Introduzione divulgativa
Intervento a cura di
Gabriele Biondo
per
Beer OpenBSD Group
webbit04
OpenBSD – Un’esposizione divulgativa
whoami
Gabriele Biondo ([email protected])
• Collaboratore tecnico con varie Facoltà dell’Università di Bologna
• Formatore per il Fondo Sociale Europeo
• Collaboro con OpenBEER (OpenBSD Italian User Group)
• Certificato ISECOM OPST
Mi interesso principalmente di:
• Firewalling
• Modelli matematici ed ottimizzazione di algoritmi
• Programmazione in Perl e C
webbit04
OpenBSD – Un’esposizione divulgativa
OpenBSD è uno UNIX OpenSource, basato sulla piattaforma BSD 4.4.
Le caratteristiche fondamentali del sistema vanno individuate in:
• stabilità
• portabilità
• compatibilità con i binari di linux, solaris, HPUX e gli *NIX più diffusi
• sicurezza proattiva
• crittografia integrata
La cura nella progettazione, che non è mossa da fini commerciali, ha reso
possibile il verificarsi della circostanza:
Only one remote hole in the default install, in more than 8 years!
Immediato notare come la concomitanza di queste caratteristiche lo rendano
un sistema versatilissimo, ottimo sia come piattaforma per i server che come
piattaforma per i client.
webbit04
OpenBSD – Un’esposizione divulgativa
Lo scopo del progetto
Lo scopo del progetto OpenBSD è essere il n. 1 nel campo della sicurezza.
Il ciclo di sviluppo di un sistema parte dalla progettazione dello stesso, scelta di
un kernel, di pacchetti aggiuntivi, e di un eventuale installer:
webbit04
OpenBSD – Un’esposizione divulgativa
Una volta immessa una release sul mercato, gli utenti provvedono con auditing
e testing, basato più che altro sull’utilizzo del prodotto, piuttosto che sulla vera
e propria azione sistematica di test sulle vulnerabilità dei singoli programmi:
webbit04
OpenBSD – Un’esposizione divulgativa
Trovati i bug, “qualcuno”
provvede a scrivere delle
patch, che vengono
distribuite tramite gli usuali
canali.
webbit04
OpenBSD – Un’esposizione divulgativa
Questi pacchetti
patchati, o dei loro
discendenti, divengono
parte integrante della
successiva release.
webbit04
OpenBSD – Un’esposizione divulgativa
Il susseguirsi delle release di OpenBSD segue una filosofia differente. La
release definitiva è quella “più vecchia”, basata su pacchetti testati.
Parallelamente c’è una versione, detta “current”, che incorpora i nuovi
pacchetti. Non è però una versione “ufficiale” – è una versione di test, che, in
generale, risulta abbastanza stabile.
webbit04
OpenBSD – Un’esposizione divulgativa
Crittografia Integrata
OpenBSD è un progetto nato e mantenuto in
Canada. Il Canada non è fortunatamente
soggetto alle leggi statunitensi, che vietano
l’esportazione di implementazioni di algoritmi di
crittografia forte, paragonandoli a vere e proprie
armi.
Le implicazioni tecniche di ciò comportano la possibilità di integrare
nativamente, senza dovere installare patch dubbie, algoritmi di crittografia
direttamente nel sistema.
OpenBSD è stato il primo sistema a montare uno stack IPsec, dalla release
2.1; dalla 2.6, invece, incorpora OpenSSH, una versione free e sicura di ssh.
Il rilassamento dei vincoli di crittografia ha altre profondissime implicazioni, che
vanno comunque oltre lo scopo di questa presentazione.
webbit04
OpenBSD – Un’esposizione divulgativa
Portabilità
OpenBSD discende da NetBSD (Theo De Raadt, il fondatore del progetto, era
originariamente uno sviluppatore NetBSD) – quest’ultimo sistema è
caratterizzato dalla portabilità, e questa peculiarità è stata ereditata anche da
OpenBSD.
