Project Work
Realizzato
In collaborazione
da: con
Vittorio
Angelo Ligorio
Fabrizio Biscossi – System Administrator di CPI Progetti
Randazzo Giuseppe Contino
Gianluca Bellu
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Agenda
Contents
• Topology
• Natter-Firewall-Proxy
• WEB-DNS-SMTP-FTP services
• Database
• Conclusions
•
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Contents
Il progetto consiste nella realizzazione di un ambiente server sicuro
utilizzando il software Open Source Linux.
L’ambiente server è composto da:
 un sistema per la gestione della posta elettronica
 un sistema per la gestione di siti web con l’utilizzo di un database
 un sistema per l’attività di caching degli accessi ad internet
 un sistema per la gestione della sicurezza della rete tra server
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Contents
L’implementazione del progetto ha seguito il seguente project plan:
 Analisi dei requisiti
 Definizione degli obbiettivi
 Definizione delle risorse disponibili
 Brainstorming sulle possibili soluzioni
 Individuazione della soluzione migliore
 Divisione e assegnazione dei compiti
 Analisi avanzamento lavori (riunioni,etc..)
Testing
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Contents
In complesso il sistema deve essere in grado di soddisfare i clients della
rete interna garantendo:
 l’accesso ad internet
 servizio DNS
 servizio di posta elettronica.
Inoltre deve essere in grado di offrire ai clienti Corporate:
 spazio web in grado di interagire con Database
 spazio ftp
 caselle E-mail
Tutti i servizi sono stati distribuiti su tre servers
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Topology
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Natter
L'attraversamento dei pacchetti tra un'interfaccia e l'altra è controllato
dalla funzionalità di forwarding-gatewaying, che abbiamo abilitato
attraverso un comando:
# echo 1 > /proc/sys/net/ipv4/ip_forward
1) Soddisfare le richieste HTTP ed FTP che arrivavano al Server di
frontiera reindirizzandole verso il server di competenza (DNAT)
# iptables -A PREROUTING –t nat –p tcp –d 10.50.2.222 –-dport 80 –j
DNAT --to 192.168.2.4:80
2) Cambiare l’IP sorgente ai pacchetti in uscita (SNAT)
# iptables -A POSTROUTING –t nat –o eth0 –j SNAT –to 10.50.2.222
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Firewall
Politica di base:
“Tutto quello che non è esplicitamente pemesso è negato”
Inizialmente scartare tutti i pacchetti che si presentano sulla interfacce di rete:
– # iptables -P INPUT DROP
– # iptables -P OUTPUT DROP
– # iptables -P FORWARD DROP
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Firewall
Controllare il passaggio dei pacchetti in transito:
I caso: richiesta HTTP dall’esterno
# iptables –A FORWARD –p tcp –d 192.168.2.3 –s 0.0.0.0/0 –dport 80 –j ACCEPT
# iptables –A FORWARD –p tcp –d 0.0.0.0/0 –s 192.168.2.3 –sport 80 –j ACCEPT
Questo è stato fatto per tutte le porte utilizzate dai servizi.
In questo modo i pacchetti non arrivano al livello 7 della pila osi e non sono
soddisfatti dal proxy.
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Firewall
Richieste dall’interno:
II caso: richiesta http dall’interno discrimando una fetta di utenti
•
# iptables –A INPUT –p tcp –d 192.168.2.3 –s 192.168.2.0/24 –dport 8080 –j ACCEPT
•
# iptables –A INPUT –p tcp –d 0.0.0.0/0 –s 10.50.2.222 –sport 8080 –j ACCEPT
•
# iptables –A OUTPUT –p tcp –s 10.50.2.222 –d 0.0.0.0/24 –dport 8080 –j ACCEPT
•
# iptables –A OUTPUT –p tcp –s 192.168.2.3 –d 192.168.2.0/24 –sport 8080 –j ACCEPT
In questo modo il pacchetto arriva a livello 7 e viene soddisfatto dal Proxy SQUID
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Proxy
Squid
Il server proxy è stato configurato per permettere di fare il Caching delle pagine
web visitate;
Quello da noi utilizzato è il proxy squid, che può essere installato tramite
pacchetti rpm, e poi può essere configurato, per certi aspetti, tramite il file
/etc/squid/squid e per altri aspetti con il tool grafico SquidGard.
