Quick Guide Serie S

Guida rapida di Serie S

1.Connessione dell'apparato #

Per interconnettere l’appliance alla propria LAN seguire i seguenti passaggi:

– collegare la porta ethernet LAN dell’appliance alla propria rete locale usando un cavo UTP classe 5 o superiore;

– collegare la porta ethernet WAN dell’appliance al proprio router usando un cavo UTP classe 5 o superiore;

N.B. Le porte ethernet  LAN e WAN devono sempre essere connesse a due reti fisicamente separate e in classi differenti. 

– collegare il cavo di alimentazione fornito alla presa elettrica a muro ed al dispositivo con l’apposito connettore;

– dopo circa tre minuti l’appliance sarà disponibile in rete.

2.Prima configurazione #

Per effettuare una prima configurazione corretta del Firewall è necessario effettuare tutti i passaggi presenti nel capitolo 2.

Di seguito sono riportate le configurazioni di default del sistema utili per il primo acceso.

2.1.Impostazioni di fabbrica #

– indirizzo IP eth0  :  192.168.4.1

– Nome Utente:         Admin

– Password:             fornita con l’appliance

– Gateway:              10.9.0.2

– DNS:                      8.8.8.8

2.2.Wizard #

Una volta collegato l’apparato alla propria rete (par. 1), impostare sul proprio PC un indirizzo IP statico della rete 192.168.4.X (ad es. 192.168.4.5) in modo da poter raggiungere l’appliance tramite interfaccia web.

Lanciare il proprio browser, inserire nella barra degli indirizzi l’IP dell’appliance 192.168.4.1.

Inseriamo le credenziali fornite con l’apparato ed effattuiamo la Login.

Al primo accesso viene visualizzato il Wizard che permette di configurare le impostazioni base dell’apparato in modo rapito.

Se siamo in possesso di una configurazione della stessa versione software possiamo caricarla altrimenti verrà chiesto di:

– inserire una nuova password,

– compilare la registrazione prodotto con i dati dell’utilizzatore finale,

– configurare i parametri di rete, il nome macchina e le mail di assistenza.

Una volta compilati tutti i campi selezionare Salva per applicare la configurazione.

ATTENZIONE: non disconnettere l’apparato dalla rete elettrica fino a che non sarà disponibile in rete al nuovo indirizzo IP assegnato.

Il wizard è richiamabile in qualsiasi momento inserendo nella barra degli indirizzi del proprio browser http://ipdilanappliance/wizard.

3.Gestione credenziali di accesso #

È necessario cambiare la password dell’utente Admin al primo accesso.

3.1.Credenziali di accesso Admin #

Una volta eseguita la login dal menù Setup selezionare il sotto menù Gestione utenti web.

Nel modulo Cambio password per l’utente Admin settare la nuova password.

Salvare per applicare le modifiche.

3.2.Credenziali di accesso altri utenti #

È possibile creare ulteriori utenti per accedere all’interfaccia di gestione, ma con permessi limitati o con pieni permessi ma senza diffondere la password di “Admin”.

Una volta effettuata la Login dal menù Setup selezionare Gestione utenti web.

Cliccare sul pulsante Gestione altri utenti.

Dal tab Utenti è possibile aggiungere un nuovo utente con relativa password e il profilo associato a sceltra tra Base, Intermedio, Elevato e Amministratore.

Il livello Amministratore concede l’accesso a tutte le configurazione della macchina allo stesso modo dell’utente Admin.

Gli altri profili sono personalizzabili e vanno settati nel tab Profili come segue:

– selezionare il profilo che si desidera modificare;

– selezionare i moduli che si desidera NEGARE per quel profilo.

4.Firewall #

Di default l’appliance consente connessioni in uscita solo sulle porte TCP dalla 7 alla 134 e alle porte 443, 1723, 3389.
Alcune delle porte aperte sono filtrate:
– 80 TCP: filtri web sui contenuti;
– 25 e 110 TCP: filtro antispam e antivirus;
– 53 UDP: filtro DNS;
– 21 TCP: filtro antivirus.

Dall’esterno di default l’appliance non accetta connessioni su nessuna porta e non risponde la ping.

È possibile personalizzare le regole di firewalling tramite l’apposita interfaccia raggiungibile selezionando dal menù Firewall il sotto menù Firewall.

4.1.Forward #

Tramite la tabella Forward è possibile definire porte accessibili dalla LAN verso internet.

Selezionando Nuova Regola sarà possibile concedere o negare delle porte in uscita compilando come segue:

– Azione: selezionare “Permetti”, “Scarta” o “Scarta e Logga” in base se si vuole concedere o negare determinate connessioni;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– Destinazione: compilare questo campo solo se si vuole limitare la regola ad uno o più IP di destinazione. Se omesso la regola è valida per qualsiasi destinazione;

– Mac Address: compilare questo campo se si desidera limitare la regola al Mac Address specificato altrimenti lasciare vuoto;

– Porte/Protocollo: compilare questo campo con uno o più oggetti (par. 4.12) porta/protocollo;

– Applicazione Layer7: se si vuole creare una regola per determinate applicazioni Layer7 selezionarle dall’elenco;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Fascia Oraria: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.2.Admins #

Tramite la tabella ADMINS è possibile definire regole che concedono le porte in uscita con priorità maggiore rispetto alle regole di Forward.

Selezionando Nuova Regola sarà possibile concedere o negare delle porte in uscita compilando come segue:

– Azione: selezionare “Permetti”, “Scarta” o “Scarta e Logga” in base se si vuole concedere o negare determinate connessioni;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– Destinazione: compilare questo campo solo se si vuole limitare la regola ad uno o più IP di destinazione. Se omesso la regola è valida per qualsiasi destinazione;

– Mac Address: compilare questo campo se si desidera limitare la regola al MacAdress specificato altrimenti lasciare vuoto;

– Porte/Protocollo: compilare questo campo con uno o più oggetti (par. 4.12) porta/protocollo;

– Applicazione Layer7: se si vuole creare una regola per determinate applicazioni Layer7 selezionarle dall’elenco;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Fascia Oraria: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.3.Lan Input #

Tramite la tabella Lan Input è possibile determinare quali chiamate dalla rete Lan verso la Lan del firewall (gateway della rete) devono essere accettate/scartate.

Di default tutte le chiamate sono concesse.

Selezionando Nuova Regola sarà possibile concedere o negare le chiamate compilando come segue:

– Azione: selezionare “Permetti”, “Scarta” in base se si vuole concedere o negare determinate connessioni;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– Destinazione: compilare questo campo solo se si vuole limitare la regola ad uno o più IP di destinazione. Se omesso la regola è valida per qualsiasi destinazione;

– Mac Address: compilare questo campo se si desidera limitare la regola al Mac Address specificato altrimenti lasciare vuoto;

– Porte/Protocollo: compilare questo campo con uno o più oggetti (par. 4.12) porta/protocollo;

– Applicazione Layer7: se si vuole creare una regola per determinate applicazioni Layer7 selezionarle dall’elenco;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Fascia Oraria: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.4.Servizi #

Tramite il tab Servizi è possibile rendere disponibili verso internet i servizi presenti direttamente sull’appliance ad esempio ssh o le porte per eventuali VPN configurate.

Selezionando Nuova Regola sarà possibile concedere o negare delle porte in uscita compilando come segue:

– Azione: selezionare “Permetti”, “Scarta” o “Scarta e Logga” in base se si vuole concedere o negare determinate connessioni;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP chiamanti da internet. Lasciare vuoto se si vuole concedere il servizio a qualunque IP chiamante.

– IP di WAN: compilare questo campo solo se si vuole limitare la regola ad uno o più ip di Wan della macchina. Se omesso la regola è valida WAN richiamata sul sistema;

– Mac Address: compilare questo campo se si desidera limitare la regola al MacAddress specificato altrimenti lasciare vuoto;

– Porte/Protocollo: compilare questo campo con uno o più oggetti (par. 4.12) porta/protocollo;

– Applicazione Layer7: se si vuole creare una regola per determinate applicazioni Layer7 selezionarle dall’elenco;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Fascia Oraria: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.5.Nat #

Tramite la tabella NAT è possibile rendere disponibili in Internet dei servizi forniti da server all’interno della LAN come ad esempio Web Server, DesktopRemoto, etc.

N.B. assicurarsi sempre che i servizi pubblicati su Internet siano servizi sicuri, poichè una NAT non esegue nessun controllo.

Selezionando Nuova Regola sarà possibile nattare le porte compilando come segue:

– Sorgente WAN : se si hanno più WAN fisiche o virtuali selezionare la WAN che verrà utilizzata per richiamare il servizio, selezionando Automatico imposterà la WAN principale: eth1.

