Offuscamento del Protocollo Installazione MDM by cisco su Red Hat Enterprise...21 Componenti di un sistema MDM...

Transcript

1 Indice Prefazione Logistica... 3 Orario di lavoro...3 Sedi di lavoro: Val Cannuta...3 Sedi di lavoro: Estensi Organizzazione Aziendale...4 Organigramma Progetti Svolti...5 Studio delle Funzionalità di VMware ESX 3 e di Virtual infrastructure ESX... 5 Virtualizzazione...5 CPU Virtualization...6 MEMORY Virtualization...6 DISK Virtualization... 6 Private Virtual Ethernet Network (vmnets)...6 Software Compatibility... 6 Amministrazione... 7 Service Console... 7 BACK-UP...7 Resouce Management...7 Resource Variable... 8 CPU... 8 Memory... 8 Network... 8 DISK...8 File System... 9 Virtual Infrastructure...10 VMware ESX Server...11 VMware VMFS...11 VMware Virtual SMP VMware Virtual Center...11 VMware VMotion VMware HA...13 VMware DRS...13 VMware Consolidated Backup VMware P2V Assistant...14 File Sharing P2P edonkey I servers I clients Il FileHash Kad Network protocol...16 Routing Table...16 Contacts...17 Bootstrap Initial handshake...18 Firewall check Find buddy...19 Localizzare gli Oggetti... 19

2 Offuscamento del Protocollo Installazione MDM by cisco su Red Hat Enterprise...21 Componenti di un sistema MDM...22 Procedura di installazione Hardening...23 Installazione Configurazione Virtual Machines Ntop...23 Protocolli Ambiente di collaudo Descrizione blade Packet Sniffer Packet Analyser...25 Report Engine...25 Security Feature...26 Servizi presenti sulla blade NTOP Procedure per la corretta configurazione della macchina: Comando di avvio ntop Dipendenze per la corretta installazione di ntop Nfsen Introduzione...27 NFdump...28 Installazione...29 Hardening Configurazione Autenticazione: Caratteristiche del file:...31 Creare gli utenti: HTTPS...32 Generare Certificati e Coppia di Chiavi: Competenze acquisite e/o consolidate...34 Ricerca Informazioni Gestione Backup Conclusioni...34

3 Prefazione L'azienda a cui ero stato asseto assegnato dal 15 febbraio al 30 Giugno era Telecomitalia, precisamente nel settore Security Solution. Il settore Security Solution è il settore di TelecomItalia atto all'implementazione di nuove soluzioni di sicurezza nell'ambiente IP di Telecomitalia. Questo settore di Telecom aveva avviato un progetto di riorganizzazione delle varie reti Telecom, implementando un sistema di DMZ che separasse le reti dei dipendenti Telecom dalle reti dei servizi, con un sistema di macchine virtuali gestite tramite la Virtual Infrastructure 3 di VMware. La parte del progetto assegnatami riguardava l'installazione e la configurazione di piattaforme per il monitoring delle prestazioni della rete. In parallelo mi sono stati affidati altri progetti, per lo più di documentazione: 1. File sharing-p2p 2. Studio di VMware Virtual Infrastructure 3. Ricerca di Sicurity Tool su Linux Live (Backtarck2, Operator3.3) 4. Installazione Sun Solari 10 su Virtual Macchine 5. Installazione MDM manager (CISCO) su Red Hat Enterprise 1 Logistica Orario di lavoro Dal Lunedì al Venerdì dalle 10:00 alle 17:00. Sedi di lavoro: Val Cannuta La prima sede di lavoro era uno stabile ex-tim, via ValCanutta 186. Il nostro referente aveva sede a via degli Estensi, e non ostate la distanza cercavo di avere sempre un contatto anche via per sapere cosa dovevo fare. Sedi di lavoro: Estensi All'inizi del mese di marzo, inserito con gli altri stagisti in un progetto di riordino delle sedi insieme ai consulenti Telecomitalia, fummo trasferiti nel Open-Space della sede di via Estensi.

4 2 Organizzazione Aziendale Organigramma AMMINISTRATORE DELEGATO Riccardo Ruggiero TECHNOLOGY DOMESTIC FIXED DOMESTIC MOBILE TOP CLIENTS & ICT TIM BRASIL SERVICES SERVICES SERVICES STEFANO PILERI MASSIMO CASTELLI LUCA LUCIANI MAURO NANNI MARIO CESAR ARAUJO Technical Information Services è un sotto gruppo di Technology. Il mio referente fa parte del settore Security Solution.

5 3 Progetti Svolti Studio delle Funzionalità di VMware ESX 3 e di Virtual infrastructure 3 La VMware è una azienda leader nel settore della virtualizzazione dei Computer. I prodotti di punta che VMware propone alle aziende sono ESX e Virtual Infracstructure. ESX Esx è un O.S. Vero e proprio che permette di ottimizzare al meglio la gestione e il funzionamento delle Macchine Virtuali. A differenza degli altri prodotti Vmware, come Workstation, esso non si installa su un sistema operativo preesistente, ma si installa direttamente sul hardware sottostante. Questa situazione gli permette di avere il pieno controllo delle risorse Hardware sottostanti, il che ne migliora la gestione da parte del Software. VMware ESX incorpora un gestore delle risorse (resource manager) e una service console che provvedono al bootstrap, alla gestione ed altri servizi. il core di vmware esx è disegnato per implementare l'astrazione delle risorse HW, cosi da poter allocare multiple quote di lavoro in ambienti pienamente isolati. Ciò permette ai Guest OS di lavorare senza interferire l'un l'altro nella competizione di una risorsa. La struttura logica: VMware virtualization layer provvede alla gestione dell'ambiente HW (separa i vari ambienti) e della virtualizzazione del HW sottostante. Resource Management provvede al partizionamento e alla disponibilità delle risorse, quali: CPU, network bandwidth, memory. per ogni macchina virtuale. I componenti di interfaccia HD includendo driver device, i quali abilitano specifici servizi HD disponibili, mentre nascondo le differenze HW presenti al disotto. Virtualizzazione Il layer di virtualizzazione provvede a far da ponte tra HW-virtuali e quello reale, in questo modo nessun software potrà capire a quale HW specifico sta accedendo, poiché fa riferimento al HWvirtuale.

