introduzione divulgativa intervento a cura di gabriele biondo per beer openbsd group w e b b i t 0 4
TRANSCRIPT
Introduzione divulgativa
Intervento a cura di
Gabriele Biondo
per
Beer OpenBSD Group
w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Gabriele Biondo ([email protected])
whoami
• Collaboratore tecnico con varie Facoltà dell’Università di Bologna
• Formatore per il Fondo Sociale Europeo
• Collaboro con OpenBEER (OpenBSD Italian User Group)
• Certificato ISECOM OPST
• Firewalling
• Modelli matematici ed ottimizzazione di algoritmi
• Programmazione in Perl e C
Mi interesso principalmente di:
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
OpenBSD è uno UNIX OpenSource, basato sulla piattaforma BSD 4.4.
Le caratteristiche fondamentali del sistema vanno individuate in:• stabilità• portabilità• compatibilità con i binari di linux, solaris, HPUX e gli *NIX più diffusi• sicurezza proattiva• crittografia integrata
La cura nella progettazione, che non è mossa da fini commerciali, ha reso possibile il verificarsi della circostanza:
Only one remote hole in the default install, in more than 8 years!
Immediato notare come la concomitanza di queste caratteristiche lo rendano un sistema versatilissimo, ottimo sia come piattaforma per i server che come piattaforma per i client.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Lo scopo del progetto
Lo scopo del progetto OpenBSD è essere il n. 1 nel campo della sicurezza.
Il ciclo di sviluppo di un sistema parte dalla progettazione dello stesso, scelta di un kernel, di pacchetti aggiuntivi, e di un eventuale installer:
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Una volta immessa una release sul mercato, gli utenti provvedono con auditing e testing, basato più che altro sull’utilizzo del prodotto, piuttosto che sulla vera e propria azione sistematica di test sulle vulnerabilità dei singoli programmi:
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Trovati i bug, “qualcuno” provvede a scrivere delle patch, che vengono distribuite tramite gli usuali canali.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Questi pacchetti patchati, o dei loro discendenti, divengono parte integrante della successiva release.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Il susseguirsi delle release di OpenBSD segue una filosofia differente. La release definitiva è quella “più vecchia”, basata su pacchetti testati. Parallelamente c’è una versione, detta “current”, che incorpora i nuovi pacchetti. Non è però una versione “ufficiale” – è una versione di test, che, in generale, risulta abbastanza stabile.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Crittografia Integrata
OpenBSD è un progetto nato e mantenuto in Canada. Il Canada non è fortunatamente soggetto alle leggi statunitensi, che vietano l’esportazione di implementazioni di algoritmi di crittografia forte, paragonandoli a vere e proprie armi.
Le implicazioni tecniche di ciò comportano la possibilità di integrare nativamente, senza dovere installare patch dubbie, algoritmi di crittografia direttamente nel sistema.
OpenBSD è stato il primo sistema a montare uno stack IPsec, dalla release 2.1; dalla 2.6, invece, incorpora OpenSSH, una versione free e sicura di ssh.
Il rilassamento dei vincoli di crittografia ha altre profondissime implicazioni, che vanno comunque oltre lo scopo di questa presentazione.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Portabilità
OpenBSD discende da NetBSD (Theo De Raadt, il fondatore del progetto, era originariamente uno sviluppatore NetBSD) – quest’ultimo sistema è caratterizzato dalla portabilità, e questa peculiarità è stata ereditata anche da OpenBSD.
OpenBSD gira su svariate piattaforme, quali:Intel x86AlphaMacintosh (sia sui 68k che sui PPC)SunHPUX
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Correttezza
Gli sviluppatori di OpenBSD seguono strettamente i principali standard UNIX, quali ANSI e POSIX.
Nella community, c’è la ferrea regola di scrivere programmi in modo che siano affidabili e corretti, seguendo le cd. “best practices” del tao della programmazione. I programmi così scritti risultano più stabili, predicibili, affidabili e sicuri.
Documentazione
Gli sviluppatori del progetto danno grande importanza alla documentazione del progetto.Le man pages contenute in ogni release sono veramente complete, esaustive e chiare.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Considerazioni su un’installazione
Prendiamo in considerazione una piattaforma Intel compatibile.
L’installazione è un processo guidato, abbastanza facile, una volta compreso il meccanismo di fdisk e delle disklabels (un po’ differente da quello classico di linux).
Mancano installer grafici – tipo quelli di alcune major distributions di Linux – ma questa limitazione è ben presto superabile.
Nel corso delle release, la compatibilità con l’hardware è andata via via crescendo – se una volta era quasi obbligatorio costruirsi una macchina dedicata per il sistema, adesso si è quasi certi di potere avere un’installazione sistemante senza modificare gli IRQ.
Le limitazioni sono le solite: winmodems, hardware “esoterico” e poco diffuso, hardware di scarsa qualità.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Trovare una release
Possibili soluzioni:
La soluzione principe, ed ovviamente consigliata, è quella di procurarsi una suite di CD direttamente dal sito del progetto. Così facendo finanzierete il progetto, ed avrete 3 stupendi cd, con una simpaticissima copertina, per circa 30 $.
