lunedì 31 dicembre 2012

L'aggregazione di link in pfSense

Negli articoli precedenti, abbiamo visto molte caratteristiche che rendono pfSense un prodotto professionale di alto livello ma, con pfSense le sorprese non finiscono mai così in quest'articolo vedremo un'altra caratteristica che lo rende un firewall eccezionale. 
Oggi scopriremo come sfruttare la funzionalità di Link Aggregation (LAGG) che permette di utilizzare più interfacce aggregate per migliorare la disponibilità ed aumentare la banda disponibile.

venerdì 21 dicembre 2012

Nuova release per pfSense

La fine del mondo tanto attesa per oggi non è arrivata ma in compenso è stata rilasciata la nuova release di pfSense. A poco più di un anno dal rilascio della versione 2.0.1 è arrivato il rilascio della 2.0.2
Si tratta di quella che viene chiamata una maintenance release, ovvero una release volta a risolvere una serie di bug più che all'introduzione di nuove funzionalità.


venerdì 14 dicembre 2012

Gruppi utenti e privilegi

Esistono situazioni in cui è necessario dare accesso all'interfaccia di amministrazione ad altri utenti, script o software. Pensiamo ad uno script di backup o ad uno script per effettuare lo shutdown pilotato in caso di black-out, queste sono tutte situazioni in cui è indispensabile inserire in uno script username e password in chiaro. Utilizzare la password di admin è una pessima idea che ci espone a forti rischi. Oggi vedremo come fare a creare utenti con privilegi ristretti a quelle poche funzioni di cui l'utente ha realmente necessità.

venerdì 7 dicembre 2012

Qual'è l'algoritmo crittografico migliore per le VPN?

Durante la configurazione di una connessione VPN, occorre scegliere quali algoritmi crittografici impiegare. Se non si conosce in modo corretto le capacità dell'hardware impiegato, diventa impossibile sceglire l'algoritmo migliore (in termini di performance). In quest'articolo vedremo come effettuare un test molto rapido per capire quali sono gli algoritmi più perforanti.

venerdì 30 novembre 2012

Creare una vpn site to site ipsec

Con la diffusione di internet è divenuto molto semplice mettere in comunicazione tra loro sedi differenti di una stessa azienda. Internet per sua natura è un canale di comunicazione insicuro che richiede l'utilizzo di protocolli adatti a renderlo sicuro ed idoneo al transito di informazioni aziendali.
Le Virtual Private Network o più semplicemente VPN sono il metodo più semplice per creare dei tunnel sicuri tra due reti aziendali. In quest'articolo vedremo come configurare una VPN site to site con protocollo IPsec.

martedì 20 novembre 2012

Ordine di applicazione delle regole di NAT e firewall

A molti potrà sembrare scontato ma spesso ci si trova a scoprire di non conoscere così bene i meccanismi con cui le regole di firewall ed il NAT vengono applicati in ingresso e in uscita.
In quest'articolo cercheremo di capire qual'è l'ordine con cui i vari livelli del firewall lavorano.

mercoledì 7 novembre 2012

Come utilizzare IP pubblici aggiuntivi

Nonostante gli indirizzi IPv4 sono divenuti una risorsa preziosa, spesso capita che insieme alla connettività business gli operatori forniscano un pool di indirizzi IP pubblici statici. Per molti questi possono essere molto utili per offrire tutta una serie di servizi a valore aggiunto. pfSense offre diverse modalità per poter sfruttare più IP pubblici. In quest'articolo vedremo come configurare pfSense per poter sfruttare in modo semplice ed intuitivo più IP pubblici.

domenica 4 novembre 2012

Finalmente il logo del blog

A circa tre mesi dalla nascita del blog è arrivato anche il logo! E' stato realizzato e donato dagli amici di imagecreation.it

Il logo riprende l'originale di pfSense aggiungendo i colori della bandiera italiana e la scritta Italy al di sotto del nome pfSense.