6 Il layer di virtualizzazione crea una macchina fisica idealizzata che è isolata dalle altre VM sul sistema. Provvede a creare i virtual device che saranno mappati sullo specifico HW condiviso: BIOS, userinterfaces, network interfaces... L'unico modo per connettere le varie macchine virtuali è tramite una connessione di rete (le vmnet, che simulano degli switch, e le vmnic). Questo permette di costruire dei firewall interni, o simulare qualsivoglia topologia di rete. CPU Virtualization Ogni VM apparentemente gira su una propria CPU, o set di CPU, con un proprio registro, buffer e altre strutture di controllo. molte istruzioni sono eseguite direttamente dalla CPU fisica, permettendo una computazione intensiva. Le istruzioni privilegiate sono gestite dal patented e patent-pending technology nel virtualization layer, mentre le istruzioni non privilegiate sono eseguite dalla CPU reale senza l'hoverhead introdotto dalla emulazione. MEMORY Virtualization Mentre un continuo spazio di memoria è visibile per ogni VM, la memoria fisica allocata può non esserlo. Le parti non continue sono rimappate efficacemente e presentate a ogni VM. Cosi la memoria fisica di una VM può essere mappata da pages condivise, o da pages che sono nonmappate o nella swap. Questa gestione della memoria virtuale è migliorata da ESX server, senza avere informazioni del sistema operativo e senza interferire con esso nella gestione della memoria. DISK Virtualization Supporto dei disk device in ESX è un esempio della indipendenza dal HD. Ogni disco virtuale è presentato come uno SCSI driver connesso a uno SCSI adapter. Questo device è il solo disk storage controller usato dai sistemi operativi ospiti, mentre SCSI, RAID e Fibre Channel addapeter potrebbero essere usati nel sistema sottostante. Private Virtual Ethernet Network (vmnets) Connessioni vmnet possono essere usate per reti ad alta velocità tra macchine virtuali. L'isolamento delle varie macchine è utile per disegnare e specialmente supportare le network topology, che normalmente dipendono dall'uso di device differenti per provvedere all'isolamento e alla sicurezza. Software Compatibility Nella architettura ESX, il SO guest interagisce solo con architetture INTEL x86. In realtà Vmware supporta un subset di x86-compatible OS, che sono testati attraverso il ciclo di sviluppo. Questa astrazione fa delle VM, strutture robuste e trasportabili. La trasportabilità non è un grosso problema poiché tutti i file registrati dal guest OS sono memorizzati nel file che simula l'hd. ESX può anche essere usato effettivamente con le SAN, poiché supporta Qlogic e Emulex host bus adapter, i quali permettono ad un ESX computer di essere connesso ad una SAN e di vedere gli HD arrays sulla SAN.

7 Amministrazione Service Console Le funzioni di management e le interfacce sono implementate nella SERVICE CONSOLE. Essa include l'http, snmp e le API interfaces, per connettersi al ESX server. è installata come primo componente ed è usata per la gestione dell'esx server: bootstrap, ESX installation e configuration. Permette la gestione del virtualization layer e del resource manager. Essa è implementata usando una distribuzione Linux modificata. BACK-UP Per eseguire un backup vi sono due vie: Eseguire un normale backup sulle macchine con i software a disposizione Copiare i file di virtual disk e i redo. Con il primo metodo si ha il vantaggio di recuperare singoli o gruppi di dati Con il secondo, poiché viene praticamente copiata la macchina virtuale, si ha la possibilità di recuperare e mettere immediatamente in esercizio i servizi da una perdita completa del sistema, ma non si ha la possibilità di recuperare singole parti. Resouce Management ESX ti permette di ottimizzare le performance della tua VM gestendo l'allocazione delle risorse: CPU time Memory space Network bandwidth Disk bandwidth ESX usa un meccanismo di condivisione proporzionale per allocare le risorse quando più VM stanno contendendo la stessa risorsa. La Network bandwidth è controllata con network traffic shaping. Per la CPU management si può specificare un min e un max in percento, che una VM può sfruttare della potenza di calcolo che deve essere dedicata per ogni VM, si possono specificare il n max di CPU che devono essere condivise. Simile è la gestione della MEMORY: specificare una grandezza min e max, se deve essere uno spazio condiviso o no. SERVICE CONSOLE: usa 2000 CPU condivise e 8% della minima potenza, di default (la Service Console non richiede un'intensiva computazione) lo spazio di MEMORY da assegnare dipende dal numero di VM, che fa variare il valore da 192MB a 512MB. 192MB per VM <=8 272MB per VM <= MB per VM <= MB per VM > 32

8 Resource Variable CPU Le variabili in gioco, come precedentemente accennato, sono: Min, Max calc-power e shared allocation Il primo indica la potenza minima che il Resource Manager deve fornire ad una singola macchina nelle situazioni in cui le risorse scarseggiano. Il secondo è il limite oltre il quale non deve essere fornite potenza di calcolo in alcun modo. Il terzo è il numero di CPU condivise dalla CPU virtuale, maggiore è il numero di CPU condivise maggiore è il tempo di computazione (di pro si ha un minore sforzo delle CPU fisiche) può essere specificato un numero preciso di CPU da condividere o specificare HIGH, NORMAL, LOW. Di default è settato a normal, che è il doppio di low e la meta di high. In un sistema a multiprocessore, si può anche restringere l'assegnamento delle VM ad un sotto insieme di CPU. Memory La gestione della memoria contiene delle variabili simili a quelle della gestine della CPU, size min e max e shared allocation. Il sistema alloca dinamicamente un tot di memoria per ogni VM tra il max e il min basandosi su quella condivisa e su una stima del recente lavoro, è possibile specificare la quantità di memoria iniziale del Guest OS nel suo file di configurazione. Shared allocation: Sono parti di memoria che autorizzano una macchina virtuale a prendere una frazione della memoria fisica. La memoria viene scelta dinamicamente in base a due fattori: 1. Il valore assegnato a Shared allocation 2. Da una valutazione della relativa quantità di memoria usata recentemente. ESX usa una tecnica di page sharing proprietaria che elimina sicuramente le copie ridondanti delle memory pages. Network ESX supporta il network traffic shaping con il modulo nfshaper Lo shaper implementa un algoritmo composto two-bucket traffic shaping. un primo token bucket controlla continuamente il normale traffico di banda e burstness Un secodo token controlla i picchi i banda durante i bursts Ogni istanza di nfshaper può accettare parametri di controllo bps di traffico normale, bps di picco e burst size. In ESX vi è una chiara distinzione tra le risorse di rete assegnate alle VM e quelle della SERVICE CONSOLE, questo per ragioni di sicurezza cosi da separare la network di gestione da quella usata dalle applicazioni delle VM. DISK ESX provvede ad un controllo dinamico sulla relativa quantità di disk bandwidth per ogni singola VM. è possibile controllare separatamente la disk bandwidth per ogni disco fisico o volume logico.

