Firewall Builder

Presentiamo ora una anteprima del software Firewall Builder sviluppato per la definizione e il mantenimento di politiche di sicurezza nell'ambito di reti complesse.

La versione di Firewall Builder presentata in questa guida è la 2.0.2 (Settembre 2004), direttamente scaricabile dal sito ufficiale www.fwbuilder.org.

Il pacchetto di installazione oltre a contenere le librerie principali per l’implementazione della GUI, ne contiene altre specifiche per la configurazione  degli ipfilter, iptables.

Il punto di forza di Firewall Builder risiede nella sua progettazione:

• Object Oriented: l'interfaccia permette una più semplice definizione delle politiche di sicurezza(Policies).

• GUI intuitiva grazie a potenti Wizard è possibile configurare e amministrare host, reti e NAT in modo semplice, veloce e funzionale.

• Permette di mantenere un database di oggetti e l'editing preciso delle Policies mediante semplici operazioni drag-and-drop.

Senza dubbio l'interfaccia grafica di Firewall Builder mette subito in risalto tutte le caratteristiche appena descritte:

La GUI permette di definire e amministrare la propria politica di sicurezza con un'interfaccia grafica molto semplice:

Descrizione di Firewall Builder

Questo firewall di Linux è stato implementato a partire dalla versione 2.4 del kernel. Il firewall IP e le capacità di accounting del kernel Linux offrono il meccanismo per il conteggio dei pacchetti IP, per costruire dei firewall basati sul filtraggio dei pacchetti, per costruire dei firewall basati sul proxy trasparente (ridirigendo i pacchetti ad un socket locale), e per effettuare la "mascheratura" dei pacchetti diretti all'esterno.
Firewall Builder, gestisce queste funzionalità basandosi su quattro liste mantenute nel kernel, ciascuna delle quali può contenere specifiche regole:

• Accounting: Le regole di accounting sono usate per tutti i pacchetti IP che vengono trasmessi o ricevuti tramite una delle interfacce di rete locali. Ogni pacchetto viene confrontato con tutte le regole di questa lista e ogni corrispondenza causerà un incremento nei contatori di pacchetti associati a quella regola.


• Lista di ingresso (input): Queste regole gestiscono l'accettazione di pacchetti entranti. Tutti i pacchetti che entrano attraverso una delle interfacce di rete locali sono confrontati con le regole della lista di ingresso. La prima regola che corrisponde ad un pacchetto determina il comportamento ("policy") da tenere e provoca un aggiornamento dei contatori di pacchetti la regola stessa. Quando non vengono trovate corrispondenze tra le regole ed il pacchetto, viene usata la policy di default per la lista di ingresso.


• Lista di uscita (output): Queste regole definiscono i permessi per la trasmissione di pacchetti IP uscenti. Tutti i pacchetti che stanno per essere trasmessi attraverso una delle interfacce di rete locali vengono confrontati con le regole della lista di uscita. La prima regola che corrisponde ad un pacchetto determina il comportamento da tenere e provoca un aggiornamento dei contatori di pacchetti della regola stessa. Quando non vengono trovate corrispondenze tra le regole ed il pacchetto, viene usata la policy di default per la lista di uscita.


• Lista di inoltro (forward): Queste regole definiscono i permessi per la ritrasmissione (forward: (ingl.), inoltro, spedizione) di pacchetti IP. Tutti i pacchetti spediti da un host remoto e destinati ad un altro host remoto vengono confrontati con le regole della lista di inoltro. La prima regola che corrisponde ad un pacchetto determina il comportamento da tenere e provoca un aggiornamento dei contatori di pacchetti. Quando non vengono trovate corrispondenze tra le regole ed il pacchetto, viene usata la policy di default per la lista di inoltro.

La caratteristica fondamentale di FWBuilder è il "Meccanismo di firewalling" su cui si basa: il "Packet Filtering".
Alias "filtro dei pacchetti", il packet filtering, altro non è che una parte di software che, analizzando le intestazioni (header) dei pacchetti, ne decide la destinazione. Può decidere di scartare (deny) il pacchetto, accettarlo (accept), scartarlo dando una notifica al mittente (reject), tutto ciò sempre in accordo con le regole definite dall'amministratore. Se un pacchetto ottiene il permesso viene instradato direttamente a destinazione, altrimenti viene bloccato.
Inoltre, per avere la possibilità di redirigere i pacchetti, Firewall Builder, gestisce l'opzione del kernel CONFIG_IP_TRANSPARENT_PROXY e, in base alle regole della lista di inoltro, si può anche definire se i pacchetti devono essere mascherati quando vengono ritrasmessi. In questo caso, l'indirizzo del mittente del pacchetto IP viene rimpiazzato con l'indirizzo dell'host locale e la porta nell'header TCP o UDP viene rimpiazzata da un numero di porta temporaneo generato localmente prima di ritrasmettere il pacchetto..

Per concludere questa panoramica sulla descrizione di FWBuilder, è doveroso fare un'ultima analisi sul "motore" di questo firewall, ovvero ciò che gli permette di tener traccia del flusso di comunicazione che lo attraversa per poter operare correttamente nel suo processo decisionale. Questo motore, si basa sulla Stafeful Inspection: questa tecnologia di firewalling introdotta in tempi piuttosto recenti in ambiente linux (a partire dal kernel 2.4), permette di ottenere informazioni derivanti da tutti i livelli di comunicazione del protocollo TCP ecco perchè è alla base dell'implementazione delle politiche di sicurezza di FWBuilder. Questa tecnologia permette al nostro software di soddisfare i seguenti requisiti di sicurezza:

• Informazione sullo stato della connessione: fattore essenziale nella decisione di far passare o meno nuovi pacchetti.


• Stato derivato dalla comunicazione: esame delle comunicazioni precedenti per effettuare un'analisi accurata del traffico in entrata ed in uscita.


• Stato derivato dall'applicazione: attento esame di tutto il traffico generato dalle diverse applicazioni che accedono alla rete.

Dopo questa breve panoramica del software, passiamo ora alla sezione "Installare FWBuilder" in cui approfondiremo tutta la procedura di installazione.