venerdì 2 novembre 2012

pfSense in alta affidabilità

Per chi offre servizi H24 tramite internet è fondamentale l'affidabilità dei propri sistemi. Anche in questo caso pfSense si dimostra un firewall di alto livello offrendo la possibilità di accoppiare più macchine per gestire connettività in HA.
Nei precedenti articoli pfSense in alta affidabilità con CARP e pfsync - Parte 1 e 2 abbiamo visto in modo dettagliato quali meccanismi vengono impiegati da pfSense per gestire l'HA, ora è venuto il momento di passare dalla teoria alla pratica addentrandoci nella configurazione di due sistemi pfSense in HA.

venerdì 19 ottobre 2012

pfSense in alta affidabilità con CARP e pfsync - Parte 2

Nel precedente articolo abbiamo visto come il protocollo CARP si occupi di gestire un'interfaccia virtuale con relativo indirizzo IP. Il protocollo è in grado di individuare gli host non più attivi e di eleggere il nuovo host master. Da solo il protocollo CARP non è sufficiente a gestire l'alta affidabilità, in caso di caduta del firewall master il backup con priorità più alta entrerebbe in funziona ma senza conoscere nulla degli stati delle connessioni in atto prima del guasto. Un'altro problema da risolvere è come mantenere sincronizzate le configurazioni dei firewall appartenenti al gruppo.

lunedì 15 ottobre 2012

pfSense in alta affidabilità con CARP e pfsync - Parte 1

Pensando ad un firewall free ed open source, pochi immaginano che pfSense disponga anche di meccanismi di alta affidabilità o HA che permettano di accoppiare due o più firewall per bilanciare i carichi ed aumentare l'affidabilità della propria infrastruttura. Normalmente queste sono caratteristiche di firewall di fascia alta. Il fatto che pfSense disponga di tali meccanismi fa si che possa essere considerato un firewall molto potente ingrado di stupire chiunque.


In questa serie di articoli vedremo quali meccanismi e protocolli sono impiegati in pfSense per garantire l'HA. Comprendere il funzionamento a basso livello garantisce la possibilità di configurare correttamente le funzionalità di HA ed ottenere il massimo dal sistema.

giovedì 11 ottobre 2012

Achab Open Forum: l'evento IT dallo spirito Open Source

In un paese dove la condivisione ed il confronto tra operatori di uno stesso settore lasciano il posto alla chiusua ed alla rivalità, c'è chi ha il coraggio di andare contro corrente con risultati sorprendenti.

L'11 e 12 ottobre a Lazise (VR) si svolgerà Achab Open Forum 2012, l'evento annuale dedicato agli operatori del settore IT organizzato da Achab S.r.L.
Negli anni AOF si è affermato come un'occasione unica per conoscere, approfondire, relazionarsi e... divertirsi! Pensare che centinaia di operatori IT in concorrenza tra loro possano incontrarsi per condividere problemi, soluzioni ed esperienze potrebbe sembrare incredibile, ma a pensarci bene è in perfetto stile Open Source e come sempre da ottimi risultati.

Forse è queso il vero spirito per rilanciare l'Azienda Italia con l'inventiva, la fantasia e la capacità di stupire di noi Italiani. 

Ovviamente noi ci saremo per contribuire e per portare a casa quanto di meglio verrà fuori :D

sabato 6 ottobre 2012

Multi WAN con pfSense - Parte 3

Nei precedenti articoli abbiamo visto come configurare pfSense in versione multi wan, oggi vedremo come completare la nostra configurazione attivando il monitoring delle interfacce ed effettuando il tuning finale del firewall.
Abbiamo visto che il multi wan ha due principali funzionalità:
  1. Aumentare la larghezza di banda disponibile aggregando più connessioni;
  2. Migliorare la disponibilità della connessione ridondandola.

lunedì 1 ottobre 2012

Multi WAN con pfSense - Parte 2

Nella prima parte abbiamo visto le motivazioni che possono spingere ad implementare una configurazione multi wan, quali problemi può risolvere e quali rimangono irrisolti. In quest'articolo vedremo la configurazione di base per iniziare ad usare il multi wan con il nostro firewall.

