Openvpn

by in Infrastruttura, Sicurezza, System Administration

Nei server di laboratorio, abbiamo installato vari tool aziendali di planning e gestione del personale, ovviamente raggiungibili soltanto dalla sede stessa. Avendo la necessità di esporre questi tool su internet, per usufruirne da qualsiasi sede, ed anche per eventuali condivisioni con il cliente finale. Per raggiungere questo obiettivo, abbiamo optato per un prodotto Opensource, OpenVPN.

Questo prodotto, permette ad un client opportunamente configurato, di accedere alla rete aziendale da qualsiasi parte del mondo.

Per la nostra VPN, abbiamo utilizzato un server con Centos 6.5 64 bit. Installiamo Openvpn:

yum install openvpn easy-rsa

Il pacchetto di OpenVPN fornisce una serie di script già pronti, per la gestione dei certificati di accesso. Copiamo tali script nella cartella di OpenVPN:

cp -r /usr/share/easy-rsa/2.0/ /etc/openvpn/rsaopenvpntech_logo_rounded_antialiased

Spostiamoci sotto la cartella apeena copiata:

cd /etc/openvpn/rsa

Apriamo il file “vars” e editiamo i campi, questo velocizzerà la creazione dei certificato, è comodo per chi ha la necessità di creare molti certificati. Un esempio del file vars:

export KEY_SIZE=1024
export KEY_COUNTRY="IT"
export KEY_PROVINCE="IT"
export KEY_CITY="Roma"
export KEY_ORG="Converger"
export KEY_EMAIL="info@converger.it

Creiamo la nostra CA (certificate authority)

# source vars 
# NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/rsa/keys
# ./clean-all

Ora possiamo generare la nostra Certificate Authority: è necessario richiamare anche lo script “clean-all” per iniziare con un ambiente pulito. A questo punto siamo pronti per generare la nostra CA (certificate authority):

# ./build-ca
Generating a 1024 bit RSA private key..................................................
++++++...++++++
writing new private key to 'ca.key'----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [IT]:
State or Province Name (full name) [IT]:
Locality Name (eg, city) [Roma]:
Organization Name (eg, company) [Converger]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [Converger CA]:
Email Address [info@converger.it]:

I valori di default vengono letti dal file vars sopra customizzato. Ora possiamo creare il certificato per il server VPN:

# ./build-key-server ConvergerVPN

ConvergerVPN è il nome della macchina su cui sto installando il server VPN, per coerenza la coppia chiave/certificato avrà il nome dell’host su cui viene usato.

Per evitare che ad ogni riavvio di OpenVPN sia richiesta una password premere invio senza inserire nulla alla richiesta di password:

Generating a 1024 bit RSA private key..................
++++++.++++++
writing new private key to ConvergerVPN .key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [IT]:
State or Province Name (full name) [IT]:
Locality Name (eg, city) [Roma]:
Organization Name (eg, company) [Converger]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [ConvergerVPN ]:
Email Address [info@converger.it]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:password
An optional company name []:
Using configuration from /etc/openvpn/rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'IT'
stateOrProvinceName   :PRINTABLE:'IT'
localityName          :PRINTABLE:'Roma'
organizationName      :PRINTABLE:'Converger'
commonName            :PRINTABLE:' ConvergerVPN  '
emailAddress          :IA5STRING:'info@converger.it'
Certificate is to be certified until Nov 25 13:50:00 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Procediamo alla creazione del file Diffie-Hellman, necessario per l’avvio delle connessioni cifrate.OpenVPN

# ./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
........+............

Realizziamo l’ultima chiave necessaria per l’instaurazione di una connessione sicura:

# openvpn --genkey --secret keys/ta.key

Generazione dei certificati per i client

La procedura per generare i certificati dei client è identica a quella del server, nell’esempio li creiamo nominali per una semplice identificazione, in caso di grandi numeri è possible usare la matricola aziendale.

