Project Work

Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003

Project Work

Realizzato da: Vittorio

RandazzoAngelo LigorioGiuseppe

ContinoGianluca Bellu

In collaborazione con

Fabrizio Biscossi – System Administrator di CPI Progetti


Agenda • Contents• Topology

• Natter-Firewall-Proxy• WEB-DNS-SMTP-FTP services • Database• Conclusions


Contents

Il progetto consiste nella realizzazione di un ambiente server sicuro utilizzando il software Open Source

Linux.

L’ambiente server è composto da: un sistema per la gestione della posta elettronica un sistema per la gestione di siti web con l’utilizzo di un database un sistema per l’attività di caching degli accessi ad internet un sistema per la gestione della sicurezza della rete tra server


Contents

L’implementazione del progetto ha seguito il seguente project plan:

Analisi dei requisiti

Definizione degli obbiettivi

Definizione delle risorse disponibili

Brainstorming sulle possibili soluzioni

Individuazione della soluzione migliore

Divisione e assegnazione dei compiti

Analisi avanzamento lavori (riunioni,etc..)

Testing


In complesso il sistema deve essere in grado di soddisfare i clients della rete interna garantendo:

l’accesso ad internet servizio DNS servizio di posta elettronica.

Inoltre deve essere in grado di offrire ai clienti Corporate:

spazio web in grado di interagire con Database spazio ftp caselle E-mail

Tutti i servizi sono stati distribuiti su tre servers

Contents


Topology


L'attraversamento dei pacchetti tra un'interfaccia e l'altra è controllato dalla funzionalità di forwarding-gatewaying, che abbiamo abilitato attraverso un comando:# echo 1 > /proc/sys/net/ipv4/ip_forward

1) Soddisfare le richieste HTTP ed FTP che arrivavano al Server di frontiera reindirizzandole verso il server di competenza (DNAT)# iptables -A PREROUTING –t nat –p tcp –d 10.50.2.222 –-dport 80 –j DNAT --to 192.168.2.4:80

2) Cambiare l’IP sorgente ai pacchetti in uscita (SNAT)# iptables -A POSTROUTING –t nat –o eth0 –j SNAT –to 10.50.2.222

Natter


Politica di base:“Tutto quello che non è esplicitamente pemesso è

negato”

Inizialmente scartare tutti i pacchetti che si presentano sulla interfacce di rete:

– # iptables -P INPUT DROP– # iptables -P OUTPUT DROP– # iptables -P FORWARD DROP

Firewall


Controllare il passaggio dei pacchetti in transito:

I caso: richiesta HTTP dall’esterno

# iptables –A FORWARD –p tcp –d 192.168.2.3 –s 0.0.0.0/0 –dport 80 –j ACCEPT

# iptables –A FORWARD –p tcp –d 0.0.0.0/0 –s 192.168.2.3 –sport 80 –j ACCEPT

Questo è stato fatto per tutte le porte utilizzate dai servizi.

In questo modo i pacchetti non arrivano al livello 7 della pila osi e non sono soddisfatti dal proxy.

Firewall


Richieste dall’interno:

II caso: richiesta http dall’interno discrimando una fetta di utenti

• # iptables –A INPUT –p tcp –d 192.168.2.3 –s 192.168.2.0/24 –dport 8080 –j ACCEPT

• # iptables –A INPUT –p tcp –d 0.0.0.0/0 –s 10.50.2.222 –sport 8080 –j ACCEPT

• # iptables –A OUTPUT –p tcp –s 10.50.2.222 –d 0.0.0.0/24 –dport 8080 –j ACCEPT

• # iptables –A OUTPUT –p tcp –s 192.168.2.3 –d 192.168.2.0/24 –sport 8080 –j ACCEPT

In questo modo il pacchetto arriva a livello 7 e viene soddisfatto dal Proxy SQUID

Firewall


Squid

Il server proxy è stato configurato per permettere di fare il Caching delle pagine web visitate;

Quello da noi utilizzato è il proxy squid, che può essere installato tramite pacchetti rpm, e poi può essere configurato, per certi aspetti, tramite il file /etc/squid/squid e per altri aspetti con il tool grafico SquidGard.

