Documentazione NethSecurity

Transcript

Documentazione NethSecurity
Release 6.5rc1
Nethesis
30 June 2014
Indice
1
Installazione
1.1 Novità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Installazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Gestione pacchetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
5
10
2
Configurazione
2.1 Accesso (Server Manager)
2.2 Registrazione . . . . . . .
2.3 Amministrazione . . . . .
2.4 Dati organizzazione . . .
2.5 Profilo utente . . . . . . .
2.6 Rotte statiche . . . . . . .
2.7 Data e ora . . . . . . . . .
2.8 Backup . . . . . . . . . .
2.9 Gestione Account . . . .
2.10 UPS . . . . . . . . . . . .
2.11 Proxy web . . . . . . . .
2.12 Firewall e gateway . . . .
2.13 Monitor banda (ntopng) .
2.14 DNS e DHCP . . . . . . .
2.15 VPN . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
13
13
13
14
16
16
16
16
17
19
24
25
27
31
32
33
3
Appendice
3.1 License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
37
4
Indici
39
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
i
ii
Documentazione NethSecurity, Release 6.5rc1
NethSecurity è un sistema operativo progettato per le piccole e medie imprese. Semplice, sicuro, flessibile.
Contatti
• Sito ufficiale: http://www.nethesis.it
• Documentazione: http://docs.nethesis.it
• Blog: http://blog.nethesis.it
Indice
1
2
Indice
CAPITOLO 1
Installazione
1.1 Novità
Questo documento ha l’obiettivo di facilitare il passaggio dai vecchi prodotti a NethSecurity che introduce numerose
novità a livello funzionale ed estetico.
1.1.1 Sistema base
NethSecurity è basato su CentOS 6.x ed è disponibile solo per sistemi a 64 bit.
La struttura di NethSecurity è altamente modulare, ovvero è possibile installare solo i software strettamente necessari.
Il sistema base è composto dall’interfaccia web per la configurazione, un firewall minimale e il server per l’accesso
remoto sicuro (SSH). Tutti gli altri moduli, compresi utenti e backup, sono opzionali.
La struttura del filesystem ha subito cambiamenti per adattarsi al Filesystem Hierarchy Standard (FHS). Tutti i dati
sono posizionati nella directory /var/lib/nethserver. In particolare:
• home degli utenti: /var/lib/nethserver/home
• maildir: /var/lib/nethserver/vmail
• cartelle condivise (ibay): /var/lib/nethserver/ibay
L’architettura del sistema è stata fortemente razionalizzata per aderire agli standard più diffusi, inoltre sono state
adottate convenzioni molto stringenti per agevolare la configurazione del sistema. Ad esempio, tutto quello che è
possibile fare da interfaccia web, è facilmente replicabile e scriptabile da linea di comando.
Sono disponibili nuovi metodi di installazione, per maggiori informazioni vedi Installazione.
Interfaccia web
Il comando console è deprecato e se ne sconsiglia l’utilizzo. Tutte le configurazioni possono essere effettuate da
interfaccia web, comprese le impostazioni delle interfacce di rete e il nome host/dominio della macchina.
L’interfaccia web è stata completamente riscritta ed è in ascolto sulla porta 980. Il login può essere effettuato con le
credenziali dell’utente root.
Caratteristiche principali:
• Facilità d’uso
• Velocità
• Adattabile agli schermi di tutte le dimensioni
3
• Validatori complessi per i dati immessi
• Ricerca fra i menu
• Personalizzabile
Dashboard
La Dashboard è uno speciale modulo dell’interfaccia web che consente di avere una visione d’insieme dello stato del
sistema. Include alcuni elementi di base:
• Tipo di hardware
• Utilizzo risorse (carico, RAM, SWAP, dischi)
• Stato RAID
• Lista dei servizi
Ogni modulo può estendere la Dashboard con widget e schede specifiche, ad esempio stato del backup, database
antivirus, carico UPS, ecc.
Firewall
La politica di sicurezza del firewall prevede che tutte le porte siano chiuse come impostazione di default, solo le porte
espliciatemente utilizzate sono aperte. Se si desidera utilizzare la modalità server e gateway, è sufficiente installare il
modulo Firewall base che include le funzionalità di gateway, port forwarding e traffic shaping (priorità per porta e IP
sorgente).
Accesso remoto
Il server SSH (porta standard 22) e l’intefaccia web sono abilitati di default ed accedibili da tutte le reti anche con
l’utente root. Al termine della configurazione, si consiglia di limitare l’accesso alle sole reti affidabili e di cambiare la
porta di default per SSH.
Gestore pacchetti
Il Gestore pacchetti consente di installare e rimuovere software aggiuntivo nel sistema.
Il Gestore pacchetti è accedibile solo con le credenziali del rivenditore. Ogni rivenditore potrà installare sul sistema
tutte le linee di prodotto per cui ha sottoscritto un contratto. NethSecurity potrà quindi essere composto sia da moduli
che ricadono sotto il supporto NethService (es. server di posta) sia da moduli specifici di NethSecurity (es. firewall
avanzato).
Visualizzazione log
Il nuovo visualizzatore dei log consente di consultare, ricercare e seguire in tempo reale tutti i log di sistema.
1.1.2 Backup
Il modulo di backup non è installato nella configurazione base ed è suddiviso in due parti: backup della configurazione
e backup dei dati.
4
Capitolo 1. Installazione
Il backup della configurazione è automatico e consente di ripristinare velocemente un sistema per minimizzare la
discontinuità di servizio. In caso di guasto, sarà possibile ripristinare il backup della configurazione e consentire agli
utenti di riprendere il lavoro mentre il backup dei dati verrà ripristinato in background.
Il backup dei dati deve essere esplicitamente configurato secondo le proprie esigenze e prevede le classiche politiche
di salvataggio dei dati (backup incrementali, criteri di conservazione dei dati, notifiche, ecc).
Il supporto ai backup su nastro è stato rimosso.
Al momento, il restore di un backup è possibile solo da linea di comando.
1.1.3 Utenti e gruppi
Il modulo utenti non è installato di default. Utenti e gruppi sono salvati in LDAP che pertanto è divenuto uno dei
servizi fondamentali del sistema.
I servizi di sistema (posta, accesso cartelle condivise, ecc) possono essere attivati o disattivati selettivamente per
ciascun utente.
Ogni utente può inoltre accedere all’interfaccia web con le proprie credenziali per modificare password e dati personali.
1.1.4 DNS e DHCP
Il server DNS non è più autoritativo, ovvero è obbligatorio inserire uno o più indirizzi di server DNS esterni per la
risoluzione dei nomi al di fuori del dominio gestito dal server stesso.
I moduli di DNS e DHCP non sono installati di default e l’interfaccia è stata completamente rivista. Ad esempio è possibile definire alias DNS multipli, visualizzare la lista degli IP in leasing e riservare un indirizzo agendo direttamente
sulla lista degli ip rilasciati.
1.1.5 Altri moduli
Alcuni dei nuovi moduli disponibili:
• Monitor utilizzo banda: ntopng
1.2 Installazione
1.2.1 Requisiti minimi
La dotazione minima richiesta da NethSecurity è un macchina con CPU a 64 bit, 1 GB di RAM e 8 GB di spazio su
hard disk. Si consiglia l’uso di due hard disk in modo che venga garantita l’integrità dei dati attraverso il supporto
automatico RAID1.
Compatibilità hardware
NethSecurity è compatibile con tutto l’hardware certificato per Red Hat® Enterprise Linux® (RHEL ®). Vedi:
https://hardware.redhat.com/
Si richiede HW di classe server e non desktop, dato che garantisce maggiore compatibilità e qualità dei componenti.
N.B. Un hardware dichiarato compatibile con Linux non è detto sia compatibile con RHEL/NethSecurity.
1.2. Installazione
5
RAID
NethSecurity supporta sia configurazioni RAID hardware che software. Nel caso si scelga di implementare la
configurazione RAID hardware assicurarsi che il controller sia presente nella lista dei controller supportati.
NethSecurity di default prevede il RAID 1 software e supporta anche il RAID 5.
Si consiglia di usare il RAID software perché viene controllato di default da un apposito software pre-configurato che
segnala eventuali anomalie.
1.2.2 Tipi di installazione
Sono supportati due modi per installare NethSecurity. In breve:
• Installazione da ISO
– scaricare l’immagine ISO,
– preparare un CD/DVD o una chiavetta USB avviabile
– seguire la procedura guidata
• Installazione da YUM
– installare CentOS Minimal
– configurare la rete
– eseguire l’installazione da rete
1.2.3 Installazione da ISO
Il file ISO di NethSecurity si scarica dal sito ufficiale http://docs.nethesis.it.
Una volta scaricato, il file ISO può essere utilizzato per creare un supporto avviabile, come un CD, un DVD, o una
chiavetta USB.
La creazione di un disco avviabile è diversa dalla semplice scrittura di un file su CD/DVD, e richiede l’uso di una funzione dedicata, di solito presente nei programmi per la creazione di CD/DVD (es. scrivi immagine oppure masterizza
ISO). Le istruzioni su come creare un CD/DVD avviabile a partire dall’immagine ISO sono facilmente reperibili su
Internet o nella documentazione del proprio sistema operativo.
In maniera simile, per preparare una chiavetta USB avviabile, la semplice copia del file sulla chiavetta non è sufficiente.
