail.org</A>. <P>Ricordatevi che sendmail non deve per forza essere in esecuzione per spedire posta. Se siete un utente casalingo potete disabilitare del tutto sendmail e usare semplicemente il vostro client di posta per spedire. Potreste anche togliere l'opzione "-bd" da file di avvio di sendmail, disabilitando l'arrivo di richieste di posta. In altre parole, potete eseguire sendmail dal vostro script di avvio usando il seguente comando: <BLOCKQUOTE><CODE> <PRE> # /usr/lib/sendmail -q15m </PRE> </CODE></BLOCKQUOTE> In questo modo sendmail riprocesserà ogni 15 minuti i messaggi nella coda di stampa che non erano stati precedentemente consegnati. <P>Molti amministratori non usano sendmail, e al suo posto scelgono uno degli altri MTA. Potreste passare a <CODE>qmail</CODE>.<CODE>qmail</CODE> è stato progettato da zero tenendo a mente la sicurezza. È veloce, stabile e sicuro. Qmail si trova presso <A HREF="http://www.qmail.org">http://www.qmail.org</A><P>In diretta competizione con qmail si pone "postfix", scritto da Wietse Venema, l'autore di tcp_wrapper ed altri strumenti di sicurezza. Precedentemente intitolato vmailer, e sponsorizzato da IBM, anche questo è un MTA fatto da zero per la sicurezza. Troverete altre informazioni su postfix presso <A HREF="http:/www.postfix.org">http://www.postfix.org</A><P> <P> <H2><A NAME="ss8.7">8.7 Attacchi di Denial of Service (Negazione di un Servizio)</A> </H2> <P>Un "Denial of Service" (DoS) è un attacco con cui un aggressore tenta di rendere una risorsa troppo occupata per rispondere a richieste legittime o di negare a utenti legittimi l'accesso ad una macchina. <P>Questi attacchi sono molto aumentati negli ultimi anni. Sotto sono elencati alcuni dei più comuni o recenti. Notate però che ne nascono in continuazione, quindi questi sono solo esempi. Leggete le liste di sicurezza di Linux e le liste di bugtraq per informazioni aggiornate. <P> <UL> <LI><B>SYN Flooding</B> - Il SYN flooding ("Inondazione di SYN") è un attacco DoS di rete. Sfrutta un buco nel modo in cui sono create le connessioni TCP. Gli ultimi kernel di Linux (2.0.30 e seguenti) hanno diverse opzioni configurabili per evitare che attacchi del genere neghino l'accesso alle vostre macchine. Vedi <A HREF="Security-HOWTO-7.html#kernel-security">Sicurezza del Kernel</A> a proposito delle opzioni adeguate. <P> </LI> <LI><B>Il Bug "F00F" nei Pentium</B> - Si è scoperto recentemente che una serie di codici assembly mandati ad un Pentium originale Intel riavvierebbero la macchina. Questo bug affligge tutte le macchine Pentium (non i cloni, i Pentium Pro o i PII), a prescindere dal sistema operativo. I kernel Linux 2.0.32 e successivi contengono un rimedio che impedisce alla macchina di bloccarsi. Il kernel 2.0.33 ha una versione migliore rispetto al 2.0.32. Se usate un Pentium, aggiornate subito il kernel! <P> </LI> <LI><B>Ping Flooding</B> - Il ping flooding ("Inondazione di ping") è un attacco DoS basato sulla forza bruta. L'aggressore manda un'inondazione di pacchetti ICMP alla vostra macchina. Se lo fa da un host con un'ampiezza di banda maggiore della vostra, la vostra macchina non potrà mandare niente sulla rete. Un variazione di questo attacco, chiamato "smurfing", manda ad un host pacchetti ICMP con il <EM>vostro</EM> IP, permettendo loro di attaccarvi in modo quasi anonimo. Potete trovare altre informazioni circa lo "smurf" presso <A HREF="http://www.quadrunner.com/~chuegen/smurf.txt"> http://www.quadrunner.com/~chuegen/smurf.txt</A> <P>Se venite attaccati in questo modo, usate uno strumento come <CODE>tcpdump</CODE> per determinare da dove provengono i pacchetti (o da dove sembrano venire), quindi contattate il vostro provider con queste informazioni. I ping flood possono essere fermati facilmente all'altezza del router o usando un firewall. <P> </LI> <LI><B>Ping della Morte</B> - Il Ping della Morte manda pacchetti ICMP ECHO REQUEST che sono troppo grandi per entrare nelle strutture dati del kernel che li dovrebbero contenere. Poiché mandare un solo grande ping (65,510 byte) causa il blocco o il crash di molti sistemi, questo problema fu subito soprannominato "Ping della Morte". Il fatto è stato risolto da tempo, e non è più preoccupante. <P> </LI> <LI><B>Teardrop / New Tear</B> - Uno dei più recenti exploit coinvolge un bug