Il sistema integrato in IPFire per il monitoraggio del traffico di rete in tempo reale fornisce funzionalità di base utili per una prima analisi delle connessioni attive. Tuttavia, in alcuni scenari operativi, tali strumenti possono risultare limitati in termini di capacità di filtraggio, dettaglio delle informazioni e flessibilità di consultazione dei dati.

Per colmare queste limitazioni, la comunità di utenti e sviluppatori ha realizzato un componente aggiuntivo non ufficiale che introduce funzionalità avanzate per l’analisi e il monitoraggio del traffico di rete e dei log del firewall.
Attualmente il componente non è ancora integrato ufficialmente nel repository principale del progetto, ma viene distribuito tramite la comunità con l’auspicio che possa essere integrato in futuro tra i moduli ufficiali.

Il pacchetto di installazione è disponibile al seguente indirizzo:

https://www.forum.ipfireitalia.it/index.php?topic=114.0

Procedura di installazione

Una volta scaricato il pacchetto, è necessario eseguire la seguente procedura direttamente sul sistema IPFire:

1. Scaricare il file del pacchetto sul sistema IPFire.
2. Estrarre il contenuto dell’archivio compresso.
3. Copiare la directory risultante nel seguente percorso di sistema:

4. Accedere alla directory del pacchetto appena copiata ed eseguire lo script di installazione:

Al termine della procedura verrà aggiunta una nuova sezione all’interno dell’interfaccia web di amministrazione di IPFire.

Funzionalità del componente

Una volta installato, il modulo introduce diverse sezioni dedicate al monitoraggio e all’analisi delle attività di rete.

Sezione Connections

La sezione Connections permette la visualizzazione delle connessioni di rete attive in modo simile alla funzione già presente di default in IPFire, ma con funzionalità di filtraggio e consultazione più avanzate.

L’interfaccia consente di:

• filtrare le connessioni per tipologia di rete (ad esempio LAN, WAN, DMZ o altre zone configurate);
• effettuare ricerche specifiche utilizzando:
  • indirizzi IP
  • numeri di porta
• abilitare o disabilitare il refresh automatico della pagina;
• impostare un intervallo di aggiornamento automatico variabile tra 2 e 60 secondi;
• ordinare i risultati cliccando sull’intestazione delle colonne (ad esempio IP sorgente, IP destinazione, porta o stato della connessione).

Queste funzionalità consentono un’analisi più rapida e precisa delle connessioni attive e delle comunicazioni di rete in corso.

Sezione Firewall

La sezione Firewall è suddivisa in due aree principali.

Riepilogo eventi firewall

La parte superiore della pagina mostra un riepilogo degli eventi presenti nei log del firewall.
Per ogni voce vengono visualizzate informazioni quali:

• indirizzo IP associato all’evento
• stato o tipologia dell’azione registrata
• conteggio totale degli eventi registrati per quell’indirizzo

Attraverso l’opzione Details è possibile visualizzare nel dettaglio tutte le voci di log associate all’indirizzo IP selezionato.

Se invece si seleziona direttamente l’indirizzo IP, si accede ad una pagina informativa contenente ulteriori dettagli relativi all’host.

Analisi dettagliata del traffico

La seconda area della sezione Firewall consente una consultazione più approfondita dei log del traffico di rete.

È disponibile un motore di ricerca avanzato che permette di filtrare i log utilizzando diversi parametri, tra cui:

• indirizzo IP
• porta di comunicazione
• protocollo di rete
• interfaccia di rete
• azione del firewall (ad esempio ACCEPT, DROP, REJECT)

Questo sistema consente una rapida individuazione di eventi specifici all’interno di grandi quantità di dati di log.

Sezione Hardware

L’ultima sezione introdotta dal componente riguarda la visualizzazione delle informazioni hardware del sistema.