– Porta Esterna WAN: impostare la porta o il range di porte che verranno utilizzate per richiamare il servizio;

– Indirizzo IP interno: indicare l’ip di LAN del server che fornisce il servizio;

– Porta Interna LAN: impostare la porta o il range di porte in ascolto sul server per quel servizio;

– Indirizzo IP chiamante Internet: se si desidera limitare la NAT solo a specifici indirizzi IP pubblici compilare questo campo: un IP per regola, in caso di più IP andranno create più regole;

– Protocollo: selezionare il protocollo delle porte impostate tra TCP e UDP;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Tempo di validità: se si desidera attivare la validità oraria impostare la fascia oraria desiderata;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

N.B. Nel caso in cui il router sia configurato con IP privato è necessario che le porte impostate come esterne WAN siano ruotate sul router verso la scheda di rete del firewall associata.

4.6.Proxy #

Tramite la tabella Proxy è possibile bypassare il controllo sui contenuti per determinati client o siti oppure è possibile negare la navigazione http per determinati client o siti. Se si seleziona l’opzione bypass non verranno registrati i log della navigazione corrispondenti alle specifiche impostate.

Selezionando Nuova Regola sarà possibile concedere o negare la navigazione compilando come segue:

– Azione: selezionare “Bypassa” o “Nega” in base se si vuole concedere senza filtri o negare determinate connessioni web;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP chiamanti da internet. Lasciare vuoto se si vuole concedere il servizio a qualunque IP chiamante.

– Destinazione: compilare questo campo con i siti o gli ip dei server. Se omesso la regola è valida per ogni sito web;

– Mac Address: compilare questo campo se si desidera limitare la regola ai Mac Address specificati altrimenti lasciare vuoto;

– Tempo di validità: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.7.Proxy ACL #

Tramite la tabella Proxy ACL è possibile concedere o negare la navigazione http in una determinata fascia oraria per domini specifici o IP sorgenti in LAN specifici.

Selezionando Nuova Regola sarà possibile concedere o negare delle porte in uscita compilando come segue:

– Azione: selezionare “Navigazione Permessa” o “Navigazione Negata” in base se si vuole concedere o negare determinate connessioni;

– Sorgente / Dominio:
 - selezionare Sorgente se si desidera creare delle regole temporali in base all’ip del client che fa la richiesta internet.
 - selezionare Dominio se si desidera creare delle regole temporali in base ai domini richiamati
Selezionare uno o più oggetti (par. 4.12).

– Tempo di validità: selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Salvare per applicare le modifiche.

 

4.8.SMTP #

Se abilitato il filtro SMTP nelle regole di UTM (par. 4.14) è possibile gestire eventuali eccezioni tramite la tabella SMTP definendo i server SMTP esterni ritenuti attendibili.
Sulle connessioni verso questi SMTP non verrà effettuato alcun filtraggio antivirus e antispam.

– IP Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– IP di destinazione: inserire gli IP o i nomi dei server SMTP sui quali non si desidera effettuare controlli antivirus e antispam;

– Mac Address: compilare questo campo se si desidera limitare la regola al MacAddress specificato altrimenti lasciare vuoto;

– Tempo di validità: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.9.POP3 #

Se abilitato il filtro POP3 nelle regole di UTM (par. 4.14) è possibile tramite la tabella POP3 definire IP della LAN che non avranno alcun filtro sulle connessioni POP3 per uno o più server di posta.

– IP Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– IP di destinazione: inserire gli IP o i nomi dei server POP3 sui quali non si desidera effettuare controlli antivirus e antispam durante lo scarico della posta;

– Mac Address: compilare questo campo se si desidera limitare la regola al MacAddress specificato altrimenti lasciare vuoto;

– Tempo di validità: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.10.DSL routing #

Se abilitato il multiGateway è possibile, tramite la tabella DSL Routing, instradare il traffico sulla DSL specificata invece che bilanciarlo.

Selezionando Nuova Regola creiamo un instradamento compilando come segue:

– Usa xDSL numero:selezionare il numero della xDSL sulla quale si desidera instradare il traffico. La numerazione delle xDSL è data dalla configurazione del Multi gateway;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– Destinazione: compilare questo campo solo se si vuole limitare la regola ad uno o più IP di destinazione. Se omesso la regola è valida per qualsiasi destinazione;

– Mac Address: compilare questo campo se si desidera limitare la regola al Mac Address specificato altrimenti lasciare vuoto;

– Porte/Protocollo: compilare questo campo con uno o più oggetti (par. 4.12) porta/protocollo;

– Applicazione Layer7: se si vuole creare una regola per determinate applicazioni Layer7 selezionarle dall’elenco;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Fascia Oraria: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.11.Marking DSCP #

Se abilitata la gestione “DSCP per Qos” nelle regole di UTM (par. 4.14) tramite la tabella Marking DSCP è possibile selezionare dei livelli di priorità nello stabilire le connessioni (QoS). Utile se ad esempio si hanno dei servizi o delle comunicazioni che devono avere maggiore priorità.

Selezionando Nuova Regola creiamo un instradamento compilando come segue:

– Priorità DSCP: selezionare il livello di priorità che si desidera riservare;

– Sorgente: compilare questo campo solo se si vuole limitare la regola ad uno o più IP sorgenti della nostra LAN. Se omesso la regola è valida per tutta la LAN;

– Destinazione: compilare questo campo solo se si vuole limitare la regola ad uno o più IP di destinazione. Se omesso la regola è valida per qualsiasi destinazione;

– Mac Address: compilare questo campo se si desidera limitare la regola al Mac Address specificato altrimenti lasciare vuoto;

– Porte/Protocollo: compilare questo campo con uno o più oggetti (par. 4.12) porta/protocollo;

– Applicazione Layer7: se si vuole creare una regola per determinate applicazioni Layer7 selezionarle dall’elenco;

– Nazione: se si desidera attivare la validità geografica selezionare le località altrimenti lasciare vuoto;

– Fascia Oraria: se si desidera attivare la validità oraria selezionare uno o più oggetti (par. 4.12) Fascia Oraria;

– Commento: è possibile inserire un commento alla regola.

Una volta compilati i campi Salvare. La regola verrà immediatamente applicata.

4.12.Gestione oggetti #

Le regole di firewall richiedono l’uso degli oggetti divisi tra:

  1. Sorgente/Destinazione
  2. Porte/Protocollo
  3. Dominio

Per creare un oggetto cliccare nella form da compilare e ricercare la dicitura aggiungi un nuovo oggetto che porterà nel form di aggiunta della categoria di oggetto.

Compilare la form come segue:
-Oggetto Sorgente/Destinazione:
 - Etichetta: inserire un nome identificativo univoco dell’oggetto;
 - Indirizzi IP/Subnet: inserire Uno per riga o un singolo IP o IP/subnet o un nome host. L’ggetto può contenere elementi diversi es: un IP e un range di IP;
 - cliccare su Salva;
-Oggetto Porte/Protocollo:
 - Etichetta: inserire un nome identificativo univoco dell’oggetto;
 - Protocollo: selezionare il tipo di protocollo usato tra UDP TCP e ICMP, selezionando ICMP non vanno compilati i campi dalla porta alla porta;
 - Dalla porta: indicare la singola porta o la porta iniziale se necessitiamo di aprire un range di porte;
 - Alla porta: indicare l’ultima porta del range, se si vuole aprire una singola porta lasciare vuoto;
 - Cliccare su aggiungi Porta, è possibile aggiungere più porte e/o range di porte per ogni oggetto.
-Oggetto Dominio:
 - Etichetta: inserire un nome identificativo univoco dell’oggetto;
 - Dominio: inserire i domini uno per riga;
 - Cliccare su salva.
Dopo aver creato gli oggetti necessari cliccare su Indietro per poter procedere alla creazione della regola di firewall.

4.13.Strumeni Firewall #

Una volta effettuata la Login dal menù Firewall selezionando il sotto menù Firewall sono presenti dei bottoni strumentali. 

4.13.1.Firewall Armato/Disarmato #

Il pulsante Firewall Armato permette in un semplice click di aprire tutte le porte dalla LAN verso Internet e disabilitare tutti i filtri effettuati dall’appliance.

Questa caratteristica può essere utile in caso di malfunzionamenti da parte di qualche applicazione o sito web: se una volta disarmato il firewall la problematica persiste allora la stessa non è riconducibile all’appliance, diversamente, se il problema viene risolto abbiamo la certezza che l’applicativo o la pagina web tenta di connettersi su una porta bloccata o un sito bloccato.

Quando il firewall viene disarmato il pulsante cambierà nome in Firewall Disarmato ed apparirà un messaggio di warning.

Per riarmare il firewall e quindi riapplicare tutte le regole è sufficiente cliccare sul pulsante Firewall Disarmato.

N.B. Disarmando il firewall tutte le NAT e i servizi erogati verso internet dall’appliance vengono disabilitati fino al riarmo del firewall ad eccezione della porta 22 tcp che rimarrà aperta dall’esterno per agevolare una eventuale assistenza remota.

