Openvpn

by in Infrastruttura, Sicurezza, System Administration

Nei server di laboratorio, abbiamo installato vari tool aziendali di planning e gestione del personale, ovviamente raggiungibili soltanto dalla sede stessa. Avendo la necessità di esporre questi tool su internet, per usufruirne da qualsiasi sede, ed anche per eventuali condivisioni con il cliente finale. Per raggiungere questo obiettivo, abbiamo optato per un prodotto Opensource, OpenVPN.

Questo prodotto, permette ad un client opportunamente configurato, di accedere alla rete aziendale da qualsiasi parte del mondo.

Per la nostra VPN, abbiamo utilizzato un server con Centos 6.5 64 bit. Installiamo Openvpn:

yum install openvpn easy-rsa

Il pacchetto di OpenVPN fornisce una serie di script già pronti, per la gestione dei certificati di accesso. Copiamo tali script nella cartella di OpenVPN:

cp -r /usr/share/easy-rsa/2.0/ /etc/openvpn/rsaopenvpntech_logo_rounded_antialiased

Spostiamoci sotto la cartella apeena copiata:

cd /etc/openvpn/rsa

Apriamo il file “vars” e editiamo i campi, questo velocizzerà la creazione dei certificato, è comodo per chi ha la necessità di creare molti certificati. Un esempio del file vars:

export KEY_SIZE=1024
export KEY_COUNTRY="IT"
export KEY_PROVINCE="IT"
export KEY_CITY="Roma"
export KEY_ORG="Converger"
export KEY_EMAIL="info@converger.it

Creiamo la nostra CA (certificate authority)

# source vars 
# NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/rsa/keys
# ./clean-all

Ora possiamo generare la nostra Certificate Authority: è necessario richiamare anche lo script “clean-all” per iniziare con un ambiente pulito. A questo punto siamo pronti per generare la nostra CA (certificate authority):

# ./build-ca
Generating a 1024 bit RSA private key..................................................
++++++...++++++
writing new private key to 'ca.key'----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [IT]:
State or Province Name (full name) [IT]:
Locality Name (eg, city) [Roma]:
Organization Name (eg, company) [Converger]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [Converger CA]:
Email Address [info@converger.it]:

I valori di default vengono letti dal file vars sopra customizzato. Ora possiamo creare il certificato per il server VPN:

# ./build-key-server ConvergerVPN

ConvergerVPN è il nome della macchina su cui sto installando il server VPN, per coerenza la coppia chiave/certificato avrà il nome dell’host su cui viene usato.

Per evitare che ad ogni riavvio di OpenVPN sia richiesta una password premere invio senza inserire nulla alla richiesta di password:

Generating a 1024 bit RSA private key..................
++++++.++++++
writing new private key to ConvergerVPN .key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [IT]:
State or Province Name (full name) [IT]:
Locality Name (eg, city) [Roma]:
Organization Name (eg, company) [Converger]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [ConvergerVPN ]:
Email Address [info@converger.it]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:password
An optional company name []:
Using configuration from /etc/openvpn/rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'IT'
stateOrProvinceName   :PRINTABLE:'IT'
localityName          :PRINTABLE:'Roma'
organizationName      :PRINTABLE:'Converger'
commonName            :PRINTABLE:' ConvergerVPN  '
emailAddress          :IA5STRING:'info@converger.it'
Certificate is to be certified until Nov 25 13:50:00 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Procediamo alla creazione del file Diffie-Hellman, necessario per l’avvio delle connessioni cifrate.OpenVPN

# ./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
........+............

Realizziamo l’ultima chiave necessaria per l’instaurazione di una connessione sicura:

# openvpn --genkey --secret keys/ta.key

Generazione dei certificati per i client

La procedura per generare i certificati dei client è identica a quella del server, nell’esempio li creiamo nominali per una semplice identificazione, in caso di grandi numeri è possible usare la matricola aziendale.

# cd /etc/openvpn/rsa
# source vars 
# NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys  (ignorare il meassaggio)
# ./build-key rmassimi
Generating a 1024 bit RSA private key
..........................................++++++
................................................++++++
writing new private key to 'rmassimi.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [IT]:
State or Province Name (full name) [RM]:
Locality Name (eg, city) [Roma]:
Organization Name (eg, company) [Converger]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [rmassimi]:
Name []:Roberto Massimi
Email Address [info@converger.it]:rmassimi@converger.it
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'IT'
stateOrProvinceName   :PRINTABLE:'RM'
localityName          :PRINTABLE:'Roma'
organizationName      :PRINTABLE:'Converger'
commonName            :PRINTABLE:'rmassimi'
name                  :PRINTABLE:'Roberto Massimi'
emailAddress          :IA5STRING:'rmassimi@converger.it'
Certificate is to be certified until Nov 26 14:29:37 2024 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

 Configurazione del server

Ora andiamo a configurare il demone OpenVPN, anche in questo caso il pacchetto dovrebbe portare con se degli esempi.

# cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf /etc/openvpn/

Di seguito un file di configurazione:

 # SERVER CONF
port 443
proto tcp
dev tun
ca rsa/keys/ca.crt
cert rsa/keys/rcc001ws.crt
key rsa/keys/rcc001ws.key  # This file should be kept secret
dh rsa/keys/dh2048.pem
server 10.1.1.0  255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
route 10.1.1.0 255.255.255.0
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log 5
status-version 2
log-append /var/log/openvpn-status.log
verb 3
keepalive 10 60
push route "10.31.57.0 255.255.255.0"
crl-verify /etc/openvpn/crl.pem

In questo modo, dopo connesso in vpn, tutto funzionerà come prima, ma il nostro PC avrà una nuova interfaccia di rete con IP 10.1.1.x e tutti gli IP della classe 10.31.57.x verranno dirottati sulla VPN.In questa configurazione, rilasciamo IP ai client del tipo 10.1.1.x ed aggiungiamo la rotta 10.31.57.x .

Configurazione di IPTABLES

Come ultimo step sul server, dobbiamo abilitare il fowarding e il MASQUERADE tramite IPTABLES:

sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE

Se abbiamo IPTABLES configurato andiamo ad aggiungere anche le policy di ACCEPT:

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

Avviare il demone di OpenVPN e configurare i certificati dei client.

Configurazione dei client

Per prima cosa dobbiamo copiarci i certificati:

  • La coppia certificato/chiave per il client (i due file .key e .crt)
  • Il certificato della CA del server (il file ca.crt)
  • La chiave di autenticazione TLS (il file ta.key)

File client.opvn:

client 
dev tun
proto tcp
remote IP_SERVER_VPN 443
resolv-retry infinitenobind
persist-key
persist-tun
# THE CSR FILE:
ca ca.crt
cert rmassimi.crt
key rmassimi.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
route-method exe
route-delay 2

Lanciando questa configurazione con openVPN del client, noterete una nuova scheda di rete 10.1.1.x . Se ora provate ad aprire un qualsiasi tool o sistema sulla rete 10.31.57.x, questo risulterà disponibile!
Autore: Roberto Massimi

Office Guard e il salvataggio dati

by in Sicurezza

Tra le soluzioni che utilizziamo per fornire ai nostri clienti il miglior prodotto per il salvaggio dati c’è Office Guard.
Office Guard esegue quotidianamente operazioni automatiche di controllo e salvataggio dati. Il Suo compito è rilevare, controllare, potenziali attacchi esterni, rimuovere virus, sorveglia file e cartelle, esegue copie di backup e ripristino di file di configurazione, dati e impostazioni.
La comodità di avere un’immagine del proprio disco è indubbia, qualunque cosa noi facciamo avremo sempre una sorta di paracadute pronta a ripristinare il sistema in pochi minuti esattamente
come era nel momento in cui abbiamo scelto di effettuare l’immagine.
E’ possibile recuperare sia file persi o inaccessibili in seguito ad un crash del sistema operativo o dischi danneggiati e copiarli in un luogo più sicuro.

Proteggere i tuoi dati significa proteggere il tuo lavoro e il tuo business

by in Sicurezza

Converger studia, disegna ed implementa piattaforme di backup centralizzate che consentono di integrarsi con la maggior parte di sistemi operativi come: Windows 2000/XP/2003/2008/Vista; Novell NetWare/OES; HP-UX, HP MPE/iX; Sun Solaris; Linux RedHat/SUSE/Debian, United Linux; IBM AIX; SGI IRIX; SNI SINIX; SCO OpenServer, SCO Unixware; HPTru64 UNIX; OpenVMS.Inoltre attraverso delle opportune integrazioni è possibile salvare i dati delle seguenti applicazioni senza effettuare nessun fermo applicativo: Oracle, Informix, Sybase, MS SQL Server, MS SQL, MS Exchange, SAP, SAP DB/MaxDB, BaanIV, Lotus Notes, Solid Database, DB2, Full virtual platform integration with VMware ESX Server and VMware Consolidated Backup, VM-level support for Citrix XenServer, HP Integrity Virtual Machine, MS Virtual Server, MS Windows, 2008 Hyper-VBackup device servers – with robotic control (for control of tape drives and tape library systems, including shared tape libraries).

