Supporto volontario e collaborativo per IPFire!® in italiano
 Sostieni IPFire Italia

 Merchandising di IPFire Italia

Ecommerce icon Graphics 4123404 1

News

Oggi voglio parlarvi di un nuovo componente che è stato sviluppato da alcuni utenti della comunità internazionale, a cui va il nostro ringraziamento.

IPFire Italia ha comunque collaborato e contribuito a tale componente con alcuni test e con le traduzioni in italiano.

Passando al componente in questione: RPZ - Response Policy Zones. RPZ è un meccanismo che rende possibile definire le politiche locali in modo standardizzato e caricare politiche da fonti esterne. La funzionalità di base del blocco DNS RPZ è simile a piHole ma senza la bella grafica.

Funzionalità di RPZ

I domini bloccati da RPZ non vengono droppati o rifiutati come quando si utilizza una regola firewall. RPZ blocca solo la ricerca del nome di dominio. Se un utente decide di inserire un indirizzo IP per accedere al proprio sito preferito, RPZ non impedirà che ciò accada. Attualmente, non è tra i componenti presenti nei Pakfire, per cui è necessario installarlo manualmente.

Anche se l'operazione non è difficile, è necessario farlo accedendo dalla console del sistema.

Procedura di Installazione

Una volta scaricato il pacchetto rpz-beta-0.1.10-10.ipfire.zip (attuale versione disponibile), è necessario decomprimere il file. All'interno troveremo rpz-n-n-1.ipfire. Questo file va copiato nella directory /opt/pakfire/tmp/. I comandi da eseguire in sequenza sono i seguenti:

# Vai a questa directory:
cd /opt/pakfire/tmp/
# Decomprimi il file:
tar xvf rpz-n-n.ipfire
# Controlla che ci siano file:
ls -l /opt/pakfire/tmp/
# Copia questo file in una nuova posizione:
cp -v ROOTFILES /opt/pakfire/db/rootfiles/rpz
# Per aggiornare da una versione precedente:
NAME=rpz ./update.sh
# Per una nuova installazione:
NAME=rpz ./install.sh

Configurazione del Servizio

Una volta installato, troveremo una nuova pagina web per la configurazione sotto il menu IPFire.

Screenshot 2024 10 18 075217

La configurazione del servizio è molto semplice: la pagina di configurazione è divisa in due parti. La parte superiore indica dove scaricare le liste dei siti da bloccare.

Screenshot 2024 10 18 075422

La parte inferiore serve per indicare le proprie whitelist e/o blacklist. Una volta terminata la configurazione, è sufficiente salvare e applicare le modifiche.

Screenshot 2024 10 18 075444

Liste da Utilizzare

Per le liste da inserire nella zonefile, su internet sono presenti innumerevoli elenchi divisi per tipologia, sia gratuiti che a pagamento. Per chi non avesse conoscenza su dove reperirli, indichiamo una lista regolarmente aggiornata: NRD List su GitHub. Chiunque avesse elenchi regolarmente aggiornati ed affidabili e vuole condividere questa informazione con la comunità, è ben accetto.

Liste RPZ

https://github.com/hagezi/dns-blocklists

 

 

 

 
DNS, rpz, piHole

IPS 2Preparati per una nuova versione di IPFire: Versione 2.29 - Core Update 189. Questo aggiornamento viene fornito con una correzione di sicurezza e un nuovo grafico per il Sistema di Prevenzione delle Intrusioni (IPS), oltre a numerosi aggiornamenti dei pacchetti. È uno degli aggiornamenti più grandi che abbiamo mai distribuito perché porta una vasta gamma di file firmware nuovi e aggiornati per molti tipi di hardware.