All’interno di questa pagina è possibile consultare varie informazioni relative alle componenti del sistema, tra cui:

• dispositivi hardware rilevati
• stato delle interfacce
• informazioni di sistema

Anche in questa sezione è disponibile una funzione di ricerca e filtraggio, che permette di individuare rapidamente specifiche informazioni hardware. Selezionando una voce è possibile accedere ai relativi dettagli tecnici.

Avvertenze

È importante ricordare che il componente descritto è non ufficiale e sviluppato dalla comunità.

Pertanto:

• non è supportato ufficialmente dal progetto IPFire;
• potrebbe contenere bug o comportamenti non previsti;
• l’installazione e l’utilizzo avvengono sotto la responsabilità dell’amministratore di sistema.

Si raccomanda quindi di testare il componente in ambienti controllati prima dell’utilizzo in sistemi di produzione.

 

Descrizione del componente

Il componente in oggetto permette di implementare un sistema di file transfer sicuro direttamente sul firewall.
La soluzione prevede l’utilizzo di un disco aggiuntivo collegato al sistema IPFire, destinato esclusivamente allo storage dei file condivisi.

Il sistema consente agli utenti autorizzati di caricare e scaricare file tramite protocollo sicuro SFTP (SSH File Transfer Protocol). L’utilizzo di questo protocollo garantisce:

• cifratura del traffico dati
• autenticazione degli utenti
• maggiore sicurezza rispetto ai protocolli di trasferimento tradizionali

Per permettere l’accesso dall’esterno, è necessario esporre su Internet la porta del servizio SFTP sul firewall, adottando comunque le opportune misure di sicurezza (limitazioni IP, autenticazione robusta, monitoraggio accessi).

Interfaccia di gestione

Il componente include una interfaccia web di amministrazione, che consente di gestire in modo centralizzato:

• la creazione e la gestione degli utenti
• la definizione delle società o gruppi di appartenenza
• l’assegnazione delle directory di accesso
• il monitoraggio delle attività di trasferimento file

Questa interfaccia semplifica le operazioni di configurazione e manutenzione, rendendo il sistema utilizzabile anche senza interventi diretti sulla linea di comando.

Download del componente

Il componente è disponibile per il download al seguente indirizzo:

https://www.forum.ipfireitalia.it/index.php?topic=112.0

Procedura di installazione

Una volta scaricato il pacchetto, è necessario procedere con i seguenti passaggi:

1. Scaricare il file sul sistema IPFire
2. Scompattare l’archivio
3. Copiare la directory risultante nel percorso:

/opt/pakfire/tmp

4. Accedere alla directory del pacchetto ed eseguire lo script di installazione:

./install.sh

Attivazione del servizio

Al termine dell’installazione, il sistema risulterà già operativo a livello di servizio.

A questo punto sarà necessario procedere con la fase di configurazione, che comprende:

• definizione delle società o gruppi
• creazione degli utenti
• configurazione delle directory di storage
• verifica delle impostazioni di accesso SFTP
• eventuale configurazione delle regole firewall per l’accesso dall’esterno

Considerazioni operative

L’adozione di questo componente può rappresentare una soluzione efficace per:

• centralizzare lo scambio di file con partner o clienti
• evitare l’utilizzo di servizi di file sharing esterni
• mantenere il controllo dei dati all’interno dell’infrastruttura aziendale
• garantire un livello adeguato di sicurezza grazie all’utilizzo del protocollo SFTP

È comunque consigliabile prevedere:

• politiche di backup del disco dedicato
• monitoraggio degli accessi
• aggiornamento periodico del componente e del sistema IPFire

Configurazione e utilizzo del componente SSH Folder

Una volta completata l’installazione del componente, accedendo all’interfaccia web di amministrazione di IPFire compare una nuova voce di configurazione nel menu principale denominata SSH Folder.

Questa sezione permette di gestire un sistema di condivisione file basato su accesso SSH/SFTP, pensato per facilitare lo scambio sicuro di file tra diversi utenti o aziende, mantenendo una struttura organizzata e controllata.