4.13.2.Applica Configurazione #

Durante la creazione delle regole o la loro eliminazione le regole vengono immediatamente applicate tuttavia si può forzare l’applicazione mediante il pulsante Applica Configurazione

È possibile utilizzare questo pulsante anche per riarmare il firewall o fare una verifica della configurazione in quanto se vi fossero degli errori verrebbero visualizzati dall’output generato.

4.13.3.Modifica Manuale #

Il pulsante Modifica manuale permette di andare a modificare direttamente il file di configurazione delle regole di firewall.

Utile ad esempio per poter inserire regole speciali che non sono inseribili tramite l’interfaccia web.

N.B. solo per UTENTI ESPERTI

4.13.4.Ripristina Configurazione #

Al primo accesso della giornata alla pagina delle regole di firewall viene creato un backup delle regole stesse in modo da poterle facilmente ripristinare in seguito a modifiche accidentali o che procurano malfunzionamenti.

La lista delle configurazioni precedenti è accessibile selezionando il tasto Ripristina Configurazione e successivamente sulla pulsante con la data a cui vogliamo riportare la configurazione.

4.14.Universal Threat Management #

Tramite questo pannello, raggiungibile selezionando Universal Threat Management dal menù Firewall, è possibile abilitare o disabilitare i controlli avanzati che verranno effettuati dall’appliance per tipologia:

– Abilita il filtro dei contenuti sulla navigazione WEB: se abilitato l’appliance applica il controllo sui contenuti per tutto il traffico http (par. 7) , se disabilitato non verrà applicato alcun controllo sui contenuti e non verranno loggate le pagine web navigate;

– Mostra indirizzi IP completi nei log di navigazione: è possibile abilitare la visualizzazione dei log con indirizzo IP completo, mentre se disabilitato non verrà visualizzato l’ultimo ottetto dell’IP. Di default l’opzione è disabilitata;

– Intrusion Prevention System (IPS): è possibile abilitare, previa installazione dal menù Filter->IPS, questo filtro avanzato che analizza la tipologia di pacchetto e se viene reputato malevolo lo blocca anche se tenta connessioni concesse dalle tradizionali regole di firewall. Ad esempio, server raggiungibili da internet e quindi esposti avranno così maggiore protezione da tentativi di attacco.

– Advanced Threat Protection (ATP): abilitando questa opzione è possibile nullificare la visibilità tra la LAN e le BotNet in maniera bidirezionale. Le liste degli IP considerati BotNet vengono aggiornate costantemente.
ATTENZIONE: alcuni server multi-dominio potrebbero appartenere a BotNet quindi è sconsigliata l’attivazione se si tratta di un server di posta reale;

– Abilita il filtro Antivirus trasparente POP3: abilitando questa opzione verrà effettuato il controllo antivirus e anti-spam in modalità trasparente sulla posta scaricata dai client in POP3; disabilitando questa opzione non verrà effettuato alcun controllo. È possibile mantenere abilitato il controllo ed aggiungere delle eccezioni tramite il tab POP3 nelle regole di firewall (par. 4.9);

– Abilita BlackHole DNS: abilitando questa opzione è possibile nullificare a livello DNS determinati siti in modo che non siano raggiungibili dalla LAN in particolare usato per i siti in https o app.
N.B. È necessario abilitare questa opzione in caso si usino le liste Blacklist nei filtri di navigazione (par 7.1 sez.3);

– Abilita Filtro contenuti FTP: abilitando questa opzione verrà applicato il controllo antivirus sull’FTP, disabilitandolo non verrà effettuato alcun controllo;

– Abilita Filtro SMTP in uscita: abilitando questo filtro l’appliance effettuerà il controllo antivirus e anti-spam sulla posta in uscita dalla LAN, disabilitandolo non verrà effettualto alcun controllo sulla posta in uscita. È possibile mantenere abilitato il filtro ed aggiungere delle eccezioni sulle quali non verrà effettuato il controllo tramite il tab SMTP nelle regole di firewall (par. 4.8);

– Abilita DSCP per il QoS: abilitando questa opzione sarà possibile indicare la priorità di instradamento. Ad esempio su una connessione a banda incostante abbiamo necessità che un determinato servizio non si interropa o rallenti: indicando una priorità alta l’appliance riserverà la banda necessaria al servizio e la restante verrà dedicata alle altre necessità. Le priorità vanno configurate come indicato al par. 4.11

5.Configurazione di rete #

Una volta effettuata la login dal menù Networking selezionare il sotto menù Interfaccia di Rete.

È possibile configurare gli indirizzi IP da assegnare alle porte ethernet dell’appliance, eventuali route statiche, il nome host del dispositivo e, in caso si abbiano più connettività ADSL il failover e il multiadsl.

5.1.Schede di rete #

Tramite questo menù è possibile modificare gli indirizzi IP delle singole schede di rete presenti sull’apparato ma anche creare interfacce virtuali e VLAN.

Per configurare una porta ethernet cliccare sul nome della scheda che desideriamo modificare.

5.1.1.Configurazione LAN (eth0) #

– Indirizzo IP: inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet LAN che sarà utilizzato come gateway dalla rete locale aziendale;

– Netmask: inserire la subnet mask relativa all’IP assegnato;

– Time server: inserire l’ip o il nome host dal quale il firewall può ricavare la data e l’ora corrette ad esempio time.ien.it;

Una volta compilati tutti i campi cliccare su Salva e riavviare l’appliance per applicare le modifiche.

N.B.:non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete al nuovo indirizzo IP assegnato

 

5.1.2.Configurazione WAN (eth1) #

– Etichetta: permette di impostare un nome identificativo all’interfaccia ethernet ad esempio WAN.

– Ottieni indirizzo da DHCP: se selezionato la scheda di rete eth1 otterrà la configurazione dell’IP, del gateway e del DNS dal router;
N.B.: per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la WAN dell’appliance deve essere collegata all’avvio dell’apparato.

– Indirizzo IP: inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet WAN, tale indirizzo deve essere della stessa classe dell’IP del router in modo che possa interfacciarsi con quest’ultimo;

– Netmask: inserire la subnet mask relativa all’IP assegnato;

– Gateway: inserire l’indirizzo IP del router che l’appliance utilizzerà come gateway.

Una volta compilati tutti i campi cliccare su Salva e riavviare l’appliance per applicare le modifiche.

N.B.:non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che non sarà nuovamente disponibile in rete

5.1.3.Configurazione altre interfacce #

Tutte le interfacce diverse da eth0 e eth1 sono di defaut delle DMZ ma sono configurabili come LAN o WAN aggiuntive.

– Etichetta: permette di impostare un nome identificativo all’interfaccia ethernet.

– Ottieni indirizzo da DHCP: se selezionato a scheda di rete eth1 otterrà la configurazione dell’IP, del gateway e del DNS dal router;
N.B.: per poter utilizzare questa funzione deve essere attivo il server DHCP connesso a quella scheda di rete.

– Indirizzo IP: inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet, se si tratta di una WAN tale indirizzo deve essere della stessa classe dell’IP del router in modo che possa interfacciarsi con quest’ultimo;

– Netmask: inserire la subnet mask relativa all’IP assegnato;

Una volta compilati tutti i campi cliccare su Salva e riavviare l’appliance per applicare le modifiche.

N.B.:non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che non sarà nuovamente disponibile in rete

Nel caso in cui questa scheda di rete voglia essere utilizzata come LAN inseriamo una regola di Forward (par. 4.1) che permetta la comunicazione tra le LAN mono o bidirezionale.

Nel caso in cui questa scheda di rete voglia essere utilizzata come WAN andremo a configurare il gateway e failover e/o Multi gateway sotto Networking (par. 5.2-3).

5.1.4.Configurazione interfaccia virtuale #

È possibile aggiungere uno o più IP virtuali a ogni scheda di rete procedendo come segue:

– selezionare la scheda di rete a cui si vuole aggiungere un IP;

– cliccare su Aggiungi Interfaccia virtuale;

– compilare come segue:

 - scheda di rete ethX: compilare con un ID che identificherà l’ip aggiuntivo;

 - Indirizzo IP: inserire l’indirizzo IP che vogliamo assegnare alla scheda virtuale;

 - Netmask: inserire la subnet mask relativa all’IP assegnato;

 - Salvare per applicare le modifiche;

l’IP virtuale sarà subito raggiungibile.

5.1.5.Configurazione VLAN #

È possibile configurare delle interfacce VLAN procedendo come segue:

– selezionare la scheda di rete a cui sarà connessa la VLAN;

– cliccare su Aggiungi Interfaccia VLAN;

– compilare come segue:

 - VLAN ID: compilare inserendo l’ID identificativo della VLAN;

 - Indirizzo IP: inserire l’indirizzo IP che vogliamo assegnare;

 - Netmask: inserire la subnet mask relativa all’IP assegnato;

 - Salvare per applicare le modifiche;

L’interfaccia VLAN sarà subito raggiungibile.