Ci sono specifici programmi 1 che a partire dall’immagine ISO preparano la chiavetta USB.
In entrambi i casi, una volta preparato il supporto avviabile (CD, DVD, USB) con l’immagine ISO di NethSecurity,
inserirlo e avviare la macchina. Se non viene riconosciuto, fare riferimento alla documentazione del BIOS della scheda
madre. Una problematica tipica è impostare la priorità dei dispositivi all’avvio in modo da tentare per primo il supporto
con l’immagine ISO di NethSecurity.
All’avviò verrà mostrata un menù con i diversi tipi di installazione disponibili.
Avvertimento: L’installazione eliminerà tutti i dati esistenti sui dischi rigidi!
NethSecurity interactive install Consente di selezionare la lingua, configurare il supporto RAID, la rete, e il file
system criptato. Sarà descritta più nel dettaglio in Modalità interattiva.
Other / NethSecurity unattended install Non richiede alcun tipo di intervento ed applica dove necessario i
parametri predefiniti.
1
6
Per esempio, http://unetbootin.sourceforge.net/
Standard CentOS installations Utilizza le procedure di installazione standard di CentOS Minimal.
Tools Avvia in modalità rescue (recupero), esecuzione del memory test e strumenti di rilevazione dell’hardware.
Boot from local drive Tenta l’avvio di un sistema già installato sul disco rigido.
Alla fine della procedura di installazione verrà chiesto di effettuare il riavvio della macchina. Assicurarsi di aver
rimosso il CD o il supporto USB prima di riavviare.
Modalità unattended
Al termine dell’installazione, il sistema sarà così configurato:
• Nome utente: root
• Password: Nethesis,1234
• Rete: DHCP abilitato su tutte le interfacce
• Tastiera: us
• Fuso orario: Greenwich
• Lingua: en_US.UTF-8
• Dischi: se sono presenti due o più dischi, verrà creato un RAID1 sui primi due dischi
Opzioni installazione
E’ possibile aggiungere parametri all’installazione automatica, premendo TAB e modificando la linea di comando.
Per disabilitare il raid, aggiungere questa opzione:
raid=none
Se si desidera selezionare i dischi su cui installare, usare:
disks=sdx,sdy
Altre opzioni disponibili:
• lang: lingua del sistema, default è en_US
• keyboard: layout tastiera, default è us
• timezone: fuso orario, default è UTC Greenwich
• password: abilita la il crittografia del file system usando la password immessa
Modalità interattiva
La modalità interattiva consente di effettuare poche e semplici scelte sulla configurazione del sistema:
1. Lingua
2. Layout tastiera
3. Fuso orario
4. RAID software
5. Password amministratore di sistema
1.2. Installazione
7
6. File system cifrato
7. Interfacce di rete
8. Configurazione di rete
Lingua
Selezionare in quale lingua si desidera utilizzare la modalità interattiva. La lingua selezionata sarà la lingua di default
del sistema installato. Inoltre saranno suggeriti i default per tastiera e fuso orario.
Layout tastiera
La tastiera può avere layout (disposizione dei tasti) dipendentemente dalla lingua per cui è stata realizzata. Lasciare il
valore suggerito o inserire un valore personalizzato.
Fuso orario
La scelta del fuso orario consente di configurare data e ora del sistema. Lasciare il valore suggerito o inserire un valore
personalizzato.
RAID software
Il RAID (Redundant Array of Independent Disks) consente di combinare tutti i dischi installati nel sistema, al fine di
ottenere tolleranza ai guasti ed un incremento delle performance.
Questa schermata viene visualizzata se in fase di avvio sono stati rilevati due o più dischi.
Livelli disponibili:
• RAID 1: crea una copia esatta (mirror) di tutti i dati su due o più dischi. Numero minimo di dischi: 2
• RAID 5: usa una suddivisione dei dati a livello di blocco, distribuendo i dati di parità uniformemente tra tutti i
dischi. Numero minimo di dischi: 3
Disco di spare Se il numero dei dischi è maggiore del numero minimo richiesto dal livello raid selezionato, è
possibile creare un disco di spare. Un disco di spare è un disco che viene aggiunto al RAID qualora si verifichi un
guasto.
Password amministratore di sistema
E’ fortemente consigliato impostare una password di amministratore personalizzata. Una buona password deve:
• essere lunga almeno 8 caratteri
• contenere lettere maiuscole e minuscole
• contenere simboli e numeri
8
File system cifrato
Abilitando il file system cifrato, tutti i dati scritti sul disco verrano cifrati usando la crittografia simmetrica. In caso di
furto, un malintenzionato non sarà in grado di leggere i dati a meno di non possedere la chiave crittografica.
E’ possibile scegliere una password per la cifratura, altrimenti verrà utilizzata la password dell’amministratore.
Nota: Sarà necessario inserire la password scelta ad ogni avvio del sistema.
Interfacce di rete
Selezionare l’interfaccia di rete che sarà utilizzata per accedere alla LAN. Questa interfaccia è detta anche rete green.
Configurazione di rete
Nome host e dominio (FQDN) Digitare il nome host e dominio con il quale opererà il server (es. server.mycompany.com). Si consiglia di scegliere il nome in funzione del ruolo che avrà il server. Es: fax, mail,
ecc.
NB: I nomi di dominio posso contenere solo lettere, numeri e il trattino.
Indirizzo IP Digitare un indirizzo IP privato (da RFC1918) da assegnare al server; nel caso si voglia installare la
macchina in una rete già esistente occorrerà fornire un indirizzo IP libero, valido per per quella rete (in genere
si tende ad usare il primo o l’ultimo host, per esempio 192.168.7.1 o .254).
Netmask Digitare la subnet mask di rete. Generalmente si lascia invariata quella suggerita dal sistema.
Gateway Digitare l’indirizzo IP del gateway della rete su cui si sta installando il server.
DNS Digitare un DNS valido. Esempio: 8.8.8.8
Termine procedura installazione
Immessi i parametri la procedura avvierà l’installazione.
Alla fine della procedura di installazione verrà chiesto di effettuare il riavvio della macchina. Assicurarsi di aver
rimosso il CD o il supporto USB prima di riavviare.
Al termine dell’installazione, installare i moduli opzionali: Gestione pacchetti.
1.2.4 Installazione su CentOS
E’ possibile installare NethSecurity su una nuova installazione di CentOS usando il comando yum per scaricare via
rete i pacchetti software.
Per esempio, per installare NethSecurity 6.5 si comincerà installando CentOS 6.5 sul sistema (molti fornitori di VPS
offrono CentOS già pre-installato) e poi si eseguiranno alcuni comandi per trasformare CentOS in NethSecurity.
Abilitare i repository specifici di NethSecurity con il comando:
yum localinstall -y http://pulp.nethserver.org/nethserver/nethserver-release.rpm
Per installare il sistema di base eseguire:
1.2. Installazione
9
nethserver-install
Per installare i moduli aggiuntivi, passare il nome dei moduli come parametro allo script di installazione. Esempio:
nethserver-install nethserver-mail nethserver-nut
Al termine dell’installazione, installare i moduli opzionali: Gestione pacchetti.
1.3 Gestione pacchetti
NethSecurity è altamente modulare: al termine dell’installazione il sistema contiene solo i moduli di base (es. configurazione di rete, visualizzazione log). L’amministratore può quindi decidere quali componenti installare in base alle
proprie esigenze (es. mail server, DHCP server, firewall ecc.)
La vista principale mostra una lista di componenti software. Gli elementi spuntati rappresentano i componenti
installati, mentre quelli non spuntati sono quelli disponibili. Si può filtrare la lista per categoria.
Per installare o rimuovere i componenti software elencati, aggiungere o togliere il segno di spunta, quindi premere il
pulsante Applica. La schermata successiva riepiloga cosa sarà installato e rimosso. Inoltre, viene mostrata la lista di
pacchetti opzionali, da selezionare per l’installazione.
Nota: I pacchetti opzionali possono essere installati anche dopo l’installazione del componente relativo: cliccare di
nuovo sul bottone Applica e selezionarli dalla schermata di riepilogo.
La sezione Software installato elenca i pacchetti installati sul sistema.
1.3.1 Aiuto in linea
Tutti i pacchetti che sono configurabili attraverso il Server Manager contengono un manuale in linea che spiega
l’utilizzo base e tutti i campi contenuti nella pagina.
Il manuale in linea è consultabile in tutte le lingue in cui è tradotto il Server Manager.
Una lista di tutti i manuali installati nel sistema è disponibile all’indirizzo:
https://<server>:980/<language>/Help
Esempio
Se il server ha indirizzo 192.168.1.2 e si desidera visualizzare la lista dei manuali in lingua italiana, usare
l’indirizzo:
https://192.168.1.2:980/it/Help
1.3.2 Moduli opzionali
I seguenti moduli non fanno parte dell’installazione base e possono essere installati dalla pagina Gestione pacchetti.
