Upload
mimi-amore
View
217
Download
2
Embed Size (px)
Citation preview
Sicurezza e affidabilitàdel Sistema Presenze
Guido Guizzunti
Sistema Informativo al CNAF: Prod• Presenze VamWeb (sys-13)• Presenze Backoffice e Frontoffice (sys-12)• Portale PHP (sys-15)• Oracle EBS (cluster sys-c1)• Oracle DB (cluster sys-c2)• TLQ-Server (Windows, sys-08)• Mandato Elettronico EBS e DB (sys-29)• Server Certificati e condivisione chiavi SSH (sys-30)• Server Nagios (sys-09)• Server DHCP e DNS (sys-14)• Macchine fisiche (sys-10, sys-11, sys-31, sys-33, sys-34, sys-43, sys-44, sys-
35, …)• Mailserver (sys-55)• Logserver (sys-56)• Programma gestione cespiti (sys-57)• 2 server BI (Jaspersoft) (sys-58, sys-59)
2Guido Guizzunti - Sistema Informativo
Sistema Informativo al CNAF: Test• Presenze Backoffice e Frontoffice (sys-06)• Portale PHP test Antonino (sys-20, sys-23)• Sviluppo Portale PHP Sogea (sys-16)• Portale PHP formazione/preproduzione (sys-17)• Portale PHP esperimenti Apache (sys-19)• Oracle EBS test/formazione SD (sys-22)• Oracle DB test/formazione SD (sys-21)• Test Jaspersoft Antonino (sys-24)• Mandato Elettronico EBS e DB (sys-29)• Sviluppo Apps e DB SD (sys-26)• Test clonazione VM per EBS (sys-51, sys-53)• Server di test NagiosGraph (sys-28)• Macchine di test installazione Oracle DB 11g
3Guido Guizzunti - Sistema Informativo
Elementi costitutivi Sistema Presenze
• Server VamWeb per la gestione delle timbratrici
• Server Presenze di produzione per la gestione del backoffice e del cartellino web
• Server Presenze di test (SD). Utilizzata anche per test report Jasper
4Guido Guizzunti - Sistema Informativo
Sistema Presenze: server coinvolti
• Virtuali Sys-12: backoffice, frontoffice Sys-06: test backoffice, frontoffice Sys-13: VamWeb
• Fisici Sys-10 Sys-11
5Guido Guizzunti - Sistema Informativo
Sistema Presenze: network
Sistema Presenze
Sistema Informativo Juniper
Nexus
Internet
ACL
Niente
6Guido Guizzunti - Sistema Informativo
VamWeb: front-office• Software sviluppato da
Selesta• Accesso al pannello di
controllo Web solo tramite protocollo https
• Accesso permesso solo dalle reti interne al cnaf
• Versione del software Selesta aggiornato all’ultima disponibile
• Accesso tramite username e password (attualmente definito un solo utente)
7Guido Guizzunti - Sistema Informativo
VamWeb: hardware
• Alimentazione secondaria (3 ore di autonomia)
• Memoria flash (cache)• Configurazione
protetta da password
• Alimentazione ridondata• Dischi in raid 1 hardware• Console remota tramite
IPMI 2.0• Non in cluster
8Guido Guizzunti - Sistema Informativo
VamWeb: network
Telnet
9Guido Guizzunti - Sistema Informativo
VamWeb: cosa manca (1)
• Accesso front-office tramite certificato?• Cambio username e password d’accesso
(attualmente l’utente è quello di default: admin)• Backup tramite TSM• Cambio password terminali (ora è quella di
default in tutte le sedi, scritta anche sul manuale)• Chiudere tutte le porte tranne quelle
strettamente necessarie (4005 TCP)• Restringere accesso SSH a pochi IP
10Guido Guizzunti - Sistema Informativo
VamWeb: cosa manca (2)
• Comunicazione server -> terminali è criptata?• Controlli nagios su VamWeb• Single point of failure: va messa in cluster• RedHat 5.5 con Apache e librerie PHP:
aggiornabili?• File di configurazione criptati? Verificare• Procedura per aggiornamento software
VamWeb
11Guido Guizzunti - Sistema Informativo
Presenze (1)
Front-office
Back-office
12Guido Guizzunti - Sistema Informativo
Presenze (2)
• Software sviluppato da SD• Accesso al frontoffice tramite AAI• Accesso al backoffice tramite user/password• Server ridondato a livello alimentazione e disco• Non in cluster• Macchina sottodimensionata• Problemi di stabilità (tomcat, servlet)• Problemi di performance
13Guido Guizzunti - Sistema Informativo
Sistema Presenze: cosa manca (1)• Un nostro server di test (provare l’installazione, verificare codice,
etc.)• Installazione su hardware dedicato (consigliato da SD)• Metterla sotto cluster• Cambio rete
modificare IP e hostname sui server modificare informazioni sul dns avvisare strutture del cambio indirizzo IP definizione delle nuove ACL sul juniper verificare il corretto funzionamento a seguito della modifica IP
• Backoffice raggiungibile anche da fuori: definire ACL sul Juniper (dopo il cambio rete)
• Settare un timeout per gli utenti Backoffice
14Guido Guizzunti - Sistema Informativo
Sistema Presenze: cosa manca (2)
• Configurazione iptables• Rendere Presenze Prod e Presenze Test isolate fra loro• Inviare le timbrature da VamWeb sia a Prod che a Test
(avere prod e test allineate e permettere l’utilizzo agli amministrativi in fase di test)
• Yum update ?• Sicurezza del codice SD ?• Backup del filesystem (attualmente solo backup DB)• Migliorare controlli nagios• Timeout in AAI ?