5.2.Rotte e Failover #

Una volta effettuata la login, dal menù Networking selezionare il sotto menù Interfaccia di rete.

Cliccare sul pulsante Rotte e Failover.

Se si vuole aggiungere una rotta statica che permetta di raggiungere una determinata rete tramite un differente gateway rispetto a quello di default compilare il form aggiungi route statica come segue:

– Destinazione/Maschera di Rete: compilare con l’IP iniziale della subnet di destinazione e selezionare la netmask tra quelle proposte;

– Gateway da utilizzare: inserire il gateway che si intende utilizzare per raggiungere la rete configurata sopra, tale indirizzo deve essere raggiungibile dal firewall;

Salvare per aggiungere la rotta statica.

Se si vuole configurare il failover con un router di backup spostarsi sul tab failover e compilare come segue:

– Abilitato: selezionare sì o no in base a se si vuole abilitare o meno il failover;

Abilitando la funzione failover l’appliance verificherà costantemente lo stato dell’ADSL principale, se dovesse cadere il traffico internet verrà rediretto sull’ADSL di backup.

– Router di backup: indicare l’indirizzo IP del router di backup;

– Indirizzo IP da pingare per testare la connettività: indicare un indirizzo IP ad esempio un server DNS fornito dal provider o generico per il test della connettività;

– Notifica al seguente indirizzo email: indicare un indirizzo email che riceverà le notifiche ogni volta che l’ADSL primaria cadrà facendo entrare in funzione il router di backup e ad ogni ripristino della connettività primaria.

Selezionare Salva per applicare.

5.3.Multi gateway #

La funzionalità di Multi gateway permette di utilizzare 2 o più xDSL in bilanciamento di carico, ovvero il traffico in uscita verrà smistato sulle xDSL disponibili in base alle impostazioni definite dall’amministratore.

Una volta effettuata la login dal menù Networking selezionare il sotto menù Interfaccia di Rete.

Cliccare sul pulsante Multi gateway e compilare come segue:

– Abilitato: selezionare sì se si desidare abilitare il bilanciamento delle linee xDSL

– xDSL numero 1 velocità: impostare la proporzione con cui si desidera instradare il traffico sull’xDSL primaria;

– xDSL numero 2 o superiore:
 - connessa alla: selezionare l’interfaccia fisica a cui è connessa la n-esima xDSL;
 - velocità: impostare la proporzione con cui si desidera instradare il traffico sull’xDSL specificata;
 - IP Router: inserire l’IP del gateway della linea xDSL;

– Abilita Failover: selezionare sì se si desidera abilitare il failover cioè una verifica del corretto funzionamento delle due linee e nel caso di interruzione di servizio di una delle due xDSL automaticamente indirizza la navigazione sul/sulle xDSL operativa/e

– Indirizzo IP da pingare per testare la connettività: inserire un indirizzo IP utilizzato da tutte le connettività per la verifica di funzionamento;

– Notifica al seguente indirizzo email: impostare un indirizzo email a cui verrà notificato il mancato funzionamento di una delle linee e il ripristino della stessa;

Cliccare su Salva e Applica per applicare la configurazione

5.4.Simple Network Management Protocol #

Se abilitato , permette di impostare la comunità pubblica e privata SNMP le quali permettono di interrogare l’apparato attraverso un sistema di monitoring che supporta il protocollo SNMP.

È possibile abilitare questa opzione tramite il menù Networking, selezionando il sotto menù SNMP.

Compilare i campi inserendo le comunità di admin e di lettura.

5.5.Server DHCP #

Dal menù Networking selezionare il sotto menù Server DHCP.

E’ possibile creare uno o più ambiti DHCP cliccando su Nuovo Ambito.

Compilare il form di creazione come segue:

  • Descrizione: Inserire una descrizione che identifica l’ambito che si sta creando.
  • Suffisso DNS: Inserire l’eventuale suffisso DNS se è presente un dominio in LAN.
  • Indirizzo di network, Maschera di rete: indicare l’indirizzo di network e la maschera di rete dell’interfaccia associata.
  • Indirizzo iniziale e Indirizzo finale: indicare sia l’indirizzo iniziale che finale definendo in questo modo un range di indirizzi IP personalizzato.
  • Gateway: inserire l’indirizzo IP del gateway.
  • Server DNS: inserire i server DNS primario e secondario.

E’ possibile configurare dei range addizionali appartenenti alla stessa subnet, inserendo l’indirizzo IP iniziale e finale e cliccando sul bottone verde “+” .

Sempre in fase di creazione selezionando il TAB “Opzioni Avanzate” troveremo le opzioni DHCP avanzate configurabili:

  • Tempo di lease di default(s): la durata di default di lease espressa in secondi.
  • Tempo massimo di lease(s): la durata massima di lease espressa in secondi.
  • Server NTP: l’eventuale Server NTP  per la sincronizzazione degli orologi.
  • Proxy Pac URL: indicare l’eventuale URL del proxy pac per la distribuzione delle impostazioni proxy.
  • Possibilità di Permettere a qualunque dispositivo di ricevere un IP oppure solo ai dispositivi presenti nelle prenotazioni.

È possibile aggiungere una o più rotte statiche compilando i campi destinazione, maschera di rete, gateway da utilizzare e cliccando su “Aggiungi”.

Salvare l’ambito cliccando su “Salva”.

Selezionando il TAB “Leases” verranno mostrate tutte le lease attive con indirizzo IP, Hostname, MAC, Start Time, End Time.

Selezionando il TAB “Prenotazioni” è possibile aggiungere una o più prenotazioni per l’assegnazione di un IP statico ad un apparato specifico.

– Cliccando su “Aggiungi tutti” il sistema creerà una prenotazione per tutti gli host conosciuti aggiungendo alla lista dei MAC address conosciuti tutti gli apparati che hanno ricevuto la lease DHCP.

– Cliccando su “Nuova Prenotazione” è possibile aggiungere una nuova prenotazione compilando il form di creazione come segue:

  • Nome Host: inserire un nome identificativo per l’apparato.
  • Indirizzo Hardware: inserire il MAC address dell’apparato.
  • Indirizzo IP statico: inserire l’indirizzo IP statico che si vuole assegnare all’apparato e che non verrà rilasciato a nessun’altro dispositivo.

Salvare la prenotazione cliccando su “Salva”.

N.B. Di default il servizio DHCP è fermo per avviarlo cliccare sul tasto “play” e successivamente per far sì che il servizio parta con la macchina cliccare una volta sul pulsante rosso a fianco.

NON DEVONO ESSERE PRESENTI ALTRI DHCP IN RETE.

6.Gestione VPN #

L’appliance supporta diversi tipi di tipi di VPN che possono essere usati contemporaneamente.

N.B. Per poter utilizzare qualsiasi VPN in modalità server l’appliance deve essere raggiungibile da internet o configurando opportunamente il router o con IP pubblico direttamente sull’appliance stessa.

6.1.L2TP #

La VPN L2TP è di rapida configurazione e nativamente compatibile con la grande maggioranza dei sistemi operativi.

Dal menù Networking selezionare il sotto menù Server VPN L2TP .

Per configurare le impostazioni del server VPN spostarsi sul tab Opzioni VPN e configurare come segue:

– Segreto condiviso: impostare una preshared key che dovrà essere condivisa con tutti gli utenti oltre alla singola login utente;

– Interfacce associate: indicare l’interfaccia WAN associata alla VPN cioè l’interfaccia relativa all’indirizzo IP pubblico che verrà contattato per la connessione.

– IP del Server: indicare un IP libero della LAN che servirà alla VPN per instaurare la connessione;

– Range IP lato Client: indicare il range di IP mantenuti liberi sulla LAN che verranno assegnati ai client connessi con la dicitura IP iniziale-IP finale del range ad esempio: 192.168.0.50-192.168.0.60 in questo caso permetterà la connessione a 10 client;

– Server DNS 1: indicare il server DNS primario che verrà rilasciato insieme all’IP;

– Server DNS 2: indicare il server DNS secondario che verrà rilasciato insieme all’IP;

– Server WINS: è possibile indicare l’IP del server WINS in caso ve ne fosse uno altrimenti lasciare vuoto;

Salvare per applicare la configurazione.

Dal tab Gestione utenti è possibile configurare le credenziali di accesso per ogni singolo utente:

– nome utente e password : creare un nome utente e una password che verranno utilizzati insieme al segreto condiviso per connettersi in VPN;

– indirizzo IP assegnato: è possibile far sì che la connessione VPN prenda sempre lo stesso IP di LAN per la login appena creata in questo caso indicare l’IP che si intende rilasciare in caso contrario lasciare vuoto.

– Cliccare su Aggiungi per creare l’utente.

N.B. Per rendere utilizzabile la VPN L2TP devono essere concesse le connessioni da internet della 1701 UDP (par 4.4) e deve essere attivo il sevizio IpSec.

