Configurazione di filtering su Digital Unix

Il sistema operativo Digital Unix 4.0 consente alcune configurazioni particolari sulle interfacce di rete.

In questo documento vengono riportati gli elementi per la configurazione in filtering dell'interfaccia di rete. Con tale configurazione e' possibile controllare in modo molto selettivo gli accessi al sistema.

Analoghi livelli di protezione (in realta' molto maggiori) possono essere ottenuti con firewall e TCP wrapper, strumenti la cui descrizione e' al di fuori degli obiettivi di questo breve documento.

 

Abilitazione del filtering

La gestione delle interfacce di rete si esegue con il normale comando Unix /usr/sbin/ifconfig.

Sui sistemi Digital il comando ifconfig accetta l'opzione filter. Quando e' utilizzata tale opzione vengono controllati tutti i pacchetti IP in arrivo e filtrati a secondo del file di configurazione /etc/ifaccess.conf.

Configurazione dei filtri

La configurazione dei filtri sull'interfaccia di rete viene effettuata nel file ifaccess.conf.

Su tale file vengono definite le azioni da eseguire all'arrivo di ogni pacchetto. Le azioni possono essere: permit, deny e denylog. All'arrivo di un pacchetto IP le regole vengono lette in sequenza e viene applicata la prima che soddisfa il pacchetto. Se nessuna regola si applica al pacchetto il pacchetto viene accettato.

Il file ifaccess.conf e' un normale file ASCII che contiene una regola per ogni riga. Ogni riga riporta: interface address mask action.

Ad esempio: 

# Sample ifaccess.conf file
# Last update: 17 May 1998
ln0 194.243.246.0 255.255.255.0 permit
ln0 130.192.3.21 255.255.255.255 permit
ln0 10.0.0.0 255.0.0.0 denylog
ln0 0.0.0.0 0.0.0.0 deny

Con tale configurazione si accettano pacchetti dalla rete 194.243.246.0 e dall'host 130.192.3.21. I pacchetti dalla rete 10.0.0.0 sono bloccati e riportati sul log di sistema. Tutti gli altri pacchetti sono bloccati.

 

Politiche antispoofing

La configurazione dei filtri consente l'indicazione degli indirizzi/reti di provenienza e delle interfacce presenti sul sistema. E' cosi' possibile definire politiche particolari in cui i pacchetti da un determinato host provengono solo da una specifica rete "trusted". Naturalmente tale politica puo' essere implementata solo su sistemi multi-homed distinguendo il trattamento dei pacchetti sulle diverse interfacce di rete.

Testo: Configurazione di filtering su Digital Unix
Data: 21 Giugno 1998
Versione: 1.0.1
Autore: mail@meo.bogliolo.name