IPcop: un firewall open source per la rete scolastica

In un altro articolo ho parlato dei firewall perimetrali hardware utilizzabili in una rete scolastica.

Ricordiamo brevemente che il firewall ha la funzione di bloccare gli accessi dall'esterno alla rete locale, al fine di evitare intrusioni moleste, ed anche quella di evitare che alcune applicazioni che poco hanno a che vedere con le attività scolastiche, come ad esempio i programmi P2P, possano connettersi col mondo esterno.

La soluzione hardware, utilizzando delle appliance di prezzo non elevato, ovvero quanto mette di norma a disposizione un comune router o modem ADSL, da un lato ha il vantaggio che, una volta installato, non bisogna fare altro, dall'altro mostra evidente lo svantaggio di una scarsa modularità e di una relativa configurabilità.

Come ampiamente detto nell'altro articolo, un firewall, ad esempio quello presente in un router ADSL, può essere considerato come un apparecchio dotato di due schede di rete: una rivolta verso il mondo esterno (lato WAN) ed uno verso la rete locale (lato LAN). Il router si occupa di indirizzare correttamente, nei due sensi, i pacchetti tra le deu reti, WAN e LAN, il firewall si occupa, secondo alcune regole che gli sono state impostate, di bloccare le porte che non devono essere utilizzate, o in un senso o nell'altro.

Un computer con due schede di rete può, ovviamente, fungere da router. Per questo è possibile installare anche un software specifico per la funzione di firewall.

Tale soluzione, rispetto l'appliance hardware, presenta alcuni vantaggi:

  1. Maggiore modularità.
  2. Maggiore flessibilità
  3. Possibilità di personalizzazione dei permessi sia per utenti che per computer.
  4. Integrazione con Active Directory
  5. Possibilità di filtraggio URL accurato
  6. Possibilità di log accurati.
  7. Possibilità di blocco selettivo di porte, applicazioni e tipi di file che possono entrare od uscire.

Ovviamente ci sono anche degli svantaggi che sono da ricondurre ad una maggior difficoltà nell'installazione e nella gestione, nella necessità di dedicare un server per questa funzione e, ovviamente il dover disporre di un programma specifico.   

Le necessità di una rete scolastica

Prima di esaminare le soluzioni, conviene analizzare brevemente quali possono essere le necessità di controllo della connettività Internet in ambito scolastico.

Ormai la stragrande maggioranza delle istituzioni scolastiche dispone di una o più connessioni ADSL o di livello ancora maggiore (HDSL, VDSL, fibra). Le connessioni ADSL possono essere di due tipi: ad IP statico o ad IP dinamico.

Nel primo caso l'ISP, il fornitore di servizi, assegna un indirizzo IP alla connessione che, quindi resterà invariato nel tempo ed indicherà, in modo univoco quella scuola. Nel secondo caso, quando di norma si utilizza un modem ADSL, l'IP viene assegnato in modo dinamico al momento della connessione e, spesso, viene modificato anche durante la stessa. Tuttavia i log dell'ISP registra che in quel momento l'IP è assegnato al contratto intestato alla scuola.

In un modo o nell'altro, con un po' più di difficoltà nel secondo esempio, è quindi sempre possibile quali pacchetti originino o abbiano destinazione per quell'IP. In altre parole, è possibile sempre sapere che da quella connessione si è visitato un determinato sito, si è inviata una email, si è scaricato un MP3.

Attualmente la legislazione italiana, ad esempio i Decreti ministeriali complementari alla "Legge Pisanu" del 2005 non impone obblighi specifici per le scuole che abbiano connessioni Internet, ma è altrettanto pacifico che in caso di un utilizzo contrario alla legge, ad esempio scambio di materiale protetto da diritti d'autore, la responsabilità ricadrebbe sul Dirigente scolastico, a meno che il sistema informatico non sia in grado di risalire al diretto responsabile.

Considerando che la normativa andrà sempre verso aspetti meno permissivi è altamente consigliabile implementare negli ambienti informatici scolastici dei sistemi che garantiscano un buon livello di sicurezza attiva e passiva.