6.2.GRE #

La VPN GRE, o pptp, è di rapida configurazione e nativamente compatibile con i sistemi Windows.

Tuttavia ha alcuni limiti ad esempio l’impossibilità di accettare più di una connessione da un IP pubblico remoto e il suo protocollo non è supportato in modalità passante da alcuni router.

Dal menù Networking, selezionare i sotto menù Server VPN GRE è possibile gestire le impostazioni per tale tipologia di VPN.

Nel pannello Opzioni VPN impostare:

– Range IP lato Server: inserire un range di IP liberi sulla LAN da utilizzare lato server per stabilire la connessione VPN;

– Range IP lato Client: inserire un range di IP liberi sulla LAN da utilizzare lato client per stabilire la connessione VPN;

I due range dovranno avere la stessa ampiezza.

– Usa questo sistema come default gateway: selezionando SÌ la navigazione avverrà presentandosi con l’IP pubblico del firewall, selezionando NO in internet ci si presenterà con l’IP della connettività dietro la quale siamo;

– Server DNS: indicare il server DNS che verrà rilasciato insieme all’IP al client;

– Server WINS: se esiste indicare il server WINS della rete altrimenti lasciare vuoto;

Salvare per applicare le modifiche.

Selezioniamo il pannello Gestione Utente per gestire le credenziali di accesso.

– nome utente e password : creare un nome utente e una password che verranno utilizzati insieme al segreto condiviso per connettersi in VPN;

– indirizzo IP assegnato: è possibile far sì che la connessione VPN prenda sempre lo stesso IP di LAN per la login appena creata in questo caso indicare l’IP che si intende rilasciare in caso contrario lasciare vuoto.

– Cliccare su Aggiungi per creare l’utente.

N.B. Per rendere utilizzabile la VPN GRE devono essere concesse le connessioni da internet sulla porta 1723 tcp (par. 4.4)

6.3.OpenVPN #

Tramite la OpenVPN è possibile creare connessioni per singoli client remoti e gestire VPN LAN to LAN attraverso apparati Gigasys e apparati che supportino Openvpn.

Dal menù Networking selezionare il sotto menù Server VPN OpenVPN.

 

6.3.1.OpenVPN server per PC #

Di default su tutti gli apparati è presente la OpenVPN chiamata server , con certificato digitale volutamente scaduto.

Tale configurazione va utilizzata per la gestione di connessioni OpenVPN da parte di singoli host remoti che abbiano la necessità di collegarsi alla LAN aziendale.

Per utilizzare la configurazione “Server per PC” è necessario innanzitutto rigenerare il certificato digitale in modo che risulti valido al momento della connessione.

Per rigenerare il certificato cliccare sulla data di scadenza quindi su Rigenera e compilare i campi come segue:

– valido per: inserire il tempo di validità del certificato dopo il quale sarà necessario rigenerarlo per utilizzare la VPN;

– dati aziendali: compilare  con i propri dati aziendali;

Il sistema mostrerà automaticamente la sezione di “Certification Authority” con la lista dei certificati attivi, compreso quello appena creato.

Tornare su Networking e quindi Server VPN OpenVPN.

Dalla lista delle configurazioni OpenVPN selezionare il pulsante di modifica di “server” per accedere al pannello delle impostazioni.

– Nome: inserire il nome che si vuole dare alla connessione VPN;

– Interfacce associate: indicare su quale interfaccia la VPN deve essere in ascolto. Utile in caso di multi ADSL;

– Porta Protocollo: indicare la porta e il protocollo che utilizzerà la connessione. Questa porta andrà aperta nei servizi internet (par 4.4)

– Compressione: se sì abilita la compressione dei file per avere una velocità maggiore;

– Usa questo sistema come default gateway: se impostato su sì le comunicazioni utilizzeranno come gateway il firewall altrimenti quello della rete dove ci si trova;

– Ultilizza utente e password: se impostato su SÌ oltre al certificato vengono richiesti anche nome utente e password per stabiilire la connessione. Questa funzione può essere utile nel caso più utenti utilizzino la stessa connessione: se si dovesse inibire l’accesso a uno di questi basterà rimuovere le sue credenziali senza dover rigenerare il certificato e distribuirlo agli altri utenti.
Se impostato su NO per collegarsi basterà possedere i certificati;

– Server DNS: se si vuole che il client remoto possa risolvere nomi sulla LAN inserire l’IP del server DNS locale altrimenti lasciare vuoto;

– Server WINS: se si vuole che il client remoto utilizzi il WINS della LAN inserire l’IP in questo campo altrimenti lasciare vuoto;

– Client massimi: numero massimo di client contemporanei che possono connettersi a questa VPN;

Una volta ultimata la configurazione cliccare su Salva.

N.B. Di default il servizio OpenVPN è fermo per avviarlo cliccare sul tasto “play” e successivamente per far sì che il servizio parta con la macchina cliccare una volta sul pulsante rosso a fianco.

Sarà necessario un riavvio del servizio a ogni modifica della configurazione.

Se la VPN è stata configurata con gli utenti sotto all’elenco delle VPN apparirà la lista utenti e il form di aggiunta di un nuovo utente e la relativa password.

A questo punto sarà possibile scaricare il certificato generato dall’appliance che permette la connessione dal’apposito tasto “Download”. Cliccare quindi su Scarica la configurazione (Client-Ovpn-nome.zip) ;

Attendere il download e caricare la configurazione scompattata sui client.

6.3.2.OpenVPN LAN to LAN #

La VPN LAN to LAN permette di unire due LAN remote, tutti gli apparati che avranno l’appliance come gateway saranno in grado di usufruire della VPN.

N.B. Requisito fondamentale è che tutte le reti connesse in VPN abbiano classi differenti.

Per creare una nuova VPN LAN to LAN selezionare Nuova VPN dal sistema che dovrà funzionare come server.

Questo sistema dovrà avere un IP pubblico statico in modo da poter essere raggiunto dal sistema Client.

Compilare la form come segue:

– Nome: inserire un nome identificativo per la configurazione VPN;

– Rete remota: inserire la classe della rete LAN remota la quale deve essere necessariamente differente dalla LAN locale;

– Porta Protocollo: inserire la porta e il protocollo sulla quale dovrà funzionare questa connessione VPN.
N.B. Non possono essere presenti più configurazioni OpenVPN sulla stessa porta.

– Interfacce associate: indicare su quale interfaccia la VPN deve essere in ascolto. Utile in caso di multi ADSL;

– selezionare Salva per creare la configurazione.

Il sistema ritornerà sull’elenco delle configurazioni dove troveremo quella appena creata.

A questo punto sarà possibile scaricare il certificato generato dall’appliance che permette la connessione dal’apposito tasto “Download”. Cliccare quindi su Scarica la configurazione (Client-tunnel-nome.zip) ;

Il file .zip dovrà poi essere caricato sul firewall client senza scompattarlo da interfaccia web Importa il file di configurazione della VPN-client selezionando il file scaricato precedentemente.

Completare l’importazione del file cliccando su Importa configurazione.

N.B. Di default il servizio OpenVPN è fermo per avviarlo cliccare sul tasto “play” e successivamente per far sì che il servizio parta con la macchina cliccare una volta sul pulsante rosso a fianco.

Sarà necessario un riavvio del servizio a ogni modifica della configurazione.

6.4.Server VPN IPSec #

La VPN IPSec permette di connettere due reti aziendali con qualunque altro apparato supporti la VPN IPSec.

N.B. Per garantire la connessione le due sedi devono avere un IP pubblico statico.

Una volta effettuata la login selezionare dal menù Networking il sotto menù Server VPN IPSec.

Per stabilire una VPN IPSec è necessario creare la configurazione su entrambi i dispositivi “ponte” prestando attenzione che i parametri siano identici ad eccezione della configurazione degli IP locali /remoti che risulteranno invertiti e almeno una delle due dovrà avere l’avvio impostato su Connetti.

– Abilitato: selezionare SÌ se si desidera abilitare la VPN, NO in caso contrario;

– All’avvio di questa configurazione: se si seleziona “Attendi il client” la VPN si attiverà solo se riceve una richiesta di connessione dalla sede remota, se si seleziona “Connetti” la VPN invierà richieste di connessione alla rete remota;

– Nome: indicare un nome univoco identificativo della VPN, non sarà necessario che sia uguale nelle due sedi;

– Tipologia: selezionando l’opzione “tunnel” nel pacchetto verrà criptato anche l’indirizzo IP pubblico di connessione, avendo quindi pacchetti di dimensioni maggiori, selezionando “transport” verranno criptati i dati ma l’IP pubblico sarà in chiaro ma sarà più piccolo;

Impostazioni Locali (left):

– IP pubblico locale: indicare l’IP pubblico della connettività locale che verrà utilizzata per la VPN.

