Archivi categoria: SysAdmin

IPCop il tuo prossimo Firewall

IPCop Firewall

IPCop Firewall

IPCop è una mini-distribuzione GNU/Linux open source adatta a realizzare un firewall hardware/software. Garantisce un’efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

È un’ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office), ma può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato, o dedicato, permettendo cosi anche un buon risparmio riguardo alla dotazione hardware necessaria. Può essere usata da amministratori di rete che non conoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linux ovviamente!) ma non ha il tempo per configurare manualmente un un intero set di regole su iptables ecc…

IpCop offre un’ampia gamma di caratteristiche tecniche: si va dal Linux netfilter standard con capacità di NAT al supporto per DMZ via DNAT, dal supporto DHCP (sia server che client) al supporto NTP per sincronizzare e servire la data e l’ora, dalla possibilità di attivare un proxy a quella di attivare un IDS. Inoltre supporta quattro schede di rete e un numero illimitato di connessioni VPN, oltre ad offrire la possibilità di backup e restore della configurazione. È inoltre facilmente estendibile grazie a numerosi moduli presenti in Internet.

IpCop non richiede molta potenza di calcolo per poter funzionare: basta un 386 con poca RAM e MB di HD; ma per ottenere maggiori risultati è richiesto come minima configurazione un Pentium MMX con 64 Mb di ram e qualche GB di hard disk (prevalentemente per i log e le configurazioni). Se si intende utilizzare le funzioni di proxy sono consigliati 256 MB di ram e qualche GB in più libero. Le possibilità d’ installazione variano a seconda delle esigenze: via CD, chiavetta USB, o direttamente su Scheda Compct Flash (Occorre un hardware appropriato).

IPCop e’ rilasciato sotto la licenza GPL ed e’ sviluppata con il tradizionale stile dell’Open Source. Il progetto viene sviluppato grazie alla collaborazione di diversi sviluppatori sparsi per l’intero globo. L’interfaccia grafica e’ disponibile in 17 lingue diverse e la distribuzione include anche un raffinato e semplice sistema di aggiornamento.

La configurazione minima, prevede due interfacce di rete: Red (Internet) e Green(Lan); tuttavia si puo’ estendere la configurazione fino a 4 interfacce di rete, per aggiungere una DMZ e una scheda di rete dedicata al Wi-Fi.

La personalizzazione manuale delle regole e’ possibile attaverso la configurazione del file nel PATH: /etc/rc.d/rc,firewall.local e precisamente su /etc/rc.d/rc.firewall ed il comando e’:

$ /etc/rc.d/rc.firewall.local {start | stop | reload}

Particolarita’ davvero interessante di IPCop e’ quella di offrire la possibilita’ di espansioni aggiuntive di funzioni tramite un gran numero di addons .

HTML 5 & JS per le Mobile Apps

Html5 & Mobile AppOrmai l’HTML 5 è una realtà di fatto. Si aprono dunque nuove possibilità di sviluppo, l’HTML5 supporta una serie di nuove funzionalità che l’ormai collaudato e conosciutissimo HTML 4.x non può avere.
HTML 5 è dunque, di fatto, un linguaggio nuovo; sorge spontanea a questo punto una domanda: è possibile sviluppare applicazioni e siti web compatibili per smartphone e tablet usando l’HTML5?

 

In effetti se si prova a fare un breve quadro generale, vediamo che nel mondo degli Smartphone e dei Tablet il predominio si divide in soli due sistemi operativi iOS (per iPhone & iPad) ed Android. Come forse alcuni di voi gia’ sanno, sviluppare una App per iPhone/iPad richiede la conoscenza dell’Objective C++, mentre per Android serve avere una qual certa conoscenza di Java. Seppure Java e l’Objective C++ siano parenti, i metodi di programmazione sono sostanzialmente diversi. Quindi se la nostra esigenza è quella di sviluppare un’ applicazione per entrambi i sistemi operativi, perchè c’interessa coprire il 90% del mercato, saremmo costretti a programmare due differenti apps: questo vorra’ dire impiegare il doppio del tempo nello sviluppo, doppia manutenzione ed altre problematiche che non affronteremo adesso.

E’ a questo punto che l’HTML5 ci puo’ venire prontamente in aiuto: ossia perchè sviluppare due interfacce grafiche quando invece possiamo realizzarne una in HTML5 e javascript e ridurre cosi’ il core (o la Business Logic) dell’ applicazione a poche “righe di codice”? Se infatti un’ app per smartphone, non fa nient’altro che interrogare una base di dati (magari su XML) e visualizzare i vari risultati delle interrogazioni, l’HTML5 e Javascript saranno più che sufficienti per tutti i nostri scopi.

Lo sviluppo per HTML5+Javscript per dispositivi mobile è già una realtà e, a tale proposito, vi vorrei indicare due interessanti framework adatti anche allo sviluppo per mobile:

Jquery Mobile

Ext Js Touch

Se decidete di provare le demo di questi due framework javascript, ricordatevi di utilizzare un dispositivo Touch, altrimenti non funzionerà quasi nulla! Come potrete vedere dalle demo dei due framework le interfacce realizzate non hanno nulla da invidiare a quelle delle app programmate con Objective C++ e Java.