Tali aspetti possono essere così riassunti:

  1. Personalizzazione degli utilizzi dei computer connessi a Internet attraverso un registro delle presenze o, meglio ancora, utilizzando un ambiente di rete a dominio con account utente singoli per ciascun alunno, docente o personale ATA.
  2. Registrazione attraverso log delle connessioni, dei siti visitati, delle applicazioni usate.
  3. Regolamentazione della navigazione attraverso il filtraggio degli URL, al fine, ad es., di bloccare siti pornografici, violenti, giochi, P2P, etc.
  4. Blocco delle applicazioni P2P (es. Emule, client Bittorrent, etc.)
  5. Blocco del passaggio di alcuni tipi di file.
  6. Azioni antivirus, antispyware.
  7. Blocco delle intrusioni dall'esterno.
  8. Blocco delle porte di comunicazione inutili.

Questi aspetti possono essere, on un po' di pratica, attivati in una rete informatica a dominio, ad esempio Windows Server 2000/2003, Windows Server 2008 o Linux ove sia anche installato un firewall software.

I software di firewall

Come in tutti i campi dell'informatica, anche il software per firewall presenta una discreta scelta. In ambiente Windows la prima scelta potrebbe essere ISA Server 2006.

"Microsoft Internet Security & Acceleration Server 2006 è il gateway per la sicurezza integrato che protegge il tuo ambiente IT dalle minacce di Internet fornendo agli utenti connessi alla rete aziendale un accesso sicuro ad applicazioni e dati. ". Questo recita il sito Microsoft e credo sia sufficiente a capire di cosa si tratti.

ISA Server 2006 è senz'altro un pacchetto completo, robusto, affidabile e perfettamente integrato (e ci mancava altro...) con i domini Windows 2000/2003/2008 e, soprattutto, con le loro Active Directory.

Purtroppo ISA Server 2006 necessita di un hardware abbastanza potente e di un server Windows 2003/2008 per funzionare. Quindi, dal punto di vista economico, si tratta di un esborso non indifferente per una scuola.

In più non è semplicissimo da configurare, anche se con un po' di pratica si riesce a definire delle regole di base, per poi affinarle in una configurazione più granulare.

Uno svantaggio è che questo firewall non dispone di uno strumento di filtraggio URL integrato, per cui è necessario acquistarlo a parte.

Nel mondo Windows non esiste, a mia conoscenza, alcun firewall gratuito che abbia le capacità sopra menzionate.

Diversa è la situazione nel mondo Linux dove sono disponibili diversi prodotti. Linux, nel proprio nucleo, il kernel, dispone di un programma, netfilter, che svolge la funzione di intercettamento ed eventuale modifica dei pacchetti che passano per il computer. Iptables è un programma di configurazione di netfilter che permette di creare delle regole per i filtri di rete e per il reindirizzamento dei pacchetti.

Oltre a questi, esiste un programma di proxy e caching delel pagine Web molto funzionale: Squid, che a sua volta dispone di altre applicazioni per il filtraggio URL, la gestione dei log, etc.

Di conseguenza una qualsiasi distribuzione Linux potrebbe essere utilizzata, con i software di cui sopra, per creare un firewall.

Come si sa nel mondo Linux ci sono un sacco di programmatori che cercano sempre di migliorare un prodotto e di renderlo il più congegnale alla sua funzione. Alcuni di questi personaggi hanno pensato "Ma perchè non creare una distribuzione Linux specifica per il firewall ?" Ovviamente tale distribuzione non deve avere interfaccia grafica, nè programmi che non servono, ma deve essere la più leggera possibile, per non necessitare di un hardware potente, e gestibile da una comune interfaccia web.

Sono nati, quindi, alcuni pacchetti specifici, come M0n0wall, basato su FreeBSD e che può funzionare anche da CDrom, Smoothwall Express 3.0, uno dei primi ad essere utilizzato, e IPcop.

Pagina successiva

Aggiornato il: 14/07/2008 21.17.48

Istituto e Liceo Tecnico Statale di Chiavari - Dipartimento di ICT
 Via Castagnola 15A - Chiavari (Genova - Italia) 
tel. +390185324590  fax. +390185370106

 Informazioni legali