15Guido Guizzunti - Sistema Informativo
Sicurezza: soluzioni (1)
• Disabilitare accesso SSH come root• Password complesse e modificate ogni 6 mesi• Aggiornare il sistema operativo e le librerie (ove
non possibile mettere un frontend d’accesso)• ACL sul router per limitare gli accessi a IP e porte
stabilite• iptables o altri sistemi di packet filtering: firewall
interno al server per limitare accessi entrata/uscita
16Guido Guizzunti - Sistema Informativo
Sicurezza: soluzioni (2)
• Installare sempre le patches di sicurezza• Sistemi di alert in caso di accessi non
autorizzati (denyssh) o in caso di traffico sospetto
• Monitoring del traffico di rete• Encryption quando si spediscono/ricevono
dati
17Guido Guizzunti - Sistema Informativo
Sicurezza: soluzioni (3)
• Analisi del codice sorgente alla ricerca di bachi e vulnerabilità (SD, Sogea)
• Sistemi automatici di analisi dei log• Sistemi di intrusion detection messo dietro al
firewall: analisi pacchetti, buffer overflow, port scan
• tenere aperte sulla macchina solo le porte strettamente necessarie (utilizzare NMAP)
18Guido Guizzunti - Sistema Informativo
Sicurezza: soluzioni (4)
• Scansione con Nessus Security Scanner• Tripwire (controlla cambiamenti sul sistema:
attributi di file che non dovrebbero cambiare, signature dei binari, dimensione binari e file, etc.)
• Installazione di un log server: è necessario avere un server protetto su cui concentrare i log principali dei vari server del SI.
• Auditing
19Guido Guizzunti - Sistema Informativo
Affidabilità
• Servizi su hardware in manutenzione e ridondato• Monitoraggio HW: IPMI, SMARTD• Eseguire regolari backup: DB, Filesystem, VM
(testare i backup)• Servizi in cluster• Monitoraggio servizi e della rete• Sviluppare documentazione• Condividere le conoscenze
20Guido Guizzunti - Sistema Informativo
Mandato informatico: Windows (1)• Server fisico
Dell Poweredge R510 Linux RedHat 5.5 Kernel: 2.6.18-194.32.1.el5 #1 SMP Wed
Jan 5 17:52:25 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
framework di virtualizzazione: KVM kvm-83-164.el5_5.25
• Server Virtuale Processore: 1 core 2.27GHz Intel - Ram:
512 MB - Disco: 7GB Windows XP Eng SP3 32 bit 21Guido Guizzunti - Sistema Informativo
Mandato informatico: Windows (2)
• Aggiornato “ad oggi”• Windows firewall attivo• Disabilitati servizi insicuri (telnet)• Remote Desktop abilitato• Comunicazione TLQ-Server -> Banca
crittografata• Comunicazione Oracle EBS -> TLQ-Server
interna alla rete CNAF
22Guido Guizzunti - Sistema Informativo
Mandato informatico: Windows (3)• Antivirus• Abilitare software updates automatici (ora disabilitati)• Applicare le patch di sicurezza su samba• Restringere l'accesso remoto con remote desktop solo agli
IP strettamente necessari (disabilitarlo?)• Disabilitare l'account Administrator e abilitare solo un
account con privilegi limitati• Restringere l'accesso solo ad alcuni IP, tramite
configurazione ACL sul router di frontiera. Attualmente l'accesso è permesso alla rete del CNAF e ad alcuni indirizzi di Frascati
• Implementare le politiche di sicurezza sui file condivisi via Samba per renderli leggibili solo dal processo TLQServer
23Guido Guizzunti - Sistema Informativo
Acquisto Hardware
• 2 macchine con 4 core ciascuna per BI (Jaspersoft)• 2 macchine con 4 core di test/sviluppo per BI
(Jaspersoft)• 1 macchina con 2 core per test presenze• Macchina presenze di produzione su due macchine
fisiche in cluster (8 core l'una)• Spazio storage per backup e per VM EBS (qualche tera)• Macchina per mailserver (2 core)• Macchina per software cespiti• Macchina per logserver (1 core)
24Guido Guizzunti - Sistema Informativo
Attività (1)• Configurazione nuove sedi in backoffice, sia test che
produzione, con creazione relativi utenti amministratori su backoffice
• Realizzazione documentazione: tecnica (ad utilizzo interno): per renedere ognuno di noi
in grado di fare operazioni base su tutto il sistema: backup, gestione Oracle, Cluster, Presenze, etc.