9 il sistema gestisce l'allocazione della disk bandwidth delle VM automaticamente basandosi sui parametri di allocazione e system load. Questo è fatto in modo da mantenere imparzialità a massimo throughput. I parametri sono modificabili nel file di configurazione della VM, o dinamicamente dalla interfaccia della SERVICE CONSOLE. La disk bandwidth consumata da una VM è rappresentata in unità consumption. ogni comando SCSI usato sul disco effettivamente consuma una unità di default e aggiunge unità proporzionalmente alla grandezza del dato trasferito con il comando. Il troughput del disco è massimizzato attraverso l'uso di uno scheduling quantum per disk requests da una VM al disco. Una VM è autorizzata ad usare un numero di richieste a disco (the scheduling quantum) senza iniziare preventivamente un'altra richiesta di un'altra VM. L'uso di una richiesta multipla senza prelazione è applicabile solo se la VM richiede accesso a settori sequenziali del disco. File System Essendo un sistema operativo a tutti gli effetti, ESX usa un suo file system (VMFS) proprietario. VMFS è semplice e ad alte performance file system, usato per immagazzinare file grandi come le virtual disk images e le memory images. Il VMFS immagazzina anche i redo-log files delle VM in nonpersistent, undoable o append disk mode. È possibile vedere e manipolare i file sotto /vmfs con gli ordinari comandi Linux ls e cd. Sfortunatamente, la service console essendo basa su un kernel 2.4 non supporta file più grandi di 2GB.nfs, quindi è consigliato usare ftp scp e cp per copiare file da un volume VMFS. VMFS version VMFS-2 volume può distribuire partizioni multiple atraverso la stessa o multiple LUNs o dischi fisici. VMFS-2 volume è un gruppo logico di estensioni fisiche. VMFS-1 volumes sono limitati a una singola estensione fisica. Assegnare una label al volume: vmkfstools -S mydisk vmhba0:3:0:1 Vedere la versione: vmkfstools -P <VMFS_volume_label> Modalità di accesso # cd /vmfs # ls vmhba0:0:0:2 vmhba0:0:0:6 PUBLIC: questa è la modalità di default, in cui più computer ESX server possono accedere al ESX file system come in un shared storage system. Con VMFS-1 può accedere solo un computer alla volta, mentre con VMFS-2 possono accedere simultaneamente. In questa modalità il file system è automaticamente bloccato per assicurare la consistenza. SHARED: usato per un VMFS volume che è usato per failover-based clustering sullo stesso o differente ESX server.

10 Virtual Infrastructure La virtual Infrasctructure è una suite software di virtualizzazione che permette di gestire, far lavorare i diversi server ESX e automatizzare attività operative; potendo implementare diverse soluzioni business e continuità del servizio Composto dalla combinazione di: VMware ESX Virtual Center VMFS VirtualCenter Agent Virtual SMP VMotion (Solo Enterprise) VMware HA (Solo Enterprise) VMware DRS (Solo Enterprise) VMware Consolidated Backup (Solo Enterprise) La Virtual Infrastructure permette di: Realizzare il consolidamento dei server utilizzando le applicazioni in Virtual Machines, su pochi server scalabili, affidabili e di classe enterprise. In questo modo si aumenta l utilizzo delle risorse hardware e si diminuisce il numero di server. Fornire soluzioni di Business Continuity; VMware permette la realizzazione di una piattaforma di Disaster Recovery che permette il recupero delle Virtual Machines in caso di problemi hardware. Semplificare l introduzione di nuovi server. Il tempo necessario per attivare una nuova Virtual Machine è nell ordine dei minuti. Migrare server fisici. VMware fornisce strumenti per spostare sistemi operativi da server fisici a Virtual Machines.

11 VMware ESX Server È la componente fondamentale di VMware Infrastructure 3; ESX è lo strato di virtualizzazione che astrae processori, memoria, storage e rete per più virtual machines. VMware VMFS VMware Virtual Machine File System (VMFS) è un cluster file system che permette a più installazioni di ESX Server di accedere simultaneamente allo stesso storage. VMFS permette l utilizzo delle funzionalità offerte da VMware Virtual Center: VMware VMotion, VMware DRS e VMware HA. VMware Virtual SMP Grazie a VMware Virtual Symmetric Multi-Processing (SMP) una VM può utilizzare fino a 4 processori contemporaneamente. VMware Virtual Center VMware VirtualCenter è un software per la gestione dell'infrastruttura virtuale, fornisce un nucleo di controllo centralizzato per la gestione di tutte le risorse virtuali dell'azienda. Virtual Center permette di: Allineare le risorse disponibili con le priorità delle VM utilizzando VMware DRS. Migrare le VM attive tramite VMotion per poter effettuare manutenzione ai server ESX Assicurare la disponibilità delle applicazioni grazie a VMware HA VirtualCenter gestisce infrastrutture virtuali di rete. Tra le principali funzionalità si segnalano: Console centralizzata di gestione dell'infrastruttura virtuale. E' possibile gestire centinaia di macchine virtuali da una singola console, monitorare le prestazioni delle macchine e configurare messaggi di avviso e allarmi via per una amministrazione migliore. Provisioning rapido di VM; tramite templates e deployment wizard riduce il tempo e gli sforzi necessari per creare e mettere in produzione una VM. Performance Monitoring; dati di utilizzo di CPU, memoria, I/O disco, I/O network, necessari ad analizzare le performance dei server fisici e delle VM. Accesso sicuro; un meccanismo di gestione dei permessi robusto e l integrazione con Active Directory garantisce l accesso all ambiente virtuale e alle VM solamente agli utenti autorizzati. Virtual Center è composto dalle seguenti componenti: VirtualCenter Management Server. è il nodo di controllo per configurare, implementare e gestire gli ambienti virtualizzati. Il Management Server è un servizio installato su sistema operativo Windows 2000, Windows XP Professional o Windows Server VirtualCenter Database. Utilizzato per memorizzare le informazioni persistenti sui server fisici, i resource pools e le virtual machines gestite da VirtualCenter Management Server. il database può utilizzare Oracle, Microsoft SQL Server o MSDE. Virtual Infrastructure Client. Permette agli amministratori di connettersi remotamente al VirtualCenter Management Server o direttamente sui server ESX da un qualsiasi PC con sistema operativo Windows. VirtualCenter Agent. Installato sui server ESX, permette la connessione da parte di VirtualCenter Management Server.