– Identificativo locale (Opzionale): inserire un identificativo facoltativo, se lo si desidera usare gli identificativi dovranno essere impostati sia sulla rete locale sia su quella remota e comunicati insieme agli altri parametri;

– Rete Locale/Virtual IP: selezionare Rete Locale se si indica una LAN reale sulla propria rete ed indicarla, altrimenti selezionare Virtual IP se si desidera utilizzare un IP fittizio per connettere la VPN.

Impostazioni Remote (Right):

– IP pubblico remoto: indicare l’IP pubblico della sede remota a cui dobbiamo connetterci;

– Identificativo remoto (Opzionale): inserire un identificativo facoltativo, se lo si desidera usare gli identificativi dovranno essere impostati sia sulla rete remota sia su quella locale e comunicati insieme agli altri parametri;

– Rete Remota: inserire la rete di LAN remota con relativa netmask;

Parametri di crittografia:

– Perfect Forward Secrecy (PFS): selezionando SÌ abiliterà un controllo sulle chiavi temporanee.

– Modalità Aggressiva: selezionando SÌ abiliterà una modalità più veloce dello scambio di chiavi rispetto al main mode che richiede lo scambio di più pacchetti;

– Compressione: abilita la compressione dei pacchetti rendendo la VPN più veloce;

– IKE Keyexchange: selezionare la versione di ISAKMP che si desidera utilizzare, NO se non si desidera utilizzare il protocollo IKE.

– Diffie-Hellman (MODP): indicare il protocollo crittografico per lo scambio delle chiavi pubbliche;

– Algoritmo autenticazione (fase1 e fase2):  indicare l’algoritmo di crittografia per le due fasi;

– Durata Ike (Phase 1)/Durata Chiave (Phase 2): indicare la durata delle chiavi rispettivamente della fase 1 e 2;

– Dead Pear Detection (DPD): quando l’opzione è abilitata il dispositivo VPN invierà dei pacchetti di controllo, se non riceve risposta sconnette in automatico la VPN.

– Usa pre-shared key: impostando su SÌ imporremo l’uso della chiave pre condivisa , impostando su NO la IPSec non è necessario condividere una chiave.

– PreSharedKey: se si è deciso si utilizzare la chiave precondivisa inserirla qui.

Cliccare su Salva per confermare la configurazione.

Spostarsi nel menù su “Firewall”->”Regole” e cliccare su Applica configurazione.

7.Webfilter #

Di default l’appliance applica il filtro web trasparente sulle connessioni http per i client che la usano come gateway, tenendo traccia dei log di navigazione.

Dal menù Filter selezionare il sotto menù Gruppi di navigazione per definire le regole di filtraggio applicate durante la navigazione in Internet.

7.1.Gestione gruppi di navigazione #

Dal menù Filter selezioniamo Gruppi di Navigazione per accedere al menù di gestione dei gruppi.

È possibile creare fino a 9 gruppi di navigazione totalmente personalizzabili. Esistono anche due gruppi di default non gestibili dall’amministratore:

– senza filtri: agli utenti o indirizzi IP impostati in questo gruppo non verrà applicato alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e verranno registrati i log di navigazione. Se si intende escludere tutti i filtri e i log fare riferimento al par. 4.6;

– senza accesso web: agli utenti o indirizzi IP impostati in questo gruppo non sarà concessa la navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione.

Di default è presente un solo gruppo di navigazione. Per aggiungere nuovi gruppi selezionare dal menù dedicato Numero totale gruppi a piè di pagina il numero di gruppi che si intende utilizzare e cliccare su Gruppi per applicare.
Per eliminare dei gruppi abbassare il numero dallo stesso menù e cliccare sull’apposito tasto Gruppi per applicare, ATTENZIONE verranno conservati i gruppi con numero inferiore a quello indicato.
Ad esempio se sono presenti 5 gruppi di navigazione e viene portato a 3 il numero totale dei gruppi saranno eliminati i gruppi 4 e 5 mentre rimarranno i gruppi dall’uno al tre.

Entrando nella pagina Gruppi di navigazione ci si presenterà in automatico il menù di modifica del gruppo 1,per modificare un altro gruppo selezionandolo dalla lista sarà possibile accedere alle impostazioni di filtraggio che verranno applicate a tutti gli utenti appartenenti a quel gruppo.

Spostandoci sul tab Impostazioni sarà possibile configurare:

– Nome Gruppo X: inserire un nome identificativo in base alla strategia utilizzata es se è differenziata per reparto inserire il nome del reparto o, se identifichiamo una policy inserire “restrittivo” piuttosto che “permissivo”;

– Punteggio massimo consentito: il filtraggio http, basandosi su dei vocaboli contenuti all’interno dell’apparato, applica un punteggio totale ad ogni pagina richiamata dagli utenti. Se la pagina supera il punteggio specificato verrà bloccata. Aumentare il punteggio per rendere il filtro più permissivo;

– Amministratore del gruppo: inserire l’indirizzo email dove si desidera ricevere le notifiche del gruppo abilitate;

– Possibilità di sblocco tramite password: selezionando SÌ sarà possibile visualizzare temporaneamente una pagina bloccata conoscendo le credenziali di amministratore della macchina.
Selezionando NO non sarà concessa la visualizzazione temporanea della pagina;

– Filtraggio antivirus: oltre al filtro sui contenuti l’apparato applica un filtro antivirus su tutte le connessioni http effettuate dagli utenti grazie al motore antivirus integrato. Selezionando ABILITA l’appliance abilita il controllo ed invia via mail all’indirizzo di Amministratore qualora venisse rilevata una minaccia. Selezionando DISABILITA non verrà effettuata alcuna scansione antivirus;

– Mittente: inserire un indirizzo email, possibilmente reale, che risulterà l’indirizzo email mittente per le notifiche;

– Abilita notifica pagine bloccate tramite email: selezionando SÌ l’appliance invierà una mail all’indirizzo dell’amministratore del gruppo qualora venga bloccata una pagina. Selezionadno NO non verrà inviata alcuna notifica;

– Selezionare Salva per applicare le modifiche.

Spostandosi sul tab Filtri è possibile accedere al pannello di gestione dei filtri relativi al gruppo.

