project work
DESCRIPTION
Project Work. Realizzato da:. In collaborazione con. Vittorio Randazzo. Angelo Ligorio. Fabrizio Biscossi – System Administrator di CPI Progetti. Giuseppe Contino. Gianluca Bellu. Agenda. Contents Topology Natter-Firewall-Proxy WEB-DNS-SMTP-FTP services Database Conclusions. - PowerPoint PPT PresentationTRANSCRIPT
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Project Work
Realizzato da: Vittorio
RandazzoAngelo LigorioGiuseppe
ContinoGianluca Bellu
In collaborazione con
Fabrizio Biscossi – System Administrator di CPI Progetti
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Agenda • Contents• Topology
• Natter-Firewall-Proxy• WEB-DNS-SMTP-FTP services • Database• Conclusions
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Contents
Il progetto consiste nella realizzazione di un ambiente server sicuro utilizzando il software Open Source
Linux.
L’ambiente server è composto da: un sistema per la gestione della posta elettronica un sistema per la gestione di siti web con l’utilizzo di un database un sistema per l’attività di caching degli accessi ad internet un sistema per la gestione della sicurezza della rete tra server
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Contents
L’implementazione del progetto ha seguito il seguente project plan:
Analisi dei requisiti
Definizione degli obbiettivi
Definizione delle risorse disponibili
Brainstorming sulle possibili soluzioni
Individuazione della soluzione migliore
Divisione e assegnazione dei compiti
Analisi avanzamento lavori (riunioni,etc..)
Testing
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
In complesso il sistema deve essere in grado di soddisfare i clients della rete interna garantendo:
l’accesso ad internet servizio DNS servizio di posta elettronica.
Inoltre deve essere in grado di offrire ai clienti Corporate:
spazio web in grado di interagire con Database spazio ftp caselle E-mail
Tutti i servizi sono stati distribuiti su tre servers
Contents
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Topology
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
L'attraversamento dei pacchetti tra un'interfaccia e l'altra è controllato dalla funzionalità di forwarding-gatewaying, che abbiamo abilitato attraverso un comando:# echo 1 > /proc/sys/net/ipv4/ip_forward
1) Soddisfare le richieste HTTP ed FTP che arrivavano al Server di frontiera reindirizzandole verso il server di competenza (DNAT)# iptables -A PREROUTING –t nat –p tcp –d 10.50.2.222 –-dport 80 –j DNAT --to 192.168.2.4:80
2) Cambiare l’IP sorgente ai pacchetti in uscita (SNAT)# iptables -A POSTROUTING –t nat –o eth0 –j SNAT –to 10.50.2.222
Natter
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Politica di base:“Tutto quello che non è esplicitamente pemesso è
negato”
Inizialmente scartare tutti i pacchetti che si presentano sulla interfacce di rete:
– # iptables -P INPUT DROP– # iptables -P OUTPUT DROP– # iptables -P FORWARD DROP
Firewall
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Controllare il passaggio dei pacchetti in transito:
I caso: richiesta HTTP dall’esterno
# iptables –A FORWARD –p tcp –d 192.168.2.3 –s 0.0.0.0/0 –dport 80 –j ACCEPT
# iptables –A FORWARD –p tcp –d 0.0.0.0/0 –s 192.168.2.3 –sport 80 –j ACCEPT
Questo è stato fatto per tutte le porte utilizzate dai servizi.
In questo modo i pacchetti non arrivano al livello 7 della pila osi e non sono soddisfatti dal proxy.
Firewall
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Richieste dall’interno:
II caso: richiesta http dall’interno discrimando una fetta di utenti
• # iptables –A INPUT –p tcp –d 192.168.2.3 –s 192.168.2.0/24 –dport 8080 –j ACCEPT
• # iptables –A INPUT –p tcp –d 0.0.0.0/0 –s 10.50.2.222 –sport 8080 –j ACCEPT
• # iptables –A OUTPUT –p tcp –s 10.50.2.222 –d 0.0.0.0/24 –dport 8080 –j ACCEPT
• # iptables –A OUTPUT –p tcp –s 192.168.2.3 –d 192.168.2.0/24 –sport 8080 –j ACCEPT
In questo modo il pacchetto arriva a livello 7 e viene soddisfatto dal Proxy SQUID
Firewall
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Squid
Il server proxy è stato configurato per permettere di fare il Caching delle pagine web visitate;
Quello da noi utilizzato è il proxy squid, che può essere installato tramite pacchetti rpm, e poi può essere configurato, per certi aspetti, tramite il file /etc/squid/squid e per altri aspetti con il tool grafico SquidGard.