documentazione per amministrativi o tecnici INFN: utilizzo backoffice, configurazione timbratrici, manuale export da AS400, manuale export da Solari
documentazione sul lavoro svolto per note interne, articoli, etc.
• BI e Jaspersoft: formazione, creazione server virtuale/fisico dedicato alla reportistica
• Rilasci software: definizione/documentazione su come avviene un rilascio
in produzione utilizzo di un SVN per tracciabilità e rollback Creazione di un pool di amministrativi per i test
25Guido Guizzunti - Sistema Informativo
Attività (2)• Installazione hardware e configurazione iDrack per
permettere console remote sulle attuali macchine del SI. Queste permetteranno anche alert in caso di guasti HW. Attualmente 2 server Dell segnalano problemi di ram (1 giorno)
• Installazione a rack delle nuove macchine Dell, configurazione iDrack, installazione SO, creazione cluster (2 giorni)
• Installazione timbratrici. Configurazione in VamWeb e gestione assistenza HW tramite sistema di ticketing Selesta
• Cambio rete per il sistema presenze e verifiche funzionali (1 giorno)
• Reinstallazione del sistema presenze test e produzione su macchina fisica dedicata ed eventualmente su cluster (3 giorni)
• Installazione di un log server (2 giorno): e' necessario avere un server protetto su cui concentrare i log principali dei vari server del SI. Eventualmente utilizzare quello del CNAF 26Guido Guizzunti - Sistema Informativo
Attività (3)• Finalizzare i backup (2 giorni/2 persone)
Backup del sistema presenze prod e test su TSM Backup server nagios, sanctorum, VamWeb, TLQ-
Server, dhcp, dns, mailserver su TSM test recupero backup formazione su gestione backup (Cuggio)
• Finalizzare configurazione script in nagios e installazione nagiosgraph per grafici sull'andamento delle grandezze monitorate (ram, disco, etc.) (3 giorni)
• Inviare errori della grid console su Dashboard del CNAF e via sms, affinche' il reperibile operation possa monitorare anche il nostro reparto. (2 giorni)
• Terminare inserimento di tutte le macchine in Sanctorum, server dei certificati, e richiederne il certificato (1 giorno)
27Guido Guizzunti - Sistema Informativo
Attività (4)• Finalizzare installazione DHCP, DNS, Mailserver
dedicati al SI. Minima formazione da parte di Veraldi sul loro utilizzo e manutenzione (1 giorno)
• Inserimento di tutte le macchine del SI con le loro caratteristiche HW/SW in Docet (ora utilizziamo un foglio excel)
• Software per gestione password. Quello attuale ha mostrato dei limiti
• Terminare attuazione punti della checklist della review
• Testare istruzioni AS400 col sistema al CNAF, per aiutare sezioni non autonome nell’export
• Migliorare sistema di monitoraggio, ad es. per accorgersi di problemi come quello avvenuto per la connessione all'HR
• Cominciare a pianificare il passaggio a Oracle 1228Guido Guizzunti - Sistema Informativo
Attività (5)• Supporto amministrazione: aggiornamenti Windows,
browser e Java (con relative verifiche), installazione e config. PC per corsi Michela, PC trimestrale con AS400
• Assistenza sistemistica TLQ-Server• Risoluzione problemi aperti: problemi di stabilita'
(tomcat e servlet) sistema presenze, problema del doppio login in Oracle, problemi di performance (lentezza per approvazioni di piu' giustificativi in contemporanea, lentezza con errore di timeout in quadratura sede, che spinge a riquadrare, etc.)
• Assistenza quotidiana amministrativi per gestione presenze
• Aggiornamenti Sistema presenze e Portale PHP• Programma cespiti• Altre attività del Tier1 (manutenzione/sviluppo
accounting, manutenzione/sviluppo dashboard, certificati farming, dismissione Opteron, etc.)
29Guido Guizzunti - Sistema Informativo
Attività (6)
Quasi dimenticavo….
ADOTTARE LE MISURE DI SICUREZZA PRECEDENTEMENTE ANALIZZATE !!
30Guido Guizzunti - Sistema Informativo