  1.  Siti Autorizzati: i siti inseriti in questa lista saranno visualizzabili a prescindere dal contenuto ma dovranno sottostare comunque al filtro antivirus e gli accessi a tali siti verranno registrati nei log di navigazione (per escludere totalmente un sito dal web filter fare riferimento al par. 4.4).
    Per aggiungere un sito procedere come segue:
    – Valore: inserire il dominio del sito da escludere dal controllo sui contenuti senza “www.”, ad esempio inserendo gigasys.it saranno concessi tutti i sotto domini come www.gigasys.it o backup.gigasys.it o ancora, se si vuole concedere tutti i siti governativi è possibile inserire “.gov” nel suddetto campo;
    – Descrizione Opzionale: è possibile inserire un commento;
    – cliccare su Aggiungi per inserire il sito.
    Per eliminare o modificare un sito già presente in lista selezionarlo e scegliere l’opzione desiderata.
  2. Siti Negati: i siti inseriti in questa lista non saranno visualizzabili dagli utenti appartenenti a questo gruppo. Tutti i tentativi di accesso a tali siti saranno registrati nei log Negati consultabili dal menù Log selezionando Log SIti Negati.
    Per aggiungere un sito procedere come segue:
    – Valore: inserire il dominio del sito da negare senza “www.”, ad esempio inserendo gigasys.it saranno negati tutti i sotto domini come www.gigasys.it o backup.gigasys.it o ancora, se si vuole negare tutti i siti commerciali è possibile inserire “.com” nel suddetto campo;
    – Descrizione Opzionale: è possibile inserire un commento;
    – cliccare su Aggiungi per inserire il sito.
    Tramite il tasto Abilita Blocca tutto può essere attivato il blocco preventivo ossia tutti gli utenti appartenenti a questo gruppo potranno navigare esclusivamente sui siti presenti nella lista Siti Autorizzati(senza controllo sui contenuti) o Siti grigi(con controllo sui contenuti).
    Per attivare il blocco è sufficiente cliccare sul pulsante Abilita Blocca tutto e successivamente su Aggiungi.
    Per eliminare o modificare un sito già presente in lista selezionarlo e scegliere l’opzione desiderata.
  3. Blacklist: tramite questa lista è possibile abilitare dei blocchi per categorie le quali comprendono anche i siti https. Ad esempio se vogliamo bloccare tutta la categoria pornografia sarà sufficiente abilitarla per abilitare il blocco dei siti pornografici contenuti in quella lista. Le liste dei siti vengono aggiornate automaticamente.
  4. Contenuti MIME vietati: tramite questa sezione è possibile bloccare alcune trasmissioni in base alla tipologia di contenuto binario, ad esempio, conoscendo il contenuto MIME di uno streaming video e inserendolo in questa lista è possibile bloccarlo.
  5. Frasi di blocco: tramite questa lista è possibile definire parole che se riscontrate all’interno di una pagina ne causano il blocco. Ad esempio aggiungendo la parola “videopoker” tramite il tasto Aggiungi tutti i siti che contengono anche solo una volta il termine verranno bloccati.
  6. Frasi pesate: tramite questo menù è possibile abilitare o disabilitare le categorie di vocabolari per il controllo dei contenuti. È possibile anche, selezionando una categoria, aggiungere/eliminare vocaboli o modificarne il punteggio che verrà sommato al punteggio della pagina.
  7. Frasi di bypass: tramite questa lista è possibile definire parole che se contenute all’interno di una pagina questa verrà sempre concessa ad esempio, inserendo la parola “medicina” tramite il tasto Aggiungi tutti i siti contenenti il termine verranno concessi.
  8. Siti grigi: tramite questa lista è possibile definire dei siti grigi. Un sito grigio è un sito che, pur essendo negato tramite il menù siti negati, ad esempio è abilitato il blocco tutto, ne permettiamo la visualizzazione nel caso in cui rispetti i criteri di decenza relativi al gruppo. Per aggiungere un sito procedere come segue:
    – Valore: inserire il dominio del sito senza “www.”, ad esempio inserendo gigasys.it saranno concessi tutti i sotto domini come www.gigasys.it o backup.gigasys.it;
    – Descrizione Opzionale: è possibile inserire un commento;
    – cliccare su Aggiungi per inserire il sito.
  9. Url negati: tramite questa lista è possibile bloccare solo alcune parti di un sito web tramite l’url.
  10. Url grigi: tramite questa lista è possibile definire gli url grigi. Il funzionamento è similare a quello dei Siti grigi, ma la regola verrà applicata solamente alla parte di sito definita dall’url.
  11. Url autorizzati: tramite questa lista è possibile concedere sempre una determinata parte di un sito tramite l’url a prescindere dal suo contenuto.
  12. Censura e Sostituzione dei contenuti: in questa sezione è possibile definire parole da sostituire con valori definiti dall’amministratore, ad esempio, se volessimo sostituire la parola “firewall” con “server per la sicurezza” è sufficiente compilare il campo Valore Originale con la parola che vogliamo sostituire, nel nostro caso “firewall” e, inserendo nel campo Valore sostitutivo la stringa che andrà a sostituire il valore originale, nel nostro caso “server per la sicurezza”. È possibile inserire un commento alla regola.
    Selezionare Aggiungi per salvare.
  13. Estensioni vietate: tutti i file con estensione contenuta in questa lista saranno negati sia in download sia in upload. Selezionare Aggiungi per inserire una nuova estensione.
    Selezionandone una già presente nella lista è possibile modificarla o eliminarla.

7.2.Appartenenza ai gruppi #

L’appartenenza ai gruppi di navigazione può essere definita in due modi: o per utente o per indirizzo IP.

N.B. Nomi utenti o indirizzi IP non definiti come appartenenti ad un gruppo appartengono automaticamente al Gruppo 1  quindi non è necessario definire gli utenti che devono appartenere a tale gruppo ma solo quelli che apparterranno agli altri gruppi definiti o ai gruppi “senza filtri” o “senza accesso web”.

Selezionando dal menù Filter il sotto menù Appartenenza ai gruppi è possibile accedere al pannello di gestione.

7.2.1.Appartenenza ai gruppi per indirizzo IP #

Per definire un client come appartenente ad un gruppo diverso dal gruppo di Default (gruppo 1) selezionare il tab Appartenenza ai gruppi.

Nella lista inserire nel campo Indirizzo IP/Nome utente l’indirizzo IP e nel campo Gruppo selezionare il gruppo al quale l’IP specificato deve appartenere. È possibile inserire nel campo Descrizione un eventuale commento.
Cliccare su Aggiungi per aggiungere la regola alla lista.

Creare una regola per ogni indirizzo IP.

IP da non filtrare: spostandosi sotto il tab “IP senza filtri” è possibile indicare gli IP dei client ai quali non verrà applicato alcun filtro sui contenuti in navigazione. Se si intende escludere tutti i filtri fare riferimento al par. 4.4.
Specificare un IP ed eventualmente un commento e cliccare su Aggiungi per aggiungere un IP a questo gruppo.

IP senza navigazione: agli indirizzi appartenenti a questo gruppo non sarà concessa la navigazione su nessun sito http e verranno registrati tutti i tentativi di navigazione.
Specificare un IP ed eventualmente un commento e cliccare su Aggiungi per aggiungere un IP a questo gruppo.

7.2.2.Appartenenza ai gruppi per utente #

Per definire un client come appartenente ad un gruppo diverso dal gruppo di Default (gruppo 1) è necessario abilitare l’autenticazione utente.

Dal menù Filter selezionare Gestione Autenticazione.
I metodi di autenticazione possibili sono:

– Autenticazione forzata: abilitando questa tipologia di autenticazione è necessario impostare nel browser utilizzato dall’utente il proxy forzato sulla porta 8080 dell’IP dell’appliance.
Gli utenti necessari per la configurazione vanno creati sull’appliance nell’apposita sezione di gestione utenti (par. 8.1).
Se sì vuole abilitare questa modalità di autenticazione selezionare la relativa spunta su SÌ.

– Autenticazione con Client IDENT: in questa modalità di autenticazione è necessaria l’installazione del client IDENT su tutti i PC della LAN. Tale client passerà l’utente loggato in quel momento sul PC. In questa modalità non è necessario creare gli utenti sull’appliance. Questa modalità è consigliata nel caso di un dominio Active Directory.
Se si vuole abilitare questa modalità di autenticazione selezionare SÌ.

Per definire un client come appartenente ad un gruppo diverso da quello di Default (gruppo 1) selezionare Appartenenza ai gruppi.

Nella lista inserire nel campo Indirizzo IP/Nome utente il nome utente e nel campo Gruppo selezionare il gruppo al quale l’utente specificato deve appartenere. È possibile inserire nel campo Descrizione un eventuale commento.
Cliccare su Aggiungi per aggiungere la regola alla lista.

Creare una regola per ogni utente.

Utenti da non filtrare: spostandosi sotto il tab “Utenti senza filtri” è possibile indicare gli utenti ai quali non verrà applicato alcun filtro sui contenuti in navigazione.
Specificare un utente ed eventualmente un commento e cliccare su Aggiungi per aggiungere un IP a questo gruppo.

Utenti senza navigazione: spostandosi sotto il tab “Utenti senza accesso Web” agli utenti appartenenti a questo gruppo non sarà concessa la navigazione su nessun sito http e verranno registrati tutti i tentativi di navigazione.
Specificare un utente ed eventualmente un commento e cliccare su Aggiungi per aggiungere un utente a questo gruppo.

N.B. Per rendere effettiva qualsiasi modifica apportata alla configurazione del filtro di navigazione è necessario applicare con l’apposito tasto Applica Configurazione.

È possibile visualizzare i log di navigazione del mese in corso direttamente da interfaccia web selezionando il menù Log e successivamente il sotto menù Log di navigazione.

7.3.Pagina di blocco #

Quando un sito non viene concesso per il superamento limite punteggio verrà visualizzata la pagina di blocco riportante la motivazione del blocco stesso.

La pagina ci propone delle opzioni, alcune accessibili solo conoscendo le credenziali di amministratore del sistema.

– Richiedi lo sblocco del sito: questa è l’unica opzione accessibile a tutti gli utenti.
Selezionando questa opzione verrà inviata una mail all’amministratore contenente la richiesta di sblocco del sito con le informazioni quali l’indirizzo IP o il nome utente del richiedente, il sito oggetto della richiesta e il gruppo di appartenenza. Tramite un apposito link l’amministratore può concedere il sito per tutto il gruppo al quale appartiene l’IP o l’utente che ha effettuato la richiesta.

– Aggiungi ai siti concessi: selezionando questa opzione il sito in oggetto verrà concesso per tutto il gruppo al quale appartiene l’utente o l’IP con il quale si sta navigando. Per eseguire questa operazione è necessario conoscere le credenziali di amministratore.

– Visualizza comunque: questa opzione permette di visualizzare il sito negato per cinque minuti, passando comunque attraverso il filtro antivirus. Per poter visualizzare temporaneamente un sito bloccato è necessario conoscere le credenziali di amministratore.

Se il sito si trova tra i siti negati apparirà una schermata di blocco senza queste opzioni in quanto solo l’amministratore può decidere se sbloccarlo.

8.Server di posta #

L’appliance può funzionare come server di posta reale o come connettore pop3 o imap.

In entrambi i casi vengono applicati i filtri antispam e antivirus sulle mail in ingresso e in uscita. L’area di gestione posta è raggiungibile tramite l’apposito menù Server di posta.

