i3wall è un firewall/antivirus/antispam/vpn server di realizzazione Intré S.r.l.
È l'apparato che consente un utilizzo regolato e sicuro di Internet, evitando il rischio di accessi indesiderati dall'esterno e di utilizzi impropri o indiscriminati. Garantisce elevati livelli di protezione alla Vostra rete aziendale pur mantenendo flessibilità e facilità d'uso.
È compatto e semplice da gestire ed utilizzare: i3wall non necessita di attività di manutenzione periodica
1. Corso i3wall
I3wall: una Introduzione
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 1
2. Corso i3wall
Agenda
1. Virtual Private Network (Cipe, OpenVPN,
IPSec, PPTP)
2. Antivirus (ClamAV) e antispamming
(SpamAssassin)
3. Proxy Http
4. Regole di licensing di i3wall
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 2
3. Corso i3wall
Virtual Private Network: cos’è
Una virtual private network, o più semplicemente VPN, è un sistema che consente di
accedere in modo sicuro alla propria rete aziendale attraverso Internet, sostituendo
l’ormai obsoleto accesso remoto attraverso modem analogici o digitali, aumentando
così le prestazioni e diminuendo i costi.
VPN VPN
Accesso remoto
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 3
4. Corso i3wall
Le soluzioni offerte dalla VPN
Nella sua applicazione più semplice
la VPN costituisce un accesso
remoto alla LAN tramite la rete
pubblica Internet. In particolare
permette di sfruttare le connessioni
a banda larga (xDSL, Fibra) oltre
alle più lente linee analogiche e
ISDN.
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 4
5. Corso i3wall
Le soluzioni offerte dalla VPN
In un contesto più avanzato, la VPN
prevede la possibilità di mettere in
comunicazione due reti distinte
agevolando lo scambio di dati: ad
esempio tra due sedi della stessa
azienda.
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 5
6. Corso i3wall
Le soluzioni offerte dalla VPN
Nulla vieta poi di combinare i due
ambienti analizzati in precedenza in
una soluzione di connettività globale!
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 6
7. Corso i3wall
VPN attraverso IPSEC
Grazie al supporto di IPSec, standard di
comunicazione crittografata, i3wall è in
grado di stabilire connessioni VPN con
apparecchiature di comunicazione che
supportino lo stesso standard (firewall,
router, server dei principali produttori).
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 7
8. Corso i3wall
OpenVPN: configurazione
Modificare il file extuser.ovpn
Modificare il file /i3cnf/openvpn/intre.sh specificando: Installare il client di openvpn sul client di rete remoto
specificando:
e copiarvi, in un’unica directory, i file:
...
...
1. Extuser.ovpn
ifconfig br0 <i3wall lan ip address> netmask <subnet mask> broadcast <broadcast address> ip>
remote <company internet
Modificare il file 2. Extuser.crt
port <porta tcp>
... /i3cnf/openvpn/officex.conf
3. Extuser.key
specificando: ...
4. I3wall.crt
...
local <i3wall internet ip> ifconfig <lan ip address> <subnet mask>
port <porta tcp> ...
...
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 8
9. Corso i3wall
Clam Antivirus
Su i3wall è attivo
(se previsto
dall’installazione)
ClamAV,
programma
antivirus
OpenSource in
grado di rilevare e
bloccare eventuali
pericoli presenti
nelle mail in
ingresso ed uscita
comunicando le
condizioni di
allarme a mezzo
e-mail agli
amministratori di
rete. La sua
manutenzione è
pressoché nulla
(aggiornamento
automatico).
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 9
10. Corso i3wall
Clam Antivirus: configurazione
La configurazione dell’antivirus avviene
molto banalmente eseguendo al prompt il
comando:
/i3cnf/qmail-scanner/qmscanconf <dominio>
Dove <dominio> indica il dominio di posta
elettronica di cui l’antivirus deve eseguire la
scansione, ad esempio intre.it o microsoft.it.
