|
Dimensione: 8281
Commento:
|
Dimensione: 6484
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| ## https://wiki.ubuntu-it.org/Sicurezza/Iptables | ## Pagina creata da Carlin0 |
| Linea 4: | Linea 4: |
| <<Include(NuoviStrumentiWiki/PaginaDiProva)>> | |
| Linea 5: | Linea 6: |
| <<Indice>> <<Informazioni(forum=http://forum.ubuntu-it.org/viewtopic.php?t=442733)>> |
<<Indice(depth=2 align=right)>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=648861"; rilasci="20.04")>> |
| Linea 10: | Linea 11: |
| '''Iptables''' è il programma a riga di comando in spazio utente usato per configurare l'insieme di regole di filtraggio dei pacchetti e del NAT di Linux. È pensato per gli amministratori di sistema. | Il [[https://wiki.ubuntu-it.org/InternetRete/Navigazione#Browser_per_navigare|browser]] '''Librewolf''' è un [[https://it.wikipedia.org/wiki/Fork_(sviluppo_software)|fork]] indipendente di [[InternetRete/Navigazione/Firefox|Firefox]], con gli obiettivi primari di privacy, sicurezza e libertà dell'utente, è progettato per aumentare la protezione contro le tecniche di tracciamento e rilevamento delle impronte digitali, includendo anche alcuni miglioramenti della sicurezza. Ciò si ottiene attraverso le impostazioni e [[https://it.wikipedia.org/wiki/Patch|patch]] orientate alla privacy e alla sicurezza. |
| Linea 12: | Linea 13: |
| {{{#!wiki note Da '''Ubuntu 20.10''' [[Sicurezza/Nftables|nftables]] è impostato in modo predefinito, tuttavia è ancora possibile usare '''Iptables'''. |
'''Librewolf''' mira anche a rimuovere tutta la telemetria, la raccolta di dati, oltre a disabilitare le funzionalità [[https://it.wikipedia.org/wiki/Digital_rights_management|DRM]]. '''Librewolf''' è [[https://it.wikipedia.org/wiki/Multipiattaforma|multipiattaforma]] ed è disponibile per '''Linux''', '''Windows''' e '''MacOS'''. = Caratteristiche = * Elimina i [[https://it.wikipedia.org/wiki/Cookie|cookie]] e i dati dei siti Web alla chiusura. * Usa in maniera predefinita motori di ricerca che rispettano la privacy come [[https://duckduckgo.com/|DuckDuckGo]], [[https://searx.github.io/searx/|Searchx]] e [[https://lite.qwant.com/|Qwant]]. * Include [[https://ublockorigin.com/|uBlockOrigin]] con elenchi di filtri predefiniti personalizzati e protezione da tracciamento in modalità rigorosa, per bloccare tracker e annunci. * Elimina gli elementi di tracciamento dagli [[https://it.wikipedia.org/wiki/Uniform_Resource_Locator|URL]], sia in modo nativo che tramite uBlockOrigin. * Abilita dFPI, noto anche come [[https://blog.mozilla.org/security/2021/02/23/total-cookie-protection/|Protezione totale dei cookie]]. * Abilita RFP (Resist Finger Printing) che fa parte del [[https://wiki.mozilla.org/Security/Fingerprinting|progetto Tor Uplift]]. RFP è considerata la migliore soluzione anti-impronta digitale e il suo obiettivo è far sembrare gli utenti uguali e coprire il maggior numero possibile di parametri, nel tentativo di bloccare le tecniche di rilevamento delle impronte digitali. * Visualizza sempre la lingua dell'utente come en-US sui siti Web, al fine di proteggere la lingua utilizzata nel browser e nel sistema operativo. * Disabilita [[https://it.wikipedia.org/wiki/WebGL|WebGL]], poiché è un forte vettore di impronte digitali. * Impedisce l'accesso ai servizi di localizzazione del sistema operativo e utilizza l'[[https://it.wikipedia.org/wiki/Application_programming_interface|API]] di localizzazione di Mozilla invece dell'API di Google. * Proteggere l'indirizzo [[https://it.wikipedia.org/wiki/Indirizzo_IP|IP]] privato dell'utente quando viene utilizzato [[https://it.wikipedia.org/wiki/WebRTC|WebRTC]]. Limita la generazione di candidati ICE (Interactive Connectivity Establishment) all'interfaccia predefinita durante la condivisione di video o audio durante una videoconferenza. * Forza [[https://it.wikipedia.org/wiki/Domain_Name_System|DNS]] e WebRTC all'interno del [[https://it.wikipedia.org/wiki/Proxy|proxy]], quando ne viene utilizzato uno. * Disabilita [[https://it.wikipedia.org/wiki/IPv6|IPv6]], poiché non tutte le distribuzioni Linux vengono fornite con l'[[https://datatracker.ietf.org/doc/html/rfc3041#section-2.3|estensione per la privacy]] abilitata per impostazione predefinita. * Taglia i [[https://it.wikipedia.org/wiki/Referer|referrer]] tra origini diverse, in modo che non includano l'[[https://it.wikipedia.org/wiki/Uniform_Resource_Identifier|URI]] completo. * Disabilita ricerca e cronologia moduli. * Disabilita la compilazione automatica dei moduli. * Disabilita il pre caricamento dei collegamenti e le connessioni speculative. * Isola i [[https://it.wikipedia.org/wiki/Progressive_Web_App#Service_Workers|service workers]]. * Disabilita la cache del disco e cancella i file temporanei alla chiusura. * Disabilita [[https://it.wikipedia.org/wiki/Online_Certificate_Status_Protocol|OCSP]] e usa invece [[https://it.wikipedia.org/wiki/Certificate_revocation_list|CRL]], poiché è un meccanismo di revoca dei certificati più solido e rispettoso della privacy. = Installazione = Sono disponibili 3 tipi di installazione. == Tramite repository == 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]] i comandi:{{{ echo "deb [arch=amd64] http://deb.librewolf.net $(lsb_release -sc) main" | sudo tee /etc/apt/sources.list.d/librewolf.list }}} {{{ sudo wget https://deb.librewolf.net/keyring.gpg -O /etc/apt/trusted.gpg.d/librewolf.gpg }}} {{{ sudo apt update }}} 0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://librewolf|librewolf]] == Flatpak == 0. [[https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/PacchettiFlatpak#Abilitare_Flatpak|Abilitare Flatpak]] 0. [[https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/PacchettiFlatpak#Installare_lo_store_flathub_dal_terminale|Installare lo store Flathub]] 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{ flatpak install flathub io.gitlab.librewolf-community }}}Per avviarlo digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{ flatpak run io.gitlab.librewolf-community |
| Linea 16: | Linea 84: |
| = I concetti di base = | == Appimage == |
| Linea 18: | Linea 86: |
| Un computer connesso ad internet scambia continuamente dati col resto del mondo. | 0. Scaricare l'ultima versione da [[https://librewolf.net/installation/linux|questo sito]]. |
| Linea 20: | Linea 88: |
| I dati che dal mondo esterno entrano nel nostro computer possono essere di tipo "buono", come ad esempio una pagina di un sito che abbiamo richiesto, un amico che ci contatta in chat o un file che stiamo scaricando con un programma di filesharing, e di tipo "cattivo", come ad esempio un ''cracker'' che ci contatta in vari modi e a nostra insaputa per cercare di entrare nel nostro computer. | 0. Leggere la [[https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/PacchettiAppImage|relativa guida]] per usarlo. |
| Linea 22: | Linea 90: |
| Il compito del firewall è riconoscere il traffico buono da quello cattivo, e bloccare il traffico cattivo. Per farlo, ha bisogno che siamo noi a dirgli cosa è buono e cosa no, mediante delle regole per fare i controlli sul traffico di dati. | = Varie = |
| Linea 24: | Linea 92: |
| '''Iptables''' raggruppa tutti i controlli che può fare sul traffico in entrata, nella cosiddetta ''Chain INPUT'', catena di input. I controlli sul traffico in uscita sono invece raggruppati nella ''Chain OUTPUT''. La ''Chain FORWARD'' serve per esempio quando il traffico di dati non è indirizzato a noi ma passa comunque per il nostro computer. | * [[https://librewolf.net/docs/faq/|Domande frequenti]]. |
| Linea 26: | Linea 94: |
| Ognuna di queste catene ha una ''policy'', una politica, cioè un'azione predefinita da eseguire quando tutti gli altri controlli della catena hanno fallito nel riconoscere se il dato era buono o meno. | * Per modificare le impostazioni predefinite leggere [[https://librewolf.net/docs/settings/|questo HowTo]]. |
| Linea 28: | Linea 96: |
| == Gestione semplificata == A seconda delle proprie esigenze può tornare comodo l'utilizzo di alcuni software che semplificano il settaggio di Iptables: * [[http://wiki.ubuntu-it.org/Sicurezza/Ufw|Ufw]]: tool da linea di comando con comandi semplificati per le impostazioni di Iptables. * [[http://wiki.ubuntu-it.org/Sicurezza/Gufw|Gufw]]: interfaccia grafica per '''Ufw'''. == Cosa serve per impostare iptables == Il firewall è incluso in Ubuntu ed è attivo all'avvio del sistema senza richiedere alcuna azione da parte dell'utente. Anche '''iptables''' è incluso in Ubuntu, e bisogna usarlo da [[AmministrazioneSistema/RigaDiComando|riga di comando]] per configurare il firewall. Per usare iptables sono necessari i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]]. == Limitazione di questa guida == Dal momento che i comandi che trovate in questa guida servono a modificare la configurazione del firewall "a caldo", senza scrivere niente in file di configurazione, ma caricando direttamente le impostazioni in memoria, al successivo avvio del computer la configurazione fatta non sarà più disponibile. Per ovviare a questo problema si possono inserire i comandi in uno script da lanciare all'avvio del computer. = Mostrare la configurazione attuale = Per avere sott'occhio in ogni momento la configurazione del firewall, è sufficiente digitare in un terminale:{{{ sudo iptables -L }}} Per esempio, con Ubuntu appena installato, il firewall è sì attivo, ma non ha ancora una vera configurazione, perciò l'output dovrebbe essere: {{{ Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination }}} In modo predefinito il firewall lascia passare tutto, come indicano le scritte "''policy ACCEPT''" e l'assenza di altre regole. A volte le informazioni mostrate non sono sufficienti; in questi casi basta aggiungere '''-v''' oppure '''-vv''' al precedente comando. Per esempio: {{{ sudo iptables -vv -L }}} = Impostare le policy di base = Per iniziare, possiamo bloccare tutto il traffico proveniente dal mondo esterno (per poi in seguito consentire solo il traffico che riteniamo buono), impostando una ''policy'' che faccia scomparire nel nulla tutti i pacchetti in entrata: {{{ sudo iptables -P INPUT DROP }}} In questo momento non possiamo navigare nel web, e più in generale il nostro PC non si accorgerà di qualsiasi dato ci venga spedito da chicchessia. Niente paura, fra qualche riga vedremo come istruire '''iptables''' a lasciare passare il traffico a cui siamo interessati. Un'altra buona ''policy'' da impostare è: {{{ sudo iptables -P FORWARD DROP }}} == Le prime regole utili == Innanzitutto dobbiamo consentire tutto il traffico interno al nostro computer, che passa per l'interfaccia di ''loopback'' "'''lo'''". Quindi da terminale digitiamo: {{{ sudo iptables -A INPUT -i lo -j ACCEPT }}} La seconda cosa che potremmo voler fare è navigare nel web e più in generale lasciare entrare tutto il traffico che è stato da noi richiesto: {{{ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT }}} == Consentire l'ingresso su porte specifiche == Ci sono situazioni in cui vogliamo permettere a un utente esterno di contattare il nostro PC e di inviarci dati, per esempio se abbiamo installato un [[InternetRete/ConfigurazioneRete/OpenSsh|server SSH]], un [[Server/Web|server web]] o un programma che per svolgere il suo compito deve fungere anche da server, ad esempio un programma di filesharing come [[InternetRete/Condivisione/Amule|aMule]]. Il nostro server SSH usa la porta 22 (a meno che non lo abbiamo configurato diversamente), quindi dobbiamo dire a '''iptables''' di lasciare entrare il traffico ''tcp'' sulla porta 22 (il relativo traffico di risposta lo abbiamo già permesso prima), quindi: {{{ sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT }}} In ogni momento possiamo controllare come abbiamo configurato il firewall, come spiegato precedentemente. Il server web usa la porta 80 (anche qui, a meno di configurazioni personalizzate), quindi consentiamo tutto il traffico che dall'esterno chiede di entrare attraverso la nostra porta 80: {{{ sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT }}} Il programma di filesharing aMule deve accettare connessioni in entrata per poter funzionare al meglio. Per impostazione predefinita usa le porte 4662(con protocollo tcp) e 4672(con protocollo udp), quindi le seguenti regole indicano al firewall di accettare il traffico in ingresso su quelle due porte: {{{ sudo iptables -A INPUT -p tcp --dport 4662 -j ACCEPT sudo iptables -A INPUT -p udp --dport 4672 -j ACCEPT }}} Insomma, il meccanismo dovrebbe essere chiaro. == Risultato finale == Abbiamo così ottenuto un piccolo firewall che lascia uscire tutti i dati dal nostro computer verso l'esterno, e lascia entrare tutti i dati che abbiamo richiesto: {{{ sudo iptables -vv -L }}} {{{ Chain INPUT (policy DROP) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo any anywhere anywhere 0 0 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www Chain FORWARD (policy DROP) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT) pkts bytes target prot opt in out source destination }}} |
* Per riportare un problema di sicurezza rilevato seguire [[https://librewolf.net/docs/security/|questo link]]. |
| Linea 140: | Linea 100: |
| * [[http://iptables-tutorial.frozentux.net/iptables-tutorial.html|Guida a Iptables]] * [[http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html|How-To per Iptables]] * [[http://www.netfilter.org/documentation/|Documentazione in varie lingua per Netfilter e Iptables]] * [[http://www.ubuntulinux.org/wiki/IptablesHowTo|Versione originale]] |
* [[https://librewolf.net/|Sito ufficiale del progetto]] |
| Linea 145: | Linea 102: |
| * [[https://gitlab.com/librewolf-community|Repository dello sviluppo]] * [[https://gitter.im/librewolf-community|Chat Gitter di supporto]] * [[https://matrix.to/#/#librewolf:matrix.org|Chat Matrix di supporto]] |
|
| Linea 146: | Linea 108: |
| CategorySicurezza CategoryDaRevisionare | CategoryInternet |
|
Attenzione! Questa è una Pagina di prova. Le informazioni riportate potrebbero essere incomplete, errate e potenzialmente pericolose. Per contribuire alla realizzazione di questa pagina consultare la discussione di riferimento. |
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Il browser Librewolf è un fork indipendente di Firefox, con gli obiettivi primari di privacy, sicurezza e libertà dell'utente, è progettato per aumentare la protezione contro le tecniche di tracciamento e rilevamento delle impronte digitali, includendo anche alcuni miglioramenti della sicurezza. Ciò si ottiene attraverso le impostazioni e patch orientate alla privacy e alla sicurezza.