Sistema di Prevenzione delle Intrusioni (IPS)

In caso di arresto anomalo del processo IPS, il firewall avrebbe potuto aprirsi ed esporsi a Internet. Nel mondo reale, non abbiamo individuato nessun malintenzionato che bloccava intenzionalmente Suricata, ma su sistemi con poca memoria, il processo potrebbe essere interrotto per rendere disponibile memoria (#13764). Questo rappresenta un rischio per la sicurezza e quindi consigliamo di installare questo aggiornamento il prima possibile, soprattutto per gli utenti IPS.

Per mitigare questo problema, abbiamo apportato vari miglioramenti alla gestione dell'IPS sotto il cofano. Ora è attivo un processo di sorveglianza quando l'IPS è in esecuzione per riavviarlo nel caso in cui l'IPS si blocchi inaspettatamente. Questa modifica è stata l'occasione per rifare i grafici nella pagina IPS che ora mostrano il throughput IPS in tre diverse categorie:

  • Larghezza di banda
  • Larghezza di banda scansionata in entrata e in uscita
  • Traffico inserito nella whitelist e traffico bypassato

Varie

  • Aggiornamento del firmware: Il firmware Linux è stato aggiornato alla versione 20240811 che include aggiornamenti per vari firmware di interfacce wireless ed Ethernet, controller RAID e altri tipi di hardware. Questo spinge la dimensione del download di questo aggiornamento leggermente oltre i 100 MiB.
  • Risoluzione problemi grafici: È stato risolto il problema per cui i grafici in tempo reale non si aggiornavano più da soli.
  • Aggiornamenti pacchetti: automake 1.17, bind 9.20.1, cURL 8.10.0, dhcpcd 10.0.10, dtc 1.7.1, expat 2.6.3, gdbm 1.24, GCC 14.2.0, GnuTLS 3.8.7, glibc 2.40, iana-etc 20240813, lua 5.4.7, mcelog 200, meson 1.5.1, OpenSSL 3.3.2, OpenVPN 2.5.10, p11-kit 0.25.5, python3-msgpack 1.0.8, ruby 3.3.4, sudo 1.9.16, sysvinit 3.10, taglib 2.0.2, xfsprogs 6.9.0.

Futuro: Integrazione di WireGuard

Permettici di riportare un’informazione molto importante: stiamo lavorando per integrare WireGuard all'interno di IPFire. Per questo progetto stiamo cercando finanziatori; anche pochi euro faranno la differenza. In cambio otterrete tutto il nostro impegno e lavoro per rendere la vostra rete un posto sicuro se posizionata dietro IPFire. Chi vuole contribuire può farlo direttamente dal sito della comunità internazionale.

Per maggiori dettagli potete visitare il sito ufficiale al seguente link.

Per poter scaricare l'aggiornamento a questo link

Per chi fosse interessato ad avere la certificazione IPFire lo può fare contattando lo staff di IPFire Italia, dovrà sostenere un esame che si terra online e la certificazione verrà rilasciata da IPFire Italia  Certificazione IPFire

Se vuoi far parte della squadra non esitare a contattarci tramite il modulo predisposto e inserendo un recapito telefonico contatti

 
 
Upgrade, IPS, Kernel, wireguard

ipsIPFire 2.29 - Core Update 189 è ora disponibile  e porta con sé una serie di miglioramenti significativi, tra cui una correzione di sicurezza cruciale e un nuovo grafico per il Sistema di Prevenzione delle Intrusioni (IPS). Questo aggiornamento è uno dei più grandi mai distribuiti, grazie all’inclusione di numerosi file firmware nuovi e aggiornati per vari hardware.

Miglioramenti al Sistema di Prevenzione delle Intrusioni (IPS)

Uno dei punti salienti di questo aggiornamento riguarda il miglioramento della gestione dell’IPS. In caso di arresto anomalo del processo IPS, c’era il rischio che il firewall si aprisse, esponendo i servizi in esecuzione a Internet. Sebbene non siano stati osservati attacchi intenzionali che sfruttassero questa vulnerabilità, su sistemi con poca memoria il processo potrebbe essere interrotto per liberare risorse, rappresentando un rischio per la sicurezza.