La seconda soluzione è acquistare i CD prodotti da OpenBEER. Contengono il mirror del sito FTP del progetto, opportunamente riorganizzato. Costo totale operazione: 1 € a CD. Sosterrete lo user group italiano (oddio, è più gradita una donazione, visto che con 1 € ci si fa poco )
Terza soluzione: scaricarsi l’immagine del CD o dei floppy di net install, bruciarla su un supporto e procedere con l’installazione via rete. Necessaria almeno un’ADSL.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
OpenBSD al lavoro:
Citiamo in seguito alcune situazioni che han fatto uso del sistema:
RICERCA ED UTENTI NON COMMERCIALI:
L’Azienda Ospedaliera "Carlo Poma" è l’istituzione sanitaria principale di Mantova, con sei ospedali ed altri piccoli ambulatori. OpenBSD è stato scelto come bridging firewall tra la WAN e l’ospedale centrale di Mantova.
INFN – Istituto Nazionale Fisica Nucleare di Firenze. OpenBSD viene utilizzato come DNS e come packet filter.
Praha Institute of Chemical Technology: Questa struttura monta OpenBSD sui PC dello staff e degli studenti; che è pure presente un secondary DNS ed un time server.
“Forcefield” art installation: Parte della gestione dell’audio e delle luci in Forcefield, all’esibizione biennale del Whitney Museum of American Art a New York (2002) gira su OpenBSD. La scelta è dovuta alla stabilità ed all’affidabilità.
La lista è ancora lunga: università, ospedali, centri di ricerca sparsi in tutto il mondo fanno largo uso di OpenBSD. I motivi? Sempre i soliti: affidabilità e robustezza.
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
OpenBSD al lavoro:
UTENTI COMMERCIALI:
Adobe System -OpenBSD è stato scelto come firewall e come piattaforma di test per le reti.
Altheon Networks Produttori di hardware Ethernet a 1 Gigabit. Piattaforma di test e gatewayFSC Internet Corp.: è una grande ditta specializzata in Information Security ed Internet. OpenBSD e la sua feature IPsec sono stati utilizzati per sviluppare una soluzione VPN per un cliente di notevole calibro.
Learning Tree International: questa ditta di formazione, indipendente dai vendors, utilizza OpenBSD e PF in molti corsi di sicurezza e di firewalling.
Anche in questo caso, la lista potrebbe essere allungata. I providers più importanti nel mondo, per esempio, fanno un notevole affidamento su OpenBSD. Ovviamente: un sistema sicuro per default non può non essere stimato da professionisti che devono lavorare con delle macchine sicure ed affidabili.
Fondo Sociale Europeo: OpenBSD viene insegnato nei corsi di sicurezza informatica
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Le novità introdottenella versione 3.5
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
La versione 3.5 di OpenBSD ha introdotto alcune sostanziali modifiche:
OpenBSD 3.5 supporta nativamente anche AMD 64, mvme88k e ARM cpu
bc, dc, nm e size sono stati rimpiazzati con comandi equivalenti sotto licenza BSD
PF, il firewall nativo di OpenBSD è stato modificato profondamente:•Il cambiamento dell’implementazione del sistema di regole porta una sostanziale diminuzione della probabilità di finire in uno stato inconsistente•Riduzione del 30% delle dimensioni delle tabelle•Miglioramento sostanziale dell’interfaccia•Prevenzione del problema dell’identificazione di una connessione remota come locale
Nuove architetture supportate
Update di alcuni comandi di sistema
Update di PF
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
•spamd viene dotato della funzionalità di graylisting – un potente metodo per limitare il problema dello spamming•Viene aggiunto sensorsd per potere gestire sensori hardware•Viene implementato CARP (Common Address Redundancy Protocol) •OpenSSH 3.8.1
•Nei socket lookup: con 10000 socket, la 3.5 è più veloce di circa 100 volte rispetto alla precedente•TCP SYN cache: il costo in termini di memoria delle connessioni IP mezze aperte viene ridotto sensibilmente•Miglioramenti sensibili nell’implementazione di OpenSSL (incremento prestazionale fino al 100% per md5. sha1, blowfish…
•Migliorato il supporto per:•Hard Disk ATA-SATA•Gigabit Ethernet•USB Flash
Nuove funzionalità
Miglioramento delle performance – maggiore compatibilità
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
XFree86 4.4.0 Gcc 2.95.3 (+ patches) e 3.3.2 (+ patches) Perl 5.8.2 (+ patches) Apache 1.3.29, mod_ssl 2.8.16, DSO support (+ patches) OpenSSL 0.9.7c (+ patches) Groff 1.15 Sendmail 8.12.11 Bind 9.2.3 (+ patches) Lynx 2.8.4rel.1 con supporto HTTPS ed IPv6 (+ patches) Sudo 1.6.7p5 Ncurses 5.2 Latest KAME IPv6 Heimdal 0.6rc1 (+ patches) Arla-current
Software e pacchetti
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Il sito ufficiale del progetto:
http://www.openbsd.org
Il sito di OpenBEER
http://www.openbeer.it
I-Nfinity
http://www.i-nfinity.com
OpenBSD Journal
http://www.deadly.org
RISORSE
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Disponibilità per corsi, consulenze e progetti:
+39 348 22 37 500
CONTATTI
OpenBSD – Un’esposizione divulgativa
w e b b i t 0 4
Matteo Cantoni – aka goony //con la minuscola
Ilary Airoldy – Quant’è piccolo il mondo, vero?
Franco Farnedi e Iacopo Cacciaguerra di Proxima Solutions, Rimini
Massimo Piccioni – per qualche drink foriero di ispirazioni
Ultima, ma non per importanza
Elena – per avere reso possibile un sogno
RINGRAZIAMENTI