220 likes | 317 Views
Introduzione divulgativa. Intervento a cura di Gabriele Biondo per Beer OpenBSD Group. w e b b i t 0 4. OpenBSD – Un’esposizione divulgativa. whoami. Gabriele Biondo (gbiondo@i-nfinity.com). Collaboratore tecnico con varie Facoltà dell’Università di Bologna.
E N D
Introduzione divulgativa Intervento a cura di Gabriele Biondo per Beer OpenBSD Group w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa whoami Gabriele Biondo (gbiondo@i-nfinity.com) • Collaboratore tecnico con varie Facoltà dell’Università di Bologna • Formatore per il Fondo Sociale Europeo • Collaboro con OpenBEER (OpenBSD Italian User Group) • Certificato ISECOM OPST Mi interesso principalmente di: • Firewalling • Modelli matematici ed ottimizzazione di algoritmi • Programmazione in Perl e C w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa • OpenBSD è uno UNIX OpenSource, basato sulla piattaforma BSD 4.4. • Le caratteristiche fondamentali del sistema vanno individuate in: • stabilità • portabilità • compatibilità con i binari di linux, solaris, HPUX e gli *NIX più diffusi • sicurezza proattiva • crittografia integrata • La cura nella progettazione, che non è mossa da fini commerciali, ha reso possibile il verificarsi della circostanza: Only one remote hole in the default install, in more than 8 years! Immediato notare come la concomitanza di queste caratteristiche lo rendano un sistema versatilissimo, ottimo sia come piattaforma per i server che come piattaforma per i client. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Lo scopo del progetto Lo scopo del progetto OpenBSD è essere il n. 1 nel campo della sicurezza. Il ciclo di sviluppo di un sistema parte dalla progettazione dello stesso, scelta di un kernel, di pacchetti aggiuntivi, e di un eventuale installer: w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Una volta immessa una release sul mercato, gli utenti provvedono con auditing e testing, basato più che altro sull’utilizzo del prodotto, piuttosto che sulla vera e propria azione sistematica di test sulle vulnerabilità dei singoli programmi: w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Trovati i bug, “qualcuno” provvede a scrivere delle patch, che vengono distribuite tramite gli usuali canali. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Questi pacchetti patchati, o dei loro discendenti, divengono parte integrante della successiva release. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Il susseguirsi delle release di OpenBSD segue una filosofia differente. La release definitiva è quella “più vecchia”, basata su pacchetti testati. Parallelamente c’è una versione, detta “current”, che incorpora i nuovi pacchetti. Non è però una versione “ufficiale” – è una versione di test, che, in generale, risulta abbastanza stabile. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Crittografia Integrata OpenBSD è un progetto nato e mantenuto in Canada. Il Canada non è fortunatamente soggetto alle leggi statunitensi, che vietano l’esportazione di implementazioni di algoritmi di crittografia forte, paragonandoli a vere e proprie armi. Le implicazioni tecniche di ciò comportano la possibilità di integrare nativamente, senza dovere installare patch dubbie, algoritmi di crittografia direttamente nel sistema. OpenBSD è stato il primo sistema a montare uno stack IPsec, dalla release 2.1; dalla 2.6, invece, incorpora OpenSSH, una versione free e sicura di ssh. Il rilassamento dei vincoli di crittografia ha altre profondissime implicazioni, che vanno comunque oltre lo scopo di questa presentazione. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Portabilità • OpenBSD discende da NetBSD (Theo De Raadt, il fondatore del progetto, era originariamente uno sviluppatore NetBSD) – quest’ultimo sistema è caratterizzato dalla portabilità, e questa peculiarità è stata ereditata anche da OpenBSD. • OpenBSD gira su svariate piattaforme, quali: • Intel x86 • Alpha • Macintosh (sia sui 68k che sui PPC) • Sun • HPUX w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Correttezza Gli sviluppatori di OpenBSD seguono strettamente i principali standard UNIX, quali ANSI e POSIX. Nella community, c’è la ferrea regola di scrivere programmi in modo che siano affidabili e corretti, seguendo le cd. “best practices” del tao della programmazione. I programmi così scritti risultano più stabili, predicibili, affidabili e sicuri. Documentazione Gli sviluppatori del progetto danno grande importanza alla documentazione del progetto. Le man pages contenute in ogni release sono veramente complete, esaustive e chiare. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Considerazioni su un’installazione Prendiamo in considerazione una piattaforma Intel compatibile. L’installazione è un processo guidato, abbastanza facile, una volta compreso il meccanismo di fdisk e delle disklabels (un po’ differente da quello classico di linux). Mancano installer grafici – tipo quelli di alcune major distributions di Linux – ma questa limitazione è ben presto superabile. Nel corso delle release, la compatibilità con l’hardware è andata via via crescendo – se una volta era quasi obbligatorio costruirsi una macchina dedicata per il sistema, adesso si è quasi certi di potere avere un’installazione sistemante senza modificare gli IRQ. Le limitazioni sono le solite: winmodems, hardware “esoterico” e poco diffuso, hardware di scarsa qualità. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Trovare una release Possibili soluzioni: La soluzione principe, ed ovviamente consigliata, è quella di procurarsi una suite di CD direttamente dal sito del progetto. Così facendo finanzierete il progetto, ed avrete 3 stupendi cd, con una simpaticissima copertina, per circa 30 $. La seconda soluzione è acquistare i CD prodotti da OpenBEER. Contengono il mirror del sito FTP del progetto, opportunamente riorganizzato. Costo totale operazione: 1 € a CD. Sosterrete lo user group italiano (oddio, è più gradita una donazione, visto che con 1 € ci si fa poco ) Terza soluzione: scaricarsi l’immagine del CD o dei floppy di net install, bruciarla su un supporto e procedere con l’installazione via rete. Necessaria almeno un’ADSL. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa OpenBSD al lavoro: Citiamo in seguito alcune situazioni che han fatto uso del sistema: RICERCA ED UTENTI NON COMMERCIALI: L’Azienda Ospedaliera "Carlo Poma" è l’istituzione sanitaria principale di Mantova, con sei ospedali ed altri piccoli ambulatori. OpenBSD è stato scelto come bridging firewall tra la WAN e l’ospedale centrale di Mantova. INFN – Istituto Nazionale Fisica Nucleare di Firenze. OpenBSD viene utilizzato come DNS e come packet filter. Praha Institute of Chemical Technology: Questa struttura monta OpenBSD sui PC dello staff e degli studenti; che è pure presente un secondary DNS ed un time server. “Forcefield” art installation: Parte della gestione dell’audio e delle luci in Forcefield, all’esibizione biennale del Whitney Museum of American Art a New York (2002) gira su OpenBSD. La scelta è dovuta alla stabilità ed all’affidabilità. La lista è ancora lunga: università, ospedali, centri di ricerca sparsi in tutto il mondo fanno largo uso di OpenBSD. I motivi? Sempre i soliti: affidabilità e robustezza. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa OpenBSD al lavoro: UTENTI COMMERCIALI: Adobe System -OpenBSD è stato scelto come firewall e come piattaforma di test per le reti. Altheon Networks Produttori di hardware Ethernet a 1 Gigabit. Piattaforma di test e gateway FSC Internet Corp.: è una grande ditta specializzata in Information Security ed Internet. OpenBSD e la sua feature IPsec sono stati utilizzati per sviluppare una soluzione VPN per un cliente di notevole calibro. Learning Tree International: questa ditta di formazione, indipendente dai vendors, utilizza OpenBSD e PF in molti corsi di sicurezza e di firewalling. Fondo Sociale Europeo: OpenBSD viene insegnato nei corsi di sicurezza informatica Anche in questo caso, la lista potrebbe essere allungata. I providers più importanti nel mondo, per esempio, fanno un notevole affidamento su OpenBSD. Ovviamente: un sistema sicuro per default non può non essere stimato da professionisti che devono lavorare con delle macchine sicure ed affidabili. w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Le novità introdotte nella versione 3.5 w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa La versione 3.5 di OpenBSD ha introdotto alcune sostanziali modifiche: Nuove architetture supportate OpenBSD 3.5 supporta nativamente anche AMD 64, mvme88k e ARM cpu Update di alcuni comandi di sistema bc, dc, nm e size sono stati rimpiazzati con comandi equivalenti sotto licenza BSD Update di PF • PF, il firewall nativo di OpenBSD è stato modificato profondamente: • Il cambiamento dell’implementazione del sistema di regole porta una sostanziale diminuzione della probabilità di finire in uno stato inconsistente • Riduzione del 30% delle dimensioni delle tabelle • Miglioramento sostanziale dell’interfaccia • Prevenzione del problema dell’identificazione di una connessione remota come locale w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Nuove funzionalità • spamd viene dotato della funzionalità di graylisting – un potente metodo per limitare il problema dello spamming • Viene aggiunto sensorsd per potere gestire sensori hardware • Viene implementato CARP (Common Address Redundancy Protocol) • OpenSSH 3.8.1 Miglioramento delle performance – maggiore compatibilità • Nei socket lookup: con 10000 socket, la 3.5 è più veloce di circa 100 volte rispetto alla precedente • TCP SYN cache: il costo in termini di memoria delle connessioni IP mezze aperte viene ridotto sensibilmente • Miglioramenti sensibili nell’implementazione di OpenSSL (incremento prestazionale fino al 100% per md5. sha1, blowfish… • Migliorato il supporto per: • Hard Disk ATA-SATA • Gigabit Ethernet • USB Flash w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa Software e pacchetti XFree86 4.4.0 Gcc 2.95.3 (+ patches) e 3.3.2 (+ patches) Perl 5.8.2 (+ patches) Apache 1.3.29, mod_ssl 2.8.16, DSO support (+ patches) OpenSSL 0.9.7c (+ patches) Groff 1.15 Sendmail 8.12.11 Bind 9.2.3 (+ patches) Lynx 2.8.4rel.1 con supporto HTTPS ed IPv6 (+ patches) Sudo 1.6.7p5 Ncurses 5.2 Latest KAME IPv6 Heimdal 0.6rc1 (+ patches) Arla-current w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa RISORSE • Il sito ufficiale del progetto: • http://www.openbsd.org • Il sito di OpenBEER • http://www.openbeer.it • I-Nfinity • http://www.i-nfinity.com • OpenBSD Journal • http://www.deadly.org w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa CONTATTI • Disponibilità per corsi, consulenze e progetti: • gbiondo@i-nfinity.com • +39 348 22 37 500 w e b b i t 0 4
OpenBSD – Un’esposizione divulgativa RINGRAZIAMENTI Matteo Cantoni – aka goony //con la minuscola Ilary Airoldy – Quant’è piccolo il mondo, vero? Franco Farnedi e Iacopo Cacciaguerra di Proxima Solutions, Rimini Massimo Piccioni – per qualche drink foriero di ispirazioni Ultima, ma non per importanza Elena – per avere reso possibile un sogno w e b b i t 0 4