Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoSilvio D ambrosio Modificato 10 anni fa
1
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu In collaborazione con Fabrizio Biscossi – System Administrator di CPI Progetti
2
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Agenda Contents Topology Natter-Firewall-Proxy WEB-DNS-SMTP-FTP services Database Conclusions
3
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Contents Il progetto consiste nella realizzazione di un ambiente server sicuro utilizzando il software Open Source Linux. Lambiente server è composto da: un sistema per la gestione della posta elettronica un sistema per la gestione di siti web con lutilizzo di un database un sistema per lattività di caching degli accessi ad internet un sistema per la gestione della sicurezza della rete tra server
4
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Contents Limplementazione del progetto ha seguito il seguente project plan: Analisi dei requisiti Definizione degli obbiettivi Definizione delle risorse disponibili Brainstorming sulle possibili soluzioni Individuazione della soluzione migliore Divisione e assegnazione dei compiti Analisi avanzamento lavori (riunioni,etc..) Testing
5
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 In complesso il sistema deve essere in grado di soddisfare i clients della rete interna garantendo: laccesso ad internet servizio DNS servizio di posta elettronica. Inoltre deve essere in grado di offrire ai clienti Corporate: spazio web in grado di interagire con Database spazio ftp caselle E-mail Tutti i servizi sono stati distribuiti su tre servers Contents
6
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Topology
7
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 L'attraversamento dei pacchetti tra un'interfaccia e l'altra è controllato dalla funzionalità di forwarding-gatewaying, che abbiamo abilitato attraverso un comando: # echo 1 > /proc/sys/net/ipv4/ip_forward 1)Soddisfare le richieste HTTP ed FTP che arrivavano al Server di frontiera reindirizzandole verso il server di competenza (DNAT) # iptables -A PREROUTING –t nat –p tcp –d 10.50.2.222 –-dport 80 –j DNAT --to 192.168.2.4:80 2) Cambiare lIP sorgente ai pacchetti in uscita (SNAT) # iptables -A POSTROUTING –t nat –o eth0 –j SNAT –to 10.50.2.222 Natter
8
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Politica di base: Tutto quello che non è esplicitamente pemesso è negato Inizialmente scartare tutti i pacchetti che si presentano sulla interfacce di rete: –# iptables -P INPUT DROP –# iptables -P OUTPUT DROP –# iptables -P FORWARD DROP Firewall
9
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Controllare il passaggio dei pacchetti in transito: I caso: richiesta HTTP dallesterno # iptables –A FORWARD –p tcp –d 192.168.2.3 –s 0.0.0.0/0 –dport 80 –j ACCEPT # iptables –A FORWARD –p tcp –d 0.0.0.0/0 –s 192.168.2.3 –sport 80 –j ACCEPT Questo è stato fatto per tutte le porte utilizzate dai servizi. In questo modo i pacchetti non arrivano al livello 7 della pila osi e non sono soddisfatti dal proxy. Firewall
10
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Richieste dallinterno: II caso: richiesta http dallinterno discrimando una fetta di utenti # iptables –A INPUT –p tcp –d 192.168.2.3 –s 192.168.2.0/24 –dport 8080 –j ACCEPT # iptables –A INPUT –p tcp –d 0.0.0.0/0 –s 10.50.2.222 –sport 8080 –j ACCEPT # iptables –A OUTPUT –p tcp –s 10.50.2.222 –d 0.0.0.0/24 –dport 8080 –j ACCEPT # iptables –A OUTPUT –p tcp –s 192.168.2.3 –d 192.168.2.0/24 –sport 8080 –j ACCEPT In questo modo il pacchetto arriva a livello 7 e viene soddisfatto dal Proxy SQUID Firewall
11
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Squid Il server proxy è stato configurato per permettere di fare il Caching delle pagine web visitate; Quello da noi utilizzato è il proxy squid, che può essere installato tramite pacchetti rpm, e poi può essere configurato, per certi aspetti, tramite il file /etc/squid/squid e per altri aspetti con il tool grafico SquidGard. Proxy
12
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 WEB service Apache (server WEB) Sviluppato partendo dal server NCSA nel 1994 Disponibilità del codice sorgente Portabilità: supporto dei SO Linux, Unix, Windows, OS/2, … Architettura modulare Nucleo molto piccolo che realizza le funzioni base Possibilità di estendere le funzionalità mediante moduli Efficienza, flessibilità Stabilitè ed affidabilità
