Sicurezza e affidabilità del Sistema Presenze

Sicurezza e affidabilitàdel Sistema Presenze

Guido Guizzunti

Sistema Informativo al CNAF: Prod• Presenze VamWeb (sys-13)• Presenze Backoffice e Frontoffice (sys-12)• Portale PHP (sys-15)• Oracle EBS (cluster sys-c1)• Oracle DB (cluster sys-c2)• TLQ-Server (Windows, sys-08)• Mandato Elettronico EBS e DB (sys-29)• Server Certificati e condivisione chiavi SSH (sys-30)• Server Nagios (sys-09)• Server DHCP e DNS (sys-14)• Macchine fisiche (sys-10, sys-11, sys-31, sys-33, sys-34, sys-43, sys-44, sys-

35, …)• Mailserver (sys-55)• Logserver (sys-56)• Programma gestione cespiti (sys-57)• 2 server BI (Jaspersoft) (sys-58, sys-59)

2Guido Guizzunti - Sistema Informativo

Sistema Informativo al CNAF: Test• Presenze Backoffice e Frontoffice (sys-06)• Portale PHP test Antonino (sys-20, sys-23)• Sviluppo Portale PHP Sogea (sys-16)• Portale PHP formazione/preproduzione (sys-17)• Portale PHP esperimenti Apache (sys-19)• Oracle EBS test/formazione SD (sys-22)• Oracle DB test/formazione SD (sys-21)• Test Jaspersoft Antonino (sys-24)• Mandato Elettronico EBS e DB (sys-29)• Sviluppo Apps e DB SD (sys-26)• Test clonazione VM per EBS (sys-51, sys-53)• Server di test NagiosGraph (sys-28)• Macchine di test installazione Oracle DB 11g


Elementi costitutivi Sistema Presenze

• Server VamWeb per la gestione delle timbratrici

• Server Presenze di produzione per la gestione del backoffice e del cartellino web

• Server Presenze di test (SD). Utilizzata anche per test report Jasper


Sistema Presenze: server coinvolti

• Virtuali Sys-12: backoffice, frontoffice Sys-06: test backoffice, frontoffice Sys-13: VamWeb

• Fisici Sys-10 Sys-11


Sistema Presenze: network

Sistema Presenze

Sistema Informativo Juniper

Nexus

Internet

ACL

Niente


VamWeb: front-office• Software sviluppato da

Selesta• Accesso al pannello di

controllo Web solo tramite protocollo https

• Accesso permesso solo dalle reti interne al cnaf

• Versione del software Selesta aggiornato all’ultima disponibile

• Accesso tramite username e password (attualmente definito un solo utente)


VamWeb: hardware

• Alimentazione secondaria (3 ore di autonomia)

• Memoria flash (cache)• Configurazione

protetta da password

• Alimentazione ridondata• Dischi in raid 1 hardware• Console remota tramite

IPMI 2.0• Non in cluster


VamWeb: network

Telnet


VamWeb: cosa manca (1)

• Accesso front-office tramite certificato?• Cambio username e password d’accesso

(attualmente l’utente è quello di default: admin)• Backup tramite TSM• Cambio password terminali (ora è quella di

default in tutte le sedi, scritta anche sul manuale)• Chiudere tutte le porte tranne quelle

strettamente necessarie (4005 TCP)• Restringere accesso SSH a pochi IP


VamWeb: cosa manca (2)

• Comunicazione server -> terminali è criptata?• Controlli nagios su VamWeb• Single point of failure: va messa in cluster• RedHat 5.5 con Apache e librerie PHP:

aggiornabili?• File di configurazione criptati? Verificare• Procedura per aggiornamento software

VamWeb


Presenze (1)

Front-office

Back-office


Presenze (2)

• Software sviluppato da SD• Accesso al frontoffice tramite AAI• Accesso al backoffice tramite user/password• Server ridondato a livello alimentazione e disco• Non in cluster• Macchina sottodimensionata• Problemi di stabilità (tomcat, servlet)• Problemi di performance


Sistema Presenze: cosa manca (1)• Un nostro server di test (provare l’installazione, verificare codice,

etc.)• Installazione su hardware dedicato (consigliato da SD)• Metterla sotto cluster• Cambio rete

modificare IP e hostname sui server modificare informazioni sul dns avvisare strutture del cambio indirizzo IP definizione delle nuove ACL sul juniper verificare il corretto funzionamento a seguito della modifica IP