Nel caso in cui dobbiate installare un webserver sul vostro Android, vi consiglio di provare il seguente prodotto:

i-jetty

In questo modo potrete fare girare la vostra app in HTML 5 + Javascript senza dover essere collegati ad Internet.

Buon divertimento !

Rimuovere un pacchetto appeso

apt-getOk, oramai avete acquisito una certa confidenza con la vostra distribuzione Linux preferita, avete imparato ad utilizzare i tanti tool di gestione dei pacchetti compresa l’installazione dei nuove chiavi e source list ma, improvvisamente succede l’imprevisto ed un pacchetto che volevate disinstallre od anche solo aggiornare vi ritorna un messaggio di errore dal tipo :

” E: <nome pacchetto>: il sottoprocesso installato script di post-installation ha restituito lo stato di errore 1 ”

e, nonostante ogni tentativo provato, tra comandi di ogni sorta (apt-get purge ecc…) e pacchetti di gestione (es. synaptic) , nulla funziona.

che cosa fare adesso ??? come togliersi da questo impiccio ???

Bene, una soluzione esiste ed anche piuttosto semplice, bastera’ seguire questi pochi passi :

  • spostarsi nella directory /var/lib/dpkg/info/   # e’ qui che trovate tutti ipacchetti installati
  • cercate il nome del vostro pacchetto con estensione .postrm (es. <nome_pacchetto.postrm>
  • editatelo e, scrivete exit 0 nella seconda riga del file dopo #!/bin/sh
  • ultima operazione # apt-get remove <nome_pacchetto>

….. salvo strani inconvenienti dovreste aver cancellato il pacchetto incriminato.

Buon lavoro !

Postgrey e le Greylist alleati per la lotta allo spam

postgreyLa posta indesiderata è un vero flagello per tutti, peggio ancora lo e’ per le aziende. Adesso, però esiste una nuova arma.

Nonostante la raffinatezza e l’efficacia raggiunte da numerosi sistemi antispam, sempre più spesso questi strumenti si rivelano insufficienti per risolvere il problema della posta indesiderata. I disagi provocati dall’attacco di uno “spammer” riguardano tutti, senza alcuna differenza di sorta, ma assumono proporzioni esagerate in ambito aziendale. Per provare a risolvere il problema ci viene incontro un nuovo strumento, le cosiddette Grey-List. Vediamo di cosa si tratta e come usarle per arginare il fenomeno spam.

Il concetto delle Greylist

Le greylist basano il loro funzionamento sul fatto che la maggior parte degli spammer provano l’invio di un messaggio una volta sola e, in caso di errore, non eseguono le richieste di rinvio del messaggio previste dal protocollo SMTP, in quanto, così facendo, le code di invio delle e-mail crescerebbero a dismisura. Sfruttando questo comportamento, quando un server dotato di greylist riceve un messaggio, per prima cosa controlla se in passato ha già ricevuto dall’indirizzo IP del server corrispondente e dal mittente indicato un’e-mail per il destinatario richiesto. Se il controllo riscontra uno dei valori appena indicati  il server interrompe il collegamento e genera un errore che causa la richiesta di ritrasmissione del messaggio, mentre in caso negativo l’e-mail viene inoltrata normalmente al destinatario. In caso di collegamento interrotto, i server “mittente” correttamente configurati, ritentano l’invio del messaggio (in genere dopo un’attesa di 10 minuti). Questo comporta un ritardo nella consegna del messaggio dell’ordine di qualche decina di minuti solo per il primo messaggio proveniente da un determinato mittente, esclusi quelli in arrivo da alcuni domini di uso abituale che sono già approvati all’interno delle greylist, mentre i messaggi successivi non subiranno alcun ritardo.

Postgrey

In questa piccola guida parleremo di postgrey, un’ implementazione delle greylist per postfix (ma può essere usata con un qualsiasi altro server di posta).

Per installarlo è sufficiente eseguire il comando

# apt-get install postgrey

una volta terminata l’installazione, il demone postgrey sarà in ascolto sulla porta 60000.

Postfix

Per integrare il servizio in Postfix è sufficiente modificare il file /etc/postfix/main.cf. All’interno del file è necessario cercare la direttiva smtpd_recipient_restrictions ed aggiungere, alla fine, la seguente stringa:

check_policy_service inet:127.0.0.1:60000

Nota:
le varie voci relative a smtpd_recipient_restrictions dovranno essere separate da una virgola, e se smtpd_recipient_restrictions non dovesse esistere, sarà necessario aggiungerla nel seguente modo:

smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:60000

Una volta terminato sara’ sufficiente riavviare Postfix:

# /etc/init.d/postfix restart

e controllare nel file di log /var/log/mail.log le email in arrivo. Si vedrà che alcune verranno rifiutate con un messaggio di postgrey.

