1 / 25

Project Work

Project Work. Realizzato da:. In collaborazione con. Vittorio Randazzo. Angelo Ligorio. Fabrizio Biscossi – System Administrator di CPI Progetti. Giuseppe Contino. Gianluca Bellu. Agenda. Contents Topology Natter-Firewall-Proxy WEB-DNS-SMTP-FTP services Database Conclusions.

locke
Download Presentation

Project Work

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Project Work Realizzato da: In collaborazione con Vittorio Randazzo Angelo Ligorio Fabrizio Biscossi – System Administrator di CPI Progetti Giuseppe Contino Gianluca Bellu Telecommunication Manager edizione 2002/2003

  2. Agenda • Contents • Topology • Natter-Firewall-Proxy • WEB-DNS-SMTP-FTP services • Database • Conclusions Telecommunication Manager edizione 2002/2003

  3. Contents • Il progetto consiste nella realizzazione di un ambiente server sicuro utilizzando il software Open Source Linux. • L’ambiente server è composto da: • un sistema per la gestione della posta elettronica • un sistema per la gestione di siti web con l’utilizzo di un database • un sistema per l’attività di caching degli accessi ad internet • un sistema per la gestione della sicurezza della rete tra server Telecommunication Manager edizione 2002/2003

  4. Contents • L’implementazione del progetto ha seguito il seguente project plan: • Analisi dei requisiti • Definizione degli obbiettivi • Definizione delle risorse disponibili • Brainstorming sulle possibili soluzioni • Individuazione della soluzione migliore • Divisione e assegnazione dei compiti • Analisi avanzamento lavori (riunioni,etc..) • Testing Telecommunication Manager edizione 2002/2003

  5. Contents • In complesso il sistema deve essere in grado di soddisfare i clients della rete interna garantendo: • l’accesso ad internet • servizio DNS • servizio di posta elettronica. • Inoltre deve essere in grado di offrire ai clienti Corporate: • spazio web in grado di interagire con Database • spazio ftp • caselle E-mail • Tutti i servizi sono stati distribuiti su tre servers Telecommunication Manager edizione 2002/2003

  6. Topology Telecommunication Manager edizione 2002/2003

  7. Natter L'attraversamento dei pacchetti tra un'interfaccia e l'altra è controllato dalla funzionalità di forwarding-gatewaying, che abbiamo abilitato attraverso un comando: # echo 1 > /proc/sys/net/ipv4/ip_forward 1) Soddisfare le richieste HTTP ed FTP che arrivavano al Server di frontiera reindirizzandole verso il server di competenza (DNAT) # iptables -A PREROUTING –t nat –p tcp –d 10.50.2.222 –-dport 80 –j DNAT --to 192.168.2.4:80 2) Cambiare l’IP sorgente ai pacchetti in uscita (SNAT) # iptables -A POSTROUTING –t nat –o eth0 –j SNAT –to 10.50.2.222 Telecommunication Manager edizione 2002/2003

  8. Firewall Politica di base: “Tutto quello che non è esplicitamente pemesso è negato” Inizialmente scartare tutti i pacchetti che si presentano sulla interfacce di rete: • # iptables -P INPUT DROP • # iptables -P OUTPUT DROP • # iptables -P FORWARD DROP Telecommunication Manager edizione 2002/2003

  9. Firewall Controllare il passaggio dei pacchetti in transito: I caso: richiesta HTTP dall’esterno # iptables –A FORWARD –p tcp –d 192.168.2.3 –s 0.0.0.0/0 –dport 80 –j ACCEPT # iptables –A FORWARD –p tcp –d 0.0.0.0/0 –s 192.168.2.3 –sport 80 –j ACCEPT Questo è stato fatto per tutte le porte utilizzate dai servizi. In questo modo i pacchetti non arrivano al livello 7 della pila osi e non sono soddisfatti dal proxy. Telecommunication Manager edizione 2002/2003

  10. Firewall Richieste dall’interno: II caso: richiesta http dall’interno discrimando una fetta di utenti • # iptables –A INPUT –p tcp –d 192.168.2.3 –s 192.168.2.0/24 –dport 8080 –j ACCEPT • # iptables –A INPUT –p tcp –d 0.0.0.0/0 –s 10.50.2.222 –sport 8080 –j ACCEPT • # iptables –A OUTPUT –p tcp –s 10.50.2.222 –d 0.0.0.0/24 –dport 8080 –j ACCEPT • # iptables –A OUTPUT –p tcp –s 192.168.2.3 –d 192.168.2.0/24 –sport 8080 –j ACCEPT In questo modo il pacchetto arriva a livello 7 e viene soddisfatto dal Proxy SQUID Telecommunication Manager edizione 2002/2003

  11. Proxy Squid Il server proxy è stato configurato per permettere di fare il Caching delle pagine web visitate; Quello da noi utilizzato è il proxy squid, che può essere installato tramite pacchetti rpm, e poi può essere configurato, per certi aspetti, tramite il file /etc/squid/squid e per altri aspetti con il tool grafico SquidGard. Telecommunication Manager edizione 2002/2003