In alternativa, è possibile installare i moduli da linea di comando utilizzando yum
yum install @<module_id>
Dove module_id è l’ID del modulo preso dall lista qui sotto. Esempio per installare il modulo di backup:
10
yum install @nethserver-backup
Moduli disponibili:
• Backup [Backup della configurazione del sistema e dei dati] ID: nethserver-backup
• Server DNS e DHCP [Demoni e strumenti per i servizi DNS e DHCP] ID: nethserver-dns-dhcp
• Fax server [Configura HylaFax+ e gestisce i modem IAX] ID: nethserver-fax-server
• Web-based fax client [Manage faxes from a simple web interface] ID: nethserver-faxweb2
• Firewall base [Configura le interfacce di rete e il firewall base] ID: nethserver-firewall-base
• File server [Demoni e strumenti per la condivisione file in rete] ID: nethserver-file-server
• Groupware [Server SOGo ed estensioni per Thunderbird] ID: nethserver-groupware
• Email [Server e filtri di posta elettronica] ID: nethserver-mail
• Messaggistica istantanea [Server di chat XMPP/Jabber] ID: nethserver-messaging
• Server di stampa [Servizio di gestione stampanti (CUPS)] ID: nethserver-printers
• Server Web [Strumenti di configurazione per il server web Apache] ID: nethserver-web
• Monitoraggio banda [Configurazione e gestione di Ntopng] ID: nethserver-bandwidth-monitor
• Supporto UPS [Configurazione della gestione e del monitoraggio dei gruppi di continuità] ID:
nethserver-nut
• Statistiche [Registra e analizza le statistiche del sistema] ID: nethserver-statistics
• Proxy web [Configurazione Squid (web caching proxy)] ID: nethserver-web-proxy
• Filtro web [Filtro web per contenuti e virus] ID: nethserver-web-filter
• VPN [Configure remote-access and site-to-site Virtual Private Networks (VPN)] ID: nethserver-vpn
• ownCloud [Configura ownCloud - accesso completo ai propri file via web, computer o dispositivi mobili - da
qualsiasi luogo] ID: nethserver-owncloud
• Server MySQL [Strumenti di configurazione per MySQL] ID: nethserver-mysql
1.3. Gestione pacchetti
11
12
CAPITOLO 2
Configurazione
2.1 Accesso (Server Manager)
NethSecurity viene configurato tramite una interfaccia web, detta Server Manager. Per accedere alle pagine di gestione
si utilizza un browser (es. FireFox, Google Chrome, etc) installato su un PC connesso alla stessa rete LAN del server.
Nella barra degli indirizzi digitare: https://a.b.c.d:980 oppure https://server:980 dove a.b.c.d e
server sono rispettivamente l’indirizzo IP e il nome del server impostati al momento dell’installazione.
Se il modulo web server è installato,
https://server/server-manager
l’interfaccia
web
è
raggiungibile
anche
all’indirizzo:
Il Server Manager utilizza certificati SSL auto-firmati, sarà quindi necessario accettare esplicitamente tali certificati la
prima volta che si accede al server. La connessione è comunque sicura e cifrata.
2.1.1 Login
Prima di accedere, è necessario autenticarsi attraverso nome utente e password. Compilare i campi come segue:
• Nome utente: root
• Password: password_di_root (inserita in fase di installazione)
Se è installato il modulo Directory, è possibile abilitare l’utente admin ed utilizzarlo per accedere all’interfaccia web
con gli stessi privilegi dell’utente root. Vedi Utente amministratore.
2.2 Registrazione
NethSecurity offre la possibilità di tenere sotto controllo i parametri critici di funzionamento tramite il Centro Servizi
Nethesis, accessibile con la coppia utente/password all’indirizzo https://register.nethesis.it. Come prima operazione,
per ogni NethSecurity installato, è necessario effettuare la registrazione per permettere una corretta identificazione
nella comunicazione con la console web.
Accedere all’interfaccia web del server (https://server:980), fare click su Gestione pacchetti e seguire la procedura
guidata:
• Inserire le credenziali rivenditore utilizzate presso il sito https://register.nethesis.it
• Selezionare un server esistente oppure scegliere la creazione di nuovo server
• In caso di creazione assicurarsi di inserire un nome che faciliti l’identificazione del server. Si consiglia anche di
immettere una descrizione
13
• Associare un cliente esistente al nuovo server oppure compilare i campi per la creazione di nuovo cliente
• Confermare i dati immessi per terminare la procedura di registrazione
Al termine sarà possibile installare il software aggiuntivo.
L’installazione di software aggiuntivo dall’interfaccia web è permessa esclusivamente solo ai possessori delle credenziali rivenditore. L’utilizzo di yum da linea di comando permette di aggirare questa limitazione. Pertanto si sconsiglia
di consegnare la password di root all’utente finale.
Il modulo utenti consente di utilizzare l’utente admin per accedere all’interfaccia web con privilegi amministrativi.
L’utente admin potrà quindi configurare l’intero sistema ma non potrà installare software aggiuntivo. Per maggiori
informazioni, vedi Utente amministratore.
2.2.1 Codice server
Il codice server permette di identificare in modo univoco il server all’interno del Centro Servizi Nethesis
(http://register.nethesis.it). Nel dettaglio del server presente sul Centro Servizi Nethesis sono presenti due pulsanti
chiamati Libera Chiave e Elimina Server, ognuno dei quali ha una funzione ben specifica.
Elimina Server
Il pulsante Elimina Server serve per eliminare dal Centro Servizi Nethesis i server non più utilizzati o erroneamente
creati.
Libera chiave
Il pulsante Libera Chiave serve per permettere ad un altro server di registrarsi con una chiave già utilizzata, il suo
utilizzo tipico è in caso reinstallazione. Può capitare che sia necessario reinstallare il server per sostituire dell’hardware
o per installare una versione più recente.
In assenza dell’opzione Libera Chiave sarebbe necessario eliminare il vecchio firewall e crearne uno con una nuova
chiave, in questo modo tra l’altro si perderebbero anche i dati relativi allo storico della macchina in questione. Tramite
il pulsante Libera Chiave è invece possibile registrare il server appena ripristinato con la stessa chiave che c’era prima
del ripristino, senza dover modificare altro.
2.2.2 NethServer community
E’ possibile trasformare un NethServer versione community in un NethServer Enterprise.
• Eseguire da linea di comando:
yum -c http://update.nethesis.it/nethserver-nethesis-support.conf install nethserver-register nethser
• Accedere all’interfaccia web e procedere alla registrazione dal menu Gestione pacchetti.
2.3 Amministrazione
2.3.1 Dashboard
La pagina mostrata di default dopo il login è la index:Dashboard; qui viene visualizzato un riepilogo dello stato del
sistema e delle sue impostazioni.
14
Capitolo 2. Configurazione
Vengono riportate la configurazione di rete, l’uso della memoria, l’uso del disco, informazioni sul carico ed uptime
della macchina, etc.
2.3.2 Arresto
La macchina su cui è installato NethSecurity può essere riavviata o spenta dalla pagina Arresto. Selezionare l’opzione
Riavvia oppure Spegni e fare click sul Arresta il sistema.
Al fine di evitare danni al sistema, utilizzare sempre questo modulo per effettuare una corretta procedura di riavvio o
spegnimento del server.
2.3.3 Visualizza Log
Tutti i servizi registrano le operazioni svolte all’interno di file detti log. L’analisi dei log è lo strumento principale per
individuare malfunzionamenti e problemi. Per visualizzare i file di log fare clic su Visualizza Log. Si aprirà una pagina
con l’elenco di tutti i file di log disponibili; fare click sui file che si intendo visualizzare.
Questo modulo consente di:
• effettuare ricerche all’interno di tutti i log del server
• visualizzare un singolo log
• seguire in tempo reale il contenuto di un log
2.3.4 Accesso remoto
Reti fidate
Le reti fidate sono speciali reti (remote o locali) a cui è garantito l’accesso a servizi speciali del server.
Ad esempio, i computer sulle reti fidate possono accedere a:
• Server Manager
• Cartelle condivise (SAMBA)
• Servizi web per reti locali (Statistiche)
Se si desidera che gli utenti collegati in VPN possanno accedere a tutti i servizi del sistema, aggiungere le reti delle
VPN a questo pannello.
Se la rete remota è raggiungibile attraverso un router, ricordarsi di creare la rotta statica corrispondente nel pannello
Rotte statiche.
Server Manager
E’ possibile specificare reti a cui sia esplicitametne consentito l’accesso al Server Manager. Ad esempio, se il server è
presso un cliente, si consiglia di permettere il collegamento dalla rete remota da cui si voglia amministrare la macchina.
SSH
Si consiglia di mantenere sempre attivo il servizio SSH (Secure Shell). SSH è un protocollo per aprire una shell remota
usando connessioni cifrate.
La configurazione di default consente l’autenticazione via password e mediante chiave pubblica/privata.
2.3. Amministrazione
15
2.4 Dati organizzazione
I campi in questa sezione vengono utilizzati per la generazione dei certificati SSL auto-firmati e per la creazione degli
utenti.
Nota: Ogni modifica ai dati inseriti rigenera tutti i certificati SSL, peranto sarà necessario accettarli nuovamente nei
client già configurati (es. client posta e browser).
2.5 Profilo utente
Ogni utente può collegarsi al Server Manager utilizzando le proprie credenziali.
Dopo l’accesso, l’utente potrà cambiare la propria password e le informazioni associate al proprio account:
• Nome e Cognome
• Indirizzo email esterno
L’utente può anche sovracrivere i seguenti campi già impostati dall’amministratore:
• Società
• Ufficio
• Indirizzo
• Città
• Telefono
2.6 Rotte statiche
Il pannello consente di specificare instradamenti particolari (rotte statiche) che non facciano uso del default gateway
(ad esempio per raggiungere reti private collegate tramite linee dedicate o simili).