Proxy


WEB service

Apache (server WEB)

Sviluppato partendo dal server NCSA nel 1994

Disponibilità del codice sorgente

Portabilità: supporto dei SO Linux, Unix, Windows, OS/2, …

Architettura modulare

Nucleo molto piccolo che realizza le funzioni base

Possibilità di estendere le funzionalità mediante moduli

Efficienza, flessibilità

Stabilitè ed affidabilità


I comandi principali sono: start, stop, restart e reload

Il servizio HTTP è fornito dal demone httpd

I file di configurazione vengono letti al momento dell’avvio di httpd

Due modalità di funzionamento:

Avviato direttamente dal sistema di inizializzazione (init)

Controllato da inetd

WEB - Servizio HTTP


Il Virtual hosting, più Web server eseguiti su di un singolo nodo (ossia più siti web ospitati su di un singolo nodo: Web hosting)

WEB – Virtual Hosting


Per rendere sicure le comunicazioni su internet viene utilizzato il protocollo Secure Sockets Layer (SSL)

•Mod_ssl, è un modulo per la sicurezza di Apache è utilizza i tool di OpenSSL

•OpenSSL, include un toolkit che implementa i protocolli SSL e TLS

Per rendere sicuro il server bisogna creare una chiave e un certificato (rilasciato dalla CA o self-signed)

WEB - Sicurezza e certificati


DNS service

Bind (server DNS)

Il DNS (Domain Name System) permette di risolvere i nomi delle macchine presenti nella rete in indirizzi ip.

Il demone named gestisce tutte le query di risoluzione che gli arrivano.Il nostro dominio è:

projectwork.it


DNS service

Bind lavora in base a delle zone autoritative che vengono implementate in questo modo:

Logica di zona – projectwork.it > 192.168.2.4

Logica di reverse zone – 192.168.2.4 > projectwork.it

Per ogni zona esiste un file che ne specifica tutti i parametri (TTL, retry, refresh, SOA, PTR, NS, etc…)


DNS service

Oltre i file di zona, esiste un file di configurazione che il demone legge all’avvio.

/etc/named.conf

Qui si impostano tutte le opzioni delle zone autoritative tra cui la sicurezza e l’interoperabilità con altri DNS.


SMTP service

Alcuni numeri di Qmail (server SMTP) :

3 = esempi di large company che utilizzano qmail: Yahoo!! Xoom Hotmail

1996 = anno di nascita di qmail;

1998 = ultima release rilasciata dallo sviluppatore di qmail, la versione 1.03, e da allora è rimasta la stessa

1000$ = premio per chi riesce a trovare un bug in qmail (risulta tutt’ora non riscosso)

100.000 = email che riesce a gestire al giorno, su un PC 486;

700.000 = qmail server in in oltre 90 paesi.


SMTP service

Fattori principali di Qmail:

Utenti virtuali

Relay controllato

Sicurezza

Funzionalità aggiuntive…


SMTP servicevpopmail

Migra e gestisce gli utenti di sistema in utenti virtuali per qmailucspi- tcp

Implementa l’utility TCPSERVER, che attende le connessioni in entrata al servercourier-imap

E' un’utility basato appunto sull’imap che permette ad un client di gestire la posta direttamente nel server

Squirrelmail

SquirrelMail è una interfaccia grafica scritta in php4 per implementare la funzionalità di webmail


SMTP service

Sicurezza in Qmail:

Convergenza del server di posta sull’ambiente sicuro

Interoperabilità tra i vari servers


FTP servicesWu-ftpd

Grazie al servizio ftp gli utenti corporate possono collegarsi al server, nella propria document root per inserire o modificare le proprie pagine Web; Attraverso OpenSSL abbiamo implementato la funzionalità di FTPs, cioè ftp sicuro.

DatabaseMySql

Installato su un server dedicato È in grado di soddisfare le richiesta da parte

delle pagine web.


Gli obiettivi raggiunti:

Lavoro di gruppo Brainstorming Lavorare per progetti Risoluzione dei problemi Troubleshooting costante Capacità di ricerca Conoscenze

… e ….……..LINUX (odiato da chi non lo sa utilizzare)

Conclusions


Fabrizio Biscossi di CPI Progetti

Il Centro ELIS e…

voi per l’attenzione!!!

Special Thanks to

Date post:	04-Jan-2016
Category:	Documents
Upload:	locke
View:	41 times
Download:	1 times

Project Work

Documents