Il numero di provider può essere aumentato senza problemi così come si possono utilizzare tipologie di connettività differenti (ADSL, HDSL, UTMS, WIMAX, WIFI ecc...). L'aggregazione di più connessioni sta diventando sempre più diffusa, sono molte le aziende che decidono di affidare la propria connettività a iù linee a basso costo aggregate per migliorarne l'affidabilità e le prestazioni.

domenica 30 settembre 2012

Multi WAN con pfSense - Parte 1

Dopo qualche giorno di latitanza dovuta all'altra mia passione ovvero la Protezione Civile, torno con una serie di articoli dedicati alla configurazione di pfSense per sfruttare più connessioni WAN. 

Introduzione

In Italia la banda larga continua a latitare, i problemi infrastrutturali e lo scarso interesse da parte degli operatori hanno fatto si che l'Italia sia finita tra le cenerentole modiali per la connettività.
Nonostante ciò, rimane la necessità per molte aziende di dotarsi di connessioni affidabili e con banda superiore alla media.

Se non si ha la possibilità finanziaria per pagare lo scavo per l'interramento della fibra dalla centrale all'azienda o la possibiliutà di permettersi una connessione SHDSL basata su affasciamento di doppini da 2 Mbps, rimane una sola soluzione: aggregare più connessioni ADSL a basso costo per ottenere più link e più banda.

Un tempo per poter aggregare più connessioni era necessario ricorrere a firewall o router di fascia alta dal costo proibitivo, con pfSense si ha la possibilità di aggregare più connessioni senza sborsare un euro se non il costo dell'hardware.

mercoledì 12 settembre 2012

Come automatizzare il backup di pfSense

pfSense mantiene tutte le impostazioni in un file di configurazione in formato XML. Tutte le impostazioni di pfSense e dei pacchetti aggiuntivi sono memorizzati in questo file, tutti gli altri files di configurazione vengono generati dinamicamente all'avvio del sistema.

Grazie a questa fantastica caratteristica, in molti casi, è sufficiente una copia del file di configurazione per poter ricreare una copia identi e funzionante del firewall di provenienza della configurazione.

lunedì 10 settembre 2012

Installare pfSense 2.0

Fino ad ora non avevo voluto scrivere un articolo su come installare pfSense perchè mi sembrava abbastanza semplice e perchè in rete si possono trovare numerosi tutorial su come effettuare la prima installazione. Viste le numero se richieste e visto che in Italia questo fantastico firewall è ancora poco diffuso, ho cambiato idea. Senza perdere altro tempo direi di partire per addentrarci nel processo d'installazione del sistema.

Prerequisiti:

Come prima cosa dobbiamo procurarci l'hardware necessario per installare il nostro sistema o in alternativa un sistema di virtualizzazione (Personalmente ho provato siacon successo si VmWare che VirtualBox). Come hardware i requisiti sono veramente minimi, il sito ufficiale parla di un processore da 100 MHz e 128 MB di ram ma sarebbe come montare il motore di una ferrari su un carretto... perfettamente inutile e stupido, io vi consiglio 512 MB di ram e 2 GB di disco. Il prerequisito più importante è la presenza di due schede di rete. Se pensate che l'hardware a vostra disposizione possa non essere compatibile, vi consiglio di consultare l' Hardware Compatibility List (HCL).


martedì 4 settembre 2012

Accesso WiFi con captive portal e vouchers - Parte 4

Nel precedente articolo, abbiamo visto come stampare delle card contenenti i codici di accesso alla nostra rete wifi. Come abbiamo visto il programma proposto è molto ben realizzato ma per personalizzare le card richiede conoscenze di programmazione e l'ambiente di sviluppo Microsoft Visual Studio 6. Oggi vedremo come è possibile ottenere lo stesso risultato sfruttando le potenzialità di editor di testi come Worl di Microsoft Office o Write di OpenOffice e LibreOffice.


domenica 2 settembre 2012

Accesso WiFi con captive portal e vouchers - Parte 3

Nei precedenti articoli abbiamo visto come configurare la nostra infrastruttura e come attivare il servizio captiveportal con l'accesso tramite vouchers. Ora dobbiamo trovare il modo di distribuire in modo semplice e professionale questi vouchers per offrire l'accesso alla nostra rete wifi.