12 Virtual Infrastructure Web access. Permette la gestione delle VM e l accesso alla console grafica delle VM senza la necessità di installare un client. VMware VMotion La tecnologia VMotion, integrata nell'infrastruttura virtuale di ESX server e gestita attraverso VirtualCenter permette di: Migrare Virtual machines istantaneamente da un server fisico ad un altro, connessi alla stessa SAN senza interruzione del servizio. Effettuare manutenzione all'hardware senza interruzione del servizio migrando le macchine virtuali da un server fisico ad un altro senza interrompere le sessioni utente. Bilanciare il carico di lavoro attraverso i data center per usare con maggiore efficienza le risorse in base alle richieste ricevute.

13 VMware HA È la funzione di alta disponibilità per le VM. In caso di guasto di un server ESX, le Virtual Machines vengono riattivate su di un altro server ESX. Grazie a questa funzionalità non è necessario avere un server in stand-by o configurare un cluster. VMware HA permette di: Minimizzare i tempi di disservizio eliminando la necessità di avere un server in stand-by dedicato. Fornisce un sistema di alta disponibilità per tutta l infrastruttura virtuale, senza la necessità di dover implementare soluzioni di failover specifiche dei sistemi operativi virtualizzati. VMware DRS VMware DRS (Distributed Resource Scheduler) alloca dinamicamente le VM tra i server ESX e ne bilancia la capacità di calcolo attraverso una collezione di risorse hardware aggregate in un resource pool logico. VMware DRS controlla continuamente l utilizzo attraverso i resource pools ed alloca le risorse disponibili tra le VM in base a regole predefinite in base alle priorità assegnate alle diverse VM. Quando una virtual machine ha un aumento di carico, VMware DRS in modo automatico alloca le risorse necessarie redistribuendo le VM tra i server fisici che fanno parte del resource pool. VMware DRS permette: L assegnazione delle risorse alle VM con criticità superiore. L ottimizzazione dell utilizzo delle risorse hardware rispondendo continuamente ed in modo automatico al cambiamento delle condizioni. La possibilità di effettuare manutenzione hardware senza alcun fermo delle VM.

14 VMware Consolidated Backup Vmware Consolidated Backup fornisce una soluzione centralizzata per i backup delle VM. È possibile effettuare il backup delle VM da un Proxy Server installato su Windows Server VMware Consolidated Backup permette di: Ridurre il carico sui server ESX aumentando l efficienza del server stesso e aumentando il numero di VM installate ed attive. Migliora la gestione delle risorse usando un singolo agente installato sul proxy server piuttosto che un agente per ogni VM. Elimina il traffico di backup sulla LAN utilizzando la SAN per il backup delle VM. VMware Consolidated Backup è in grado di: Effettuare il backup dell immagine della VM. Effettuare un backup full o incrementale di VM con sistema operativo Windows per il recupero di files o directories. Vmware Consolidated Backup è corredato da un insieme di drivers e di scripts per effettuare un backup LAN-free delle VM con qualsiasi sistema operativo (tra quelli supportati da VMware), da un server Windows Server 2003 con a bordo un agente di backup. sono inclusi anche script di pre e post backup per l integrazione con le principali soluzioni di backup. Le caratteristiche principali di VMware Consolidated Backup sono: LAN-free backup attraverso l uso della SAN. Backup Proxy Server. sposta il carico dai server ESX consolidando il carico e la gestione del backup al Backup Proxy Server. Backup full e incrementale a livello di files (solo per sistemi Windows). È possibile effettuare restore di files e directories. Backup delle immagini delle VM (per qualsiasi sistema operativo certificato VMware). È possibile effettuare il restore dell intera immagine in caso di disastro. Integrazione con le principali soluzioni di backup. VMware P2V Assistant VMware P2V assistant è un tool che permette di trasformare una macchina fisica in una virtuale semplicemente attraverso un wizard e pochi click: l'assistant cattura una snapshot della macchina fisica e la trasforma in una VM eliminando il bisogno di reinstallare e riconfigurare sistemi complessi.

15 File Sharing P2P Il file sharing è la condivisione di file all'interno di una rete comune. Può avvenire attraverso una rete con struttura client-server oppure peer-to-peer. Le più famose reti di peer-to-peer sono: Kadmilia ed edonkey; non vanno confuse con reti che costituiscono un filesystem distribuito, come Freenet. Queste reti possono permettere di: edonkey Individuare più copie dello stesso file nella rete per mezzo di hash. Riprendere lo scaricamento del file. Eseguire lo scaricamento da più fonti contemporaneamente. Ricercare un file in particolare per mezzo di un URI Universal Resource Identifier. edonkey (ed2k) è stato il primo network supportato da emule fin dalla prima versione. La struttura della rete è composta da client e server. I servers Nella rete non è presente un unico grande server ma molti che si distribuiscono il carico e comunicano fra loro. I server sono gestiti da volontari che li mantengono a proprie spese. I server sono solo dei database che indicizzano i file e gestiscono le connessioni tra gli utenti. Quindi: I file condivisi presenti nel network non risiedono nei vari server, ma lo scambio avviene sempre tra client e client. L'indice dei file condivisi da un client viene inviato al server durante la connessione tra i due. Non esiste quindi un server migliore o più veloce degli altri, sono però avvantaggiati quelli con molti utenti, perché comunque comunicano fra di loro. I clients Con client si intende un qualsiasi programma in grado di interfacciarsi con la rete server di edonkey. Un client si connette ad un solo server, sufficiente per eseguire una ricerca su tutti i server presenti nella rete, poiché comunicano tra loro. Il programma riprende i download/upload che erano in corso, non appena è di nuovo disponibile una connessione Internet. Il FileHash Il FileHash serve ad identificare in modo univoco un file nel network e viene calcolato da emule utilizzando l'algoritmo MD4. Questo in coppia con il parametro Lunghezza in byte garantisce l'univocità di un file nella rete.

