1 / 22

Introduzione divulgativa

Introduzione divulgativa. Intervento a cura di Gabriele Biondo per Beer OpenBSD Group. w e b b i t 0 4. OpenBSD – Un’esposizione divulgativa. whoami. Gabriele Biondo (gbiondo@i-nfinity.com). Collaboratore tecnico con varie Facoltà dell’Università di Bologna.

berk-santana
Download Presentation

Introduzione divulgativa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Introduzione divulgativa Intervento a cura di Gabriele Biondo per Beer OpenBSD Group w e b b i t 0 4

  2. OpenBSD – Un’esposizione divulgativa whoami Gabriele Biondo (gbiondo@i-nfinity.com) • Collaboratore tecnico con varie Facoltà dell’Università di Bologna • Formatore per il Fondo Sociale Europeo • Collaboro con OpenBEER (OpenBSD Italian User Group) • Certificato ISECOM OPST Mi interesso principalmente di: • Firewalling • Modelli matematici ed ottimizzazione di algoritmi • Programmazione in Perl e C w e b b i t 0 4

  3. OpenBSD – Un’esposizione divulgativa • OpenBSD è uno UNIX OpenSource, basato sulla piattaforma BSD 4.4. • Le caratteristiche fondamentali del sistema vanno individuate in: • stabilità • portabilità • compatibilità con i binari di linux, solaris, HPUX e gli *NIX più diffusi • sicurezza proattiva • crittografia integrata • La cura nella progettazione, che non è mossa da fini commerciali, ha reso possibile il verificarsi della circostanza: Only one remote hole in the default install, in more than 8 years! Immediato notare come la concomitanza di queste caratteristiche lo rendano un sistema versatilissimo, ottimo sia come piattaforma per i server che come piattaforma per i client. w e b b i t 0 4

  4. OpenBSD – Un’esposizione divulgativa Lo scopo del progetto Lo scopo del progetto OpenBSD è essere il n. 1 nel campo della sicurezza. Il ciclo di sviluppo di un sistema parte dalla progettazione dello stesso, scelta di un kernel, di pacchetti aggiuntivi, e di un eventuale installer: w e b b i t 0 4

  5. OpenBSD – Un’esposizione divulgativa Una volta immessa una release sul mercato, gli utenti provvedono con auditing e testing, basato più che altro sull’utilizzo del prodotto, piuttosto che sulla vera e propria azione sistematica di test sulle vulnerabilità dei singoli programmi: w e b b i t 0 4

  6. OpenBSD – Un’esposizione divulgativa Trovati i bug, “qualcuno” provvede a scrivere delle patch, che vengono distribuite tramite gli usuali canali. w e b b i t 0 4

  7. OpenBSD – Un’esposizione divulgativa Questi pacchetti patchati, o dei loro discendenti, divengono parte integrante della successiva release. w e b b i t 0 4

  8. OpenBSD – Un’esposizione divulgativa Il susseguirsi delle release di OpenBSD segue una filosofia differente. La release definitiva è quella “più vecchia”, basata su pacchetti testati. Parallelamente c’è una versione, detta “current”, che incorpora i nuovi pacchetti. Non è però una versione “ufficiale” – è una versione di test, che, in generale, risulta abbastanza stabile. w e b b i t 0 4

  9. OpenBSD – Un’esposizione divulgativa Crittografia Integrata OpenBSD è un progetto nato e mantenuto in Canada. Il Canada non è fortunatamente soggetto alle leggi statunitensi, che vietano l’esportazione di implementazioni di algoritmi di crittografia forte, paragonandoli a vere e proprie armi. Le implicazioni tecniche di ciò comportano la possibilità di integrare nativamente, senza dovere installare patch dubbie, algoritmi di crittografia direttamente nel sistema. OpenBSD è stato il primo sistema a montare uno stack IPsec, dalla release 2.1; dalla 2.6, invece, incorpora OpenSSH, una versione free e sicura di ssh. Il rilassamento dei vincoli di crittografia ha altre profondissime implicazioni, che vanno comunque oltre lo scopo di questa presentazione. w e b b i t 0 4