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
WEB service
Apache (server WEB)
 Sviluppato partendo dal server NCSA nel 1994
 Disponibilità del codice sorgente
 Portabilità: supporto dei SO Linux, Unix, Windows, OS/2, …
 Architettura modulare
 Nucleo molto piccolo che realizza le funzioni base
 Possibilità di estendere le funzionalità mediante moduli
 Efficienza, flessibilità
 Stabilitè ed affidabilità
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
WEB - Servizio HTTP
 Il servizio HTTP è fornito dal demone httpd
 I file di configurazione vengono letti al momento dell’avvio di
httpd
 Due modalità di funzionamento:
 Avviato direttamente dal sistema di inizializzazione (init)
 Controllato da inetd
I comandi principali sono: start, stop, restart e reload
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
WEB – Virtual Hosting
Il Virtual hosting, più Web server eseguiti su di un singolo nodo (ossia più
siti web ospitati su di un singolo nodo: Web hosting)
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
WEB - Sicurezza e certificati
Per rendere sicure le comunicazioni su internet viene utilizzato il
protocollo Secure Sockets Layer (SSL)
•Mod_ssl, è un modulo per la sicurezza di Apache è utilizza i tool di
OpenSSL
•OpenSSL, include un toolkit che implementa i protocolli SSL e TLS
Per rendere sicuro il server bisogna creare una chiave e un certificato
(rilasciato dalla CA o self-signed)
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
DNS service
Bind (server DNS)
Il DNS (Domain Name System) permette di risolvere i nomi delle
macchine presenti nella rete in indirizzi ip.
Il demone named gestisce tutte le query di risoluzione che gli arrivano.
Il nostro dominio è:
projectwork.it
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
DNS service
Bind lavora in base a delle zone autoritative che vengono implementate
in questo modo:
Logica di zona – projectwork.it > 192.168.2.4
Logica di reverse zone – 192.168.2.4 > projectwork.it
Per ogni zona esiste un file che ne specifica tutti i parametri (TTL, retry,
refresh, SOA, PTR, NS, etc…)
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
DNS service
Oltre i file di zona, esiste un file di configurazione che il demone legge
all’avvio.
/etc/named.conf
Qui si impostano tutte le opzioni delle zone autoritative tra cui la
sicurezza e l’interoperabilità con altri DNS.
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
SMTP service
Alcuni numeri di Qmail
(server SMTP) :
 3 = esempi di large company che utilizzano qmail:
Yahoo!!
Xoom
Hotmail
 1996 = anno di nascita di qmail;
 1998 = ultima release rilasciata dallo sviluppatore di qmail,
la versione 1.03, e da allora è rimasta la stessa
 1000$ = premio per chi riesce a trovare un bug in qmail
(risulta tutt’ora non riscosso)
 100.000 = email che riesce a gestire al giorno, su un PC 486;
 700.000 = qmail server in in oltre 90 paesi.
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
SMTP service
Fattori principali di Qmail:
 Utenti virtuali
 Relay controllato
 Sicurezza
 Funzionalità aggiuntive…
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
SMTP service
vpopmail
Migra e gestisce gli utenti di sistema
in utenti virtuali per qmail
ucspi- tcp
Implementa l’utility TCPSERVER, che
attende le connessioni in entrata al
server
courier-imap
Squirrelmail
SquirrelMail è una interfaccia grafica
scritta in php4 per implementare la
funzionalità di webmail
Roma, 28/03/2003
E' un’utility basato appunto sull’imap
che permette ad un client di gestire la
posta direttamente nel server
Telecommunication Manager edizione 2002/2003
SMTP service
Sicurezza in Qmail:
 Convergenza del server di posta sull’ambiente sicuro
 Interoperabilità tra i vari servers
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
FTP services
Wu-ftpd
Grazie al servizio ftp gli utenti corporate possono collegarsi al server,
nella propria document root per inserire o modificare le proprie pagine
Web;
 Attraverso OpenSSL abbiamo implementato la funzionalità di FTPs, cioè
ftp sicuro.
Database
MySql
 Installato su un server dedicato
 È in grado di soddisfare le richiesta da parte delle pagine
web.
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Conclusions
Gli obiettivi raggiunti:







Lavoro di gruppo
Brainstorming
Lavorare per progetti
Risoluzione dei problemi
Troubleshooting costante
Capacità di ricerca
Conoscenze
… e ….
……..LINUX (odiato da chi non lo sa utilizzare)
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Special Thanks to
Fabrizio Biscossi di CPI Progetti
Il Centro ELIS e…
voi per l’attenzione!!!
Roma, 28/03/2003
Telecommunication Manager edizione 2002/2003
Scarica
  1. No category

Roma, 28/03/2003