16 Kad Il network KAD è un'implementazione di Kademlia. KAD è una rete serverless, senza server, concepita per distribuire il carico di lavoro a tutti i client. Tramite la rete KAD un client può contattare direttamente un altro client, al fine di accodarsi per un file, che ha nella propria coda di download. Ogni client della rete KAD funge anche da server e rappresenta un nodo di comunicazione attraverso il quale passano le richieste del network. KAD è stata introdotta in emule dalla versione 0.40 e rappresenta una via alternativa, ma non esclusiva, per la ricerca delle fonti, che aumentano notevolmente; di fatto si aggiunge come supporto ad i server ed2k per lo scambio delle fonti. La connessione alla rete, detta procedura di bootstrap, avviene contattando gli altri client, che assegnano lo stato open nel caso il client sia contattabile liberamente, altrimenti lo stato di firewalled se la comunicazione risulta filtrata. Dalla versione 0.44a di emule in poi, è presente la funzione buddy attraverso la quale un client firewalled riesce a comunicare nella rete appoggiandosi ad uno di tipo open; dalla 0.47a è presente la nuova rete KAD 2.0, resa definitiva nella 0.47c. (Nella 0.47a non era ancora stata completamente testata). Network protocol KAD usa UDP come message protocol, questo è vantaggioso; poiché le operazioni e i processi di interazioni inducono un peer ad inviare molti messaggi, in otre non è necessario stabilire una sessione, poiché generalmente un peer invia solo una richiesta ad altri peer. I peers possono connettersi e lasciare la KAD network quando vogliono; così un cliente deve sempre essere informato sullo stato dei contatti che hanno abbandonato la rete; la soluzione è un timer. Il timer, in oltre, induce periodicamente differenti processi come il ripubblicamento dei files e/o il checking per un firewall. Ogni segmento UDP parte con un byte chiamato ID, che identifica il protocollo Kademlia. Un client ha tipicamente due port number. Una porta, detta messaging port, è usata per inviare e ricevere messaggi dello standard e service operations. (emule e amule usano la 4672/UDP). L'altra, detta service port, standard port è la 4662/TCP per il trasferimento dei files (upload/download) Routing Table La tabella di routing organizza i contacts di un peer in vari N-buckets, che rappresentano le foglie dell'albero di routing. Questi N-buckets sono organizzati in routing zones, che corrispondono a tutti i nodi dell'albero di routing. Ogni N-buckets rappresenta un sotto albero che ha N contatti. In questo modo se un client vuole localizzare un nodo in un altro sotto albero, salterà direttamente al primo nodo conosciuto di quel sotto albero. Possiamo avere max 5000 contacts con tutti gli attributi ad essi legati.

17 NB: routing table e una hash table strutturata Per mantenere la routing table pulita, senza dati di peers non attivi, il client invia periodici hello request ai contacts, che hanno 2 minuti per rispondere. La tabella di routing migliora continuamente la sua struttura cercando nuovi contatti, attraverso due differenti strategie: random lookup e self lookup. Random cerca i nuovi contacts, che corrispondono ad un certo bucket creando un target che ha il primo bit uguale a quello del bucket. Self lookup cerca i contacts più nuovi, il target è il clietid del medesimo peer. Contacts Nuovi contacts possono essere ottenuti con: Bootstrap La bootstrap request. Quando 20 random contacts di altri client sono rinviati Quando l'iteration process motivano il client a inviare richieste ai peers; in questo caso i peers risponderanno con diversi closer nodes (nodi più vicini) In fine il client può essere contattato passivamente da un contact sconosciuto. Per connettersi alla rete kad un peer deve effettuare un processo di bootstrap. Perciò un client kademlia necessità almeno di un nodo attivo nella rete kad con <IP_ADD:messageport>. Come risposta ad una bootstrap request il peer replica con una lista di altri nodi della rete, cosi da popolare la tabella dei contacts del client appena connesso. ci sono anche delle pagine internet come overnet che mantengo il nodes.dat (uso minimo dei DNS).

18 Initial handshake Quando un client ottiene nuovi contacts, effettua un initial handshake process. Questa è una tipica procedura che i clients o i peers effettuano per contattare e assumere chi è attivo. Firewall check Il firewall check indica l'accessibilità delle porte e corrisponde al basso ID in edonkey. Il Kad protocol ha un suo processo per capire se le porte possono essere accedute direttamente. Questo checking è eseguito immediatamente dopo aver stabilito la connessione alla rete Kad, il processo in seguito viene ripetuto ogni ora. Questo è ciò che avine nel processo di firewall check, il processo non va a buon fine se non è ricevuto l'ack

19 Find buddy Un firewalled client ha necessità di trovare un non-firewalled client, chiamato buddy. Un buddy può ricevere messaggi destinati al client firewalled. Un solo buddy è permesso per ogni firewalled o non-firewalled client. La ricerca parte 5 minuti dopo il fallimento del firewall check. Un client sceglie i contatti in base ad una specifica posizione (la posizione o distanza tra client è la distanza numerica tra il loro ID, detta XOR-DISTADINCE) e mantenendola in una hash table strutturata chiamata anche routing table. Questa è la distributed hash tables. I lookup descrivono i metodi e gli algoritmi per trovare i peers, che sono vicini ad una certo target nel Kad space. Localizzare gli Oggetti Un oggetto può essere localizzato con un lookup iterative o recursive. Recursive lookup dipende dai peers intermedi, quindi corre il rischio di inviare lookup messages a peers non più in vita. Ma rispetto all'iterative ha una minore latenza. L'Iterative è facile da implementare, poiché permette un miglior debugging e manutenzione. L'ultimo è il motivo per cui il metodo iterative è preferibile al recursive nel protocollo Kademlia, specialmente se si considera la grande variabilità della rete KAD al variare del tempo. Con l'iteration method, il peer iniziale prende il controllo del lookup, gli altri peers nel lookup catena eseguono solo semplici requests con alcuni dei loro contatti più vicini, indicando quale peer contiene l'oggetto ricercato. Con il recursive method il peer invia il proprio indirizzo a un vicino, quando il target peer riceve il messaggio lo notifica al peer iniziale.

