Proteggere la rete locale da spam e malware con IPCop e Copfilter

• Firewall
• Antimalware

IPCop è una vera e propria distribuzione Linux che consente di mettere al sicuro tutti i personal computer della rete locale non solo dalle aggressioni esterne ma anche da comportamenti rischiosi che dovessero essere messi in atto dai vari utenti locali. Distribuito come software libero, sotto forma di prodotto opensource, IPCop può essere liberamente adottato sia in ambienti domestici che professionali.

In questo nostro articolo, che vi invitiamo a leggere, abbiamo pubblicato una guida all’uso di IPCop evidenziandone le principali caratteristiche e la procedura da seguire per l’installazione e la configurazione del software.

Uno dei fiori all’occhiello di IPCop è senza dubbio la possibilità di estenderne notevolmente le funzionalità di base grazie ai tanti addon compatibili scaricabili dalla Rete. Un addon come Copfilter consente di fare in modo che tutto il traffico da e verso i client collegati alla rete locale venga sottoposto ad un’analisi automatica. Così facendo, è possibile rilevare lo spam, bloccare la visita di siti web potenzialmente nocivi ed effettuare un costante controllo antivirus sul materiale in transito.

Copfilter è stato sviluppato da Markus Madlener per estendere le abilità di IPCop al livello applicativo della pila ISO/OSI. Le funzionalità che l’addon mette a disposizione sono le seguenti:
– scansione POP3/SMTP; ricorrendo ai moduli P3Scan e ProxSMTP viene consentita la scansione di tutte le e-mail in ingresso ed in uscita
– scansione HTTP; l’analisi del traffico HTTP in transito viene effettuata attraverso HAVP
– scansione FTP; effettuata usando il modulo frox
– protezione privacy; usando Privoxy è possibile impostare una serie di filtri per la privacy, la rimozione dei cookie, delle finestre a comparsa e di altri elementi che compongono le pagine web
– scansione antivirus; i pacchetti dati vengono sottoposti a scansione antivirus utilizzando ClamAV o F-Prot
– protezione antispam; l’individuazione e l’eventuale rimozione dei messaggi di posta elettronica indesiderati è resa possibile sfruttando Spam Assassin, Vipul’s Razor, DCC, renattach e così via
– monitoraggio dei processi in esecuzione; il sistema è capace di controllare i processi essenziali riavviandoli nel caso in cui dovessero presentare problemi.

Il pacchetto d’installazione di IPCop non contiene l’addon Copfilter che deve essere necessariamente scaricato ed aggiunto separatamente. Per copiare Copfilter sulla macchina ove si è precedentemente installato IPCop è indispensabile aprire una sessione di collegamento SSH (ved. anche questi nostri articoli).

Il primo passo da compiere consiste nell’attivazione della shell sicura dall’interfaccia di amministrazione web di IPCop. Come chiarito nella precedente puntata (ved. questa pagina), è necessario avviare il browser e digitare, nella barra degli URL, l’indirizzo seguente: https://INDIRIZZO_IP_IPCOP:8443
Al posto di INDIRIZZO_IP_IPCOP andrà sostituito l’indirizzo IP associato all’interfaccia verde della macchina IPCop. La porta 8443 è l’unica utilizzata per l’amministrazione di IPCop 2.0.x: il server non effettua alcun reindirizzamento automatico dalle porte 445 (precedentemente utilizzata) e 81.

Dalla pagina di amministrazione di IPCop, si dovrà accedere alla sezione Sistema, Accesso SSH quindi spuntare la casella Accesso SSH:

Per memorizzare la modifica si dovrà fare clic sul pulsante Salva.
Non appena si sarà caricato sul server IPCop il file d’installazione di Copfilter, è importante ricordarsi di disattivare l’accesso SSH.

A questo punto, cliccando su Servizi, Proxy si dovrà attivare il software Squid attivando sia la casella Abilita su GREEN che Trasparente su GREEN. Squid è un prodotto che viene sviluppato da diversi anni ed è quindi considerato come una piattaforma molto robusta. L’applicazione è capace di supportare diversi protocolli anche se l’impiego più comune riguarda i classici HTTP e FTP. Si tratta sostanzialmente di un evoluto server proxy che si interpone tra la rete Internet ed i sistemi client connessi alla rete locale (vi suggeriamo anche la lettura di questo nostro articolo di approfondimento).
Come lingua dei messaggi d’errore si può eventualmente optare per l’italiano.

Per annotare le variazioni, è indispensabile fare clic sul pulsante Salva; dopo qualche istante di attesa Squid verrà avviato e l’interfaccia web di IPCop mostrerà il messaggio “Avviato“:

Il passo successivo consiste nel caricare il file d’installazione di Copfilter all’interno della directory /root del server IPCop.
Per procedere, da un terminale Windows, è sufficiente scaricare questo programma quindi, da prompt dei comandi, digitare quanto segue:

pscp -P 8022 copfilter-2.0.91beta1.tgz root@192.168.1.100:/root

Gli elementi evidenziati in grassetto (ossia copfilter-2.0.91beta1.tgz e 192.168.1.100) devono essere sostituiti col nome del pacchetto aggiornato di Copfilter prelevabile da questa pagina.
Digitando il comando sopra riportato, verrà dapprima richiesta la password associata all’account root quindi inizierà la copia dell’addon Copfilter sul server di IPCop.