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 10
11. Corso i3wall
SpamAssassin
i3wall dispone anche di
SpamAssassin, programma anti
spam opensource in grado di
rilevare messaggi indesiderati con
una percentuale di successo
compresa fra il 95% e il 99%. Il
subject delle mail riconosciute come
spam viene normalmente modificato
anteponendovi il tag ****SPAM ****.
Le mail così identificato sono
comunque spedite insieme al resto
delle mail al server di posta per
lasciare all’utente finale la decisione
sul loro trattamento.
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 11
12. Corso i3wall
SpamAssassin (configurazione qmail tramite webmin)
•Servers/Qmail/QmailOptions:
Impostare il nome dell’host comprensivo di dominio (Local Host Name)
•Servers/Qmail/AcceptedDomains:
Introdurre la lista di domini da gestire (Accepted local and relay domains)
•Servers/Qmail/DomainRouting:
Introdurre il server di posta al quale inviare le email dopo il controllo dello
spam (Delivery directly)
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 12
13. Corso i3wall
SpamAssassin (configurazione)
Indicando quali sono le lingue
nelle quali si aspetta di
E’ possibile aumentare o
ricevere le mail è possibile
diminuire la sensibilità di
aumentare l’efficienza nella
SpamAssassin permettendo
rilevazione dello spam
quindi la rilevazione dello spam
con maggiore precisione a
seconda del contesto
E’ possibile customizzare la tag
con la quale viene segnato il
subject delle mail identificate
come spam
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 13
14. Corso i3wall
Proxy
i3wall è anche un server proxy che aggiunge
le seguenti funzionalità alla rete aziendale:
•Cache delle pagine web sul disco di i3wall
aumentando le prestazioni
•Maggiore sicurezza della rete in quanto gli
accessi a pagine web vengono effettuati da
i3wall per conto dei client della rete.
•Controllo dell’accesso ad internet per mezzo
di autenticazione
•Limitazione del consumo della banda
disponibile (Traffic Shaping)
•Limitazione della tipologia di contenuti fruibili
(Web Content Filtering) tramite appositi add-
on opensource (pianificato per settembre
2004).
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 14
15. Corso i3wall
Proxy: configurazione in Webmin
System/BootUp&ShutDown:
Abilitare il servizio e impostare l’avvio dello stesso allo startup
•Servers/Squid/Ports&Network:
Modificare eventualmente la porta del proxy
•Servers/Squid/AuthenticationPrograms:
Impostare il metodo d’autenticazione (none,pop,imap)
•Servers/Squid/AccessControl/ProxyRestrictions:
Sostituire la linea “Allow LocalNetwork” con “Allow users_auth” nel
caso si sia scelto come metodo di autenticazione pop o imap
•Servers/Squid/DelayPools:
Abilitare o disabilitare il traffic shaping impostando il throughput
del delay pool configurato di default
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 15
16. Corso i3wall
Proxy: configurazione al prompt dei comandi
•Spostarsi nella directory /i3cnf/squid
•Modificare il file imapauth.py modificando la seguente linea:
server=127.0.0.1
in
server=<imap server>
dove <imap server> è l’indirizzo ip o il nome del server imap.
•Modificare il file popauth.py modificando la seguente linea:
server=127.0.0.1
in
server=<pop server>
dove <pop server> è l’indirizzo ip o il nome del server pop.
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 16
17. Corso i3wall
Licensing
i3wall è protetto da un sistema
di licensing basato su licenze
autenticate crittograficamente.
Ottenendo una licenza per N
utenti il sistema verifica la
validità della stessa e limita
l’accesso ad internet (porte 80,
21, 22, 23) a N host
contemporanei.
INTRÉ S.r.l.
Via Gaslini, 2 – I 20052 MONZA (MI)
Tel: 039 20.28.413 - 039 28.45.774 Fax: 039 28.40.734 http: //www.intre.it e-mail: info@intre.it
C.F.& P.IVA: 02885420964 REA: 1594194 CCIAA Milano RI: 02885420964 cap.soc. € 13.000 i.v.
T1114 17