Milano 21 Novembre 2002 LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Cassa di Risparmio di Ravenna Roberto Pezzi soluzioni open source nel mondo bancario CASSA DI RISPARMIO DI RAVENNA S.p.A. - 63 sportelli presenti nel territorio delle province di Ravenna, Forlì-Cesena e Bologna - 522 dipendenti - raccolta complessiva 3.405 milioni di Euro - impieghi globali 1.406 milioni di Euro LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE GRUPPO BANCARIO CASSA DI RISPARMIO DI RAVENNA S.p.A. Composto da: Banca di Imola S.p.A. So.Ri.T. Ravenna S.p.A. SO.FI.BA.R. S.p.A. 94 sportelli con 812 dipendenti Raccolta complessiva 4.770 milioni di Euro Impieghi globali 1.781 milioni di Euro LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Obiettivi del progetto opensource Bassi costi di licensing. Bassa dipendenza dall’evoluzione delle release del sw e dai conseguenti necessari upgrade. Migliori prestazioni del software a parità di hardware. Ottima stabilità e bassa manutenzione delle soluzioni nel tempo. Creazione di skill interna sull’ambiente Linux a scopo amministrazione dei sistemi. Il tutto con i massimi standard di SICUREZZA. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Sommario delle soluzioni - Connettività Internet Firewall-Proxy con doppio upstream - Server e-mail e groupware per rete delle filiali Lotus Domino con Internet Cluster Manager - Security: Intrusion Detection System - Soluzioni di Network management (Nagios+Smokeping) - Soluzione per Dial-In Server - Software di telecontrollo VNC LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Soluzione per connettività Internet Obiettivo: alta affidabilità e alte prestazioni della connessione a Internet; barriera antivirus, caching e logging; gestione degli accessi tramite ACL Soluzione: - connessione Internet tramite 2 distinti ISP, di livello paritetico, con load balancing del carico. - installazione di 2 distinti proxy /firewall /antivirus server - accesso all’esterno tramite un terzo FW/Proxy connesso alla Lan. - uso delle ACL (stessi utenti e password del dominio Windows). LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE FW/Proxy con doppio upstream La soluzione permette di bilanciare sulle 2 connessioni Internet il traffico della navigazione, tenendo centralizzata (sul terzo proxy interno) una sofisticata configurazione degli accessi in rapporto agli utenti della rete (ACL) 1. il client richiede al proxy interno una pagina html o un file tramite Ftp da un sito Internet 2. le ACL sul proxy interno decidono se si può soddisfare la richiesta 3. il proxy interno si collega in upstream ad uno dei due proxy in DMZ, che la gira all’antivirus, il quale soddisfa la richiesta LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Situazione preesistente Provider 1 ISP Provider 2 ISP XTRA ISP 2 ROUTER + NAT Win32 client per servizi finanziari FIREWALL ISP 2 ANTIVIRUS HTTP/FTP PROXY SOCKS DMZ Http/Ftp Proxy Win32 client LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Attivazione load balancing, antivirus, socks Provider 1 ISP Provider 2 ISP XTRA ISP 1 XTRA ISP 2 FIREWALL ISP 1 ANTIVIRUS HTTP/FTP PROXY SOCKS FIREWALL ISP 2 ANTIVIRUS HTTP/FTP PROXY SOCKS DMZ upstream Win32 client per servizi finanziari Socks Proxy PROXY with ACL upstream Http/Ftp Proxy Win32 client LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Attivazione ACL su Dominio NT Provider 1 ISP Provider 2 ISP XTRA ISP 1 XTRA ISP 2 FIREWALL ISP 1 ANTIVIRUS HTTP/FTP PROXY SOCKS FIREWALL ISP 2 ANTIVIRUS HTTP/FTP PROXY SOCKS DMZ PROXY with ACL Win32 client per servizi finanziari SMBAUTH Http/Ftp Proxy Windows DOMAIN CTRL Win32 client LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Scelta del Software Per il proxy server, caching e logging degli accessi (su macchine ISP1 e ISP2) - Linux + Squid Per il firewall: - Linux + scripting in Perl Per il controllo antivirus: - Trend Micro InterScan VirusWall per Linux LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Sicurezza della soluzione - I due proxy esterni sono posti sulla DMZ e montano, oltre al sw Squid, che svolge la funzione di proxy, anche l’antivirus Trend Micro VirusWall. - Le richieste degli utenti vengono fatte al proxy interno PROXY, il quale dopo controllo della ACL le “gira” a ISP1 e ISP2; a loro volta questi girano la richiesta al software antivirus, che agisce da filtro contro i malicious codes. - Su ISP1 e ISP2 il software Squid riceve le pagine o i file richiesti a valle del controllo dell’antivirus. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Web Clustering Lotus Domino (ICM) (ICM: Internet Cluster Manager) Obiettivo: Soluzione ad alta affidabilità e bassi costi di manutenzione per servizi di e-mail e groupware Lotus Domino/Notes agli utenti di filiale (63 filiali per circa 350 utenti). Soluzione: - servizi web per posta e applicazioni tramite installazione sulla intranet di un server dedicato Domino 5.0 su Linux e sua esposizione alle filiali sulla frame relay; - server in cluster Hw/Sw con Lotus ICM per load balancing e gestione del failover di uno dei due nodi. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Schema del web mail server LINUX LINUX Trend Micro ScanMail for Lotus Notes Trend Micro ScanMail for Lotus Notes DOMINO SERVER IN CLUSTER - NODO A - DOMINO SERVER IN CLUSTER - NODO B - WEB SERVER + ICM WEB SERVER DOMINO WEB CLUSTER INTRANET Router Router WAN / FRAME RELAY Router FILIALE 1 FILIALE 2 CLIENT CLIENT LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Funzioni del web server ICM I client di filiale accedono alla casella di posta Lotus Notes, ad agenda, rubrica e applicazioni di groupware e produttività senza avere a bordo alcun software dedicato, tramite un browser web e il protocollo http. Il doppio server Linux su cui è basato il cluster Domino garantisce elevate prestazione e affidabilità 24x7 Il traffico da e verso il cluster e' gestito dal modulo ICM, che riceve le richieste degli utenti, fa da redirector delle sessioni http e si occupa del load balancing delle sessioni. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Il cluster Lotus Domino La configurazione cluster di Lotus Domino è a livello applicativo e garantisce agli utenti il servizio e lo storage dei dati in caso di down HW o SW di uno dei nodi. Anche in caso di down della macchina ICM, il servizio non subisce interruzioni; il nodo primario del cluster Linux/Domino si incarica di gestire tutte le richieste. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Sistema anti-intrusione IDS: Intrusion Detection System Per individuare e controllare eventuali attacchi informatici alle rete perimetrale e' stata studiata per la Banca una soluzione particolare. Installazione di server “bersagli”, collocati sulla rete esposta, a bassa protezione, che attirino e sviino eventuali attacchi, permettendo anche di capire la strategia dell’attaccante e studiare eventuali contromisure (honeypotting) LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Schema del sistema IDS LINUX + SNORT potenziali attaccanti VMWare VM VM Internet VM ROUTER server bersaglio virtuali RETE ESPOSTA LINUX FIREWALL DMZ LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Tecnica usata per IDS Il server che ospita il sistema è una “Linux box”, senza servizi di alcun genere. Su detto server e' in esecuzione il sw VMWare per Linux, che permette di installare su un solo hw diverse “macchine virtuali” con diversi sistemi operativi. Sono quindi installati diversi server “virtuali” dotati di sistemi operativi vari, non perfettamente aggiornati e facili da attaccare. Questi server sono delle semplici esche, in quanto non hanno nulla di critico e sono rimpiazzabili al volo in caso di “corruzione". LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Monitoraggio delle intrusioni Sul sistema Linux di base è installato SNORT. (The Open Source Network Intrusion Detection System; www.snort.org). La funzione di Snort e' quella di controllare il traffico di rete che arriva alle macchine virtuali, quindi segnalare eventuali anomalie tramite email. La possibilità di “congelare” l’esecuzione di una macchina virtuale consente di raccogliere documenti e prove a valore legale. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE
Scarica