20 In teoria vi dovrebbe essere un solo processo di iterative lookup per trovare un peer, come descritto precedentemente, ma vi è il rischio che un singolo client in stallo possa aumentare la latenza dell'iterative process. Il ritardo e dato dalla somma di ogni contatto in stallo nell'iterative process. Per evitare ciò Kademlia implementa un nodo di lookup concorrente, chiamato parallel lookup. Questo significa che una lookup request è inviata a entrambi i peers nello stesso momento, invece di inviare la richiesta a solamente un peer. Adesso quando un peer nell'iteration process è sovraccarico, ci sono altri peers che possono rispondere. È importante trovare il giusto equilibrio, perché un alto numero di parallel lookups velocizza notevolmente la ricerca del target, ma incrementa anche il network overload. Nel Kademlia protocol è definito un numero di massimo 3 parallel lookups. In figura sono mostrati i tre passi seguiti dall'iterative process. 1. Il peer che inizia la ricerca invia tre messaggi ai più vicini contatti. 2. Come risposta ottiene i quattro contact più vicini; nell'esempio due contatti sono nella tolerance zone del target. 3. Nell'ultimo passo il peer invia una request per closer contact ai tre contatti più vicini nuovamente, ma solo due sono disponibili e rispondono con contact ancora più vicini. Il prossimo passo è eseguire un'altra request a tutti i nuovi possibili contatti ottenuti, poiché il client non sa se i nodi sono ancora connessi; nuovamente essi rispondono con un'altra lista di possible contacts. Finalmente quando un contato è trovato attivo nella tolerance zone del target, il peer invia loro l' action request. Essi risponderanno con il tipo specifico di risposta, un contatore viene incrementato ad ogni risposta e la ricerca del nodo sarà stoppata quando il contatore raggiunge il massimo, altrimenti si continua come mostrato in figura.

21 Offuscamento del Protocollo Questa caratteristica è stata introdotta nell'ultima versione di emule (0.47c). Essa serve a criptare i pacchetti detti Chunk che gli utenti si scambiano trasformandoli da traffico P2P a traffico internet, che i filtri non riconoscono e lasciano passare, permettendo ai clienti di avere la possibilità di usare a piena potenza la loro connessione ad Internet. Molti server quando si effettua una ricerca danno come risultato tanti file con nome "PLEASE USE emule 0.47c AND ENABLE Protocol obfuscation to get results from this server". Significa che tali server richiedono che attiviate l'offuscamento, altrimenti si rifiutano di darvi i risultati. Attivare l'offuscamento non causa nessun rallentamento e nessuno svantaggio L'offuscamento del protocollo è una caratteristica di emule aggiunta a partire dalla versione 0.47b per venire incontro alle esigenze di tutti quegli utenti rallentati o bloccati dal loro provider. Se si attiva questa opzione emule cerca di "nascondere" i dati che invia e riceve quando comunica con altri client e server in modo da impedire che qualcuno analizzando i pacchetti possano riconoscerli come provenienti dal programma emule. Questo sistema non è stato creato per rendere "anonimi" anche perché emule richiede un collegamento diretto con ogni utente che possiede il file che si vuole scaricare e perciò nascondersi è impossibile. L'unico risultato dell'offuscamento è che i dati spediti, per uno che li vede passare sul cavo, sembreranno senza significato. L'offuscamento una volta attivato funziona per i protocolli ed2k TCP e UDP, Server TCP e UDP, Kad TCP. Installazione MDM by cisco su Red Hat Enterprise Cisco MDM è un sistema che installato su Server Linux, serve per monitorare e gestire: 1. traffico anomalo trovato su moduli e dispositivi 2. traffico anomalo su guard module e cisco guard appliance Si prefigge l obiettivo di proteggere la rete da Distributed Denial of service (DDOS) garantendo sicurezza e semplicità di utilizzo, grazie al WBM (web-based Manager), un interfaccia web che fornisce un semplice accesso a i dispositivi della rete. Visualizza e consolida una panoramica sulle zone attaccate Visualizza e consolida statistiche sulle zone attaccate Crea reports Configura o modifica informazioni sulle zone di un dispositivo e usa una copia per sincronizzare gli altri dispositivi attiva dei detector per traffico anomalo sulle zone attiva zone di protezione (attack mitigation) su tutte le zone Guards attiva un processo che impara una o tutte le zone dei dispositivi Le comunicazioni tra i Detector, i Guard, i dispositivi e l MDM SERVER avvengono in SSL (Secure Sockets Layer).

22 Componenti di un sistema MDM Detectors: ricevono copia del traffico di rete e mentre lo analizzano lo deviano sul percorso normale. Anomalie sul traffico indicano attacco; Quando si trovano queste anomalie entrano in gioco i guard per mitigarle. Guards: ricevono il traffico deviato dalla rotta normale per analizzarlo. Se trovano un anomalia, la isolano e droppano, inserendo nella rete solo il traffico pulito. Zones: Una zona rappresenta un n di elementi di rete (come server farm) controllati da Dector and Guard per mitigare gli attacchi DDos. Un dispositivo può essere configurato in zone multiple. MDM Server: lega tutti i dispositivi della zona. Mantiene un database entry per ogni dispositivo segnalato e un dispositivo che attraverso il server MDM, configuri la zona. Questo database offre l'associazione tra dispositivo e configurazione. Visualizza stato e statistiche. Master Device: è il dispositivo attraverso il quale l'mdm gestisce la configurazione di una zona. Abilita a creare o modificare una configurazione di zona, con un processo "synchronization". Procedura di installazione Una volta scaricata l ultima versione dell MDM RPM da sito si copia il file nel Linux Server e s immette il comando: rpm -ivsh MDM-M.M-X.YY.rpm dove M.M è la version major number, X.YY il minor version number. Prima di procedere con l installazione, si deve tenere conto di questi 5 punti fondamentali: 1. Configurazione del firewall 2. Certificato tomcat 3. Utenti e gruppi LINUX 4. Tacacs, per gestire accessi NOTA ->Nella documentazione sono stati riportati esplicitamente solo i punti 1 e 5, poiché sono quelli che devono essere seguiti alla lettera, per un sicuro e corretto funzionamento in rete. Gli altri sono reperibili direttamente sulla documentazione ufficiale nel file ConfigurationGuide.pdf alla pagina 32. I punti 2,3,4 non sono stati riportati perché dipendono dalle decisioni di amministrazione del Software. 1) Per instaurare una connessione con l MDM, il firewall dev essere configurato per permettere i seguenti traffici: incoming connection 443/TCP per richieste HTTPS Ssh (22/TCP) per scambio di chiave tra detector e guards syslog (514/udp) per ricevere gli eventi dalla rete Outgoing connection Device remote agent (RA) (1334/TCP) Network Time Protocol (se installato) Terminal Access Controller Access Control System (TACACS, se configurato)