OpenBSD gira su svariate piattaforme, quali:
Intel x86
Alpha
Macintosh (sia sui 68k che sui PPC)
Sun
HPUX
webbit04
OpenBSD – Un’esposizione divulgativa
Correttezza
Gli sviluppatori di OpenBSD seguono strettamente i principali standard UNIX,
quali ANSI e POSIX.
Nella community, c’è la ferrea regola di scrivere programmi in modo che siano
affidabili e corretti, seguendo le cd. “best practices” del tao della
programmazione. I programmi così scritti risultano più stabili, predicibili,
affidabili e sicuri.
Documentazione
Gli sviluppatori del progetto danno grande importanza alla documentazione del
progetto.
Le man pages contenute in ogni release sono veramente complete, esaustive
e chiare.
webbit04
OpenBSD – Un’esposizione divulgativa
Considerazioni su un’installazione
Prendiamo in considerazione una piattaforma Intel compatibile.
L’installazione è un processo guidato, abbastanza facile, una volta compreso il
meccanismo di fdisk e delle disklabels (un po’ differente da quello classico di
linux).
Mancano installer grafici – tipo quelli di alcune major distributions di Linux – ma
questa limitazione è ben presto superabile.
Nel corso delle release, la compatibilità con l’hardware è andata via via
crescendo – se una volta era quasi obbligatorio costruirsi una macchina
dedicata per il sistema, adesso si è quasi certi di potere avere un’installazione
sistemante senza modificare gli IRQ.
Le limitazioni sono le solite: winmodems, hardware “esoterico” e poco diffuso,
hardware di scarsa qualità.
webbit04
OpenBSD – Un’esposizione divulgativa
Trovare una release
Possibili soluzioni:
La soluzione principe, ed ovviamente consigliata, è quella di procurarsi una
suite di CD direttamente dal sito del progetto. Così facendo finanzierete il
progetto, ed avrete 3 stupendi cd, con una simpaticissima copertina, per circa
30 $.
La seconda soluzione è acquistare i CD prodotti da OpenBEER. Contengono il
mirror del sito FTP del progetto, opportunamente riorganizzato. Costo totale
operazione: 1 € a CD. Sosterrete lo user group italiano (oddio, è più gradita
una donazione, visto che con 1 € ci si fa poco )
Terza soluzione: scaricarsi l’immagine del CD o dei floppy di net install,
bruciarla su un supporto e procedere con l’installazione via rete. Necessaria
almeno un’ADSL.
webbit04
OpenBSD – Un’esposizione divulgativa
OpenBSD al lavoro:
Citiamo in seguito alcune situazioni che han fatto uso del sistema:
RICERCA ED UTENTI NON COMMERCIALI:
L’Azienda Ospedaliera "Carlo Poma" è l’istituzione sanitaria principale di Mantova, con sei
ospedali ed altri piccoli ambulatori. OpenBSD è stato scelto come bridging firewall tra la WAN
e l’ospedale centrale di Mantova.
INFN – Istituto Nazionale Fisica Nucleare di Firenze. OpenBSD viene utilizzato come DNS
e come packet filter.
Praha Institute of Chemical Technology: Questa struttura monta OpenBSD sui PC dello
staff e degli studenti; che è pure presente un secondary DNS ed un time server.
“Forcefield” art installation: Parte della gestione dell’audio e delle luci in Forcefield,
all’esibizione biennale del Whitney Museum of American Art a New York (2002) gira su
OpenBSD. La scelta è dovuta alla stabilità ed all’affidabilità.
La lista è ancora lunga: università, ospedali, centri di ricerca sparsi in
tutto il mondo fanno largo uso di OpenBSD. I motivi? Sempre i soliti:
affidabilità e robustezza.
webbit04
OpenBSD – Un’esposizione divulgativa
OpenBSD al lavoro:
UTENTI COMMERCIALI:
Adobe System -OpenBSD è stato scelto come firewall e come piattaforma di test per le reti.
Altheon Networks Produttori di hardware Ethernet a 1 Gigabit. Piattaforma di test e gateway
FSC Internet Corp.: è una grande ditta specializzata in Information Security ed Internet.
OpenBSD e la sua feature IPsec sono stati utilizzati per sviluppare una soluzione VPN per un
cliente di notevole calibro.
