Guide

Kutter: il filtro per pfSense®/OPNsense® ideato per il Content Filter e Malware Protection.

Obiettivo di questo guida

In questa guida parleremo di come configurare Kutter il Content Filter e Malware Protection su cloud e di come integrarlo con il nostro firewall pfSense® e OPNsense.

Ambiante hardware e software utilizzato

Hardware testati: Abbiamo testato tutti i nosti apparati con kutter ed i sistemi pfSense ed OPNsense.
Essendo il carico computazionale spostato sul cloud, non abbiamo avuto nessun tipo di rallentamento sugli hardware testati.

Firewall Entry level testati:
Tutta la linea APU 2 NIC:
Tutta la linea APU 3 NIC:
Tutta la linea APU 4 NIC:

Firewall Corporate testati:
Tutta la linea Compact Small UTM:
Tutta la linea Small UTM:

Firewall Datacenter testati:
Firewall A1 Server:
Firewall A2 Server:
Firewall A3 Server:

Il software utilizzato sull’appliance è pfSense® versione 2.4.4-RELEASE-p3
Le stesse impostazioni si possono eseguire su OPNsense utilizzando le stesse regole.
Per chi volesse approfondire le features di Kutter, le specifiche sono raggiungibili al link seguente www.kutter.it

Allo stesso link si può chiedere anche una demo gratuita. La procedura è immediata.

Introduzione

Prima di iniziare farò un breve riassunto su quelle che sono le caratteristiche di Kutter, e di come sfruttarle per aggiungere maggiore sicurezza alla navigazione.

Kutter è un potente filtro sui contenuti e malware per la rete. Protegge oltre 1,2 miliardi di click al giorno in 90 paesi diversi sfruttando la tecnologia DNS-based per il filtraggio in Cloud.
Questa tecnologia, per chi non lo sapesse, permette di demandare al cloud il controllo sui contenuti delle pagine web richieste dagli utenti e device della rete che stiamo “filtrando”, senza appesantirla con proxy web (talvolta non efficienti).
Il punto di forza è la semplice ed immediata attivazione, a differenza dei vecchi proxy, difficili da configurare e spesso causa di problemi.
Questo tipo di filtro si adatta perfettamente a imprese, scuole, ISP/WISP e alla pubblica amministrazione.

Qualsiasi dispositivo, sia esso un firewall come pfSense®, OPNSense®, Zeroshell®, IpFire®, oppure un router del nostro provider, aumenterà la sicurezza di navigazione se configurato con Kutter.

Inoltre, Kutter è compliant con le norme GDPR

Prima di iniziare

Prerequisiti

  • Avere un account Kutter attivo. Se non hai un l’account, attivalo subito cliccando qui o richiedi una demo gratuita. La registrazione è innediata e sarai operativo in pochi secondi.
  • Avere una connessione ad internet.
  • Un firewall (in questa guida illustreremo pfSense® ma è compatibile con altri sistemi – vedo sotto lista di compatibilità).

Vediamo ora passo passo come procedere.

Personalizzazione delle liste

Per prima cosa dobbiamo accedere al nostro pannello di configurazione andando alla pagina web di Kutter

Kutter Login

Appena fatto il login, accederemo nella nostra area di configurazione come mostrato in figura.

Kutter

Cliccare sul tab reti

Kutter

Cliccando sul tasto aggiungi nuova rete, avrete la possibilità di configurare la vostra linea sia essa dinamica (quindi senza un IP statico), sia essa statica (quindi con un IP assegnato permanentemente dall’operatore).

Si aprirà un piccolo menu con una serie di loghi che, cliccati, mostrano come configurare quel dispositivo nella modalità dinamica. Nel nostro esempio, procederemo con la configurazione “statica” quindi clicchiamo in basso sul bottone Configurazione manuale.

Semplicemente seguendo le istruzioni a video, abbiamo configurato la nostra rete.

Kutter
Kutter
Kutter
Kutter
Kutter
Kutter

Ora, spostatevi sul tab Liste. Avete la possibilità di scegliere subito 3 profili già precaricati e configurati per bloccare diverse tipologie di siti.

Si parte con il profilo Base, fino al profilo Alto più protettivo e aggressivo che impone molte più restrizioni. E’ possibile leggere sotto una breve descrizione dei contenuti bloccati.

Se invece volete personalizzare voi i blocchi, cliccate su Configurazione personalizzata.