• Backoffice raggiungibile anche da fuori: definire ACL sul Juniper (dopo il cambio rete)

• Settare un timeout per gli utenti Backoffice


Sistema Presenze: cosa manca (2)

• Configurazione iptables• Rendere Presenze Prod e Presenze Test isolate fra loro• Inviare le timbrature da VamWeb sia a Prod che a Test

(avere prod e test allineate e permettere l’utilizzo agli amministrativi in fase di test)

• Yum update ?• Sicurezza del codice SD ?• Backup del filesystem (attualmente solo backup DB)• Migliorare controlli nagios• Timeout in AAI ?


Sicurezza: soluzioni (1)

• Disabilitare accesso SSH come root• Password complesse e modificate ogni 6 mesi• Aggiornare il sistema operativo e le librerie (ove

non possibile mettere un frontend d’accesso)• ACL sul router per limitare gli accessi a IP e porte

stabilite• iptables o altri sistemi di packet filtering: firewall

interno al server per limitare accessi entrata/uscita



• Installare sempre le patches di sicurezza• Sistemi di alert in caso di accessi non

autorizzati (denyssh) o in caso di traffico sospetto

• Monitoring del traffico di rete• Encryption quando si spediscono/ricevono

dati



• Analisi del codice sorgente alla ricerca di bachi e vulnerabilità (SD, Sogea)

• Sistemi automatici di analisi dei log• Sistemi di intrusion detection messo dietro al

firewall: analisi pacchetti, buffer overflow, port scan

• tenere aperte sulla macchina solo le porte strettamente necessarie (utilizzare NMAP)



• Scansione con Nessus Security Scanner• Tripwire (controlla cambiamenti sul sistema:

attributi di file che non dovrebbero cambiare, signature dei binari, dimensione binari e file, etc.)

• Installazione di un log server: è necessario avere un server protetto su cui concentrare i log principali dei vari server del SI.

• Auditing


Affidabilità

• Servizi su hardware in manutenzione e ridondato• Monitoraggio HW: IPMI, SMARTD• Eseguire regolari backup: DB, Filesystem, VM

(testare i backup)• Servizi in cluster• Monitoraggio servizi e della rete• Sviluppare documentazione• Condividere le conoscenze


Mandato informatico: Windows (1)• Server fisico

Dell Poweredge R510 Linux RedHat 5.5 Kernel: 2.6.18-194.32.1.el5 #1 SMP Wed

Jan 5 17:52:25 EST 2011 x86_64 x86_64 x86_64 GNU/Linux

framework di virtualizzazione: KVM kvm-83-164.el5_5.25

• Server Virtuale Processore: 1 core 2.27GHz Intel - Ram:

512 MB - Disco: 7GB Windows XP Eng SP3 32 bit 21Guido Guizzunti - Sistema Informativo

Mandato informatico: Windows (2)

• Aggiornato “ad oggi”• Windows firewall attivo• Disabilitati servizi insicuri (telnet)• Remote Desktop abilitato• Comunicazione TLQ-Server -> Banca

crittografata• Comunicazione Oracle EBS -> TLQ-Server

interna alla rete CNAF


Mandato informatico: Windows (3)• Antivirus• Abilitare software updates automatici (ora disabilitati)• Applicare le patch di sicurezza su samba• Restringere l'accesso remoto con remote desktop solo agli

IP strettamente necessari (disabilitarlo?)• Disabilitare l'account Administrator e abilitare solo un

account con privilegi limitati• Restringere l'accesso solo ad alcuni IP, tramite

configurazione ACL sul router di frontiera. Attualmente l'accesso è permesso alla rete del CNAF e ad alcuni indirizzi di Frascati

• Implementare le politiche di sicurezza sui file condivisi via Samba per renderli leggibili solo dal processo TLQServer


Acquisto Hardware

• 2 macchine con 4 core ciascuna per BI (Jaspersoft)• 2 macchine con 4 core di test/sviluppo per BI

(Jaspersoft)• 1 macchina con 2 core per test presenze• Macchina presenze di produzione su due macchine

fisiche in cluster (8 core l'una)• Spazio storage per backup e per VM EBS (qualche tera)• Macchina per mailserver (2 core)• Macchina per software cespiti• Macchina per logserver (1 core)


Attività (1)• Configurazione nuove sedi in backoffice, sia test che

produzione, con creazione relativi utenti amministratori su backoffice

• Realizzazione documentazione: tecnica (ad utilizzo interno): per renedere ognuno di noi

in grado di fare operazioni base su tutto il sistema: backup, gestione Oracle, Cluster, Presenze, etc.

documentazione per amministrativi o tecnici INFN: utilizzo backoffice, configurazione timbratrici, manuale export da AS400, manuale export da Solari

documentazione sul lavoro svolto per note interne, articoli, etc.