Learning Tree International: questa ditta di formazione, indipendente dai vendors, utilizza
OpenBSD e PF in molti corsi di sicurezza e di firewalling.
Fondo Sociale Europeo: OpenBSD viene insegnato nei corsi di sicurezza informatica
Anche in questo caso, la lista potrebbe essere allungata. I providers più
importanti nel mondo, per esempio, fanno un notevole affidamento su
OpenBSD. Ovviamente: un sistema sicuro per default non può non essere
stimato da professionisti che devono lavorare con delle macchine sicure
ed affidabili.
webbit04
OpenBSD – Un’esposizione divulgativa
Le novità introdotte
nella versione 3.5
webbit04
OpenBSD – Un’esposizione divulgativa
La versione 3.5 di OpenBSD ha introdotto alcune sostanziali modifiche:
Nuove architetture supportate
OpenBSD 3.5 supporta nativamente anche AMD 64, mvme88k e ARM cpu
Update di alcuni comandi di sistema
bc, dc, nm e size sono stati rimpiazzati con comandi equivalenti sotto licenza BSD
Update di PF
PF, il firewall nativo di OpenBSD è stato modificato profondamente:
•Il cambiamento dell’implementazione del sistema di regole porta una sostanziale
diminuzione della probabilità di finire in uno stato inconsistente
•Riduzione del 30% delle dimensioni delle tabelle
•Miglioramento sostanziale dell’interfaccia
•Prevenzione del problema dell’identificazione di una connessione remota come locale
webbit04
OpenBSD – Un’esposizione divulgativa
Nuove funzionalità
•spamd viene dotato della funzionalità di graylisting – un potente metodo per limitare il
problema dello spamming
•Viene aggiunto sensorsd per potere gestire sensori hardware
•Viene implementato CARP (Common Address Redundancy Protocol)
•OpenSSH 3.8.1
Miglioramento delle performance – maggiore compatibilità
•Nei socket lookup: con 10000 socket, la 3.5 è più veloce di circa 100 volte rispetto alla
precedente
•TCP SYN cache: il costo in termini di memoria delle connessioni IP mezze aperte viene
ridotto sensibilmente
•Miglioramenti sensibili nell’implementazione di OpenSSL (incremento prestazionale fino al
100% per md5. sha1, blowfish…
•Migliorato il supporto per:
•Hard Disk ATA-SATA
•Gigabit Ethernet
•USB Flash
webbit04
OpenBSD – Un’esposizione divulgativa
Software e pacchetti
XFree86 4.4.0
Gcc 2.95.3 (+ patches) e 3.3.2 (+ patches)
Perl 5.8.2 (+ patches)
Apache 1.3.29, mod_ssl 2.8.16, DSO support (+ patches)
OpenSSL 0.9.7c (+ patches)
Groff 1.15
Sendmail 8.12.11
Bind 9.2.3 (+ patches)
Lynx 2.8.4rel.1 con supporto HTTPS ed IPv6 (+ patches)
Sudo 1.6.7p5
Ncurses 5.2
Latest KAME IPv6
Heimdal 0.6rc1 (+ patches)
Arla-current
webbit04
OpenBSD – Un’esposizione divulgativa
RISORSE
Il sito ufficiale del progetto:
http://www.openbsd.org
Il sito di OpenBEER
http://www.openbeer.it
I-Nfinity
http://www.i-nfinity.com
OpenBSD Journal
http://www.deadly.org
webbit04
OpenBSD – Un’esposizione divulgativa
CONTATTI
Disponibilità per corsi, consulenze e progetti:
[email protected]
+39 348 22 37 500
webbit04
OpenBSD – Un’esposizione divulgativa
RINGRAZIAMENTI
Matteo Cantoni – aka goony //con la minuscola
Ilary Airoldy – Quant’è piccolo il mondo, vero?
Franco Farnedi e Iacopo Cacciaguerra di Proxima Solutions, Rimini
Massimo Piccioni – per qualche drink foriero di ispirazioni
Ultima, ma non per importanza
Elena – per avere reso possibile un sogno
webbit04