Per mitigare questo problema, sono stati implementati vari miglioramenti. Ora, un processo di sorveglianza monitora l’IPS e lo riavvia automaticamente in caso di blocco inaspettato. Inoltre, il traffico inserito nella whitelist non verrà più inviato all’IPS, ma sarà immediatamente escluso tramite le regole di iptables.

È ora possibile filtrare anche il traffico IPsec, che in precedenza era escluso a meno che non passasse attraverso altre interfacce scansionate.

Nuovo Grafico per il Throughput IPS

Un’altra novità è l’introduzione di un grafico nella pagina IPS che mostra il throughput in tre diverse categorie: larghezza di banda scansionata in entrata e in uscita, traffico inserito nella whitelist e traffico bypassato. Questo permette agli utenti di avere una visione chiara e dettagliata delle prestazioni dell’IPS.

Aggiornamenti Vari

Oltre ai miglioramenti all’IPS, l’aggiornamento include un gran numero di aggiornamenti dei pacchetti, rendendo questo uno degli aggiornamenti più completi e significativi rilasciati finora.

In conclusione, IPFire 2.29 - Core Update 189 rappresenta un passo avanti significativo nella sicurezza e nella gestione del firewall, offrendo agli utenti strumenti migliori per proteggere i loro sistemi e migliorare le prestazioni complessive.

Per maggiori dettagli potete visitare il sito ufficiale al seguente link.

Per poter scaricare l'aggiornamento a questo link

Per chi fosse interessato ad avere la certificazione IPFire lo può fare contattando lo staff di IPFire Italia, dovrà sostenere un esame che si terra online e la certificazione verrà rilasciata da IPFire Italia  Certificazione IPFire

Se vuoi far parte della squadra non esitare a contattarci tramite il modulo predisposto e inserendo un recapito telefonico contatti

 
 
Upgrade, IPS

Cake IPOggi abbiamo un enorme aggiornamento per il nostro firewall. Questo aggiornamento include un gran numero di modifiche importanti per ogni utente che utilizza IPFire. Abbiamo lavorato per migliorare i pacchetti, aggiornare il kernel, migliorare la gestione dei lease DHCP, ottimizzare il sistema di build e introdurre una nuova versione di OpenSSL, oltre a correzioni per le ultime vulnerabilità della CPU Intel.

Riduzione dell’utilizzo della CPU per la qualità del servizio

IPFire, dalla versione Core 163, utilizza il servizio CAKE, poiché tutto è migliore con CAKE. E questa è un’affermazione vera, confermata da varie analisi. Tuttavia, abbiamo scoperto che CAKE ha un consumo di CPU molto più elevato e potrebbe diventare un collo di bottiglia sui dispositivi con un processore debole ma con interfacce di rete performanti. Pertanto, stiamo modificando IPFire per utilizzare fq_codel per impostazione predefinita.

Un nuovo modo per ottenere i lease DHCP nel DNS

Quando IPFire assegna un indirizzo IP a un dispositivo sulla rete locale, sarebbe utile se quel dispositivo potesse essere raggiunto anche tramite il suo nome e non solo tramite un indirizzo IP casuale. Questo processo veniva eseguito da un bridge che analizzava tutti i lease e li sincronizzava con Unbound, il proxy DNS. Questo programma è stato ora riscritto per ascoltare gli eventi dal server DHCP, in modo da essere più flessibile e scalare meglio.

Varie

  • OpenSSL è stato aggiornato alla versione 3.3.0. Questo è l’ultimo ramo principale.
  • Il microcodice Intel è stato aggiornato per risolvere una serie di vulnerabilità di sicurezza nelle CPU:
  • Sistema di prevenzione delle intrusioni (IPS)
    • È stato corretto un bug per cui l'IPS non si avviava quando l'interfaccia RED è un modem 5G/4G che utilizza QMI
    • Le dettagliate regole Suricata integrate non sono più abilitate per impostazione predefinita, il che creerà meno rumore nei registri
  • Questa versione include un nuovo kernel basato su Linux 6.6.47 che è una versione che include molti bug, correzioni di stabilità e sicurezza

Per maggiori dettagli potete visitare il sito ufficiale al seguente link.