Se si desidera che gli host nella rete remota possano accedere ai servizi del server, ricordarsi di creare una rete
corrispondente nel pannello Reti fidate.
Vedi Reti fidate.
2.7 Data e ora
Questo modulo viene installato di default dal sistema.
2.7.1 Impostazione Data e ora
Per impostare Data e ora entrare nella sezione Configurazione -> Data e ora.
È possibile
• sincronizzare la data e l’ora di sistema con un server NTP (Network Time Protocol), oppure
• impostare manualmente data, ora e fuso orario (sconsigliato)
16
Fuso orario Selezionare il fuso orario in cui si trova il server.
Data Impostare alla data corrente (formato YYYY-MM-DD)
Ora e minuti Impostare all’ora locale
Server NTP Indirizzo IP o nome dell’host con cui sincronizzare l’orario di sistema.
2.8 Backup
L’attività di backup è fondamentale perché in caso di malfunzionamenti o guasti del sistema assicura il salvataggio e
la conservazione dei dati. Il sistema gestisce due tipi di backup:
• backup della configurazione
• backup dei dati
Il backup della configurazione contiene tutte e sole le configurazioni di sistema. Viene eseguito ogni notte e genera un
nuovo archivio solo in caso la configurazione sia cambiata nelle ultime 24 ore. Lo scopo del backup della configurazione è quello di consentire un rapido ripristino della macchina in caso di disaster recovery. Dopo aver ripristinato la
configurazione, la macchina può già essere messa in produzione mentre i dati vengono ripristinati in background.
Il backup dei dati contiene i dati degli utenti come caselle di posta e cartelle condivise. Viene eseguito ogni notte e può
essere completo o incrementale su base settimanale. Questo backup contiene anche il backup della configurazione.
Il backup dei dati può essere fatto su tre tipi di destinazione:
• USB: disco collegato via USB, utile in caso di molti dati ma limitato dalla velocità dell’USB
• CIFS: cartella condivisa Windows, disponibile su tutti i NAS
• NFS: cartella condivisa Linux, disponibile su tutti i NAS, solitamente più veloce di CIFS
L’esito del backup può essere notificato all’amministratore o ad un indirizzo mail esterno.
2.8.1 Ripristino
Assicurarsi che la destinazione contenente il backup sia raggiungibile (es. disco USB collegato).
Nota: Al momento non è ancora disponibile l’interfaccia web per il ripristino dei dati.
Elenco contenuti
E’ possibile elencare i file presenti nell’ultimo backup con il comando:
backup-data-list
Il comando può richiedere del tempo in base alla dimensione del backup.
File e directory
Tutti i dati sono sono posizionati nella directory /var/lib/nethserver/:
• Cartelle di posta: /var/lib/nethserver/vmail/<user>
• Cartelle condivise: /var/lib/nethserver/ibay/<name>
2.8. Backup
17
• Home utenti: /var/lib/nethserver/home/<user>
Dopo aver individuato il file da ripristinare, usare il comando:
restore-file <position> <file>
Esempio, ripristinare nella directory /tmp la cartella di posta test:
restore-file /tmp /var/lib/nethserver/vmail/test
Esempio, ripristinare la cartella di posta test nella posizione originale:
restore-file / /var/lib/nethserver/vmail/test
Il sistema supporta la possibilità di ripristinare file e directory ad una versione precedente rispetto all’ultimo backup.
Esempio, ripristinare un file alla versione di 15 giorni fa:
restore-file -t 15D /tmp "/var/lib/nethserver/ibay/test/myfile"
L’opzione -t consente di specificare il numero di giorni, in questo caso 15.
Disaster recovery
Il sistema è ripristinato in due fasi: prima la configurazione, poi i dati. Al termine del ripristino, il sistema è pronto
all’uso se i moduli sono già installati. E’ possibile installare i moduli opzionali sia prima che dopo il ripristino. Ad
esempio, se il server di posta è installato, il sistema è già in grado di inviare e ricevere mail.
Altre configurazioni ripristinate:
• utenti e gruppi, inclusa la password di root/admin
• Certificati SSL
I passi da eseguire sono:
1. Installare una nuova macchina e configurarla con lo stesso nome host della vecchia
2. Installare e configurare il backup dei dati
3. Installare i moduli aggiuntivi (opzionale)
4. Eseguire il ripristino della configurazione lanciando il comando restore-config
5. Se la vecchia macchina era il gateway della rete, ricordarsi di reinstallare il modulo firewall
6. Riconfigurare la rete da interfaccia web
7. Verificare che la macchina sia funzionante
8. Ripristinare i dati eseguendo il comando restore-data
2.8.2 Personalizzazione
In caso di installazione di software aggiuntivi, potrebbe esser necessario modificare la lista delle directory e dei file
inclusi (o esclusi) dal backup.
18
Includere
Se si desidera includere una directory o un file nel backup dei dati, aggiungere una linea al file
/etc/backup-data.d/custom.include.
Ad esempio, per eseguire il backup di un software installato nella directory /opt, aggiungere la linea:
/opt/mysoftware
Se si desidera includere una directory o un file nel backup della configurazione, aggiungere una linea al file
/etc/backup-config.d/custom.include. Non aggiungere directory e file voluminosi al backup della
configurazione.
Escludere
Se si desidera escludere una directory o un file dal backup dei dati, aggiungere una linea al file
/etc/backup-data.d/custom.exclude.
Ad esempio, per escludere dal backup tutte le directory chiamate Download, aggiungere la linea:
**Download**
Per escludere una casella di posta test, aggiungere la riga:
/var/lib/nethserver/vmail/test/
La stessa sintassi si applica per il backup della configurazione.
/etc/backup-config.d/custom.exclude.
Le modifiche vanno effettuate nel file
Nota: Assicurarsi di non lasciare linee vuote nei file modificati.
2.9 Gestione Account
I pannelli e gruppi vengono visualizzati automaticamente quando viene installato un pacchetto che dipende da questo
modulo.
2.9.1 Utenti
L’utente di sistema è necessario per accedere a molti servizi erogati da NethSecurity (email, cartelle condivise etc.).
Ogni utente è caratterizzato da una coppia di credenziali (utente e password). Un utente appena creato rimane bloccato
finchè non viene settata una password. Un utente bloccato non può utilizzare i servizi di NethSecurity che richiedono
autenticazione.
Per gestire gli utenti all’ interno di NethSecurity andare sulla sezione Gestione→ Utenti.
All’interno di questa sezione è possibile creare nuovi utenti del sistema oppure eliminare o modificare gli utenti già
esistenti.
L’utente di sistema è necessario per accedere a molti servizi erogati da NethSecurity (email, cartelle condivise etc.).
Ogni utente è caratterizzato da una coppia di credenziali (utente e password). Un utente appena creato rimane bloccato
finché non viene settata una password. Un utente bloccato non può utilizzare i servizi del server che richiedono
autenticazione.
2.9. Gestione Account
19
Creazione nuovo utente
Per creare un nuovo utente occorre fare click sul pulsante “Crea Nuovo”.
Il nome utente può contenere solo lettere minuscole, numeri, trattini, punti e trattino basso (_) e deve iniziare con una
lettera minuscola. Per esempio “luisa”, “mrossi” e “liu-jo” sono nomi utente validi, mentre “4amici”, “Franco Neri” e
“aldo/sbaglio” non lo sono.
Per scegliere il nome utente è consigliabile scegliere uno standard che rende tutti i nomi presenti su NethSecurity
omogenei ad una precisa logica; (es. mrossi oppure marior se si crea un utente Mario Rossi e ciò vale per tutti gli altri
utenti).
Scheda Utenti
Nella scheda Utente vanno inseriti:
• Il nome scelto per il nuovo utente nel campo Nome Utente.
• Il vero nome e cognome dell’utente nel campo Nome Cognome.
• Il campo Gruppi serve ad aggiungere l’utente ad un gruppo.
Il gruppo va cercato digitando il nome nel campo, il sistema ricerca automaticamente fra tutti i gruppi, man mano che
che viene composto il nome; trovato il gruppo fare click sul pulsante aggiungi.
Sotto il campo verrà creata la tabella dei gruppi di cui l’utente è membro.
Per cancellare l’ utente da un gruppo fare click sulla “x” posta in corrispondenza del gruppo.
Scheda Dettagli
Questa sezione raccoglie le informazioni sull’organizzazione a cui appartiene l’utente e sono facoltative. I valori di
default si possono specificare dalla voce del menù Dati organizzazione.
Per i seguenti campi è possibile specificare un valore personalizzato, altrimenti vale l’impostazione effettuata dal
modulo “Dati organizzazione”, disponibile solo per l’amministratore del sistema.
• Società
• Ufficio
• Indirizzo
• Città
• Telefono
Scheda Servizi
Nella scheda Servizi è possibile selezionare i servizi di cui l’utente potrà usufruire fra quelli installati. Mettere la
spunta su quelli da assegnare.
Shell remota (SSH) Consente all’utente di accedere ad una shell sicura sul server.
Casella email Abilita la casella email per l’utente.
Inoltro messaggi Consente di inoltrare le email ricevute ad un indirizzo alternativo.
Tieni una copia sul server Le email inoltrate saranno comunque salvate nella casella email dell’utente.
Quota email personalizzata Permette di specificare un valore di quota diverso da quello di default.