13
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 I comandi principali sono: start, stop, restart e reload Il servizio HTTP è fornito dal demone httpd I file di configurazione vengono letti al momento dellavvio di httpd Due modalità di funzionamento: Avviato direttamente dal sistema di inizializzazione (init) Controllato da inetd WEB - Servizio HTTP
14
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Il Virtual hosting, più Web server eseguiti su di un singolo nodo (ossia più siti web ospitati su di un singolo nodo: Web hosting) WEB – Virtual Hosting
15
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Per rendere sicure le comunicazioni su internet viene utilizzato il protocollo Secure Sockets Layer (SSL) Mod_ssl, è un modulo per la sicurezza di Apache è utilizza i tool di OpenSSL OpenSSL, include un toolkit che implementa i protocolli SSL e TLS Per rendere sicuro il server bisogna creare una chiave e un certificato (rilasciato dalla CA o self-signed) WEB - Sicurezza e certificati
16
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 DNS service Bind (server DNS) Il DNS (Domain Name System) permette di risolvere i nomi delle macchine presenti nella rete in indirizzi ip. Il demone named gestisce tutte le query di risoluzione che gli arrivano. Il nostro dominio è: projectwork.it
17
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 DNS service Bind lavora in base a delle zone autoritative che vengono implementate in questo modo: Logica di zona – projectwork.it > 192.168.2.4 Logica di reverse zone – 192.168.2.4 > projectwork.it Per ogni zona esiste un file che ne specifica tutti i parametri (TTL, retry, refresh, SOA, PTR, NS, etc…)
18
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 DNS service Oltre i file di zona, esiste un file di configurazione che il demone legge allavvio. /etc/named.conf Qui si impostano tutte le opzioni delle zone autoritative tra cui la sicurezza e linteroperabilità con altri DNS.
19
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 SMTP service Alcuni numeri di Qmail (server SMTP) : 3 = esempi di large company che utilizzano qmail: Yahoo!! Xoom Hotmail 1996 = anno di nascita di qmail; 1998 = ultima release rilasciata dallo sviluppatore di qmail, la versione 1.03, e da allora è rimasta la stessa 1000$ = premio per chi riesce a trovare un bug in qmail (risulta tuttora non riscosso) 100.000 = email che riesce a gestire al giorno, su un PC 486; 700.000 = qmail server in in oltre 90 paesi.
20
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 SMTP service Fattori principali di Qmail: Utenti virtuali Relay controllato Sicurezza Funzionalità aggiuntive…
21
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 SMTP service vpopmail Migra e gestisce gli utenti di sistema in utenti virtuali per qmail ucspi- tcp Implementa lutility TCPSERVER, che attende le connessioni in entrata al server courier-imap E' unutility basato appunto sullimap che permette ad un client di gestire la posta direttamente nel server Squirrelmail SquirrelMail è una interfaccia grafica scritta in php4 per implementare la funzionalità di webmail
22
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 SMTP service Sicurezza in Qmail: Convergenza del server di posta sullambiente sicuro Interoperabilità tra i vari servers
23
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 FTP services Wu-ftpd Grazie al servizio ftp gli utenti corporate possono collegarsi al server, nella propria document root per inserire o modificare le proprie pagine Web; Attraverso OpenSSL abbiamo implementato la funzionalità di FTPs, cioè ftp sicuro. Database MySql Installato su un server dedicato È in grado di soddisfare le richiesta da parte delle pagine web.
24
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Gli obiettivi raggiunti: Lavoro di gruppo Brainstorming Lavorare per progetti Risoluzione dei problemi Troubleshooting costante Capacità di ricerca Conoscenze … e …. ……..LINUX (odiato da chi non lo sa utilizzare) Conclusions
25
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Fabrizio Biscossi di CPI Progetti Il Centro ELIS e… voi per lattenzione!!! Special Thanks to
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.