Recuperare l’hardware dismesso

A volte un vecchio pentium con poca ram e senza disco fisso può trasformarsi in un ottimo firewall

Alcuni ricercatori si stanno dedicando alacremente all'utilizzo misurato delle architetture di sicurezza a protezione dei piccoli segmenti di rete. Il motivo di questo impegno è, fondamentalmente, dovuto alle esigenze di risparmio legate alla gestione delle predette sottoreti.


Per questo motivo abbiamo pensato di parlare questa settimana di un "firewall alternativo", in grado di funzionare su di un unico dischetto e su una macchina di dimensioni molto ridotte.


I benefici di un approccio di questo genere sono soprattutto economici e di natura gestionale. Leggendo le prossime righe capirete il perché.


Procurarsi il materiale


Il package si chiama floppyfw e può essere scaricato dalla location www.zelow.no/floppyfw/download/. Parte direttamente da un singolo floppy ( come trinux, per intenderci) e gira completamente in memoria RAM. Per la gestione delle regole di filtraggio utilizza ipchains, opera l'Ip Masquerading, port forwarding, e può loggare le informazioni di riferimento su un host remoto, mediante l'utilizzo di syslog. Tutto questo su una macchina di tipo pentium, con 16 mega di RAM. L'uso di un Hard Disk non è necessario.


Si tenga conto che, dopo aver proceduto al setup dello strumento, teoricamente non si avrebbe neanche il bisogno di utilizzare monitor e tastiera.


Le schede supportate dal firewall sono, al momento in cui scriviamo: 3Com 3c509, Tulip, Intel EtherExpress PCI e la maggior parte delle schede di rete NE2000 Compatibili.


Una breve check list


Tra le cose che bisognerà controllare vi è la verifica dell' IRQ, delle schede ed i relativi indirizzamenti di memoria. Gli utilizzatori di schede di rete 3Com potranno scaricare l'utility 3C5X9CFG.EXE dal sito www.3com.com, copiarla su un floppy di boot ed effettuare le operazioni di configurazione.


Al momento in cui scriviamo, l'immagine è la 1.0.5. Bisognerà quindi creare un floppy di avvio su un file system di tipo DOS (FAT). Va detto che, prima di lanciare la procedura di boot, il contenuto del dischetto va editato su un'altra macchina ai fini di una configurazione iniziale.


Le regole di filtraggio.


Il firewall di cui stiamo parlando contiene un file di configurazione base, denominato firewall.ini . Di base questo strumento contiene una serie di regole minime di masquerading e di rejecting su alcune porte. Per una disamina di basso livello delle metodiche di filtraggio vi consigliamo di consultare l'articolo sul linux firewalling presente nella Rubrica FocusZone Security sull'ultimo numero di Netstime (www.netstime.com). Fondamentalmente, la regola generale da seguire è quella di chiudere tutte le porte e di aprire soltanto quelle strettamente necessarie.


Si rammenti che, in questo caso, la base del packet filtering è IpChains, quindi è quello il tool di cui bisognerà approfondire la conoscenza.


Funzioni di logging "impensabili"-


Perlomeno per una soluzione così piccola. Ricordiamo che tutto risiede su un floppy disk. Il file di riferimento per la gestione e configurazione dei file di log è syslog.cfg.


Operando in editing sul predetto file è possibile modificare una serie di opzioni tra le quali l'indirizzamento dell'host che deve gestire le operazioni di logging. Il file in questione contiene una riga relativa all'indirizzo IP dell'host ove risiede il centro syslog. Di base questo corrisponde al localhost, ma cambiando questa riga è possibile dirigere le operazioni su una macchina differente.


Cosa può e cosa non può fare uno strumento di questo tipo


Sicuramente l'impiego più indicato di un tool come floppy firewall è la protezione di microLAN non di produzione. Questo perché la gestione centralizzata di cellule di questo genere non è possibile in ambienti distribuiti.


Personalmente abbiamo recuperato un vecchio computer e lo abbiamo adibito a questo scopo, con un duplice piacere: il risparmio di denaro e il riciclaggio di hardware altrimenti destinato alla sepoltura.


La lan che abbiamo protetto con questa soluzione era composta da dieci macchine di tipo workstation, un file server. Il tutto su un Adsl Router e con un'ulteriore aggiunta del modulo ppp per gestire il collegamento al nostro Internet Service Provider.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here