Utilizzando un software come PuTTY, prelevabile gratuitamente cliccando qui, è possibile connettersi via SSH alla macchina IPCop da una qualunque workstation Windows.
Nella schermata principale di PuTTY basta indicare l’indirizzo IP del server IPCop insieme con la porta SSH corretta:

Una volta effettuato il login come utente root, si potrà passare all’installazione di Copfilter vera e propria:

I comandi da digitare, in successione, sono i seguenti:

cd /root
tar xzvf copfilter-2.0.91beta1.tgz
cd copfilter-2.0.91beta1
./install


Anche in questo caso, ovviamente, l’indicazione copfilter-2.0.91beta1.tgz deve essere sostituita con il nome del pacchetto compresso di Copfilter.

Per concludere l’installazione, basterà seguire le semplici indicazioni via a via esposte a video.
Alla fine, basterà digitare il comando reboot per richiedere il riavvio della macchina IPCop.

Come configurare Copfilter: le principali funzionalità

Prima di procedere alla configurazione di Copfilter è bene ricordarsi di disattivare il server SSH accedendo al menù Sistema, Accesso SSH dall’interfaccia di amministrazione web di IPCop quindi disabilitando la casella Accesso SSH e facendo clic sul pulsante Salva poco più in basso, sulla destra.

Il fatto che l’installazione di Copfilter sia andata a buon fine è confermato dalla presenza dell’omonima nuova voce di menù (l’ultima da sinistra a destra):

A questo punto è necessario accedere al sottomenù Email e configurare indirizzo di posta elettronica e server SMTP che saranno usati per la trasmissione di tutte le comunicazioni legate al funzionamento di Copfilter.

Accedendo alla sezione Monitoring, si potrà attivare il monitoraggio in tempo reale dei servizi correlati a Copfilter: in questo modo, se un’applicazione dovesse andare in crash, si provvederà al suo riavvio automatico.

Protezione della posta elettronica e della navigazione sul web

La sezione POP3 Filter consente di attivare un meccanismo di filtraggio dei messaggi di posta elettronica in arrivo bloccando spam e malware prima che possano arrivare i sistemi client collegati in rete locale. Le seguenti impostazioni sono quelle consigliate ma sarà poi possibile applicare le personalizzazioni che si ritengono più opportune in base alle proprie esigenze:

Enable P3scan on incoming traffic on GREEN: ON
Enable P3scan on incoming traffic on ORANGE: ON
Add Copfilter Comment to Email Header: ON
Quarantine Spam if … ***: OFF
Stop Virus email and send virus notification instead: ON
Tag Spam in Emails and modify the subject: ON
Send a copy of virus notification to Email address: ON
Quarantine virus infected emails: ON
Remove emails in quarantine if older than (in days): 7

Tutte le altre impostazioni potranno essere lasciate su OFF. Per confermare i vari interventi appena applicati, sarà sufficiente cliccare sul pulsante Save settings (and restart service).

Si potrà poi eventualmente proseguire con la configurazione delle opzioni legate all’utilizzo del protocollo SMTP accedendo al sottomenù SMTP filter di Copfilter.

Ricorrendo alla sezione HAVP filter, invece, si richiederà a Copfilter di controllare il traffico veicolato attraverso il protocollo HTTP da e verso i client che compongono la rete LAN. Prima di applicare qualunque modifica, è necessario cliccare su Copfilter, Status quindi sul pulsante Start clamd. A questo punto si potrà tornare alla sezione Copfilter, HAVP filter ed attivare le seguenti impostazioni suggerite:

Deny access to HTTP traffic: ON
Enable Transparent mode: ON

Al solito, per confermare la memorizzazione delle scelte, si potrà cliccare su Save settings (and restart service).

Protezione antispam

Sarà Spam Assassin a farsi carico dell’individuazione dei messaggi di posta indesiderati (spam) prima che questi arrivino sulle macchine client. Gli strumenti utilizzati da questa nota applicazione sono molteplici: dai filtri bayesiani (ved. questi nostri articoli), alle “DNS-based Blackhole List” (le DNSBL sono principalmente utilizzate per la pubblicazione di indirizzi IP legati in qualche modo alle attività riconducibili agli spammer), all’analisi del testo del messaggio e delle intestazioni dell’e-mail, sino all’uso di database mantenuti costantemente aggiornati.
Le impostazioni consigliate per il modulo Antispam di Copfilter sono le seguenti:

Enable Spamassasin: ON
Score required to identify email as spam: 6
Send daily spam digest: ON
Razor, DCC, DNSBL: ON
Automatic Update Enabled, every 1 days

Protezione antivirus

Per concludere la configurazione di Copfilter, è necessario portarsi nella sezione Antivirus, attivare ClamAV (on) ed abilitare l’aggiornamento automatico delle definizioni ogni 24 ore (Automatic update; enabled every 24 hours).

E’ possibile adesso mettere alla prova il funzionamento dell'”accoppiata” IPCop/Copfilter navigando sul web dai sistemi client connessi in rete locale. Inviando e ricevendo e-mail e navigando in Rete, si potranno immediatamente verificare le funzionalità di filtraggio operate in tempo reale da Copfilter. Se i messaggi di posta elettronica inviati e ricevuti contengono le intestazioni aventi come prefisso X-Filtered-With-Copfilter: e X-Copfilter-Virus-Scanned: significa che la configurazione del server è stata effettuta con successo.