Le piattaforme di backup si integrano con le più diffuse librerie di memorizzazione.

I dati di backup possono essere trasmessi dal client al server sia in chiaro che in modalità crittografata.

Codice in materia di protezione dei dati personali
Art.18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Art. 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
Art. 23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

“Il backup, copia di sicurezza o copia di riserva in informatica indicano un’operazione atta a prevenire la perdita totale dei dati archiviati nella memoria di massa dei computer siano essi stazione di lavoro o server.L’attività di backup è un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, furti, ecc., ci si assicura che esista una copia dei dati, pertanto l’esecuzione del backup è quasi sempre automatica e svolta normalmente con una periodicità stabilità.

«Gli ingegneri di Google Labs hanno pubblicato un paper intitolato Failure Trends in a Large Disk Drive Population (tendenze al guasto in un”ampia “popolazione” di dischi rigidi), frutto di uno studio condotto su circa 100.000 dischi rigidi in più di 5 anni d’uso presso l’infrastruttura del colosso della ricerca. Dai dati raccolti da Google emergono alcuni aspetti molto interessanti e in parte inattesi.Secondo recenti stime più del 90% di tutte le nuove informazioni prodotte nel mondo viene conservato su media magnetici, gran parte su dischi rigidi.»

Vulnerability Assessment and Mitigation

by in Sicurezza

Mettere in sicurezza il tuo IT è una priorità: non lasciare a nessuno la possibilità di appropriarsi dei tuoi dati!
La metodologia di Vulnerability Assessment and Mitigation (VAM) consiste di un processo volto a valutare l’efficacia dei sistemi di sicurezza ed a valutarne il livello di sicurezza.
Lo scopo di questa ricerca è quello di trovare le falle di quello specifico sistema, per poterlo così migliorare e prevenire eventuali attacchi basati su quelle vulnerabilità.
L’utilizzo del VAM si rende necessario più volte durante l’arco di un anno, in quanto la tecnologia progredisce in fretta e con essa anche gli strumenti per attaccare un sistema, che potrebbero quindi avvalersi di nuove vulnerabilità eventualmente messe in luce dal progresso tecnologico e strategico.

Il processo di VAM è composto da quattro aree (Auditing, Assessment, Analisys e Mitigation) e viene eseguito tramite metodologie e tool open source leader come:

  • OpenVAS
  • Nmap
  • Wireshark
  • BackTrack

Per ogni sistema/applicazione viene prodotto un report:

  • sulle vulnerabilità trovate;
  • sulle contromisure 
suggerite;
  • sulle contromisure 
adottate;
  • con la fotografia dei 
file critici.

Nel processo di analisi vegono presi in esame tre livelli:
RETE IP: L’analisi delle vulnerabilità verterà su reti, sistemi, dati o applicazioni che possano essere attaccate tramite un collegamento IP tra il malintenzionato e le strutture stesse. La simulazione prenderà quindi in esame sia un’offensiva esterna, tipicamente di un hacker attraverso Internet (Externat Network Security Auditing oppure Penetration Test), sia una interna, nella fattispecie una presenza attiva internamente alla struttura (Internal Network Security Auditing);
SISTEMI: In questo secondo caso ad essere obbiettivo del test saranno i sistemi dell’Infrastruttura IT considerati determinanti dall’azienda. Ogni singolo aspetto del Sistema verrà analizzato alla ricerca di bug, errori, incongruenze o manomissioni ad opera di terzi. Un’altra ricerca effettuerà una coppia di ‘foto’ del Sistema in tempi diversi, ottenendo così due checksum, che verranno paragonati tra loro, nel tentativo di scorgere eventuali differenze. Ciò che si otterrà alla fine sarà un hardening del Sistema;
DATABASE: Al terzo livello si trovano i Database (Oracle, SQL Server, Sybase SQL Server…). Queste banche dati verranno analizzate automaticamente da strumenti in grado di rilevare eventuali debolezze nel campo della sicurezza. È noto come un DataBase contenga una gran mole di informazioni critiche ed indispensabili per un’azienda e data l’enorme complessità venutasi a creare durante la loro organizzazione, si vengono facilmente a creare vulnerabilità comodamente sfruttabili da un malintenzionato, molto più di quanto possa accadere con le falle presenti nei Sistemi Operativi.