20
Personalizza tempo di permanenza delle email di spam. Le email di spam vengono eliminate ad intervalli regolari.
Spuntando la casella è possibile stabilire per quanti giorni i messaggi classificati come spam arrivati a questo
utente, verranno mantenuti nel sistema prima di essere eliminati.
Indirizzi email Lista degli indirizzi email associati all’utente.
Cartelle condivise (Samba) Concede all’utente l’autorizzazione ad accedere alle cartelle condivise tramite Samba.
Password nuovo utente
Il nuovo utente creato sarà immediatamente visibile sulla tabella utenti; il suo nome è contraddistinto dall’icona con
un lucchetto che indica che non potrà avere accesso al sistema fino a quando non viene cambiata la password.
Per cambiare la password fare click sul pulsante modifica sulla colonna Azioni in corrispondenza della riga dell’utente.
Verrà aperta la pagina per la creazione dell’utente; fare click sul pulsante Cambia password. A questo punto verrà
chiesta la nuova password.
Modifica di un utente
Per modificare un utente fare click sul pulsante modifica nella colonna Azioni. Verrà mostrata la pagina per la creazione
dell’utente dove sarà possibile modificare i dati esistenti.
Eliminazione di un utente
Per eliminare un utente fare click sulla freccia adiacente il pulsante modifica sulla colonna azioni. Si apre un menù a
tendina, fare click sulla voce Elimina. Tutti i dati dell’utente verranno cancellati.
Blocca / Sblocca
Consente di bloccare o sbloccare un utente. I dati dell’utente non verranno eliminati.
2.9.2 Gruppi
Per gestire i gruppi all’ interno di NethSecurity andare sulla sezione Gestione→ Gruppi; all’interno di questa sezione si
possono creare nuovi gruppi, oppure eliminare e modificare gruppi già esistenti. Ad ogni gruppo è possibile assegnare
dei permessi di accesso per le varie applicazioni di Nethserver.
Creazione nuovo gruppo
Consente la creazione di un nuovo gruppo e l’associazione dei relativi membri.
Nome gruppo Può contenere solo lettere minuscole, numeri, trattini, punti e trattino basso (underscore) e deve iniziare con una lettera minuscola. Per esempio “vendite”, “beta3” e “riv_net” sono nomi validi, mentre “3d”,
“Ufficio Vendite” e “q&a” non lo sono.
Descrizione Inserire una breve descrizione del gruppo.
Membri Consente di ricercare gli utenti presenti sul server. Gli utenti si associano al gruppo con il tasto Aggiungi. Per
eliminare gli utenti elencati usare il pulsante X. Sotto il campo verrà creata la tabella degli utenti appartenenti al
gruppo.
21
Servizi
Nella scheda Servizi è possibile selezionare i servizi che si vogliono assegnare al gruppo.
Email Attiva la casella di posta per il gruppo.
Invia copia del messaggio ai membri del gruppo Abilita il comportamento standard della lista di distribuzione:
ogni e-mail inviata al gruppo verrà duplicata a ciascun utente membro.
Consegna il messaggio in una cartella condivisa Ogni email inviata al gruppo verrà consegnata in una cartella
IMAP condivisa visibile ai soli membri del gruppo. La sottoscrizione della cartella condivisa è automatica.
Crea gli indirizzi email predefiniti Crea automaticamente gli indirizzi email associati alla casella di posta del gruppo per tutti i domini definiti nel server, del tipo nome_gruppo@dominio. Tali indirizzi email possono essere
modificati nella sezione Gestione -> Indirizzi email.
Modifica di un gruppo
Consente la creazione, la modifica o la rimozione di gruppi di utenti utilizzati per assegnare servizi e permessi di
accesso agli utenti o come liste di distribuzione email.
Per modificare un gruppo fare click sul pulsante modifica nella colonna Azioni. Verrà mostrata la pagina per la
creazione del gruppo dove sarà possibile modificare sia i dati del Gruppo sia i Servizi ad esso associati.
Eliminazione di un Gruppo
Questa azione consente di rimuovere i gruppi definiti e le relative liste di distribuzione. Le caselle di posta condivise
associate a questo gruppo verranno eliminate.
2.9.3 Utente amministratore
Il modulo Utenti crea l’utente admin che consente l’accesso all’interfaccia web con la stessa password dell’utente root.
L’utente admin non ha accesso al sistema da linea di comando. Pur essendo due utenti distinti, la password di entrambi
coincide ed è possibile modificarla dall’interfaccia web.
In alcune occasioni, potrebbe essere utile differenziare le password di admin e di root, per esempio, per consentire ad
un utente poco esperto di utilizzare l’interfaccia web per svolgere le operazioni più comuni, inibendo però l’accesso
alla linea comandi.
Per dissociare la password di root da quella di admin eseguire il seguente comando:
config set AdminIsNotRoot enabled
Successivamente cambiare la password di admin dal pannello Utenti. Non venendo più sincronizzate le password,
admin avrà la nuova password, mentre root manterrà la vecchia.
Se si desidera modificare la password di root, andrà fatto da linea di comando tramite il comando passwd.
2.9.4 Gestione password
Il sistema prevede la possibilità di impostare dei vincoli sulla complessità e la scadenza delle password.
22
Complessità
La complessità password è un insieme di condizioni minime che devono essere soddisfatte affinchè la password venga
accettata dal sistema: è possibile scegliere tra due differenti policy di gestione complessità delle password:
• none: non viene fatto alcun controllo sulla password immessa se non sulla lunghezza di almeno 7 caratteri
• strong
La policy strong impone che la password debba rispettare le seguenti regole:
• lunghezza minima 7 caratteri
• contenere almeno 1 numero
• contenere almeno 1 carattere maiuscolo
• contenere almeno 1 carattere minuscolo
• contenere almeno 1 carattere speciale
• contenere almeno 5 caratteri diversi
• non deve essere presente nei dizionari di parole comuni
• deve essere diversa dallo username
• non può avere ripetizioni di pattern formati da più 3 caratteri (ad esempio la password As1.$As1.$ non è valida)
La policy di default è strong.
Per cambiare l’impostazione a none:
config setprop passwordstrength Users none
Per cambiare l’impostazione a strong:
config setprop passwordstrength Users strong
Verificare la policy attualmente in uso sul server:
config getprop passwordstrength Users
Scadenza
La scadenza delle password viene attivata di default a 6 mesi a partire dal momento in cui la password viene impostata.
Il sistema invierà una mail informativa all’utente quando la sua password è in scadenza.
Nota: Al momento dell’attivazione il sistema farà riferimento alla data dell’ultimo cambio password, se tale data è
precedente più di 6 mesi, il server invierà una mail per segnalare che la password è scaduta. In tal caso è necessario
cambiare la password dell’utente. Ad esempio: se l’ultimo cambio password è stato fatto in gennaio, e l’attivazione
della scadenza in ottobre, il sistema riterrà la password cambiata in gennaio come scaduta, e lo segnalerà all’utente.
Per ignorare la scadenza password globalmente (consentire l’accesso anche ad utenti con password scaduta):
config setprop passwordstrength PassExpires no
signal-event password-policy-update
Per disabilitare la scadenza password su un utente (sostituire username con l’utente):
db accounts setprop <username> PassExpires no
23
Di seguito sono riportati i comandi per visualizzare le policy in uso.
Numero massimo di giorni per cui è possibile tenere la stessa password (default:180):
config getprop passwordstrength MaxPassAge
Numero minimo di giorni per cui si è costretti a tenere la stessa password (default 0):
config getprop passwordstrength MinPassAge
Numero di giorni in cui viene inviato il warning per email (default:7):
config getprop passwordstrength PassWarning
Per modificare i parametri sostituire al comando getprop il comando setprop e specificare in fondo alla riga il valore
desiderato del parametro, infine dare il comando:
per rendere effettive le modifiche.
Ad esempio per modificare a 5 il “Numero di giorni in cui viene inviato il warning per email”:
config setprop passwordstrength PassWarning 5
Effetti password scaduta
Allo scadere della password l’utente sarà in grado di scaricare regolarmente la posta ma non potrà più accedere alle
cartelle e stampanti condivise sul server (Samba) o da altri pc in caso il pc faccia parte del dominio.
Password di dominio
In caso il sistema sia configurato come controller di Dominio, l’utente potrà cambiare la propria password usando gli
strumenti di Windows.
In quest’ultimo caso non è possibile impostare password più corte di 6 caratteri indipendentemente dalla configurazione delle policy sul server. Infatti Windows esegue dei controlli preliminari e invia le password al server dove vengono
poi valutate con le policy in uso.
2.10 UPS
NethSecurity supporta NUT (Network UPS Tools), un pacchetto di programmi che permette di monitorare e
amministrare UPS (Uninterruptible Power Supply).
2.10.1 Installazione
Per installare il pacchetto UPS web fare click su Gestione pacchetti, selezionare Supporto UPS e fare click sul pulsante
Avanti.
24
2.10.2 Gestione UPS
Per configurare i programmi di gestione dell’UPS fare click su Configurazione → UPS.
In questa pagina è possibile abilitare il pacchetto di programmi NUT scegliendo abilita. Sarà anche necessario inserire
la modalità di utilizzo dell’UPS a seconda che sia configurato master (l’UPS è direttamente collegato al server) o slave
(l’UPS è collegato ad un altro server raggiungibile via rete).