Per poter scaricare l'aggiornamento a questo link

Per chi fosse interessato ad avere la certificazione IPFire lo può fare contattando lo staff di IPFire Italia, dovrà sostenere un esame che si terra online e la certificazione verrà rilasciata da IPFire Italia  Certificazione IPFire

Se vuoi far parte della squadra non esitare a contattarci tramite il modulo predisposto e inserendo un recapito telefonico contatti

 
 
OpenSSL, Upgrade, DNS, IPS, DHCP, CAKE, fq_codel

TCP SYN

In piena estate non poteva mancare l’aggiornamento di IPFire. Con questo aggiornamento, abbiamo aumentato la protezione contro gli attacchi Denial-of-Service e utilizzato le istruzioni SIMD per il sistema di prevenzione delle intrusioni su ARM, migliorando così l’efficienza e la velocità di rilevamento delle minacce.

Inoltre, viene fornito con una serie di correzioni di sicurezza in OpenSSH, Suricata e Apache2, oltre al consueto pacchetto di correzioni di bug e aggiornamenti software, garantendo una maggiore stabilità e sicurezza del sistema.

Protezione avanzata (distribuita) contro la negazione del servizio

Poiché IPFire è comunemente utilizzato nei data center, dove si verificano regolarmente attacchi di tipo Denial of Service, ora abbiamo aggiunto una migliore protezione contro questo tipo di attacchi. Precedentemente, il sistema si proteggeva piuttosto bene dagli attacchi (D)DoS, ma questo era limitato solo se le connessioni TCP terminavano sul firewall stesso, come nel caso dei proxy inversi, ecc.

Ora, IPFire può utilizzare i cookie TCP SYN per proteggere meglio l’infrastruttura sottostante dagli attacchi SYN Flood. Ciò è particolarmente utile in scenari con larghezza di banda elevata e distribuzioni cloud e può essere attivato con una sola casella di controllo separata per ciascuna regola firewall.

Leggi una spiegazione approfondita su come funziona sul blog di IPFire.

Varie

  • La funzione IP Blocklist supporta ora altri due elenchi: 3CORESec e Abuse.ch Botnet C2, ampliando così la capacità di bloccare indirizzi IP malevoli.
  • Poiché la libreria Hyperscan di Intel non è più disponibile come software gratuito, siamo passati a Videoscan, che è un fork dell’Hyperscan originale. Oltre a supportare l’architettura x86_64, Videoscan supporta anche ARM64, il che dovrebbe apportare miglioramenti alle prestazioni del sistema di prevenzione delle intrusioni.
  • Il firewall ora creerà più regole se configurato nella modalità più restrittiva per consentire il flusso del traffico IPsec per qualsiasi connessione locale, migliorando così la sicurezza delle comunicazioni.
  • Non è possibile creare connessioni IPsec utilizzando un FQDN come ID locale/remoto invece del consueto indirizzo IP, garantendo una maggiore flessibilità nella configurazione delle VPN.

Per maggiori dettagli potete visitare il sito ufficiale al seguente link.

Per poter scaricare l'aggiornamento a questo link

Per chi fosse interessato ad avere la certificazione IPFire lo può fare contattando lo staff di IPFire Italia, dovrà sostenere un esame che si terra online e la certificazione verrà rilasciata da IPFire Italia  Certificazione IPFire

Se vuoi far parte della squadra non esitare a contattarci tramite il modulo predisposto e inserendo un recapito telefonico contatti

 
 
Upgrade, ARM, ddos, SYN Flood, Videoscan, Hyperscan

xBtrfs logo 540x344.png.pagespeed.ic.Y DBXrIWuzFinalmente è arrivato l’aggiornamento di IPFire 2.29 - Core Update 186! Questo pacchetto include alcune modifiche interessanti:

  1. Kernel Aggiornato: L’aggiornamento porta con sé un kernel IPFire basato su Linux 6.6.30. Questo kernel include mitigazioni per l’ultima vulnerabilità Register File Data Sampling (RFDS, nota anche come CVE-2023-28746) nei processori Intel e risolve problemi con il grafico della CPU quando alcuni core virtuali sono offline. Inoltre, il Raspberry Pi ora supporta il ridimensionamento della frequenza della CPU.
  2. Supporto Sperimentale per Btrfs: IPFire ora include il supporto sperimentale per il filesystem Btrfs. Questo nuovo design consente la compressione di tutti i dati contenuti nel filesystem e permette di creare istantanee utili per il processo di sviluppo e per semplificare i rollback.
  3. Varie Miglioramenti:
    • Blocklist del Firewall: Spamhaus EDROP è stato incorporato in DROP. Gli utenti che avevano EDROP abilitato avranno automaticamente DROP abilitato dopo l’installazione di questo aggiornamento. Inoltre, l’elenco Alienvault, che è fuori produzione, è stato rimosso.
    • Suricata e Linux Landlock: Suricata è stato abilitato a utilizzare Linux Landlock, che protegge da accessi non autorizzati al filesystem da parte di exploit.
    • Avvisi di Avvio Silenziati: Alcuni avvisi non necessari durante il processo di avvio sono stati silenziati.

Questo aggiornamento migliora la sicurezza e l’efficienza del sistema IPFire.

Ricordate sempre di mantenere il vostro sistema aggiornato per proteggervi dalle minacce informatiche.

Per maggiori dettagli potete visitare il sito ufficiale al seguente link.

Per poter scaricare l'aggiornamento a questo link

Per chi fosse interessato ad avere la certificazione IPFire lo può fare contattando lo staff di IPFire Italia, dovrà sostenere un esame che si terra online e la certificazione verrà rilasciata da IPFire Italia  Certificazione IPFire

Se vuoi far parte della squadra non esitare a contattarci tramite il modulo predisposto e inserendo un recapito telefonico contatti

 
Upgrade, Raspberry, Btrfs, Spamhaus

hackinbo2024Nelle giornate di venerdì e sabato, la comunità di IPFire Italia è stata presente alla manifestazione Hackinbo. Durante questi due giorni, abbiamo incontrato molte persone e abbiamo avuto l’opportunità di parlare di IPFire e della sua comunità.

La prima giornata era dedicata al mondo del business, con talk che affrontavano argomenti legati alla sicurezza delle infrastrutture IT. Abbiamo incontrato professionisti del settore IT interessati alla soluzione IPFire, tra cui due consulenti che lavorano per Google Cloud.

https://hackinbo.business/

Il sabato, invece, era dedicato agli appassionati e, come si dice in Italia, agli “smanettoni”. Durante questa giornata, si sono tenute sessioni di talk in cui specialisti hanno affrontato vari argomenti, dalla sicurezza nell’industria 5.0 alla protezione del kernel per prevenire frodi.

https://www.hackinbo.it/

Abbiamo incontrato molte persone che si occupano di garantire la sicurezza delle diverse realtà industriali. In Italia, oltre il 60% delle aziende è costituito da piccole realtà, spesso a conduzione familiare.

Durante la giornata di sabato, oltre ai vari talk rivolti al vasto pubblico, è stato organizzato un gioco forense in collaborazione con le due forze di investigazione italiane: i Carabinieri e la Polizia di Stato. I laboratori investigativi dei RIS (Reparti Investigazioni Scientifiche) hanno simulato l’omicidio di una persona, e le due squadre dovevano recuperare vari indizi insieme ai propri reparti investigativi per risolvere il caso.