# cd /etc/openvpn/rsa
# source vars 
# NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys  (ignorare il meassaggio)
# ./build-key rmassimi
Generating a 1024 bit RSA private key
..........................................++++++
................................................++++++
writing new private key to 'rmassimi.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [IT]:
State or Province Name (full name) [RM]:
Locality Name (eg, city) [Roma]:
Organization Name (eg, company) [Converger]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [rmassimi]:
Name []:Roberto Massimi
Email Address [info@converger.it]:rmassimi@converger.it
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'IT'
stateOrProvinceName   :PRINTABLE:'RM'
localityName          :PRINTABLE:'Roma'
organizationName      :PRINTABLE:'Converger'
commonName            :PRINTABLE:'rmassimi'
name                  :PRINTABLE:'Roberto Massimi'
emailAddress          :IA5STRING:'rmassimi@converger.it'
Certificate is to be certified until Nov 26 14:29:37 2024 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

 Configurazione del server

Ora andiamo a configurare il demone OpenVPN, anche in questo caso il pacchetto dovrebbe portare con se degli esempi.

# cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf /etc/openvpn/

Di seguito un file di configurazione:

 # SERVER CONF
port 443
proto tcp
dev tun
ca rsa/keys/ca.crt
cert rsa/keys/rcc001ws.crt
key rsa/keys/rcc001ws.key  # This file should be kept secret
dh rsa/keys/dh2048.pem
server 10.1.1.0  255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
route 10.1.1.0 255.255.255.0
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log 5
status-version 2
log-append /var/log/openvpn-status.log
verb 3
keepalive 10 60
push route "10.31.57.0 255.255.255.0"
crl-verify /etc/openvpn/crl.pem

In questo modo, dopo connesso in vpn, tutto funzionerà come prima, ma il nostro PC avrà una nuova interfaccia di rete con IP 10.1.1.x e tutti gli IP della classe 10.31.57.x verranno dirottati sulla VPN.In questa configurazione, rilasciamo IP ai client del tipo 10.1.1.x ed aggiungiamo la rotta 10.31.57.x .

Configurazione di IPTABLES

Come ultimo step sul server, dobbiamo abilitare il fowarding e il MASQUERADE tramite IPTABLES:

sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE

Se abbiamo IPTABLES configurato andiamo ad aggiungere anche le policy di ACCEPT:

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

Avviare il demone di OpenVPN e configurare i certificati dei client.

Configurazione dei client

Per prima cosa dobbiamo copiarci i certificati:

  • La coppia certificato/chiave per il client (i due file .key e .crt)
  • Il certificato della CA del server (il file ca.crt)
  • La chiave di autenticazione TLS (il file ta.key)

File client.opvn:

client 
dev tun
proto tcp
remote IP_SERVER_VPN 443
resolv-retry infinitenobind
persist-key
persist-tun
# THE CSR FILE:
ca ca.crt
cert rmassimi.crt
key rmassimi.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
route-method exe
route-delay 2

Lanciando questa configurazione con openVPN del client, noterete una nuova scheda di rete 10.1.1.x . Se ora provate ad aprire un qualsiasi tool o sistema sulla rete 10.31.57.x, questo risulterà disponibile!
Autore: Roberto Massimi

Bulk Email

by in System Administration

Bulk Mail con Mandrillapp, soluzione facile e gratuita

invio_massivo_email_intro2Molti sistemisti spesso si ritrovano davanti l’esigenza di dover inviare email automatiche a lunghe liste di destinatari. Registrare un account email dedicato e sviluppare uno script che invii le email è facile come cercare una moto usata su internet, basta avere un po’ di pazienza e trovare la soluzione più adatta alle nostre esigenze.

Ma cosa succede nel momento in cui la lista degli indirizzi diventa sull’ordine delle centina di indirizzi o addirittura migliaia?

Le regole antispam dei firewall di tutti i domini, sono molto “rigidi” quando vedono che un singolo account di posta elettronica, invia migliaia di email consecutive e finire nelle blacklist degli spammer è solo una questione di tempo.

A questo punto bisognerebbe vagliare tutte le proposte on-line di servizi di “Bulk-Send” o “messaggi massivi”. Questi provider sono provvisti di server smtp che vengono “riconosciuti” da tutti i domini come account bulk sender, quindi autorizzati ad inviare flussi di messaggi, senza essere bloccati o “rimbalzati” dai provider di posta elettronica.

La giungla delle offerte è veramente vasta, dal costo unitario per singola mail ad offerte stile supermercato all’ingrosso, più ne invii, meno ne paghi. Quindi a questo punto il sistemista, dopo aver valutato tutte le offerte, dovrebbe proporre la migliore all’eventuale cliente/commerciale per poter procedere all’acquisto del servizio ed iniziare la configurazione. Poi si torna con i piedi sulla terra, dove la richiesta dei PM è sempre “dammi la Luna, ma mi raccomando, GRATIS”.