Se viene impostato master occorre indicare il driver da utilizzare ed il tipo di collegamento: seriale o USB. Per
scegliere il driver digitare il nome del dispositivo sul campo Cerca driver per modello, verrà aperto un menù a tendina
dove è presente la lista dei modelli già supportati da NethSecurity.
Se viene impostato slave sarà necessario fornire l’indirizzo IP del server master.
NUT provvederà ad effettuare uno shutdown controllato in caso di assenza di alimentazione.
Configurazione
Abilita NUT UPS Abilita o disabilita il servizio NUT.
Master Questa modalità va selezionata se l’UPS è collegato direttamente al server tramite cavo seriale o USB.
Cerca driver per modello Consente di cercare un driver compatibile con il proprio modello di UPS. Dopo aver
selezionato il modello dalla lista, il campo Driver verrà valorizzato con il nome del driver opportuno.
Driver I driver da utilizzare per il modello di UPS collegato.
Collegamento USB Selezionare questa opzione se l’UPS è collegato al server tramite USB.
Collegamento seriale Selezionare questa opzione se l’UPS è collegato al server tramite cavo seriale.
Slave Questa modalità deve essere utilizzata se l’UPS non è collegato direttamente al server, ma ad un altro server
con NUT configurato in modalità Master al quale NethSecurity si collegherà.
Indirizzo server master Indirizzo IP o nome host del server master. Il client utilizzerà l’utente UPS per collegarsi al
server master. Assicurarsi che tale utente sia configurato nel server master.
Password La password da specificare qui è quella configurata sul server master per la connessione dello slave.
2.11 Proxy web
Il filtro contenuti serve per controllare la navigazione web ed impostare dei blocchi in base ad alcuni elementi quali
parole chiave, ip interni, utenti interni, valutazione del contenuto della pagina web, estensioni dei file. Grazie a
questo strumento è possibile ad esempio abilitare l’accesso solo su alcuni siti desiderati (ad esempio quelli di interesse
aziendale) bloccando tutti gli altri.
NethSecurity è in grado di svolgere la funzione di server-proxy con l’installazione dell’ apposito pacchetto.
2.11.1 Installazione
Per installare il pacchetto Proxy web fare click su Configurazione -> Gestione pacchetti. Mettere la spunta su Proxy
web e fare click sul pulsante Avanti.
2.11. Proxy web
25
2.11.2 Gestione Proxy web
Per configurare il server proxy fare click su Configurazione -> Proxy web.
Il Proxy Web lavora per ridurre l’utilizzo della banda facendo cache delle pagine visitate. E’ trasparente ai web browser
che utilizzano questo server come loro gateway.
Scheda Proxy
Nella scheda Proxy è possibile abilitare il servizio mettendo la spunta su Abilita proxy e si può scegliere la modalità
con cui il servizio dovrà lavorare.
Abilitato Abilita il Proxy.
Modalità
Manuale Il proxy è abilitato sulla porta 3128. Tutti i client devono essere configurati per usare il proxy
Autenticato Il proxy è abilitato sulla porta 3128. Tutti i client devono essere configurati per usare il proxy, ma sono
richiesti lo username e la password prima di procedere con la navigazione. L’autenticazione è basata sugli utenti
di sistema.
Trasparente Il proxy è abilitato sulla porta 3128, ma la configurazione dei client non è richiesta. Tutto il traffico sulla
porta 80 è rediretto verso il proxy.
Trasparente SSL Il proxy è abilitato sulla porta 3128, ma la configurazione dei client non è richiesta. Tutto il traffico
sulla porta 80 e 443 è rediretto verso il proxy. Il certificato del server (CA) deve essere installato in ogni client.
Tutto il traffico SSL è decriptato all’interno del proxy e criptato di nuovo prima di essere inviato
Blocca porte HTTP e HTTPS Se abilitato, i client non potranno bypassare il proxy. Le porte 80 e 443 saranno
raggiungibili solo utilizzando il proxy.
Opzioni Avanzate
Parent proxy Inserire l’IP e la porta del parent proxy. La sintassi corretta è Indirizzo_IP:porta .
Filtro
Modalità Abilitando il Filtro Web è possibile configurarlo nella modalità “Blocca tutto” e poi permettere le categorie
selezionate, oppure “Permetti tutto” e poi bloccare le categorie selezionate.
Blocca accesso con IP ai siti web Se abilitato, non è possibile accedere ai siti web usando un IP ma solo il nome
host.
Abilita filtro con espressioni su URL Se abilitato, gli URL sono scansionati alla ricerca di parole che ricadono nelle
categorie selezionate. Ad esempio potrebbero essere bloccati gli url che contengono la parola sesso.
Lista di estensioni file bloccate Inserire le estensioni che si vogliono bloccare, separate da virgola.
Siti e IP bloccati Contiene la lista di siti sempre bloccati e la lista degli host della LAN che non possono navigare.
Siti e IP permessi Contiene la lista dei siti sempre permessi e degli host della LAN che possono bypassare il filtro
contenuti.
26
Scheda Bypass proxy trasparente
Nella scheda Bypass proxy trasparente è possibile impostare degli indirizzi IP della rete che bypassano il proxy.
Per far ciò fare click su crea nuovo ed inserire l’indirizzo IP sull’apposito campo. Fare click su salva per confermare.
Configurare alcuni IP per bypassare il proxy trasparente ed accedere ad internet senza essere proxati
Crea una nuova regola di bypass.
Indirizzo IP Indirizzo IP dell’host che non sarà filtrato dal proxy.
Scheda Antivirus
Nella scheda Antivirus è possibile abilitare o disabilitare l’antivirus ClamAV, fare click sul pulsante Salva per
confermare l’impostazione scelta.
Abilita / disabilita la scansione antivirus delle pagine web.
2.12 Firewall e gateway
NethSecurity è in grado di svolgere il ruolo di firewall e gateway all’interno della rete in cui viene installato. Tutto il
traffico fra i computer della rete locale e Internet passa attraverso il server che decide come instradare i pacchetti di
rete (routing) e quali regole applicare.
Funzioni principali:
• Configurazione di rete avanzata (bridge, bonds, alias, ecc)
• Supporto WAN multiple (fino a 15)
• Gestione regole firewall
• Gestione banda (QoS)
• Port forwarding
• Regole per routing traffico su una specifica WAN
• Intrusion Prevention System (IPS)
La modalità firewall e gateway viene attivata solo se:
• il pacchetto nethserver-firewall-base è installato
• è configurata almeno una scheda di rete con ruolo red
2.12.1 Policy
Ogni interfaccia di rete è identificata da un colore che ne indica il ruolo all’interno del sistema. Vedi network-section.
Quando un pacchetto di rete attraversa una zona del firewall, il sistema valuta una lista di regole per decidere se il
traffico debba essere bloccato o permesso. Le policy sono le regole di default che vengono applicate se il traffico di
rete passante non corrisponde a nessun criterio esistente.
Il firewall implementa due policy standard modificabili nella pagina Regole firewall -> Configura:
• Permesso: tutto il traffico dalla rete green alla red è permesso
• Bloccato: tutto il traffico dalla rete green alla red è bloccato. Il traffico permesso deve essere esplicitato con
apposite regole
2.12. Firewall e gateway
27
Le policy del firewall permettono il traffico fra zone seguendo lo schema qui sotto:
GREEN -> BLUE -> ORANGE -> RED
Il traffico è permesso da sinistra a destra, bloccato da destra a sinistra.
Per cambiare le policy di default è possibile creare delle regole tra zone nella pagina Regole firewall.
Nota: Il traffico dalla rete locale verso il server sulla porta SSH (default 22) e Server Manager (default 980) è sempre
permesso.
2.12.2 Regole
Le regole vengono applicate a tutto il traffico di rete che attraversa il firewall. Quando un pacchetto di rete transita da
una zona all’altra, il sistema cerca fra le regole configurate. Se le caratteristiche del pacchetto corrispondono a quelle
descritte in una regola, tale regola viene applicata.
Nota: L’ordine delle regole è molto importante. Il sistema applica sempre la prima regola che corrisponde al traffico
in transito.
Una regola si compone di tre parti principali:
• Azione: azione da intraprendere quando si applica la regola
• Origine traffico: indirizzo di origine del traffico, può essere una zona, una rete o un singolo host
• Destinazione traffico: indirizzo di destinazione del traffico, può essere una zona, una rete o un singolo host
• Servizio: porta e protocollo che individua un determinato tipo di traffico
Le azioni disponibili sono:
• ACCEPT: accetta il traffico
• REJECT: blocca il traffico ed informa il mittente che la richiesta effettuata non è permessa
• DROP: blocca il traffico, i pacchetti vengono scartati e il mittente non viene notificato
REJECT vs DROP
Come regola generale, si consiglia di usare REJECT quando si desidera informare l’host sorgente del traffico che la
porta a cui si sta provando ad accedere è chiusa. Solitamente le regole che rispondono alle richieste della LAN possono
usare REJECT.
Per le connessioni provenienti da Internet si consiglia di usare DROP, al fine di minimizzare la rivelazione di
informazioni ad eventuali attaccanti.
Log
Quando una regola viene applicata, è possibile registrare l’evento nel log abilitando la relativa spunta. Il log del
firewall è salvato nel file /var/log/firewall.log.
Esempi
Si riportano di seguito alcuni esempi di regole.