  10. OpenBSD – Un’esposizione divulgativa Portabilità • OpenBSD discende da NetBSD (Theo De Raadt, il fondatore del progetto, era originariamente uno sviluppatore NetBSD) – quest’ultimo sistema è caratterizzato dalla portabilità, e questa peculiarità è stata ereditata anche da OpenBSD. • OpenBSD gira su svariate piattaforme, quali: • Intel x86 • Alpha • Macintosh (sia sui 68k che sui PPC) • Sun • HPUX w e b b i t 0 4

  11. OpenBSD – Un’esposizione divulgativa Correttezza Gli sviluppatori di OpenBSD seguono strettamente i principali standard UNIX, quali ANSI e POSIX. Nella community, c’è la ferrea regola di scrivere programmi in modo che siano affidabili e corretti, seguendo le cd. “best practices” del tao della programmazione. I programmi così scritti risultano più stabili, predicibili, affidabili e sicuri. Documentazione Gli sviluppatori del progetto danno grande importanza alla documentazione del progetto. Le man pages contenute in ogni release sono veramente complete, esaustive e chiare. w e b b i t 0 4

  12. OpenBSD – Un’esposizione divulgativa Considerazioni su un’installazione Prendiamo in considerazione una piattaforma Intel compatibile. L’installazione è un processo guidato, abbastanza facile, una volta compreso il meccanismo di fdisk e delle disklabels (un po’ differente da quello classico di linux). Mancano installer grafici – tipo quelli di alcune major distributions di Linux – ma questa limitazione è ben presto superabile. Nel corso delle release, la compatibilità con l’hardware è andata via via crescendo – se una volta era quasi obbligatorio costruirsi una macchina dedicata per il sistema, adesso si è quasi certi di potere avere un’installazione sistemante senza modificare gli IRQ. Le limitazioni sono le solite: winmodems, hardware “esoterico” e poco diffuso, hardware di scarsa qualità. w e b b i t 0 4

  13. OpenBSD – Un’esposizione divulgativa Trovare una release Possibili soluzioni: La soluzione principe, ed ovviamente consigliata, è quella di procurarsi una suite di CD direttamente dal sito del progetto. Così facendo finanzierete il progetto, ed avrete 3 stupendi cd, con una simpaticissima copertina, per circa 30 $. La seconda soluzione è acquistare i CD prodotti da OpenBEER. Contengono il mirror del sito FTP del progetto, opportunamente riorganizzato. Costo totale operazione: 1 € a CD. Sosterrete lo user group italiano (oddio, è più gradita una donazione, visto che con 1 € ci si fa poco ) Terza soluzione: scaricarsi l’immagine del CD o dei floppy di net install, bruciarla su un supporto e procedere con l’installazione via rete. Necessaria almeno un’ADSL. w e b b i t 0 4

  14. OpenBSD – Un’esposizione divulgativa OpenBSD al lavoro: Citiamo in seguito alcune situazioni che han fatto uso del sistema: RICERCA ED UTENTI NON COMMERCIALI: L’Azienda Ospedaliera "Carlo Poma" è l’istituzione sanitaria principale di Mantova, con sei ospedali ed altri piccoli ambulatori. OpenBSD è stato scelto come bridging firewall tra la WAN e l’ospedale centrale di Mantova. INFN – Istituto Nazionale Fisica Nucleare di Firenze. OpenBSD viene utilizzato come DNS e come packet filter. Praha Institute of Chemical Technology: Questa struttura monta OpenBSD sui PC dello staff e degli studenti; che è pure presente un secondary DNS ed un time server. “Forcefield” art installation: Parte della gestione dell’audio e delle luci in Forcefield, all’esibizione biennale del Whitney Museum of American Art a New York (2002) gira su OpenBSD. La scelta è dovuta alla stabilità ed all’affidabilità. La lista è ancora lunga: università, ospedali, centri di ricerca sparsi in tutto il mondo fanno largo uso di OpenBSD. I motivi? Sempre i soliti: affidabilità e robustezza. w e b b i t 0 4