Notate subito sotto, le classiche liste White e Black per aggiungere o togliere siti (o interi domini) personalizzando maggiormente il profilo.

In ultimo, Kutter è in grado di filtrare le ricerche rispettando i blocchi del vostro profilo, escludendo i risultati anche dai risultati delle ricerche dei motori di ricerca Google e Bing.

Per esempio, se ho escluso i contenuti pornografici dal mio profilo, non visualizzerò questi risultati dalle ricerche del motori Google e Bing.

In questo esempio, procederemo ad eseguire una configurazione personalizzata.

Kutter

La home page di configurazione della lista si presenta come nella figura seguente. Una elenco di categorie e 3 colonne che indicano: Consenti, Blocca, Programma il blocco.

Kutter

Cliccando sulla freccia alla sinistra della categoria, si aprirà l’elenco con il contenuto.

Kutter

In questo esempio mostreremo la categoria Social Network e mostreremo come autorizzare l’accesso solo nella pausa pranzo. Cliccando sull’icona a forma di orologio che c’è nella terza colonna (Schedula Blocco), si aprirà un menù nel quale inserire le fasce orarie di blocco.

Kutter
Kutter
Kutter

Proseguiamo in questo modo fino alla completa personalizzazione della nostra lista (nell’esempio Base).

Si può creare una lista diversa ogni 5 coin; vale a dire che un ufficio con 25 utenti nominali, potrà creare fino a 5 liste diverse (impiegati, amministrazione, direzione, etc…) per bilanciare le diverse esigenze dell’azienda. Selezionando il profilo base, e cliccando in seguito sull’icona della matita, potremo scegliere una delle 5 coppie dns utili, appunto, in caso volessimo diversificare le liste.

Configurazione di pfSense®

Ora che la nostra rete e le nostre liste sono state configurate, passiamo velocemente sul nostro firewall. Qui dovremmo semplicemente inserire i dns di Kutter come mostrato in figura

andano sul medù di pfSense sotto System, General Setup.

Kutter

Per far avviare il controllo della navigazione a Kutter, la nostra rete dovrà utilizzare il firewall come server dns.

Ci sono tre soluzioni possibili per ottenere questo comportamento:

  1. obbligare i device della rete ad utilizzare il DNS forwarder di pfSense.
  2. obbligare i device della rete ad utilizzare i DNS di Kutter.
  3. Ridirigere il traffico sulla porta 53 verso i DNS di kutter.

In questa guida illustreremo la prima soluzione:

abilitiamo ora il servizio DNS da: Services -> DNS resolver

Abilitarlo e configurarlo in modo che permetta il forwarding delle richieste:

spuntare i check box  “Enable DNS resolver” e  “Enable Forwarding Mode” selezionando le interfacce su cui il servizio DNS risponderà (nel nostro caso solo la “LAN”)

Kutter General DNS

Successivamente andremo a creare due regole.

Andremo quindi su Firewall -> Rules.

Andiamo a creare una regola che permette l’accesso al servizio dns del firewall, la seconda regola che impedisce l’accesso al servizio DNS per il resto del traffico.

Kutter Regola DNS

A questo punto il firewall permetterà l’utilizzo del solo DNS Server di pfSense, il quale risolverà i nomi tramite il DNS di kutter.

Tutti i sistemi dovranno utilizzare come DNS il firewall, configurando a mano il DNS oppure configurando correttamente il DHCP Server.

Se si usa il DHCP di pfsense andare sotto Services -> DHCP Server e configurare la sezione DNS con l’IP della LAN del firewall (configurare come qui sotto se si suppone che il firewall abbia ip 192.168.1.1 sulla LAN)

Kutter Servers

Conclusioni

La semplicità di utilizzo e configurazione, rendono Kutter un potente alleato per aumentare la sicurezza aziendale. Le modalità di implementazione sono sufficientemente “elastiche”, e permettono il suo impiego praticamente in ogni contesto e con ogni dispositivo.

Kutter é compatibile con qualsiasi dispositivo che permette l’inoltro delle richieste dns, e con i dispositivi che permettono l’utilizzo del servizio ddns.

A tale proposito, se non lo avete ancora fatto, vi invito a contattarci sul nostro portale per avere maggiori informazioni e/o richiedere una demo gratuita di 30 giorni in cui potrete testare con mano la soluzione descritta.

  ti posso interessare anche