Dopo tre anni di sviluppo e continui aggiornamenti è stata rilasciata la release 2.0 della distribuzione dedicata a macchine firewall e router. Il progetto pfSense è partito nel 2004 come fork di un altro e ben più famoso progetto: m0n0wall; pfSense si concentra principalmente nelle installazioni su macchine non dedicate fornendo una versatilità maggiore rispetto a m0n0wall che ha come obiettivo i dispositivi embedded. Nonostante ciò gli sviluppatori forniscono comunque un immagine embedded per installazioni Compact Flash.
pfSense è ideale anche per macchine datate, i requisiti minimi sono di 100 MHz per il processore e 128 MB per la RAM, l’occupazione su disco varia dai 512MB ad 1GB per installazioni su PC. La distribuzione fornisce funzionalità di alto livello quali firewall con strumenti come p0f per policy con discriminazione dei sistemi operativi, NAT, StateTable, CARP e pfsync per conferire una ridondanza dei criteri ottenendo così stabilità ed una elevata resistenza ai guasti.
Inoltre è possibile utilizzare funzionalità professionali come Load Balancing, IPSec,VPN (PPTP Server) e statistiche in tempo reale su carico, utilizzo risorse, throughput totale ed individuale (per ogni interfaccia di rete). Per l’elenco completo delle funzionalità è consultabile una lista provvisoria delle features. pfSense rappresenta a mio avviso un’ottima soluzione nel panorama del software libero, come compromesso tra versatilità e funzionalità fornite.
Via | Linux Today
Il gruppo di sviluppo di Netfilter, per voce di Patrick McHardy, ha annunciato il rilascio di una prima alpha di Nftables, la nuova implementazione del firewall per il kernel linux, insieme ad un tool user space per gestirlo.
Nftables introduce una netta differenziazione tra le regole in user space e gli oggetti di rete nel kernel: il kernel si occupa sostanzialmente di gestire regole per indirizzi IP, porte e protocolli, fornendo delle operazioni generiche per confrontare i pacchetti con delle costanti o per scartarli.
Le regole del firewall, che vengono definite attraverso il tool nft, vengono verificate sintatticamente da questo e quindi trasformate in operazioni e oggetti per il kernel. Da una prima analisi dell’annuncio del rilascio si nota che nftables avrebbe una sintassi diversa da iptables, e che le regole possono essere inserite in maniera incrementale via riga di comando oppure attraverso un file.
Trattandosi di una versione alpha, il team di sviluppo sconsiglia assolutamente l’utilizzo di nftables in ambenti di produzione, pur ritenendolo sufficientemente stabile da poter essere utilizzato in ambiente di test.
Via | H-online.com
I pregi di netfilter/iptables sono, fino a prova contraria, riconosciuti ed apprezzati anche da chi, dotato di un minimo di conoscenze a riguardo, non è molto vicino all’universo Linux. Nonostante tutto, può rivelarsi utile affiancare altri strumenti in grado di estenderne le potenzialità: non a caso, parliamo di Port Scan Attack Detector.
Si tratta di un set costituito da 3 demoni, il cui scopo è di analizzare i log di iptables e rilevare, laddove vi fossero, eventuali port scan e, in genere, ogni traccia di traffico sospetto.
Fra le feature in dotazione, si distinguono: l’inclusione di molte firme presenti nell’IDS di Snort, il riconoscimento di svariati tipi di scansioni (TCP SYN, FIN, NULL, XMAS e UDP scan), OS fingerprinting passivo (avvalendosi dello stesso algoritmo usato da p0f), log dettagliati (inviabili anche via e-mail), rapporti DShield ed il blocco automatico degli IP considerati come origine degli attacchi.
Continua a leggere: PSAD: protezione aggiuntiva, al fianco di iptables
Appena rilasciata la versione 2.5.1 di ModSecurity, uno dei Web Application Firewall più rinomati nel suo ambito.