Questo gioco ha permesso a una decina di persone di vedere in pratica come si svolgono le indagini per omicidio e ha fornito spunti e idee ai reparti investigativi per migliorare le loro capacità di individuare indizi e persone coinvolte in indagini reali.

https://www.youtube.com/watch?v=6FASeCuph8M&embeds_referring_euri=https%3A%2F%2Fwww.hackinbo.it%2F&source_ve_path=MTM5MTE3LDM2ODQyLDI4NjY2&feature=emb_logo

In conclusione, siamo stati invitati a partecipare anche alle sessioni di novembre, sia per la giornata business che per quella aperta a tutti. Vorrei ringraziare Arnoldo e Davide per il loro supporto e la loro presenza durante entrambe le giornate di eventi

hackinbo 1

hackinbo 2

hackinbo omi1

IPFire, HackInBo

IPFire HakinboHackInBo® 2024: L’Evento Imperdibile per gli Appassionati di Sicurezza Informatica

Se sei un appassionato di sicurezza informatica, segna questa data nel tuo calendario: 7 e 8 giugno. L’evento HackInBo® sta per tornare! Quest’anno, IPFire Italia sarà presente con un banchetto entusiasmante, pronto a incontrare specialisti, curiosi e tutti coloro che vogliono approfondire le loro conoscenze sulla sicurezza dei dati.

Cos’è HackInBo?

HackInBo® è la più grande conferenza gratuita sulla Sicurezza Informatica in Italia. L’evento nasce nel 2013 per sopperire alla mancanza di una manifestazione di questo tipo sul territorio italiano, quella di quest'anno sara la 22 edizione, ricordiamo che le sessioni sono due HackInBo® Business Edition e HackInBo® Classic Edition

Rivolto a specialisti ed aziende del settore, HackInBo offre una piattaforma per condividere conoscenze, esperienze e best practice nel campo della sicurezza informatica.

IPFire Italia a HackInBo

IPFire Italia è un’associazione dedicata al supporto volontario e collaborativo per IPFire, un potente firewall open-source. Se sei interessato a scoprire come IPFire può migliorare la sicurezza della tua rete, non perdere questa opportunità! I tecnici presenti saranno in grado di fornire risposte ai quesiti e offriranno spunti per ottimizzare l’utilizzo di IPFire.

Dove Trovarci

Se vuoi conoscere di persona i membri di IPFire Italia e parlare di sicurezza informatica, cerca il nostro banchetto nella sala community durante entrambi i giorni di HackInBo. Sarà un’occasione per fare networking, scambiare idee e apprendere nuove strategie per proteggere le tue risorse digitali. Se non sei tra le persone fortunate ad esserti accaparrato uno dei biglietti per assistere in presenza, non disperarti: tutto l’evento sarà trasmesso online.

Non vediamo l’ora di incontrarti a HackInBo® 2024!

 

IPFire, HackInBo, Community

Altri articoli …

  1. IPFire 2.29 - Core Update 185
  2. IPFire 2.29 - Core Update 183
  3. IPFire 2.27 - Core Update 181
  4. IPFire 2.27 - Core Update 179
  5. IPFire 2.27 - Core Update 178
  6. IPFire 2.27 - Core Update 177
  7. IPFire 2.27 - Core Update 176
  8. IPFire vs PFsense: quale firewall dovresti scegliere?
  9. IPFire 2.27 - Core Update 175
  10. IPFire 2.27 - Core Update 174

Pagina 3 di 14

Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Leggi
Piattaforma
Statistica visite del sito
Joomla
Accetta
Decline
Marketing
Set of techniques which have for object the commercial strategy and in particular the market study.
Matomo
Monitoraggio degli utenti e misurazione e miglioramento delle prestazioni e supporto della personalizzazione
Accetta
Decline
Google
Monitoraggio degli utenti e misurazione e miglioramento delle prestazioni e supporto della personalizzazione
Accetta
Decline
statcounter
Monitoraggio degli utenti e misurazione e miglioramento delle prestazioni e supporto della personalizzazione
Accetta
Decline
Save