Bloccare tutto il traffico DNS proveniente dalla LAN e diretto verso Internet:
28
• Azione: REJECT
• Origine: green
• Destinazione: red
• Servizio: DNS (UDP porta 53)
Permettere alla rete ospiti di accedere a tutti i servizi in ascolto sul Server1:
• Azione: ACCEPT
• Origine: blue
• Destinazione: Server1
• Servizio: -
2.12.3 Multi WAN
Con il termine WAN (Wide Area Network) si indica una rete pubblica esterna al server, solitamente collegata a Internet.
I fornitori di collegamenti WAN sono detti provider.
Il sistema supporta fino ad un massimo di 15 connessioni WAN. Se sul server sono configurare due o più schede red,
è obbligatorio procedere alla configurazione dei provider dalla pagina Multi WAN.
Ogni provider configurato rappresenta una connessione WAN ed è associato ad una scheda di rete. Ciascun provider
definisce un peso: maggiore è il peso maggiore è la priorità della scheda di rete associata al provider stesso.
Il sistema può utilizzare le connessioni WAN in due modalità (pulsante Configura nella pagina Multi WAN):
• Balance: tutti i provider sono utilizzati contemporaneamente in base al loro peso
• Active backup: i provider sono utilizzati uno alla vola a partire da quello con il peso più alto. Se il provider in
uso perde la connessione, tutto il traffico verrà dirottato sul successivo provider.
Esempio
Dati due provider così configurati:
• Provider1: interfaccia di rete eth1, peso 100
• Provider2: interfaccia di rete eth0, peso 50
Se è attiva la modalità bilanciata, il server indirizzerà il doppio delle connessioni sul Provider1 rispetto al Provider2.
Se è attiva la modalità backup, il server indirizzerà tutte le connessioni sul Provider1; solo se il Provider1 diventa
inutilizzabile tutte le connessioni saranno indirizzate sul Provider2.
2.12.4 Port forward
Il firewall impedisce che richieste iniziate dall’esterno possano accedere alle reti private. Se ad esempio all’interno
della rete è presente un server web, solo i computer presenti nella rete green potranno accedere al servizio. Qualsiasi
richiesta fatta da un utente esterno alle reti locali viene bloccata.
Per permettere a qualsiasi utente esterno l’accesso al server web si utilizza il port forward. Il port forward è una regola
che consente un accesso limitato alle risorse delle LAN dall’esterno.
Quando si configura il server, è necessario scegliere le porte in ricezione o in ascolto su cui verrà redirezionato il
traffico in ingresso nella scheda red. Nel caso di un server web, le porte in ascolto sono solitamente la porta 80
(HTTP) e 443 (HTTPS).
2.12. Firewall e gateway
29
Quando si crea un port forward è necessario specificare almeno i seguenti parametri:
• la porta di origine
• la porta di destinazione, che può essere diversa dalla porta di origine
• l’indirizzo dell’host a cui deve essere instradato il traffico
Esempio
Dato il seguente scenario:
• Server interno con IP 192.168.1.10, detto Server1
• Server web in ascolto sulla porta 80 su Server1
• Server SSH in ascolto sulla porta 22 su Server1
In caso si voglia rendere accessibile dall’esterno il server web direttamente sulla porta 80, si dovrà creare un port
forward fatto così:
• porta origine: 80
• porta destinazione: 80
• indirizzo host: 192.168.1.10
Tutto il traffico che arriva sulle reti red del firewall sulla porta 80, verrà redirezionato alla porta 80 di Server1.
In caso si voglia rendere accessibile dall’esterno il server SSH sulla porta 2222, si dovrà creare un port forward fatto
così:
• porta origine: 2222
• porta destinazione: 22
• indirizzo host: 192.168.1.10
Tutto il traffico che arriva sulle reti red del firewall sulla porta 2222, verrà redirezionato alla porta 22 di Server1.
Limitare accesso
E’ possibile limitare l’accesso al port forward solo da alcuni IP o reti compilando il campo Permetti solo da.
Questa configurazione è utile in casi alcuni servizi debbano essere accessibili solo da IP/reti fidati. Esempi di alcuni
valori possibili:
• 10.2.10.4: abilita il port forward solo per il traffico proveniente dall’IP 10.2.10.4
• 10.2.10.4,10.2.10.5: abilita il port forward solo per il traffico proveniente dagli IP 10.2.10.4 e 10.2.10.5
• 10.2.10.0/24: abilita il port forward solo per il traffico proveniente dalla rete 10.2.10.0/24
• !10.2.10.4: abilita il port forward per tutti gli IP tranne 10.2.10.4
• 192.168.1.0/24!192.168.1.3,192.168.1.9: abilita il port forward per tutta la rete 192.168.1.0/24
ad eccezione degli host 192.168.1.3 e 192.168.1.9
30
2.12.5 Gestione banda
La gestione banda (traffic shaping) permette di applicare regole di priorità sul traffico che attraversa il firewall. In tal
modo è possibile ottimizzare la trasmissione, controllare la latenza e sfruttare al meglio la banda disponibile.
Per attivare il traffic shaping è necessario conoscere la quantità di banda disponibile nelle due direzioni e compilare i
campi indicando la velocità nominale del link Internet, consapevoli del fatto che in caso di congestione da parte del
provider non c’è nulla da fare per poter migliorare le prestazioni. I classici valori per una ADSL sono 256 kbit/sec per
uplink e 1280 per downlink.
La configurazione della banda può essere effettuata nella pagina Gestione banda -> Regole interfacce.
Il sistema prevede tre livelli di priorità, alta, media e bassa: di default tutto il traffico ha priorità media, ma è possibile
assegnare priorità alta o bassa a determinati servizi in base alla porta utilizzata (per esempio bassa al traffico peer to
peer).
Da evidenziare il fatto che il sistema funziona anche senza che vengano specificati servizi a priorità alta o bassa,
perché, di default, il traffico interattivo viene automaticamente gestito ad alta priorità (significa che, per esempio, non
è necessario specificare porte per il traffico VoIP o SSH). Anche al traffico di tipo PING è garantita alta priorità.
Nota: Assicurarsi di specificare una stima accurata della banda.
2.12.6 Oggetti firewall
Gli oggetti firewall sono delle rappresentazioni dei componenti della rete e sono utili per semplificare la creazione di
regole.
Esistono 4 tipi di oggetti:
• Host: rappresentano computer locali e remoti. Esempio: server_web, pc_boss
• Gruppi di host: rappresentano gruppi omogenei di computer. Esempio: servers, pc_segreteria
• Zone: rappresentano reti di host. Anche se concettualmente simili ai gruppi di host, è possibile esprimere zone
in notazione CIDR
• Servizi: rappresentano un servizio in ascolto su un host. Esempio: ssh, https
Durante la creazione delle regole, è possibile usare i record definiti in DNS e DHCP come oggetti host. Inoltre ogni
interfaccia di rete con un ruolo associato è automaticamente elencata fra le zone disponibili.
2.13 Monitor banda (ntopng)
ntopng è un potente strumento che permette di analizzare in tempo reale il traffico di rete. Consente di valutare la
banda utilizzata dai singoli host e di individuare i protocolli di rete maggiormente usati.
Abilita ntopng Abilitando ntopng, tutto il traffico passante per le interfacce di rete verrà analizzato. Può causare un
rallentamento della rete e un aumento del carico di sistema.
Porta Porta su cui raggiungere l’interfaccia web di ntopng.
Password per l’utente ‘admin’ Password dell’utente amministratore. Questa password non è legata in alcun modo
alla password di admin di NethSecurity.
2.13. Monitor banda (ntopng)
31
2.14 DNS e DHCP
Gestione alias server, nomi host e DHCP.
2.14.1 Alias server
Gli alias sono nomi alternativi per questo server. Per esempio, se il server si chiama nethserver.nethesis.it, un alias
potrebbe essere mail.nethesis.it. Il server risponderà con il proprio indirizzo IP alle richieste per il nome alias indicato.
Crea / Modifica
Consente la creazione di un nuovo alias per questo server.
Nome host Il nome host che si desidera aggiungere o modificare. Può contenere solo lettere, numeri e trattini e deve
iniziare con una lettera o un numero.
Descrizione Una descrizione opzionale utile a identificare l’alias.
2.14.2 DHCP
Il server DHCP (Dynamic Host Configuration Protocol) permette di assegnare indirizzi IP ai client della rete locale in
maniera automatica.
Configura
Configura il server DHCP.
Disabilitato Il server DHCP verrà disabilitato e i client della LAN non riceveranno l’indirizzo in maniera automatica
da questo server. Selezionare questa opzione se è presente un altro server DHCP nella rete locale.
Abilitato Il server rilascerà indirizzi IP ai computer della rete locale (opzione consigliata).
Inizio Il primo indirizzo IP del range assegnabile ai client della LAN.
Fine L’ultimo IP del range, verranno assegnati indirizzi compresi tra Inizio e Fine.
Crea / Modifica
Aggiunge una nuova assegnazione statica (reservation) al server DHCP. L’apparato con l’indirizzo MAC specificato
riceverà sempre l’indirizzo IP inserito.
Nome host Il nome host che si vuole assegnare al client della LAN insieme all’indirizzo IP.
Descrizione Una descrizione opzionale per identificare l’apparato.
Indirizzo IP L’indirizzo IP che si desidera assegnare.
Indirizzo MAC L’indirizzo MAC dell’apparato di rete (es: 11:22:33:44:55:66:77:88).