Il metodo più semplice e professionale sarebbe quello di stampare delle tesserine o cards da distribuire. Su ogni tessera potrebbe essere riportato il logo della nostra attività, l'SSID ed il codice del voucher per l'accesso.
Con quest'articolo vedremo proprio come raggiungere quest'obiettivo e riuscire a stampare in modo molto semplice delle tesserine.

Molto spesso per trovare una buona soluzione basta un po'di pazienza e le parole giuste da inserire in google :) è stato proprio così che ho scovato un software molto semplice e gratuito che fa proprio al caso nostro.

giovedì 30 agosto 2012

Accesso WiFi con captive portal e vouchers - Parte 2

Il Captive Portal di pfSense permette di redirigere tutto il traffico verso una pagina web dove può essere richiesta l'autenticazione o semplicemente l'accettazione di condizioni d'uso prima che l'utente possa iniziare la sua navigazione. Captive Portal viene solitamente utilizzato per autorizzare la navigazione attraverso hot spot. Il Captive Portal può essere usato anche con le connessioni via cavo.

martedì 28 agosto 2012

Accesso WiFi con captive portal e vouchers - Parte 1

Se sei interessato a realizzare un accesso WiFi per un locale, un albergo, o qualsiasi altra cosa, non puoi certamente perdere questa serie di articoli in cui spiegherò come fare. In questi articoli vedremo come creare  una soluzione sicura e professionale impiegando soluzioni opensource.

In particolare vedremo come configurare AccessPoint, Switch e Firewall per gestire connessioni WiFi (parte 1) poi impareremo a configurare il captive portal per l'accesso tramite vouchers con validità temporanea (Parte 2) e termineremo con due procedure per stampare tesserine personalizzate contenenti i codici di accesso temporanei.

domenica 26 agosto 2012

Resettare la password di amministratore

Non mi capita spesso di dover resettare la password di admin dei sistemi che gestisco ma, può capitare di essere chiamati a gestire un firewall di cui nessuno ricorda più la password oppure di inserire una password particolare e finire poi per dimenticarsela.

Ultimamente mi è capitato di dover riprendere il controllo di un firewall pfSense dopo che il vecchio amministratore di sistema se n'era andato con tanto di password.
Per questo motivo ho pensato potesse essere utile riportare una procedura di recupero password.

sabato 18 agosto 2012

Trasformare pfSense in un sistema IDS/IPS

Un firewall basato solo sul filtro dei pacchetti può non essere sufficiente o comunque sarebbe poco efficace, per questo motivo negli ultimi anni i firewall più completi includono anche un sistema IDS e IPS. Con quest'articolo vedremo cos'è un IDS/IPS e come trasformare il nostro pfSense in un potente firewall completo di sistema IDS/IPS in grado di competere con le maggiori soluzioni presenti sul mercato.

Un Intrusion Detection System è un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti dati sospetti a livello di rete, di trasporto o di applicazione. A differenza di un packet filter, non si limita a guardare se i pacchetti in transito sono originati e destinati secondo regole stabilite dall'utente, ma effettua un'analisi più approfondita dei pacchetti. Un IDS non effettua nessun tipo di blocco delegando quest'attività al firewall.

Un Intrusion Prevention System può essere considerato come un dispositivo in grado di completare il lavoro dell'IDS andando a bloccare il traffico identificato dall'IDS come pericoloso. Quest'attività può essere fatta in modo autonomo o semplicemente generando dinamicamente delle regole di firewall. Quindi, in modo molto sintetico, un IPS non è altro che il dispositivo che permette il dialogo tra IDS e firewall.