La pagina di configurazione è suddivisa in tre sezioni principali, ciascuna dedicata ad uno specifico ambito di gestione.

1. Configurazione del servizio e directory condivisa

La prima sezione consente di:

• Abilitare o disabilitare il servizio
• Definire la directory principale condivisa, che fungerà da repository centrale per tutte le aziende configurate nel sistema

All’interno della stessa sezione è inoltre possibile definire gli utenti globali del sistema.

Sono previsti due ruoli principali:

• Amministratore
  • Ha accesso ad una interfaccia web dedicata per la gestione completa del sistema.
  • Può monitorare le configurazioni, gestire aziende e utenti, e controllare la struttura delle directory.
• Supervisore
  • Non dispone dell’interfaccia web di amministrazione.
  • Può accedere esclusivamente alla directory condivisa tramite protocollo SSH/SFTP per operazioni di caricamento e scaricamento file.

Questa distinzione consente di separare le funzioni di gestione amministrativa dalle attività operative di accesso ai file.

2. Gestione delle aziende

La seconda sezione è dedicata alla creazione e gestione delle aziende.

Ogni azienda configurata nel sistema genera automaticamente una directory dedicata all’interno della struttura condivisa.
Questa directory rappresenta lo spazio di lavoro in cui gli utenti associati all’azienda potranno:

• caricare file
• scaricare documenti
• gestire materiali condivisi

Questo modello consente di mantenere una separazione logica tra le diverse organizzazioni, evitando accessi non autorizzati tra ambienti differenti.

3. Gestione degli utenti aziendali

La terza sezione consente di configurare gli utenti associati a ciascuna azienda.

Per ogni utente è possibile definire specifici permessi di accesso, tra cui:

• Lettura e scrittura – l’utente può caricare, modificare e scaricare file
• Sola lettura – l’utente può esclusivamente visualizzare e scaricare i file disponibili

Questa gestione granulare dei permessi permette di adattare il sistema a diversi scenari operativi, come ad esempio:

• condivisione documentale con clienti
• distribuzione di materiali tecnici
• raccolta di file da parte di fornitori

Nella parte inferiore della pagina sono inoltre riportate le informazioni necessarie per l’accesso tramite SSH/SFTP, utili per configurare i client di connessione.

Interfaccia amministrativa globale

Per completare la panoramica, è disponibile anche una pagina di amministrazione globale, accessibile tramite il seguente indirizzo:

https://<IP>:444/sshfolders/

Questa interfaccia ripropone gran parte delle informazioni già disponibili nella console di configurazione di IPFire, offrendo però una vista più orientata alla gestione operativa del sistema.

All’interno del pacchetto sono inoltre inclusi alcuni client SSH, messi a disposizione per facilitare la connessione da parte delle aziende che devono accedere al servizio.

Questo approccio può risultare utile soprattutto in contesti in cui gli utenti finali non dispongono già di strumenti adeguati per l’accesso tramite protocollo SSH/SFTP.

Considerazioni di sicurezza e architettura

Il componente risulta particolarmente interessante per la realizzazione di un sistema di file exchange centralizzato tra più aziende. Tuttavia è opportuno considerare alcuni aspetti legati alla sicurezza.

Per consentire l’accesso da parte di organizzazioni esterne, infatti, sarebbe necessario esporre su Internet la porta SSH del sistema. Questa configurazione può comportare alcuni rischi, tra cui:

• tentativi di accesso non autorizzati
• attacchi di tipo brute force
• aumento della superficie di esposizione del firewall

Per ridurre tali rischi, una soluzione più sicura potrebbe essere quella di limitare l’accesso al servizio tramite VPN.

In questo scenario:

• gli utenti si collegano prima alla rete aziendale tramite VPN
• una volta autenticati possono accedere al servizio SSH Folder come se fossero nella rete interna

Questo approccio permette di migliorare significativamente il livello di sicurezza, mantenendo allo stesso tempo la semplicità operativa del sistema.

Un grazie all'utente che ha realizato questo componente Roberto Peña