• BI e Jaspersoft: formazione, creazione server virtuale/fisico dedicato alla reportistica

• Rilasci software: definizione/documentazione su come avviene un rilascio

in produzione utilizzo di un SVN per tracciabilità e rollback Creazione di un pool di amministrativi per i test


Attività (2)• Installazione hardware e configurazione iDrack per

permettere console remote sulle attuali macchine del SI. Queste permetteranno anche alert in caso di guasti HW. Attualmente 2 server Dell segnalano problemi di ram (1 giorno)

• Installazione a rack delle nuove macchine Dell, configurazione iDrack, installazione SO, creazione cluster (2 giorni)

• Installazione timbratrici. Configurazione in VamWeb e gestione assistenza HW tramite sistema di ticketing Selesta

• Cambio rete per il sistema presenze e verifiche funzionali (1 giorno)

• Reinstallazione del sistema presenze test e produzione su macchina fisica dedicata ed eventualmente su cluster (3 giorni)

• Installazione di un log server (2 giorno): e' necessario avere un server protetto su cui concentrare i log principali dei vari server del SI. Eventualmente utilizzare quello del CNAF 26Guido Guizzunti - Sistema Informativo

Attività (3)• Finalizzare i backup (2 giorni/2 persone)

Backup del sistema presenze prod e test su TSM Backup server nagios, sanctorum, VamWeb, TLQ-

Server, dhcp, dns, mailserver su TSM test recupero backup formazione su gestione backup (Cuggio)

• Finalizzare configurazione script in nagios e installazione nagiosgraph per grafici sull'andamento delle grandezze monitorate (ram, disco, etc.) (3 giorni)

• Inviare errori della grid console su Dashboard del CNAF e via sms, affinche' il reperibile operation possa monitorare anche il nostro reparto. (2 giorni)

• Terminare inserimento di tutte le macchine in Sanctorum, server dei certificati, e richiederne il certificato (1 giorno)


Attività (4)• Finalizzare installazione DHCP, DNS, Mailserver

dedicati al SI. Minima formazione da parte di Veraldi sul loro utilizzo e manutenzione (1 giorno)

• Inserimento di tutte le macchine del SI con le loro caratteristiche HW/SW in Docet (ora utilizziamo un foglio excel)

• Software per gestione password. Quello attuale ha mostrato dei limiti

• Terminare attuazione punti della checklist della review

• Testare istruzioni AS400 col sistema al CNAF, per aiutare sezioni non autonome nell’export

• Migliorare sistema di monitoraggio, ad es. per accorgersi di problemi come quello avvenuto per la connessione all'HR

• Cominciare a pianificare il passaggio a Oracle 1228Guido Guizzunti - Sistema Informativo

Attività (5)• Supporto amministrazione: aggiornamenti Windows,

browser e Java (con relative verifiche), installazione e config. PC per corsi Michela, PC trimestrale con AS400

• Assistenza sistemistica TLQ-Server• Risoluzione problemi aperti: problemi di stabilita'

(tomcat e servlet) sistema presenze, problema del doppio login in Oracle, problemi di performance (lentezza per approvazioni di piu' giustificativi in contemporanea, lentezza con errore di timeout in quadratura sede, che spinge a riquadrare, etc.)

• Assistenza quotidiana amministrativi per gestione presenze

• Aggiornamenti Sistema presenze e Portale PHP• Programma cespiti• Altre attività del Tier1 (manutenzione/sviluppo

accounting, manutenzione/sviluppo dashboard, certificati farming, dismissione Opteron, etc.)


Attività (6)

Quasi dimenticavo….

ADOTTARE LE MISURE DI SICUREZZA PRECEDENTEMENTE ANALIZZATE !!


Sicurezza e affidabilità del Sistema Presenze

Documents

Transcript of Sicurezza e affidabilità del Sistema Presenze