Cassa di Risparmio di Ravenna

1. Milano 21 Novembre 2002 LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE Cassa di Risparmiodi Ravenna Roberto Pezzi soluzioni open source nel mondo bancario

2. CASSA DI RISPARMIO DI RAVENNA S.p.A. • - 63 sportelli presenti nel territorio delle province di Ravenna, Forlì-Cesena e Bologna • - 522 dipendenti • - raccolta complessiva 3.405 milioni di Euro • - impieghi globali 1.406 milioni di Euro LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

3. GRUPPO BANCARIOCASSA DI RISPARMIO DI RAVENNA S.p.A. • Composto da: • Banca di Imola S.p.A. • So.Ri.T. Ravenna S.p.A. • SO.FI.BA.R. S.p.A. • 94 sportelli con 812 dipendenti • Raccolta complessiva 4.770 milioni di Euro • Impieghi globali 1.781 milioni di Euro LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

4. Obiettivi del progetto opensource • Bassi costi di licensing. • Bassa dipendenza dall’evoluzione delle release del sw e dai conseguenti necessari upgrade. • Migliori prestazioni del software a parità di hardware. • Ottima stabilità e bassa manutenzione delle soluzioni nel tempo. • Creazione di skill interna sull’ambiente Linux a scopo amministrazione dei sistemi. • Il tutto con i massimi standard di SICUREZZA. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

5. Sommario delle soluzioni • - Connettività Internet • Firewall-Proxy con doppio upstream • - Server e-mail e groupware per rete delle filiali • Lotus Domino con Internet Cluster Manager • - Security: Intrusion Detection System • - Soluzioni di Network management (Nagios+Smokeping) • - Soluzione per Dial-In Server • - Software di telecontrollo VNC LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

6. Soluzione per connettività Internet • Obiettivo: alta affidabilità e alte prestazioni della connessione a Internet; barriera antivirus, caching e logging; gestione degli accessi tramite ACL • Soluzione: • - connessione Internet tramite 2 distinti ISP, di livello paritetico, con load balancing del carico. • - installazione di 2 distinti proxy /firewall /antivirus server • - accesso all’esterno tramite un terzo FW/Proxy connesso alla Lan. • - uso delle ACL (stessi utenti e password del dominio Windows). LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

7. FW/Proxy con doppio upstream • La soluzione permette di bilanciare sulle 2 connessioni Internet il traffico della navigazione, tenendo centralizzata (sul terzo proxy interno) una sofisticata configurazione degli accessi in rapporto agli utenti della rete (ACL) • 1. il client richiede al proxy interno una pagina html o un file tramite Ftp da un sito Internet • 2. le ACL sul proxy interno decidono se si può soddisfare la richiesta • 3. il proxy interno si collega in upstream ad uno dei due proxy in DMZ, che la gira all’antivirus, il quale soddisfa la richiesta LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

8. Situazione preesistente LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

9. Attivazione load balancing, antivirus, socks LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

10. Attivazione ACL su Dominio NT LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

11. Scelta del Software • Per il proxy server, caching e logging degli accessi (su macchine ISP1 e ISP2) • - Linux + Squid • Per il firewall: • - Linux + scripting in Perl • Per il controllo antivirus: • - Trend Micro InterScan VirusWall per Linux LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

12. Sicurezza della soluzione • - I due proxy esterni sono posti sulla DMZ e montano, oltre al sw Squid, che svolge la funzione di proxy, anche l’antivirus Trend Micro VirusWall. • - Le richieste degli utenti vengono fatte al proxy interno PROXY, il quale dopo controllo della ACL le “gira” a ISP1 e ISP2; a loro volta questi girano la richiesta al software antivirus, che agisce da filtro contro i malicious codes. • - Su ISP1 e ISP2 il software Squid ricevele pagine o i file richiesti a valle del controllo dell’antivirus. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

13. Web Clustering Lotus Domino (ICM) • (ICM: Internet Cluster Manager) • Obiettivo: Soluzione ad alta affidabilità e bassi costi di manutenzione per servizi di e-mail e groupware Lotus Domino/Notes agli utenti di filiale (63 filiali per circa 350 utenti). • Soluzione: • - servizi web per posta e applicazioni tramite installazione sulla intranet di un server dedicato Domino 5.0 su Linux e sua esposizione alle filiali sulla frame relay; • - server in cluster Hw/Sw con Lotus ICM per load balancing egestione del failover di uno dei due nodi. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

14. Schema del web mail server LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

15. Funzioni del web server ICM • I client di filiale accedono alla casella di posta Lotus Notes, ad agenda, rubrica e applicazioni di groupware e produttività senza avere a bordo alcun software dedicato, tramite un browser web e il protocollo http. • Il doppio server Linux su cui è basato il cluster Domino garantisce elevate prestazione e affidabilità 24x7 • Il traffico da e verso il cluster e' gestito dal modulo ICM, che riceve le richieste degli utenti, fa da redirector delle sessioni http e si occupa del load balancing delle sessioni. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

16. Il cluster Lotus Domino • La configurazione cluster di Lotus Domino è a livello applicativo e garantisce agli utenti il servizio e lo storage dei dati in caso di down HW o SW di uno dei nodi. • Anche in caso di down della macchina ICM, il servizio non subisce interruzioni; il nodo primario del cluster Linux/Domino si incarica di gestire tutte le richieste. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

17. Sistema anti-intrusione • IDS: Intrusion Detection System • Per individuare e controllare eventuali attacchi informatici alle rete perimetrale e' stata studiata per la Banca una soluzione particolare. •  Installazione di server “bersagli”, collocati sulla rete esposta, a bassa protezione, che attirino e sviino eventuali attacchi, permettendo anche di capire la strategia dell’attaccante e studiare eventuali contromisure (honeypotting) LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

18. Schema del sistema IDS LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

19. Tecnica usata per IDS • Il server che ospita il sistema è una “Linux box”, senza servizi di alcun genere. • Su detto server e' in esecuzione il sw VMWare per Linux, che permette di installare su un solo hw diverse “macchine virtuali” con diversi sistemi operativi. • Sono quindi installati diversi server “virtuali” dotati di sistemi operativi vari, non perfettamente aggiornati e facili da attaccare. • Questi server sono delle semplici esche, in quanto non hanno nulla di critico e sono rimpiazzabili al volo in caso di “corruzione". LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE

20. Monitoraggio delle intrusioni • Sul sistema Linux di base è installato SNORT. • (The Open Source Network Intrusion Detection System; www.snort.org). • La funzione di Snort e' quella di controllare il traffico di rete che arriva alle macchine virtuali, quindi segnalare eventuali anomalie tramite e-mail. • La possibilità di “congelare” l’esecuzione di una macchina virtuale consente di raccogliere documenti e prove a valore legale. LINUX PER LE AZIENDE E PER LA PUBBLICA AMMINISTRAZIONE