Trattandosi di un rilascio che corregge solo bug minori e non introduce nuove feature, ricapitoliamo le principali novità della serie 2.5 (iniziata lo scorso 20 febbraio):
Computer (o componenti hardware) obsoleti nei cassonetti? No, grazie. Esistono, difatti, tanti modi e destinazioni (riassunti nella parola trashware) per poter continuare ad utilizzare quei cosiddetti vecchi catorci; ad esempio, è possibile trasformare una macchina poco potente in un router/firewall/dispositivo QoS/access point WiFi, magari avvalendosi di distribuzioni specifiche come Linux LiveCD Router.
Utilizzabile con ogni tipo di connessione (ADSL e Dial-Up incluse), Linux LiveCD Router (diagramma) offre numerose feature, fra cui: kernel Linux 2.6.24.3, il firewall open source Shorewall, un dettagliato controllo del traffico, NAT, DHCP (come client e server), una completa gestione via SSH, OpenVPN e cache DNS.
Riguardo all’hardware, il requisito minimo è costituito da un computer dedicato, munito (almeno) di: un processore i486, 16MB di RAM, un lettore CD-ROM (in alternativa, una chiave USB o una scheda SD) ed una o più schede Ethernet (opzionalmente, anche WiFi). Ulteriore nota lieta è la perfetta compatibilità con l’ASUS Eee PC.
Continua a leggere: Linux LiveCD Router, soluzione 'open' per Network
E’ ormai risaputo che chi passa da Windows a Linux lo fa soprattutto perchè abbagliato dal miraggio di un sistema operativo “inattaccabile” da ogni tipo di malware. I must da installare sui sistemi Windows sono ormai famosi, e viene da chiedersi quali invece devono essere i software che non possono mancare sul nostro sistema Linux per renderlo “a prova di Mitnick“.
A questa domanda hanno dato risposta alcune delle figure più eminenti del ambito dello sviluppo del kernel e della sicurezza dei sistemi.
Ted T’so, programmatore presso IBM e uno dei primi a lavorare sul kernel nel Nord America, sostiene di “aver utilizzato senza problemi Linux sul suo pc senza alcun tipo di protezione oltre al firewall installato di default. Questo a patto però di non utilizzare router wireless, poichè in questo caso bisognerà proteggersi da eventuali accessi non autorizzati”.
Linus Torvalds invece, pur sostenendo di non voler dare consigli specifici di sicurezza, espone con poche parole la sua soluzione: chiudere tutto. Tramite firewall multipli e regole di filtraggio dei servizi molto rigide il papà di Linux si assicura che il traffico che interessa il suo pc sia solo “in uscita” e solo generato da servizi su cui ha pieno controllo.
Continua a leggere: Consigli VIP per la sicurezza della tua distro
Per i command line guru non c’è bisogno di script che agevolino la creazione di regole complesse di iptables ma credo che per tutti gli altri la segnalazione di Arno Iptables firewall script sarà gradita.
Si tratta di un comodo script, realizzato da Arno van Amersfoort, personalizzabile a piacimento e che permette di proteggere una macchina Linux o di configurarla come firewall che protegga un’intera LAN.
Lo script supporta tra le molte features NAT e SNAT, port forwarding, MAC address filtering, stealth port scan detection, DMZ e DMZ-2-LAN forwarding,protezione contro SYN/ICMP flooding.
Continua a leggere: Arno Iptables firewall script 1.9.0-alpha1
Quando si tratta di scegliere una distribuzione specializzata nella gestione perimetrale di una rete il suo nome fa sempre capolino, sia per la robustezza che ha dimostrato in questi anni di servizio, sia per il vasto numero di moduli aggiuntivi liberamente disponibili.
Per chi non se non fosse accorto stiamo parlando, ovviamente, di IPCop, la nota distribuzione nata come fork di Smoothwall ed ora giunta alla versione 1.4.18: questo regalo pre-Natalizio include aggiornamenti per diversi driver ( e1000, r1000 ) e software ( Apache, OpenSSH, Squid ), supporto per nuovo hardware ( controller SCSI 3ware con chip 95xx, Broadcom NetXtreme II) ) e bug-fix sparsi; l’update ( installabile tramite l’interfaccia web ) è stato diviso in due parti ( 1.4.17 / 1.4.18 ) per agevolare gli utenti con installazioni particolarmente estreme, dove i MB di spazio libero sui dischi fissi sono “contati”.