Postgrey configurazione

La configurazione di postgrey è modificabile tramite tre file:

1) /etc/defaults/postgrey # che permette la modifica delle opzioni di avvio del demone:

--inet 
permette di specificare l’indirizzo e la porta su cui sarà in ascolto il demone;
--delay 
l’intervallo, in secondi, di durata del rigetto;
--max-age 
dopo quanto tempo rimuovere gli indirizzi che sono stati visti (memoria storica del programma).

Le opzioni vanno inserite nella variabile POSTGREY_OPTS, separate da uno spazio.

2) whitelist_clients

Contiene una lista dei domini da cui greylist non bloccherà la posta.

3) whitelist_recipients 

Contiene una lista di destinatari verso cui non bloccare la posta (ad esempio il postmaster oppure abuse). Normalmente non richiede modifiche.

Conclusione

Sebbene questo sistema sia veramente molto semplice, è in grado di bloccare una buona quantità di spam.

Inoltre, cosa da tenere molto in considerazione, questo è un metodo che difficilmente genera dei falsi positivi (in quanto la risposta del server mail corrisponde ad un “ripassa più tardi”) e non aumenta di molto il carico del sistema.

 

Come accedere ai siti oscurati

zenmanUn po’ piu’ liberi con ZenaMate

Il concetto alla base di tutto e’ che Internet e’ considerato un diritto dei cittadini, questo e’ ormai assodato in quasi tutte le nazioni avanzate, tanto che persino in Italia, che come sempre arriva lunga su ogni questione, stanno lavorando alla prima bozza della Dichiarazione dei Diritti in Internet (PDF) .

Ok, tutto bello, peccato pero’ che quando ci giri su Internet ti accorgi che i tuoi diritti di cittadino sbattono, cosi’ come nel mondo reale, contro gl’interessi delle multinazionali.
Facciamo un esempio, a volte capita di navigare su youtube e trovi il video dell’artista di tuo piacimento, clicchi speranzoso di poter visionare quel video ed invece ti viene mostrata una faccina triste che ti dice che “quel contenuto non e’ visibile dal tuo paese”…..   COOOOSAAAAAA ????????

Tutto ruota dietro ai diritti d’autore ed alle royalty dello show business, questo perche’ in molte (non in tutte) nazioni esistono enti quali la SIAE in Italia o la GEMA in Germania che richiedono il pagamento di dazi, assurdi, per la visione di video, e non solo come potreste pensare quelli nuovi in classifica ma di qualunque eta’ essi abbiano.

Questo a mio parere lede qualunque tipo di diritto del cittadino ad usare il mezzo Internet.

A fronte di questo negli anni si sono escogitati sistemi di vario genere per bypassare queste situazioni ed altre, relative a siti oscurati, come fu per “The Pirate Bay” ecc….., ma molto spesso questi richiedono una conoscenza informatica che non e’ spesso presente per ogni singolo utilizzatore.

Oggi esiste pero’ tra le tante soluzioni anche quella offerta da un’azienda anglo/tedesca che ha sviluppato un’applicazione facilissima da installare, come estensione, per qualunque browser (Chrome, Firefox, Opera, Android, Safari…) e che permette con un semplice click di oltrepassare quel tipo di barriere poste in essere per giochi di potere ed economici, il suo nome e’
ZenMate.

ZenMate permette di creare una rete VPN direttamente dal browser per riuscire ad accedere a qualsiasi sito, sia a siti con limitazioni geografiche, sia a siti bloccati sul pc dell’ufficio o della scuola.

La cosa veramente interessante è che ZenMate può assegnare un indirizzo ad ogni “scheda” del browser, per ad esempio accedere ad un sito camuffandosi da utente che si collega dagli Stati Uniti ed ad un altro da utente di un Paese europeo e cosi via.

Caratteristiche:
-Accedere a qualsiasi sito web da qualsiasi luogo
-Crittografare il traffico del browser per una maggiore privacy
-Accedere a siti dal pc del posto di lavoro o della scuola senza restrizioni
-Accelera la connessione a Internet
-Si installa in 1 click!

In questo esempio vedremo l’installazione su Chrome, ricordo anche che con ZenMate non dovrete modificare i DNS o comprare servizi che vi permettano di bypassare il problema.

Come funziona:

1) Avete bisogno del browser chrome.

2) Installate questa estensione.

3) Una volta installato il pacchetto, si aprirà una pagina, qui dovrete inserire la vostra mail e successivamente cliccare su Get secured now.

4) A questo punto, il simbolo di ZenMate diventerà verde e potrete navigare nei siti che prima erano oscurati.

Vi ritroverete cosi con il simbolo dello scudo di ZenMate di fianco alla Barra degli indirizzi di Chrome, cosi da poterla tenere sotto controllo ed utilizzarla al meglio, infatti qualora capitasse che anche cosi incappaste in un rifiuto potete cliccare sullo scudo attivando l’interfaccia di gestione e, nalla parte in basso a sinistra , noterete la voce “Change Location”, al suo interno vi vengono mostrate 6 nazioni diverse da scegliere per far si che il vostro traffico venga reindirizzato su IP che probabilmente non risultano nelle BlackList.

Per fare il test, potete utilizzare questa lista dei siti bloccati in italia.