8.1.Gestione utenti #

Tramite la gestione utenti è possibile creare nuovi utenti di sistema che possono essere utilizzati sia come utenti in navigazione sia come utenti FTP sia come caselle di posta.

Dal menù Server di posta selezionare il sotto menù Gestione utente.

Cliccare sul pulsante Aggiungi utente per creare un nuovo utente o selezionarne uno esistente per modificarne i parametri o eliminarlo.

Compilare il form come segue:

– Nome utente: nome dell’account che verrà utilizzato per la login, non può contenere il “.”;

– Gruppo: selezionare il gruppo di appartenenza, per la posta utilizzare il gruppo Users;

– Password: inserire la password necessaria per i servizi. La password deve contenere almeno 8 caratteri ed è buona norma inserire almeno un numero e una lettera maiuscola;

– Ripeti password: reinserire la password per conferma;

– Home Directory: indica la cartella home dell’utente al quale avrà accesso via FTP se abilitato. Se lasciato vuoto sarà uguale al nome utente;

– Indirizzo mittente: inserire l’indirizzo email completo del dominio.

– Descrizione: inserire un campo descrittivo che verrà visualizzato dal ricevente delle mail.

– Tipo Utente:
 - Standard: tale tipologia di utenti saranno utilizzabili come utenti di posta e come credenziali di accesso al proxy ma non potranno utilizzare né l’autorisposta né l’FTP;
 - Con FTP: tale tipologia di utenti saranno utilizzabili come utenti di posta, come credenziali di accesso al proxy, come utenti FTP e potrenno utilizzare l’auto risposta;

– Indirizzo e-mail supplementare: permette di creare virtual user in modo rapido, se l’utente deve ricevere posta anche per un altro indirizzo email inserirlo completo di dominio in questo campo.

Una volta ultimata la configurazione selezionare Salva.

8.2.Polling di posta remota #

Il polling di posta remota permette di portare le mail da un account su server esterni ad uno o più utenti di quest’appliance in modo automatico, applicando i filtri antispam e antivirus.

Dal menù Connettore POP3/IMAP, accessibile sotto Server di posta, è possibile creare nuovi connettori.

Tramite il pulsante Aggiungi Connettore è possibile creare un nuovo connettore.

Compilare i campi come segue:

– Nome: inserire un campo descrittivo del connettore;

– Abilitato: permette di abilitare o disabilitare il download delle mail da questo server;

– Server di posta remoto: inserire un nome host o l’indirizzo IP del server esterno dal quale scaricare le mail;

– Protocollo: selezionare il protocollo con il quale la macchina si deve collegare al server di posta esterno per scaricare le mail;

– Utilizza SSL: abilitare questa opzione se il server esterno supporta la connessione SSL;

– Porta: indicare la porta utilizzata per il download della posta;

– Nome utente remoto: inserire il nome utente per l’autenticazione con il server remoto;

– Password remota: inserire la password valida per l’autenticazione con il server remoto;

– Casella email locale: inserire il nome dell’utente locale, senza dominio, nel quale depositare la posta scaricata dal server esterno. È possibile inserire anche gli alias precedentemente configurati;

– Conserva i messaggi sul server remoto: selezionando SÌ verrà lasciata una copia delle mail sul server remoto , per evitare duplicati selezionare NO alla voce scarica tutti i messaggi;
Selezionando NO le mail scaricate verranno cancellate dal server di origine;

– Scarica tutti i messaggi: selezionando SÌ verranno scaricati tutti i messaggi compresi quelli già letti: per evitare duplicati impostare Conserva i messaggi sul server remoto a NO. Selezionando NO l’appliance scaricherà SOLO i messaggi contrassegnati come da leggere.

Una volta terminata la configurazione selezionare Salva.

Il download della posta verrà effettuata ogni 5 minuti, è possibile forzare una download manualmente del singolo utente dall’edit, selezionando quindi l’utente e successivamente Controlla Adesso, o per tutti gli utenti dal pannello principale dall’apposito pulsante Controlla Adesso

8.3.Autenticazione Smart Host #

Di default l’appliance invia le mail direttamente, Se l’appliance NON è un server di posta reale e ha ad esempio un IP pubblico dinamico sulla propria xDSL, inviando direttamente le mail possono essere rifiutate dai server destinatari.

Tramite questa sezione è possibile configurare l’appliance in modo che si appoggi ad un server SMTP esterno per l’invio delle mail.

Dal menù Server di posta selezionando il sotto menù Configurazione Smarthost è possibile configurare un server SMTP esterno.

Compilare come segue:

– Smarthost: se lasciato vuoto l’appliance invierà direttamente le mail altrimenti inserire l’IP o il nome del server SMTP tramite il quale l’apparato invierà le mail;

– Porta: indicare la porta sulla quale l’appliance comunicherà con l’SMTP impostato;

– Autenticazione: selezionare “Senza Autenticazione” se l’SMTP non richiede login per inviare, selezionare “Con Autenticazione” e compilare le relative voci nome utente e password se è richiesta l’autenticazione;

– destinatario / mittente di default: indicare il mittente/ destinatario di default: cioè il postmaster dell’appliance;

– email Assistenza: inserire la mail dove si desidera ricevere le mail di notifica dall’appliance;

Selezionare Salva per completare la configurazione.

8.4.Gestione domini locali #

Dal menù Server di posta, selezionando il sotto menù Gestione domini locali è possibile accedere alla lista di tutti i domini che l’appliance considera locali. Se dovesse arrivare una mail per un dominio non inserito in questa lista, se non diversamente specificato nella sezione “Controllo Relay” (par. 8.5), le mail verranno rifiutate.

Per inserire un dominio locale compilare il campo con il dominio e selezionare Aggiungi.

Inserire tutti i domini locali che dovrà gestire l’appliance uno alla volta oltre ai domini di default già presenti.

8.5.Controllo Relay #

In questa sezione è possibile definire quali domini possono essere gestiti dall’apparato anche se non sono definiti come locali, quali indirizzi possono inviare senza autenticarsi e anche definire le liste di blocco.

Dal menù Server di posta selezionando il sotto menù Controllo Relay e possibile definire i parametri di accesso al server SMTP.

Esempi di configurazione:

  1. Permettere a un dominio non locale di essere gestito dall’appliance:
    – Indirizzo IP/Email: inserire il dominio;
    – Azione: selezionare “Accetta mail”
    Selezionare Crea.
  2. Permettere ad un IP pubblico di inviare senza autenticarsi:
    – Indirizzo IP/Email: inserire l’IP pubblico remoto;
    – Azione: selezionare “Permetti invio”
    Selezionare Crea.
  3. Rifiutare una mail da un dominio:
    – Indirizzo IP/Email: inserire il dominio da scartare;
    – Azione: selezionare “Scarta” o “Rispedisci al mittente”
    Selezionare Crea.

8.6.Domain Routing #

In questa sezione è possibile definire a chi destinare le mail per i domini non inseriti nei domini locali. Abilitare questa funzione se si vuole utilizzare l’apparato solamente come server antispam e antivirus per un server di posta interno alla LAN.

Dal menù Server di posta selezionando Domain Routing è possibile raggiungere il pannello di configurazione del domain routing.

Compilare come segue:

– Dominio: indicare il dominio che deve essere ruotato ad un altro mail server;

– Server: inserire l’indirizzo IP del mail server al quale deve essere inoltrato il dominio impostato;

Una volta ultimata la configurazione selezionare Crea.

N.B. Per fare in modo che l’appliance accetti le mail per questo dominio non essendo un dominio locale, va creata un apposita regola nella sezione Controllo Relay(par 8.5).

8.7.Alias #

In questa sezione è possibile gestire gli alias che permettono di definire liste di distribuzione locali e indirizzi fittizi la cui posta sarà inoltrata ad uno o più utenti reali.

L’alias è valido per tutti i domini gestiti localmente.

Dal menù Mail Alias, accessibile tramite il menù Server di posta, è possibile raggiungere il pannello di gestione degli alias di posta.

– Se scrivo a: inserire in questo campo  il nome dell’alias;

– Invia una copia ai seguenti indirizzi: inserire un’indirizzo email o un alias e cliccare su il pulsante “+” per aggiungere un indirizzo, è possibile inserire più indirizzi uno alla volta.

Selezionare Salva.

8.8.Virtual user #

In questa sezione è possibile gestire i virtual user che permettono di creare indirizzi virtuali la cui posta sarà inoltrata ad un utente reale. Il virtual user deve essere completo di dominio e sarà valido solo per il dominio specificato.

Dal menù Virtual User accessibile da Server di posta è possibile raggiungere il pannello di gestione dei virtual user.

– Mail per: inserire il nome del virtual user che si intende creare completo del dominio;

– Invia a: selezionare il nome dell’utente locale o alias a cui si intende far corrispondere il virtual user;

Una volta terminata la configurazione selezionare Salva.

Help Guide Powered by Documentor
Suggest Edit