Sicurezza e GNU/Linux (10): Configurare il firewall

Abbiamo visto nella precedente puntata come funziona a grandi linee netfilter, il firewall del kernel Linux. La configurazione di netfilter è in genere associata al programma iptables. Poiché la sua sintassi non è delle più semplici e il suo utilizzo è indirizzato soprattutto agli amministratori di sistema, quasi tutte le distribuzioni hanno sviluppato metodi semplificati ed interfacce grafiche.

Ubuntu ha preinstallato ufw (uncomplicated firewall) un programma a linea di comando dalla sintassi estremamente più semplice di iptables, anche se non ne riproduce tutte le funzionalità. Ma solo quelle più comuni. Ufw ha anche il vantaggio che, una volta configurato, parte automaticamente all’avvio con le regole impostate.

Esiste anche un’interfaccia grafica per ufw chiamata gufw. Per installarla basta cercare nel gestore pacchetti o nel software center. Una volta installata, la troveremo in Sistema > Amministrazione > Configurazione firewall. Come accennato nelle puntate precedenti, di norma non è necessario configurare il firewall se siamo in uno di questi casi:

• computer collegato alla rete sempre tramite un router con un proprio firewall
• pc o portatile collegati direttamente alla rete in altro modo (modem, chiavetta umts, ecc.) se non abbiamo nessun servizio attivo (condivisione file, ad esempio)

C’è però il caso, abbastanza comune, di chi ha un portatile con delle cartelle condivise con Samba e si connette normalmente dentro una rete locale, ma a volte tramite chiavetta umts o modem. In questo specifico caso la condivisione sarebbe visibile a chiunque in Internet. Sebbene sia possibile configurare Samba per chiedere la password oppure per accettare le connessioni solo dagli IP di una LAN, può risultare piuttosto noioso, soprattutto nel caso in cui le LAN a cui ci colleghiamo sono differenti (casa, ufficio) e magari hanno indirizzi differenti. Inoltre il firewall è pur sempre un filtro a livello di sistema, più semplice da controllare e che ci permette eventualmente di bloccare anche altri servizi installati sulla macchina.

Vediamo ora come bloccare Samba ma autorizzare, ad esempio, il client torrent Transmission.

Prima di tutto attiviamo il firewall tramite gufw. Per impostazione predefinita, gufw blocca qualsiasi connessione in entrata. Infatti vediamo:

Ora autorizziamo Transmission: clicchiamo su “aggiungi” e selezioniamo come in figura:

Pertanto avremo nelle nostre regole questo:

E’ importante notare una cosa: gufw cita esplicitamente Transmission e apre la porta predefinita di questo programma, ma esso non blocca il programma in quanto tale. Se avete configurato Transmission su un’altra porta, l’apertura non funzionerà. Ovviamente tramite gufw potete comunque aprire la porta giusta, inserendola manualmente.

Questa è una importante differenza con il firewall di Windows che invece ha un funzionamento (anche) per application. Se ve lo state chiedendo, i firewall che comprendono anche il funzionamento per application su GNU/Linux sono rari. Uno di essi è nufw, presente nei repo di Ubuntu ma purtroppo mancante della sua interfaccia grafica. Inoltre si tratta di un programma molto complesso e non certo adatto al normale utente desktop. Tra l’altro nufw permette questa funzione tramite un reindirizzamento dell’intero traffico verso se stesso (quindi in user space) il che non è esattamente un metodo efficiente.

L’unico programma firewall per application che invece agisce a livello di kernel è Tux Guardian, purtroppo non più sviluppato (ho scritto all’autore e mi ha detto che lo riprenderà in mano). D’altra parte Netfilter ha molte funzioni che al firewall di Windows mancano del tutto, in particolare quelle indirizzate a gestire il traffico in reti locali. Come ovvio la diversa diffusione sul desktop tra i due sistemi ha portato a questa differenziazione anche nelle funzionalità. Il funzionamento del firewall di Windows torna particolarmente efficace per bloccare l’uscita in rete di eventuali programmi malevoli installati sulla macchina involontariamente (il che non significa né che previene l’infezione, né che la elimina).

Tornando a Gufw, l’importante è quidi ricordarsi di cambiare la regola nel caso cambiamo la porta.

Lasciando tutto così, una volta tornati in ufficio, il firewall bloccherebbe l’accesso alle cartelle condivise sul nostro computer. Per aprire il firewall agli indirizzi della rete locale, possiamo fare così:

Questo autorizzerà tutte le connessioni dalla rete locale. Attenzione a modificare eventualmente l’indirizzo 192.168.1.0/24 con quello corretto per la vostra LAN: vi basta mettere le prime tre cifre del vostro IP interno e poi aggiungere .0/24, ad esempio se il vostro IP in LAN è 192.168.0.10 allora mettete 192.168.0.0/24.

Volendo potete limitarvi solo a Samba, lasciando tutto uguale nella riga “from” e aggiungendo le porte di Samba nella riga “to” e precisamente: 135,139,445 TCP e 137,138 per UDP (avrete quindi bisogno di due regole).

Il firewall di Fedora su Ubuntu

Fedora è una vera miniera da cui attingere software. Essendo una sorta di versione “blending edge” di Red Hat Enterprise Linux, è facile trovarsi software che poi un giorno finirà in RHEL, soprattutto software di amministrazione di sistema.

Chi volesse provare l’interfaccia per il firewall di Fedora può aggiungere il mio repository “quasi rolling” per Ubuntu Natty. Il pacchetto si chiama system-config-firewall

Come vedete è ben più complesso di gufw ma permette di fare praticamente tutto ciò che si può fare tramite linea di comando con iptables.