presente nel codice di frammentazione IP sulle piattaforme Linux e Windows. È stato risolto nel kernel 2.0.33 e non richiede la selezione di alcuna opzione di compilazione. Linux non sembra essere vulnerabile al nuovo exploit "newtear". <P> </LI> </UL> Potete trovare il codice della maggior parte degli exploit e una più approfondita descrizione del loro funzionamento presso <A HREF="http://www.rootshell.com">http://www.rootshell.com</A> usando il loro motore di ricerca. <P> <P> <H2><A NAME="ss8.8">8.8 Sicurezza del NFS (Network File System). </A> </H2> <P>NFS è un protocollo di condivisione di file molto diffuso. Permette a server che eseguano <CODE>nfsd</CODE> e <CODE>mountd</CODE> di "esportare" interi filesystem verso altre macchine usando il supporto per il filesystem NFS compilato nel kernel (o qualche altro client se non sono macchine Linux). <CODE>mountd</CODE> tiene traccia dei filesystem montati in <CODE>/etc/mtab</CODE>, e li mostra con <CODE>showmount</CODE>. <P>Molti siti usano NFS per fornire le home directory agli utenti di modo che abbiano i loro file da qualunque macchina si colleghino. <P>È possibile avere un po' di sicurezza quando si esportano filesystem. Potete far mappare a <CODE>nfsd</CODE> l'utente root remoto (uid=0) sull'utente <CODE>nobody</CODE>, negando l'accesso totale ai filesystem esportati. Comunque, visto che i singoli utenti hanno accesso ai propri file (o almeno a quelli con la stessa uid), l'utente root remoto può fare un login o su con il loro account ed avere accesso totale ai loro file. Questo è solo un piccolo ostacolo per un aggressore che ha i privilegi per montare i filesystem remoti. <P>Se dovete usare NFS, assicuratevi di esportare solo verso quelle macchine che lo richiedono. Non esportate mai la vostra intera directory root; esportate solo il necessario. <P>Leggete il NFS HOWTO per ulteriori informazioni su NFS, disponibile presso <A HREF="http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html">http://metalab.unc.edu/mdw/HOWTO/NFS-HOWTO.html</A><P> <P> <H2><A NAME="ss8.9">8.9 NIS (Network Information Service) (già YP). </A> </H2> <P>Network Information service (servizio di informazione di rete) è un modo di distribuire informazioni ad un gruppo di macchine. Il master NIS tiene le tabelle di informazioni e le converte in file mappa di NIS. Queste mappe vengono distribuite nella rete, permettendo ai client di ottenere informazioni di login, password, home directory e shell (tutte le informazioni che in genere stanno in un normale <CODE>/etc/passwd</CODE>). Questo permette agli utenti di cambiare la loro password una volta per tutte le macchine sul dominio NIS. <P>NIS non è affatto sicuro. Non ha mai voluto esserlo. Doveva solo essere comodo ed utile. Chiunque possa indovinare il nome del vostro dominio NIS (ovunque sia nella rete) può ottenere una copia del file delle password ed usare Crack o John the Ripper contro le password. Se dovete usare NIS siate consapevoli dei pericoli. <P>Esiste un sostituto molto sicuro di NIS, chiamato NIS+. Controllate il NIS HOWTO: <A HREF="http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html">http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html</A> <P> <P> <H2><A NAME="ss8.10">8.10 Firewall</A> </H2> <P>I Firewall sono un mezzo per controllare quali informazioni vengono lasciate entrare ed uscire dalla vostra rete locale. Tipicamente l'host firewall è connesso ad Internet e alla LAN locale, ed è l'unico accesso ad Internet dalla LAN; in questo modo controlla cosa entra ed esce. <P>Ci sono molti tipi di firewall e metodi di impostarli. Le macchine Linux sono ottimi firewall. Il codice del firewall può essere compilato all'interno dei kernel 2.0 e superiori. Gli strumenti utente <CODE>ipfwadm</CODE> per i kernel 2.0 e <CODE>ipchains</CODE> per i kernel 2.2, vi permettono di cambiare al volo i tipi di traffico di rete permessi. <P>I firewall sono un'utilissima ed importante tecnica per la sicurezza di rete. Comunque, non pensate mai che solo perché avete un firewall non sia necessaria la sicurezza delle macchine che copre. Sarebbe un errore fatale. Controllate l'ottimo <CODE>Firewall-HOWTO</CODE> presso l'archivio metalab per avere più informazioni sui firewall e Linux. <A