Anche pfSense come tutti i firewall moderni può essere dotato di sistema IDS/IPS installando il pacchetto Snort.

sabato 11 agosto 2012

Attivare il controllo S.M.A.R.T. in pfSense

pfSense è un sistema che può essere avviato da differenti dispositivi di memorizzazione (CompactFlash, USB, HDD, SSD ecc...). Molte installazioni utilizzano questa peculiarità per sostituire componenti meccanici con componenti puramente elettronici come le schede CompactFlash, perchè ritenuti più affidabili. In alcune installazioni, specialmente in presenza di componenti proxy come squid, è necessario l'impiego di un HDD quindi è importante riuscire a limitare il rischio di guasti improvvisi, per fare questo è possibile attivare il sistema S.M.A.R.T.

venerdì 10 agosto 2012

Alerting e Reporting di pfSense


In molte situazioni è utile poter ricevere alert via email quando si verificano eventi di particolare importanza.
Nella versione 2.0 di pfSense vengono segnalati via mail tutti quegli avvisi che causano anche delle notifiche sull'interfaccia grafica. Nella versione 2.1 dovrebbe essere possibile selezionare quali eventi debbano generare degli alert via email in modo da personalizzare il servizio.


Oltre alla notifica di alert è possibile inviare dei report periodici sullo stato di pfsense. Questi report includono il traffico per porta, l'utilizzo del processore, della ram, tabelle di stato ecc...


martedì 7 agosto 2012

Separare l'accesso WiFi per utenti ed ospiti

In molti casi può essere utile configurare l'accesso ad internet in modo che utenti della lan ed ospiti possano navigare in modo isolato e controllato da regole differenti.
Per esempio, supponiamo di voler far in modo che nella nostra rete siano disponibili:
1) un punto d'accesso wireless con SSID UTENTI che dia accesso a tutte le risorse di rete;
2) un punto d'accesso wireless con SSID OSPITI che dia accesso solo ad internet e solo tramite i protocolli HTTP ed HTTPS.
Vediamo come configurare i dispositivi di rete e come configurare il nostro firewall affinchè tutto funzioni alla perfezione.

venerdì 3 agosto 2012

Come limitare la banda in upload e download

In molti casi può essere utile limitare la banda in upload e/o download. Dalla versione 2.0 di pfSense è possibile creare in modo semplice e veloce delle regole per limitare l'utilizzo di banda in modo molto granulare.

Per limitare il traffico occorre effettuare due operazioni:
  1. Creare almeno un "limitatore" per il traffico (è consigliabile crearne uno per direzione IN/OUT);
  2. Creare una regola a cui assegnare il limitatore.
Nel nostro esempio proveremo a limitare la banda in entrada ed uscita per un server HTTP. Immaginiamo di avere una connessione da 4 Mbit simmetrica e di voler limitare la banda utilizzata dal servizio HTTP a 1 Mbit sia in entrata che in uscita.

giovedì 2 agosto 2012

OpenVPN con autenticazione LDAP su dominio Windows 2003

Oggi proveremo a mettere insieme quanto appreso nei due precedenti post per creare qualcosa di molto professionale: una connessione OpenVPN con autenticazione tramite Domain Controller Windows 2003.
Questa funzionalità, spesso molto richiesta, è prerogativa dei firewall più costosi e blasonati mentre noi vedremo come sia possibile realizzare tutto con un firewall opensource e senza impazzire in configurazioni impossibili.

mercoledì 1 agosto 2012

Configurare OpenVPN Server su pfSense

Tra le varie funzionalità offerte da pfSense troviamo la possibilità di terminare diverse tipologie di VPN. Quella che prenderemo in esame oggi è OpenVPN.

Per poter procedere con la configurazione di OpenVPN server occorre effettuare alcune operazioni preliminari che prevedono la creazione dei certificati digitali.