Ed ecco arrivare in nostro aiuto Mandrillapp (www.mandrillapp.com), dove con una semplice registrazione assolutamente gratuita, si ha la possibilità di inviare fino a 12.000 messaggi al mese in modo totalmente gratuito, con una frequenza di massimo 250 messaggi l’ora.

Quest’ultima caratteristica potrebbe sembrare una limitazione, già il sistemista starà pensando a come suddividere le sue mail in trunk da 250invio_massivo_email_intro messaggi, invece no. Possiamo tranquillamente inviare tutte le nostre mail, sarà Mandrillapp a suddivere i messaggi. Una volta raggiunte le prime 250 email, le altre verranno depositate in una coda. Appena termina la prima ora di attesa, partono le 250 seguenti e così via, potendo inviare fino a 6000 email in 24h.

Già tutto questo basterebbe per convincere molti, ma i veri punti forza di questo provider sono:

– Facilità d’uso

– Grafici e statistiche personali

Infatti per utilizzare Mandrillapp, basterà usare l’smtp fornito in fase di registrazione ed il proprio utente ed ogni mail verrà inviata in modalità “on behalf of” del mittente a vostra scelta.

Una volta terminato l’invio, potremo interrogare tutte le statistiche fornite, che includono dati come:

– numero di email inviate

– numero di email consegnate

– numero di email “bounced” con motivazione

– numero di email aperte

Quindi se avete esigenza di inviare mail di segnalazione, monitoring o semplicemente la vostra app invia messaggi, questa soluzione potrebbe fare anche al caso vostro.
Autore : Marco Capacci

Private Branch Exchange

by in Voice Integration

Nell’ambito delle telecomunicazioni e in particolare delle comunicazioni telefoniche, un private branch exchange o PBX (Private Branch eXchange) è una centrale telefonica per uso privato. È principalmente usato nelle aziende per fornire una rete telefonica interna. Ma può anche essere utilizzata per connettersi all’esterno e fornire servizi di supporto telefonico tramite operatore (spesso chiamato inbound) o servizi di vendita telefonica e retention degli utenti (spesso chiamato outbound).

Il termine PABX (acronimo di Private Automatic Branch eXchange) indica una versione automatica di un PBX, ma oggi i due termini sono usati come sinonimi perché tutti i PBX in commercio sono completamente automatici.

pbxOgni centralino telefonico, di base, instaura una connessione fra gli apparati telefonici dei due utenti, mappando il numero chiamato in un telefono fisico, verificando che questo non sia impegnato; ciò vale sia all’interno della stessa azienda anche con due telefoni geograficamente molto distanti tra loro, ma con il vantaggio di comporre un numero ridotto di cifre (interno). Oppure instaura una connessione fra un interno e l’esterno tramite la rete telefonica pubblica (PSTN Public Switched Telephone Network) nel caso di chiamate inbound e outbound. Inoltre mantiene questa connessione per tutto il tempo necessario tramite un meccanismo di segnalazione gestito dalla stessa architettura interna tramite opportune schede.

Oltre alle funzioni base, possono essere presenti svariate altre funzionalità che differenziano i prodotti dei vari produttori (in particolare il produttore gestito sul progetto è AVAYA) fra le quali citiamo quelle che utilizziamo frequentemente:

  • Automatic Call Distribution (ACD), cioè la gestione completamente automatica della chiamata in funzione delle configurazioni fatte sul centralino. Permette di gestire il cosiddetto callflow della chiamata per la sua corretta gestione
  • Classi di servizio, tabelle di abilitazione o limitazione dei servizi associate ai telefoni interni;
  • Computer Telephony Integration (CTI), permette l’integrazione con software dedicati che gestiscono in modo più accurato la chiamata, tramite strategie di callflow telefonico (ad esempio con la piattaforma Genesys)
  • Documentazione traffico, possibilità di documentare il traffico in entrata ed uscita, utile nel caso di reportistica chiesta dal cliente sui volumi delle chiamate.
  • Interactive Voice Response (IVR), sistema interattivo con menù vocali preregistrati selezionabili tramite tastiera che genera toni DTMF, che permette di predisporre una alberatura di scelte da far selezionare all’utente che chiama il call center per instradarlo correttamente verso il servizio più idoneo alla sua richiesta.
  • Registrazione delle conversazioni, necessaria nel caso di vendita i contratti che per legge devono essere registrati e conservati come prova dell’avvenuta vendita.

Autore: Francesco Randazzo