Immagini ISO aggiornate sono disponibili su Sourceforge.
via | DistroWatch
Dopo un anno di sviluppo il team di sviluppo di Endian Firewall ha finalmente rilasciato la beta 1 della versione 2.2. Per chi non conoscesse questa splendida distro firewall mada in Italy basta dire che si tratta di una derivata di IPCop che aggiunge moltissime funzionalità in più. Con Endian è possibile trasformare un normale pc in un firewall, in un sistema di content filtering avanzato, in un antispam e in un server per creare VPN.
La versione 2.2 beta 1 aggiunge novità molto interessanti:
- Possibilità di configurare più indirizzi IP su ogni interfaccia RED
- Supporto per uplink multipli
- Miglioramenti nell’interfaccia grafica di gestione accessibile via web
- Boot velocizzato
- Supporto ai certificati X.509 per OpenVPN
Per maggiori dettagli rimando al changelog mentre il download della ISO è effettuabile da Sourceforge.
IPCop, Smoothwall, Endian Firewall, Gibraltar sono solo alcuni dei progetti più interessanti di distribuzioni Linux con funzioni di firewall.
Certo la comunità di pinguini non si può davvero lamentare ma anche il mondo FreeBSD ha sfornato nel tempo ottime distribuzioni firewall come mOnOwall e PFSense. Ma per i duri e puri di OpenBSD non esistono alternative?
La risposta è ovviamente affermativa e prende il nome di ComixWall, una “distribuzione” poco nota che tuttavia promette molto bene.
ComixWall è dotata di un’interfaccia web per la gestione di ogni aspetto e include ogni tool utile per un firewall di classe enterprise:
- OpenBSD pf, il firewall sviluppato dal team del BSD sicuro di default.
- Dansguardian per il filtraggio dei contenuti web
- Snort
- ClamAV
- SpamAssassin
- OpenBSD spamd
- P3scan, per il filtraggio antivirus delle mail
- SMTP Gated, un proxy per la scansione al volo delle mail in transito su protocollo SMTP
- IMSpector, un proxy per il filtraggio delle comunicazioni attraverso instant messaging come MSN, AIM, ICQ, Yahoo e IRC
- Molto altro
L’ultima versione 4.1b, rilasciata da pochi giorni, è scaricabile via BitTorrent.
[Via | OpenBSD Journal]
Gli attacchi al vostro database MySQL si intensificano di giorno in giorno e i normali firewall non bastano? Allora potrà tornarvi utile GreenSQL, un firewall dedicato esclusivamente alla protezione da attacchi di tipo SQL injection a MySQL.
Il tool funziona come un proxy che gira sulla porta 3305 e ridireziona le richieste alla porta 3306 (MySQL) analizzando e confrontando i comandi SQL in arrivo con una “matrice di rischio” per scartare potenziali attacchi.
GreenSQL si compone di greensql-fw, il vero e proprio firewall, e di greensql-console, una console che permette una gestione completa via web.
Maggiori informazioni sul funzionamento sono disponibili qui mentre per i più curiosi è online una demo.
GreenSQL è installabile da sorgenti o con pacchetti binari disponibili per Debian e Ubuntu.
[Via | Freshmeat]
La derivata di FreeBSD più semplice in circolazione è arrivata alla release 1.4, nome in codice da Vinci, e le novità incluse sono davvero molte.
La più importante è l’aggiornamento del sistema base a FreeBSD 6.2, versione stabile del sistema operativo del diavoletto.
Tra le altre feature incluse troviamo:
- aggiornamento di Xorg alla versione 7.2
- KDE 3.5.7
- Compiz-Fusion 0.5.2 che va a rimpiazzare Beryl
- Driver NVIDIA
- Nuovo tema per il login manager KDM
- Miglioramenti nell’installer per rendere ancora più semplice l’installazione e il caricamento dei componenti aggiuntivi dal secondo CD-Rom
- Network Configuration manager, una gui per settare le proprie schede ethernet e Wi-Fi
- Firewall Manager, altra gui per la getsione delle regole del firewall
- Xorg configuration gui
Per maggiori dettagli rimando al changelog e alle note di rilascio per avere una panoramica di tutte le applicazioni incluse.
Download: PC-BSD 1.4
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