Librewolf mira anche a rimuovere tutta la telemetria, la raccolta di dati, oltre a disabilitare le funzionalità DRM.
Librewolf è multipiattaforma ed è disponibile per Linux, Windows e MacOS.
Caratteristiche
Elimina i cookie e i dati dei siti Web alla chiusura.
Usa in maniera predefinita motori di ricerca che rispettano la privacy come DuckDuckGo, Searchx e Qwant.
Include uBlockOrigin con elenchi di filtri predefiniti personalizzati e protezione da tracciamento in modalità rigorosa, per bloccare tracker e annunci.
Elimina gli elementi di tracciamento dagli URL, sia in modo nativo che tramite uBlockOrigin.
Abilita dFPI, noto anche come Protezione totale dei cookie.
Abilita RFP (Resist Finger Printing) che fa parte del progetto Tor Uplift. RFP è considerata la migliore soluzione anti-impronta digitale e il suo obiettivo è far sembrare gli utenti uguali e coprire il maggior numero possibile di parametri, nel tentativo di bloccare le tecniche di rilevamento delle impronte digitali.
- Visualizza sempre la lingua dell'utente come en-US sui siti Web, al fine di proteggere la lingua utilizzata nel browser e nel sistema operativo.
Disabilita WebGL, poiché è un forte vettore di impronte digitali.
Impedisce l'accesso ai servizi di localizzazione del sistema operativo e utilizza l'API di localizzazione di Mozilla invece dell'API di Google.
Proteggere l'indirizzo IP privato dell'utente quando viene utilizzato WebRTC. Limita la generazione di candidati ICE (Interactive Connectivity Establishment) all'interfaccia predefinita durante la condivisione di video o audio durante una videoconferenza.
Forza DNS e WebRTC all'interno del proxy, quando ne viene utilizzato uno.
Disabilita IPv6, poiché non tutte le distribuzioni Linux vengono fornite con l'estensione per la privacy abilitata per impostazione predefinita.
Taglia i referrer tra origini diverse, in modo che non includano l'URI completo.
- Disabilita ricerca e cronologia moduli.
- Disabilita la compilazione automatica dei moduli.
- Disabilita il pre caricamento dei collegamenti e le connessioni speculative.
Isola i service workers.
- Disabilita la cache del disco e cancella i file temporanei alla chiusura.
Disabilita OCSP e usa invece CRL, poiché è un meccanismo di revoca dei certificati più solido e rispettoso della privacy.
Installazione
Sono disponibili 3 tipi di installazione.
Tramite repository
Digitare nel terminale i comandi:
echo "deb [arch=amd64] http://deb.librewolf.net $(lsb_release -sc) main" | sudo tee /etc/apt/sources.list.d/librewolf.list
sudo wget https://deb.librewolf.net/keyring.gpg -O /etc/apt/trusted.gpg.d/librewolf.gpg
sudo apt update
Installare il pacchetto librewolf
Flatpak
Digitare nel terminale:
flatpak install flathub io.gitlab.librewolf-community
Per avviarlo digitare nel terminale:
flatpak run io.gitlab.librewolf-community
Appimage
Scaricare l'ultima versione da questo sito.
Leggere la relativa guida per usarlo.
Varie
Per modificare le impostazioni predefinite leggere questo HowTo.
Per riportare un problema di sicurezza rilevato seguire questo link.