23 Hardening Per rafforzare (hardening) il sistema Cisco raccomanda di avviare il servizio MySql in un ambiente chroot, (change root) un metodo di sicurezza usato per isolare i limiti operativi di una applicazione e adottare le seguenti misure di sicurezza: Cambiare la password di admin di MySql che di default è bianca. Cancellare guest e utenti anonimi. Creare un nuovo utente per gestire l MDM back-end con una password forte, contenente caratteri speciali e alfanumerici. Questo utente avrà tutti i permessi per il Riverhead database. Considerare i seguenti step: 1. Configurare le proprietà della connessione sul back-end db. Aggiornare il file /Riverhead/Ofek/rsc/db.properties con nuovo utente e password. 2. Inserire il comando service backend restart per riavviare il servizio, in questo modo si applicano le nuove credenziali. Installazione Configurazione Virtual Machines Ntop NTOP (acronimo di Network TOP (comando)) è un programma per l'analisi e il monitoraggio del traffico di rete. Il programma è rilasciato sotto licenza GPL. Il programma include funzionalità di IDS sebbene non sia specificatamente studiato per questi compiti. Peculiarità del programma è l'utilizzo di un'interfaccia web per mostrare le statistiche e per comandare il programma. Questa scelta rende il programma estremamente portabile dato che il componente più critico da rendere portabile in un programma è l'interfaccia grafica e quindi utilizzare un browser per la gestione della grafica elimina il problema. Network management sta diventando un operazione sempre più complessa a causa della varietà dei tipi di rete e l'integrazione di differenti network media. Il costo del network management aumenta con l'aumento: delle dimensioni, della complessità e della eterogeneità. In questo scenario, uno strumento di automazione per il controllo delle risorse è essenziale per permettere al network management di svolgere il proprio lavoro. Ntop è un semplice, gratuito ed efficace strumento per monitorare e misurare il network traffic, inizialmente concepito da Luca Deri e Stefano Suin per controllare i problemi di performance sulla campus network dell'università di Pisa. Senza l'aiuto di NTOP e tools simili, trovare le cause dei problemi di rete potrebbe essere estremamente tedioso. La presentazione dei dati di NTOP è adatta ad ogni esigenza. Barre e grafici a torta sono usati per illustrare l'utilizzo dei protocolli e le statistiche sulla dimensione dei pacchetti. I dati raccolti durante il monitoring possono essere loggati in un file per futuri controlli usando qualunque applicazione di foglio di calcolo come Calc di OpenOffice o Excel di Microsoft.

24 Protocolli Di default il programma riconosce i seguenti protocolli di rete: TCP/UDP/ICMP (R)ARP IPX DLC Decnet AppleTalk NetBIOS TCP/UDP FTP HTTP DNS Telnet SMTP/POP/IMAP SNMP NFS X11 Fibre Channel

25 Control Traffic - SW2,GS3,ELS SCSI Ambiente di collaudo L ambiente di collaudo viene realizzato per simulare al meglio il sistema Ntop. Su un server HP Proliant ML 570 è installato il sistema Operativo VMWare ESX 3.0.1, sul quale è stata creata la seguente service blade di Ntop: Ntop-SISTEMA (IP: , SO: Linux Kernel ): funzione di Network Monitoring Virtual Machine: Due schede di rete HD da 4G Una CPU La prima scheda di rete (eth1) possiede un indirizzo IP cosi da permettere la gestione da remoto, tramite ssh, della macchina e di Ntop tramite interfaccia web; la scheda è collegata ad uno switch virtuale su una normale porta. La seconda scheda di rete (eth2) non possiede indirizzo IP ed è collegata ad una porta di SPAN dello switch virtuale, il compito di questa scheda è catturare i pacchetti che transitano nello switch cosi da poter essere analizzati.

26 Descrizione blade L'architettura di Ntop è mostrata dalla seguente figura. Il Packet Sniffer colleziona i pacchetti che, in seguito, sono passati al Packet Analyser per essere processati. Ogni qual volta le informazioni di traffico vengono richieste, il Report Engine legge le richieste per visualizzare le informazioni di traffico. Packet Sniffer Il Packet Sniffer supporta differenti tipi di interfacce, includendo: PPP, Ethernet e Token Ring. Permette di catturare pacchetti, cosi da filtrarli prima che inizi il processo di analizi. Packet filtering usa la libreria libpcap, i filtri sono specificati usando semplici espressioni tcpdump. Il Packet Sniffer permette di abbassare la perdita di pacchetti durante fasi di traffico esplosivo; se la funzione di analisi e sniffing fossero collassate, durante una fase esplosiva di traffico si avrebbe un alta perdita di pacchetti, causata dall'overhead dell'analisi. Packet Analyser Il Packet Analyser elabora un pacchetto alla volta. Il Packet headers sono analizzati in accordo al tipo di media interfacce usato. Questo perché gli headers dipendono dal tipo di interfaccia (Una