  15. OpenBSD – Un’esposizione divulgativa OpenBSD al lavoro: UTENTI COMMERCIALI: Adobe System -OpenBSD è stato scelto come firewall e come piattaforma di test per le reti. Altheon Networks Produttori di hardware Ethernet a 1 Gigabit. Piattaforma di test e gateway FSC Internet Corp.: è una grande ditta specializzata in Information Security ed Internet. OpenBSD e la sua feature IPsec sono stati utilizzati per sviluppare una soluzione VPN per un cliente di notevole calibro. Learning Tree International: questa ditta di formazione, indipendente dai vendors, utilizza OpenBSD e PF in molti corsi di sicurezza e di firewalling. Fondo Sociale Europeo: OpenBSD viene insegnato nei corsi di sicurezza informatica Anche in questo caso, la lista potrebbe essere allungata. I providers più importanti nel mondo, per esempio, fanno un notevole affidamento su OpenBSD. Ovviamente: un sistema sicuro per default non può non essere stimato da professionisti che devono lavorare con delle macchine sicure ed affidabili. w e b b i t 0 4

  16. OpenBSD – Un’esposizione divulgativa Le novità introdotte nella versione 3.5 w e b b i t 0 4

  17. OpenBSD – Un’esposizione divulgativa La versione 3.5 di OpenBSD ha introdotto alcune sostanziali modifiche: Nuove architetture supportate OpenBSD 3.5 supporta nativamente anche AMD 64, mvme88k e ARM cpu Update di alcuni comandi di sistema bc, dc, nm e size sono stati rimpiazzati con comandi equivalenti sotto licenza BSD Update di PF • PF, il firewall nativo di OpenBSD è stato modificato profondamente: • Il cambiamento dell’implementazione del sistema di regole porta una sostanziale diminuzione della probabilità di finire in uno stato inconsistente • Riduzione del 30% delle dimensioni delle tabelle • Miglioramento sostanziale dell’interfaccia • Prevenzione del problema dell’identificazione di una connessione remota come locale w e b b i t 0 4

  18. OpenBSD – Un’esposizione divulgativa Nuove funzionalità • spamd viene dotato della funzionalità di graylisting – un potente metodo per limitare il problema dello spamming • Viene aggiunto sensorsd per potere gestire sensori hardware • Viene implementato CARP (Common Address Redundancy Protocol) • OpenSSH 3.8.1 Miglioramento delle performance – maggiore compatibilità • Nei socket lookup: con 10000 socket, la 3.5 è più veloce di circa 100 volte rispetto alla precedente • TCP SYN cache: il costo in termini di memoria delle connessioni IP mezze aperte viene ridotto sensibilmente • Miglioramenti sensibili nell’implementazione di OpenSSL (incremento prestazionale fino al 100% per md5. sha1, blowfish… • Migliorato il supporto per: • Hard Disk ATA-SATA • Gigabit Ethernet • USB Flash w e b b i t 0 4

  19. OpenBSD – Un’esposizione divulgativa Software e pacchetti XFree86 4.4.0 Gcc 2.95.3 (+ patches) e 3.3.2 (+ patches) Perl 5.8.2 (+ patches) Apache 1.3.29, mod_ssl 2.8.16, DSO support (+ patches) OpenSSL 0.9.7c (+ patches) Groff 1.15 Sendmail 8.12.11 Bind 9.2.3 (+ patches) Lynx 2.8.4rel.1 con supporto HTTPS ed IPv6 (+ patches) Sudo 1.6.7p5 Ncurses 5.2 Latest KAME IPv6 Heimdal 0.6rc1 (+ patches) Arla-current w e b b i t 0 4

  20. OpenBSD – Un’esposizione divulgativa RISORSE • Il sito ufficiale del progetto: • http://www.openbsd.org • Il sito di OpenBEER • http://www.openbeer.it • I-Nfinity • http://www.i-nfinity.com • OpenBSD Journal • http://www.deadly.org w e b b i t 0 4

  21. OpenBSD – Un’esposizione divulgativa CONTATTI • Disponibilità per corsi, consulenze e progetti: • gbiondo@i-nfinity.com • +39 348 22 37 500 w e b b i t 0 4

  22. OpenBSD – Un’esposizione divulgativa RINGRAZIAMENTI Matteo Cantoni – aka goony //con la minuscola Ilary Airoldy – Quant’è piccolo il mondo, vero? Franco Farnedi e Iacopo Cacciaguerra di Proxima Solutions, Rimini Massimo Piccioni – per qualche drink foriero di ispirazioni Ultima, ma non per importanza Elena – per avere reso possibile un sogno w e b b i t 0 4

More Related