Proxy
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
WEB service
Apache (server WEB)
Sviluppato partendo dal server NCSA nel 1994
Disponibilità del codice sorgente
Portabilità: supporto dei SO Linux, Unix, Windows, OS/2, …
Architettura modulare
Nucleo molto piccolo che realizza le funzioni base
Possibilità di estendere le funzionalità mediante moduli
Efficienza, flessibilità
Stabilitè ed affidabilità
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
I comandi principali sono: start, stop, restart e reload
Il servizio HTTP è fornito dal demone httpd
I file di configurazione vengono letti al momento dell’avvio di httpd
Due modalità di funzionamento:
Avviato direttamente dal sistema di inizializzazione (init)
Controllato da inetd
WEB - Servizio HTTP
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Il Virtual hosting, più Web server eseguiti su di un singolo nodo (ossia più siti web ospitati su di un singolo nodo: Web hosting)
WEB – Virtual Hosting
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Per rendere sicure le comunicazioni su internet viene utilizzato il protocollo Secure Sockets Layer (SSL)
•Mod_ssl, è un modulo per la sicurezza di Apache è utilizza i tool di OpenSSL
•OpenSSL, include un toolkit che implementa i protocolli SSL e TLS
Per rendere sicuro il server bisogna creare una chiave e un certificato (rilasciato dalla CA o self-signed)
WEB - Sicurezza e certificati
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
DNS service
Bind (server DNS)
Il DNS (Domain Name System) permette di risolvere i nomi delle macchine presenti nella rete in indirizzi ip.
Il demone named gestisce tutte le query di risoluzione che gli arrivano.Il nostro dominio è:
projectwork.it
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
DNS service
Bind lavora in base a delle zone autoritative che vengono implementate in questo modo:
Logica di zona – projectwork.it > 192.168.2.4
Logica di reverse zone – 192.168.2.4 > projectwork.it
Per ogni zona esiste un file che ne specifica tutti i parametri (TTL, retry, refresh, SOA, PTR, NS, etc…)
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
DNS service
Oltre i file di zona, esiste un file di configurazione che il demone legge all’avvio.
/etc/named.conf
Qui si impostano tutte le opzioni delle zone autoritative tra cui la sicurezza e l’interoperabilità con altri DNS.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
SMTP service
Alcuni numeri di Qmail (server SMTP) :
3 = esempi di large company che utilizzano qmail: Yahoo!! Xoom Hotmail
1996 = anno di nascita di qmail;
1998 = ultima release rilasciata dallo sviluppatore di qmail, la versione 1.03, e da allora è rimasta la stessa
1000$ = premio per chi riesce a trovare un bug in qmail (risulta tutt’ora non riscosso)
100.000 = email che riesce a gestire al giorno, su un PC 486;
700.000 = qmail server in in oltre 90 paesi.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
SMTP service
Fattori principali di Qmail:
Utenti virtuali
Relay controllato
Sicurezza
Funzionalità aggiuntive…
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
SMTP servicevpopmail
Migra e gestisce gli utenti di sistema in utenti virtuali per qmailucspi- tcp
Implementa l’utility TCPSERVER, che attende le connessioni in entrata al servercourier-imap
E' un’utility basato appunto sull’imap che permette ad un client di gestire la posta direttamente nel server
Squirrelmail
SquirrelMail è una interfaccia grafica scritta in php4 per implementare la funzionalità di webmail
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
SMTP service
Sicurezza in Qmail:
Convergenza del server di posta sull’ambiente sicuro
Interoperabilità tra i vari servers
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
FTP servicesWu-ftpd
Grazie al servizio ftp gli utenti corporate possono collegarsi al server, nella propria document root per inserire o modificare le proprie pagine Web; Attraverso OpenSSL abbiamo implementato la funzionalità di FTPs, cioè ftp sicuro.
DatabaseMySql
Installato su un server dedicato È in grado di soddisfare le richiesta da parte
delle pagine web.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Gli obiettivi raggiunti:
Lavoro di gruppo Brainstorming Lavorare per progetti Risoluzione dei problemi Troubleshooting costante Capacità di ricerca Conoscenze
… e ….……..LINUX (odiato da chi non lo sa utilizzare)
Conclusions
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003
Fabrizio Biscossi di CPI Progetti
Il Centro ELIS e…
voi per l’attenzione!!!
Special Thanks to