  12. WEB service • Apache (server WEB) • Sviluppato partendo dal server NCSA nel 1994 • Disponibilità del codice sorgente • Portabilità: supporto dei SO Linux, Unix, Windows, OS/2, … • Architettura modulare • Nucleo molto piccolo che realizza le funzioni base • Possibilità di estendere le funzionalità mediante moduli • Efficienza, flessibilità • Stabilitè ed affidabilità Telecommunication Manager edizione 2002/2003

  13. WEB - Servizio HTTP • Il servizio HTTP è fornito dal demone httpd • I file di configurazione vengono letti al momento dell’avvio di httpd • Due modalità di funzionamento: • Avviato direttamente dal sistema di inizializzazione (init) • Controllato da inetd I comandi principali sono: start, stop, restart e reload Telecommunication Manager edizione 2002/2003

  14. WEB – Virtual Hosting Il Virtual hosting, più Web server eseguiti su di un singolo nodo (ossia più siti web ospitati su di un singolo nodo: Web hosting) Telecommunication Manager edizione 2002/2003

  15. WEB - Sicurezza e certificati • Per rendere sicure le comunicazioni su internet viene utilizzato il protocollo Secure Sockets Layer (SSL) • Mod_ssl, è un modulo per la sicurezza di Apache è utilizza i tool di OpenSSL • OpenSSL, include un toolkit che implementa i protocolli SSL e TLS • Per rendere sicuro il server bisogna creare una chiave e un certificato (rilasciato dalla CA o self-signed) Telecommunication Manager edizione 2002/2003

  16. DNS service Bind (server DNS) Il DNS (Domain Name System) permette di risolvere i nomi delle macchine presenti nella rete in indirizzi ip. Il demone named gestisce tutte le query di risoluzione che gli arrivano. Il nostro dominio è: projectwork.it Telecommunication Manager edizione 2002/2003

  17. DNS service Bind lavora in base a delle zone autoritative che vengono implementate in questo modo: Logica di zona – projectwork.it > 192.168.2.4 Logica di reverse zone – 192.168.2.4 > projectwork.it Per ogni zona esiste un file che ne specifica tutti i parametri (TTL, retry, refresh, SOA, PTR, NS, etc…) Telecommunication Manager edizione 2002/2003

  18. DNS service Oltre i file di zona, esiste un file di configurazione che il demone legge all’avvio. /etc/named.conf Qui si impostano tutte le opzioni delle zone autoritative tra cui la sicurezza e l’interoperabilità con altri DNS. Telecommunication Manager edizione 2002/2003

  19. SMTP service • Alcuni numeri diQmail (server SMTP) : • 3 = esempi di large company che utilizzano qmail: Yahoo!! Xoom Hotmail • 1996 = anno di nascita di qmail; • 1998 = ultima release rilasciata dallo sviluppatore di qmail, la versione 1.03, e da allora è rimasta la stessa • 1000$ = premio per chi riesce a trovare un bug in qmail (risulta tutt’ora non riscosso) • 100.000 = email che riesce a gestire al giorno, su un PC 486; • 700.000 = qmail server in in oltre 90 paesi. Telecommunication Manager edizione 2002/2003

  20. SMTP service • Fattori principali di Qmail: • Utenti virtuali • Relay controllato • Sicurezza • Funzionalità aggiuntive… Telecommunication Manager edizione 2002/2003

  21. SMTP service vpopmail Migra e gestisce gli utenti di sistema in utenti virtuali per qmail ucspi- tcp Implementa l’utility TCPSERVER, che attende le connessioni in entrata al server courier-imap E' un’utility basato appunto sull’imap che permette ad un client di gestire la posta direttamente nel server Squirrelmail SquirrelMail è una interfaccia grafica scritta in php4 per implementare la funzionalità di webmail Telecommunication Manager edizione 2002/2003

  22. SMTP service • Sicurezza in Qmail: • Convergenza del server di posta sull’ambiente sicuro • Interoperabilità tra i vari servers Telecommunication Manager edizione 2002/2003

  23. FTP services • Wu-ftpd • Grazie al servizio ftp gli utenti corporate possono collegarsi al server, nella propria document root per inserire o modificare le proprie pagine Web; • Attraverso OpenSSL abbiamo implementato la funzionalità di FTPs, cioè ftp sicuro. MySql • Installato su un server dedicato • È in grado di soddisfare le richiesta da parte delle pagine web. Database Telecommunication Manager edizione 2002/2003

  24. Conclusions Gli obiettivi raggiunti: • Lavoro di gruppo • Brainstorming • Lavorare per progetti • Risoluzione dei problemi • Troubleshooting costante • Capacità di ricerca • Conoscenze … e …. ……..LINUX (odiato da chi non lo sa utilizzare) Telecommunication Manager edizione 2002/2003

  25. Special Thanks to Fabrizio Biscossi di CPI Progetti Il Centro ELIS e… voi per l’attenzione!!! Telecommunication Manager edizione 2002/2003

More Related