27 Token Ring non ha le stesse caratteristiche di un'altra). Le informazioni sugli Hosts sono immagazzinate in una tabella di hash la cui chiave corrisponde ai 48 bit del MAC_address garantendone l'unicità, e permettendo a differenti network protocols di essere elaborati. Ogni entry contiene diversi contatori che mantengono traccia dei dati inviati/ricevuti dagli Hosts, ragruppandoli in base al protocollo di rete supportato. Per ogni pacchetto, la Hash entry corrispondete al campo sorgente e destinazione; Essa viene ricercata o creata se non esiste. Non essendo possibile prevedere il numero dei pacchetti di ogni host gestiti da ntop, è impossibile avere una tabella di hash grande a sufficienza per inserirvi tutti i possibili hosts. Quando necessario ntop libera la host table, dalle entry obsolete, cosi da occupare uno spazio limitato di memoria senza inficiare le performance del sistema. Se ntop riceve pacchetti non-ip, i contatori sono aggiornati e i pacchetti sono scartati. Invece se vengono ricevuti pacchetti IP, saranno processati. Report Engine L'attuale versione di Ntop possiede solo l'interfaccia web-base: Web-mode ntop aggisce come un HTTP server e permette agli utenti di analizzare le statistiche di traffico e gestire ntop con un semplice web browser. Security Feature NTOP supporta nella ricerca alcuni problemi di rete includendo: Uso di IP duplicati. Identificazione di local Host in "promiscuous mode". 12Rilevamento di mal configurazi12oni delle applicazioni. (grazie all'analisi dei dati sul traffico dei protocolli) Misure sullo sfruttamento dei servizi Identificazione di hosts che non usano uno specifico proxy. Identificazione di hosts che usano protocolli non necessari. Identificazione di routers Uso eccessivo dell banda Rilevamento di workstations mal configurate che agiscono come routers Misure sui protocol Local Network Traffic Map: Questa funzionalità non è abilitata di default su ntop; per abilitarla si devono installare i seguenti pacchetti: graphviz: libreria grafica (installabile con apt-get inserendo il cd di installazione) gsfonts-x11: font per la creazione della mappa gsfonts xutils (scaricato a parte) xutils-dev

28 libfs6 xfonts-utils libxfont1 libfontenc1 xfonts-encodings Servizi presenti sulla blade NTOP SSH,per la gestione remota della macchina. Proxy: aggiornamenti del sistema operativo. A causa dell'uso del proxy ISA Microsoft con autenticazione all'interno di Telecomitalia non è possibile effettuare gli aggiornamenti di Ubuntu. Soluzione: Software (ntlmaps ) che permette di formattare le richieste, cosi che possano transitare per il proxy ISA; il software per gli aggiornamenti dovrà usare come proxy: Problematiche: questo workaround comporta un uso considerevole delle risorse della macchina, che rischia di inficiare il normale funzionamento di ntop, per mancanza di risorse; si consiglia di usarlo solo quando il sistema si ritene debba essere aggiornato, o di installarlo in una macchina dedicata. Procedure per la corretta configurazione della macchina: 1. Configurare l'interfaccia di rete adibita allo sniffing a finché si avvii senza indirizzo IP e senza effettuare richieste DHCP. auto eth0 iface eth0 inet manual up ifconfig eth0 up up ip link set eth0 promisc on 2. Non possono essere avviati due processi Ntop con stesso utente e porte di ascolto per la web-interface. 3. Far girare ntop come demone (disconnesso da qualunque shell) 4. Indicare l'interfaccia di sniffing. 5. Indicare la porta tcp per la web interface (di default è la 3000 in http) Comando di avvio ntop Avviare ntop (la 'w' minuscola indica la porta per il protocollo http, la 'w' maiuscola indica il protocollo https, la 'u' indica l'utente con i cui privilegi ntop gira): ntop -d -i eth2 -w 0 -W 443 -u ntop Dipendenze per la corretta installazione di ntop libglib1.2 libc6 libgd2-xpm libfreetype6 libxpm4

29 libgdbm3 libpng12-8 libx11-6 libjpeg62 libpcap0.7 (vuole perforza la 0.7) libssl0.9.8 (va installata esternamente) zlib1g Nfsen Introduzione Per poter avere una visione di insieme, effettuare una tariffazione, del traffico che transita in una rete IP. È necessario poter disporre di dispositivi sonda e di uno o due correlatori che, elaborando le informazioni inviate dalle sonde, possono fornire un quadro completo sullo stato della rete. NetFlow è un sistema di accounting e billing (fatturazione) del traffico IP, composto da un probe (sonda) e da un collector Sonda: software installato su un network-device (switch o router), o su una macchina, che esporta le informazioni relative i flussi IP (source, destination, address, port...) ad una macchina esterna (collector). Nome del SW è netflow v5, v7, v9... installabile su piattaforma CISCO Collector: Macchina esterna che colleziona i flussi delle varie sonde correlandoli e aggregandoli. Netflow è un prodotto by CISCO. Sulla rete, esistono anche altre alternative proprietarie e non, che forniscono funzionalità e compatibilità simili ai prodotti CISCO. Uno di questi è NFdump. NFdump È un collector composto da vari tools CLI, compatibile con le sonde NetFlow v5, v7 e v9. I pincipali tools sono:

30 Nfcapd: Netflow capture daemon. Reads i netflow data dalla rete e li immagazzina in un file. Aggiorna il file automaticamente ongi x minuti (tipicamente 5) nfcapd legge i netflow v5, v7 e v9. È possibile settare un daemon per ogni flusso Nfdump: Netflow dump. Legge i netflow data dal file creato da nfcapd. La sua sintassi è simile a tcpdump. Visualizza i netflow data e può creare diverse statistiche, ordinabili secondo le proprie esigenze, in base: IP addresses, ports.. Nfprofile: Netflow profiler. Legge i netflow data dal file creato da nfcapd. Filtra i netflow data in base ai profili creati e memorizza il risultato in un altro file per futura visione. Nfreplay: Netflow replay. Legge i netflow data dal file creato da nfcapd e li invia ad altri host. Nfclean.pl: Cleanup old data. Semplice script per cancellare vecchi dati. Ft2nfdump: Legge e converte i netflow data per poter essere letti da nfdump. Documentazione reperibile su NFsen: Interfaccia web di NFdump. Essa permette di visualizzare in maniera ordinata, tramite dei grafici, le informazioni acquisite da NFdump. Installazione Dipendenze: Software e Librerie necessarie per NFdump. byacc (al posto di bision per debian) flex m4 cdbs (>= ) zlib Librerie consigliate: dpatch debhelper (>= 5.0) Software e Librerie necessarie per NFsen: Server WEB (apache2) Perl (già presente su Ubuntu6.10) PHP >=4.1 RRD tools perl RRD tools libart (>= ) libfreetype6 (>= 2.2) libpng12-0 (>= )