HREF="http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html">http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html</A><P>Si trovano altre informazioni anche nell'IP-Masquerade mini-howto: <A HREF="http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html">http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html</A> <P>Altre informazioni su <CODE>ipfwadm</CODE> (lo strumento per cambiare impostazioni al firewall) si trovano presso: <A HREF="http://www.xos.nl/linux/ipfwadm/">http://www.xos.nl/linux/ipfwadm/</A><P>Se non avete esperienza con i firewall e volete metterne su uno per un piano di sicurezza che non sia superficiale, leggere "Firewalls" di O'Reilly and Associates o qualche altro documento online sui firewall è obbligatorio. Troverete altre informazioni su <A HREF="http://www.ora.com">http://www.ora.com</A>. Il National Institute of Standards and Technology (Istituto Nazionale degli Standard e della Tecnologia) ha scritto un eccellente documento sui firewall. Anche se datato 1995, è sempre abbastanza buono. Potete trovarlo anche <A HREF="http://csrc.nist.gov/nistpubs/800-10/main.html">http://csrc.nist.gov/nistpubs/800-10/main.html</A>. <P> <UL> <LI> Il progetto Freefire -- una lista di strumenti firewall liberi, disponibili presso <A HREF="http://sites.inka.de/sites/lina/freefire-l/index_en.html">http://sites.inka.de/sites/lina/freefire-l/index_en.html</A> </LI> <LI> SunWorld Firewall Design -- scritto dagli autori del libro della O'Reilly, dà una introduzione di base ai differenti tipi di firewall. È disponibile presso <A HREF="http://www.sunworld.com/swol-01-1996/swol-01-firewall.html">http://www.sunworld.com/swol-01-1996/swol-01-firewall.html</A> </LI> <LI>Mason - il costruttore automatico di firewall per Linux. È uno script di firewall che impara cosa vi serve mentre lo fate. Altre informazioni presso: <A HREF="http://www.pobox.com/~wstearns/mason/">http://www.pobox.com/~wstearns/mason/</A></LI> </UL> <P> <P> <H2><A NAME="ss8.11">8.11 IP Chains - Firewall per Linux Kernel 2.2.x</A> </H2> <P>IP Firewalling Chains è un aggiornamento dal codice di firewalling del kernel 2.0 al 2.2. Ha molte più caratteristiche delle versioni precedenti, inclusi: <UL> <LI> Manipolazioni dei pacchetti più flessibili.</LI> <LI> Accounting più complesso.</LI> <LI> Sono istantanei i semplici cambiamenti di impostazioni.</LI> <LI> I frammenti possono essere esplicitamente bloccati, rifiutati ecc.</LI> <LI> I pacchetti sospetti vengono segnati in un log.</LI> <LI> Può gestire protocolli non ICMP/TCP/UDP. </LI> </UL> <P>Se state usando <CODE>ipfwadm</CODE> con il vostro kernel 2.0, sono disponibili degli script per convertire il formato di <CODE>ipfwadm</CODE> nel formato che usa <CODE>ipchains</CODE>. <P>Assicuratevi di leggere l'IP Chains HOWTO per altre informazioni. È disponibile presso <A HREF="http://www.rustcorp.com/linux/ipchains/HOWTO.html">http://www.rustcorp.com/linux/ipchains/HOWTO.html</A><P> <P> <H2><A NAME="ss8.12">8.12 VPN - Virtual Private Networks (Reti Private Virtuali)</A> </H2> <P>Le VPN sono un modo per stabilire una rete "virtuale" su una rete esistente. Questa rete virtuale è spesso crittata e passa il traffico solo a e da entità conosciute. Le VPN sono spesso usate per connettere attraverso Internet qualcuno che lavora a casa a un rete interna di una compagnia. <P>Se eseguite un firewall/masquerading con Linux dovete passare pacchetti di MS PPTP (un prodotto VPN punto-a-punto della Microsoft), c'è una patch per il kernel di Linux fatta apposta. Leggete: <A HREF="ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html">ip-masq-vpn</A>. <P>Esistono diverse soluzioni VPN per Linux: <UL> <LI> vpnd. Leggete <A HREF="http://sunsite.auc.dk/vpnd/">http://sunsite.auc.dk/vpnd/</A>.</LI> <LI> Free S/Wan, disponibile presso <A HREF="http://www.xs4all.nl/~freeswan/">http://www.xs4all.nl/~freeswan/</A></LI> <LI> ssh può essere usato per costruire una VPN. Leggete il VPN mini-howto per altre informazioni.</LI> <LI> vps (virtual private server) presso <A HREF="http://www.strongcrypto.com">http://www.strongcrypto.com</A>.</LI> </UL> <P>Controllate anche la sezione su IPSEC per altre bibliografie e informazioni. <P> <P> <HR> <A HREF="Security-HOWTO-9.html">Avanti</A> <A HREF="Security-HOWTO-7.html">Indietro</A> <A HREF="Security-HOWTO.html#toc8">Indice</A> </BODY> </HTML>