Per iniziare dobbiamo creare 3 tipi di certificati:
  • Un certificato per la nostra Certification Authority;
  • Un certificato di tipo server per il nostro pfSense;
  • Un certificato di tipo user per gli utenti che dovranno conettersi a pfSense.
Creazione del certificato della CA:
Portarsi nel menù System > Cert Manager > CAs
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Description Name: Nome del certificato
  2. Method: Create an internal Certificate Authority
  3. Key length: 2048
  4. Lifetime: 3650 days (10 anni)
  5. Distinguished Name:
  6. Country Code:
  7. State or Province:
  8. City:
  9. Organizathion:
  10. Email Address:
  11. Common Name: internal-ca
Cliccare su Save
 
Creazione del certificato Server:
Potarsi nel menù System > Cert Manager > Certificates
Cliccare su AddCompilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Method: Create an internal Certificate
  2. Descriptive Name: Nome del certificato
  3. Certificate Authority: Nome impostato nel certificato della CA
  4. Key length: 2048
  5. Certificate Type: Server Certificate
  6. Lifetime: 3650 days (10 anni)
  7. Distinguished Name:
  8. Country Code:
  9. State or Province:
  10. City:
  11. Organizathion:
  12. Email Address:
  13. Common Name: nome dns firewall
Cliccare su Save

Creazione del certificato Utente:
Potarsi nel menù System > Cert Manager > Certificates
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Method: Create an internal Certificate
  2. Descriptive Name: Nome del certificato
  3. Certificate Authority: Nome impostato nel certificato della CA
  4. Key length: 2048
  5. Certificate Type: User Certificate
  6. Lifetime: 3650 days (10 anni)
  7. Distinguished Name:
  8. Country Code:
  9. State or Province:
  10. City:
  11. Organizathion:
  12. Email Address:
  13. Common Name: nome dns firewall
Cliccare su Save

martedì 31 luglio 2012

Autenticazione LDAP/AD in pfSense 2.0

In molti casi è utile poter fare interagire pfSense con il sistema di autenticazione della nostra rete per poter gestire gli utenti in modo centralizzato.
Nelle prime versioni di pfSense era possibile gestire i servizi di autenticazione ricorrendo al database interno o tramite database esterni attraverso radius.

lunedì 30 luglio 2012

Creare una chiavetta USB per il boot e l'installazione di pfSense

In molti casi può essere utile disporre di una chiavetta USB da cui effettuare il boot e l'installazione di pfSense. Personalmente è la modalità che preferisco per l'installazione dei miei firewall. In alcuni casi mi è stata utile per verificare la compatibilità dell'hardware o per avviare una live su cui fare dei test.

Per caricare il sistema su una chiavetta sono disponibili numerosi software, quello che preferisco e che ritengo essere il migliore per semplicità e versatilità, è USB Image Tool

USB Image Tool è un software dedicato alla creazione di backup e restore di USB flash drives. I dispositivi supportati sono chiavette USB, lettori MP3, fotocamere digitali, telefoni cellulari, ecc...

Come avrete capito le potenzialità sono molte e, se considerate che si possono effettuare anche immagini  dell'intero dispositivo, il tool diventa veramente insostituibile.
Lo stesso software può essere utilizzato anche per l'installazione di pfSense su CompactFlash

Oltre al backup ed al restore, il software permette di creare una lista di immagini preferite e permette di calcolare il checksum MD5 durante il backup.

Il software non richiede l'installazione essendo di tipo portable.
Dopo l'avvio, il software riconosce i dispositivi connessi e li mostra nella barra laterale sinistra, nel caso in cui non siano stati riconosciuti è possibile effettuare una nuova scansione cliccando sul pulsante "Rescan".
Nella parte centrale sono riportate tutte le informazioni del dispositivo selezionato.
Per caricare pfSense è necessario scaricare la versione memstick, selezionarla ed effettuare il restore. Se invece state caricando l'immagine su una CompactFlash occorre scaricare la versione nanobsd.

L'operazione richiede pochi secondi ed una volta terminata non vi resterà altro ch predisporre il vostro hardware per effettuare il boot da dispositivo USB.