32
2.14.3 DNS
Il DNS (Domain Name System) si occupa della risoluzione dei nomi di dominio (es. www.nethesis.it) nei loro corrispettivi indirizzi numerici (es. 10.11.12.13) e viceversa. NethSecurity demanda la risoluzione dei nomi ai server
DNS configurati, ma permette di specificare indirizzi arbitrari per nomi selezionati. Per esempio, è possibile configurare il sistema per rispondere alle richieste per l’IP del sito facebook.com con 0.0.0.0, ottenendo l’effetto di rendere
irraggiungibile il sito facebook.com.
Configura
Fare clic su Configura per immettere gli indirizzi dei server DNS che NethSecurity contatterà per la risoluzione dei
nomi.
DNS primario L’indirizzo del server principale da contattare per la risoluzione nomi (obbligatorio).
DNS secondario L’indirizzo del server secondario da contattare nel caso in cui il primario non risponda (opzionale).
Crea / Modifica
Fare clic su Crea per assegnare un nome host ad un indirizzo IP. Il server ritornerà l’IP configurato per le richieste del
relativo nome host.
Nome host Il nome di dominio, per esempio www.nethesis.it. E’ possibile creare nomi per il dominio locale, utile
per dare un nome mnemonico ad apparati configurati con IP statico oppure per qualsiasi dominio, che avranno
la precedenza sui server DNS del provider (vedere esempio di facebook.com sopra).
Indirizzo IP L’IP del nome host.
Descrizione Una descrizione opzionale per commentare il nome host (esempio: “blocco facebook” oppure “server
video”).
2.15 VPN
Configurazioni VPN possibili:
1. Collegamento di un terminale remoto alla rete interna (roadwarrior), basato su OpenVPN o L2TP/IPsec.
2. Collegamento di due reti remote (net2net), basato su OpenVPN.
2.15.1 Account
La scheda Account consente la gestione degli utenti da utilizzare per il collegamento VPN a questo server. Gli utenti
possono essere di sistema o dedicati esclusivamente alla VPN.
Crea nuovo
Permette la creazione di un nuovo utente. Per ogni utente il sistema creerà un certificato x509.
Solo VPN Il Nome sarà utilizzato per l’accesso VPN. Può contenere solo lettere minuscole, numeri, trattini, punti e
underscore (_) e deve iniziare con una lettera minuscola. Per esempio “luisa”, “mrossi” e “liu-jo” sono nomi
utente validi, mentre “4amici”, “Franco Neri” e “aldo/sbaglio” non lo sono.
Utente di sistema Abilita l’accesso VPN ad un utente già presente nel sistema selezionandolo dal menu a tendina.
2.15. VPN
33
Rete remota Inserire questi dati solo quando si vuole creare una VPN net2net. Questi campi sono utilizzati dal server
locale per creare correttamente le rotte verso le rete remota.
• Indirizzo di rete: indirizzo di rete della rete remota. Es: 10.0.0.0
• Maschera di rete: maschera di rete della rete remota. Es: 255.255.255.0
2.15.2 Client
I client VPN consentono di collegare il server ad un altro server VPN in modo da creare collegamenti net2net. Al
momento sono supportate solo reti net2net di tipo OpenVPN.
Nome Identifica univocamente la VPN
Host remoto Nome host o indirizzo IP del server VPN remoto
Porta remota Porta UDP su cui il server remoto è in ascolto. Solitamente 1194.
Abilita compressione LZO La compressione dei dati LZO deve essere impostata allo stesso modo sia sul client che
sul server.
Modalità Scegliere la stessa modalità configurata sul server.
• Routed: gli host in VPN sono posizionati su una rete separata dalla rete LAN del server remoto
• Bridged: gli host in VPN sono posizionati sulla rete LAN del server remoto
Autenticazione Scegliere la stessa modalità configurata sul server.
• Certificato: incollare nell’apposito spazio il contenuto del certificato del client e della CA (Certification
Authority)
• Utente e password: inserire nome utente e password
• Utente, password e certificato: inserire nome utente e password ed incollare il contenuto del certificato del
client e della CA (Certification Authority)
• Chiave condivisa: incollare nell’apposito spazio il contenuto della chiave condivisa (sconsigliato perchè
poco sicuro)
2.15.3 OpenVPN
Configura il server OpenVPN sia per i collegamenti roadwarrior sia net2net.
Quando si crea una rete net2net, è necessario eleggere uno dei due server come master. Il master dovrà avere il server
roadwarrior abilitato. Il server slave dovrà invece configurare un client nell’apposita sezione Client, avendo cura di
inserire i dati della rete remota.
Abilita server roadwarrior Consente di abilitare il server OpenVPN in modalità roadwarrior. Tale modalità prevede
l’esecuzione di un server in ascolto sulla porta 1194 UDP. E’ possibile connettere più client VPN.
Modalità autenticazione Permette di scegliere la modalità di autenticazione desiderata.
differenti metodi di autenticazione:
Sono disponibili tre
• Utente e password: selezionare quando si desidera usare un utente di sistema
• Certificato: selezionare quando si desiderare creare una VPN net2net
• Utente, password e certificato: selezionare quando si desidera il massimo della sicurezza. L’utente deve
essere un utente di sistema
34
Modalità routed Selezionare quando si desidera trasportare solo traffico IP. La rete della VPN è diversa da quella
della LAN. (Modalità consigliata).
Il server OpenVPN risponderà alle richieste DHCP provenienti dagli host remoti fornendo un indirizzo dalla
rete configurata qui sotto:
• Rete: rete riservata per gli host in VPN. Es: 10.1.1.0
• Netmask: maschera di rete per gli host in VPN. Es: 255.255.255.0
Modalità bridged Selezionare quando si desidera trasportare anche traffico non IP (es. NetBIOS). In questa modalità
gli host remoti avranno un indirizzo IP della LAN.
Il server OpenVPN risponderà alle richieste DHCP provenienti dagli host remoti fornendo un indirizzo IP della
LAN. Se nella rete è presente un server DHCP, o se NethSecurity è il server DHCP stesso, stabilire un intervallo
di IP al di fuori di quello configurato per il DHCP. Inoltre assicurasi che gli IP nell’intervallo selezionato non
siano associati staticamente a nessun host della rete aziendale.
• Inizio range IP: primo indirizzo IP del range
• Fine range IP: ultimo indirizzo IP del range
Dirotta traffico dei client attraverso la VPN Disponibile solo in modalità routed. Tutti i client collegati useranno
questo server come default gateway.
Consenti traffico fra client Disponibile solo in modalità routed. I client collegati potranno scambiarsi traffico di rete,
ad esempio file con FTP.
Abilita compressione LZO Abilita la compressione LZO dei dati. E’ necessario che la direttiva sia presente sia sul
client che sul server. (Consigliato)
2.15.4 L2TP/IPsec
Questo tipo di VPN è disponibile di default su tutti i terminali Android, iOS e sui sistemi Windows e consente l’accesso
sicuro del terminale da Internet alla rete privata aziendale.
Abilita L2TP Attivando L2TP è necessario impostare il ruolo “Controller di dominio” (PDC) nel modulo “Rete
Windows”, altrimenti l’autenticazione dei client fallirà.
Autenticazione IPsec Indica il tipo di autenticazione utilizzata dai client. Se non è possibile importare un certificato
nel client, si consiglia l’uso di PSK anche se meno sicura.
• RSA: autenticazione basata sui certificati (si veda la sezione Account)
• PSK (Pre-Shared Key): autenticazione basata su una chiave condivisa fra client e server. Si consiglia di
scegliere la chiave con gli stessi criteri di sicurezza usati per le password.
Indirizzi di rete Rete degli host remoti. Es: 192.168.78.0
Maschera di rete Maschera di rete degli host remoti. Es: 255.255.255.0
2.15. VPN
35
36
CAPITOLO 3
Appendice
3.1 License
This documentation is distributed under the terms of Creative Commons - Attribution-NonCommercial-ShareAlike
4.0 International (CC BY-NC-SA 4.0) license.
You are free to:
• Share — copy and redistribute the material in any medium or format
• Adapt — remix, transform, and build upon the material
The licensor cannot revoke these freedoms as long as you follow the license terms.
Under the following terms:
• Attribution — You must give appropriate credit, provide a link to the license, and indicate if changes were
made. You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or
your use.
• NonCommercial — You may not use the material for commercial purposes.
• ShareAlike — If you remix, transform, or build upon the material, you must distribute your contributions under
the same license as the original.
No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from
doing anything the license permits.
This is a human-readable summary of (and not a substitute for) the full license available at:
http://creativecommons.org/licenses/by-nc-sa/4.0/
Architecture documentation is from SME Server project and is licensed under GNU Free Documentation License 1.3
(http://www.gnu.org/copyleft/fdl.html). See http://wiki.contribs.org/ for original documentation.
37
38
Capitolo 3. Appendice
CAPITOLO 4
Indici
• genindex
• search
39

Documentazione NethSecurity

Transcript

Documenti analoghi

MAC Mail.pub

Come ricevere una nuova password

Scarica la nostra brochure

Parametri Configurazione Casella di Posta dell`Ordine

Parametri per Configurazione Navigazione Internet

Procedura modifica Password

CAMBIO PASSWORD DELLA PROPRIA CASELLA DI POSTA

Istruzioni per accesso alla casella PEC