Introduzione divulgativa

Intervento a cura di

Gabriele Biondo

per

Beer OpenBSD Group

w e b b i t 0 4

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Gabriele Biondo (gbiondo@i-nfinity.com)

whoami

• Collaboratore tecnico con varie Facoltà dell’Università di Bologna

• Formatore per il Fondo Sociale Europeo

• Collaboro con OpenBEER (OpenBSD Italian User Group)

• Certificato ISECOM OPST

• Firewalling

• Modelli matematici ed ottimizzazione di algoritmi

• Programmazione in Perl e C

Mi interesso principalmente di:

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

OpenBSD è uno UNIX OpenSource, basato sulla piattaforma BSD 4.4.

Le caratteristiche fondamentali del sistema vanno individuate in:• stabilità• portabilità• compatibilità con i binari di linux, solaris, HPUX e gli *NIX più diffusi• sicurezza proattiva• crittografia integrata

La cura nella progettazione, che non è mossa da fini commerciali, ha reso possibile il verificarsi della circostanza:

Only one remote hole in the default install, in more than 8 years!

Immediato notare come la concomitanza di queste caratteristiche lo rendano un sistema versatilissimo, ottimo sia come piattaforma per i server che come piattaforma per i client.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Lo scopo del progetto

Lo scopo del progetto OpenBSD è essere il n. 1 nel campo della sicurezza.

Il ciclo di sviluppo di un sistema parte dalla progettazione dello stesso, scelta di un kernel, di pacchetti aggiuntivi, e di un eventuale installer:

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Una volta immessa una release sul mercato, gli utenti provvedono con auditing e testing, basato più che altro sull’utilizzo del prodotto, piuttosto che sulla vera e propria azione sistematica di test sulle vulnerabilità dei singoli programmi:

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Trovati i bug, “qualcuno” provvede a scrivere delle patch, che vengono distribuite tramite gli usuali canali.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Questi pacchetti patchati, o dei loro discendenti, divengono parte integrante della successiva release.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Il susseguirsi delle release di OpenBSD segue una filosofia differente. La release definitiva è quella “più vecchia”, basata su pacchetti testati. Parallelamente c’è una versione, detta “current”, che incorpora i nuovi pacchetti. Non è però una versione “ufficiale” – è una versione di test, che, in generale, risulta abbastanza stabile.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Crittografia Integrata

OpenBSD è un progetto nato e mantenuto in Canada. Il Canada non è fortunatamente soggetto alle leggi statunitensi, che vietano l’esportazione di implementazioni di algoritmi di crittografia forte, paragonandoli a vere e proprie armi.

Le implicazioni tecniche di ciò comportano la possibilità di integrare nativamente, senza dovere installare patch dubbie, algoritmi di crittografia direttamente nel sistema.

OpenBSD è stato il primo sistema a montare uno stack IPsec, dalla release 2.1; dalla 2.6, invece, incorpora OpenSSH, una versione free e sicura di ssh.

Il rilassamento dei vincoli di crittografia ha altre profondissime implicazioni, che vanno comunque oltre lo scopo di questa presentazione.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Portabilità

OpenBSD discende da NetBSD (Theo De Raadt, il fondatore del progetto, era originariamente uno sviluppatore NetBSD) – quest’ultimo sistema è caratterizzato dalla portabilità, e questa peculiarità è stata ereditata anche da OpenBSD.

OpenBSD gira su svariate piattaforme, quali:Intel x86AlphaMacintosh (sia sui 68k che sui PPC)SunHPUX

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Correttezza

Gli sviluppatori di OpenBSD seguono strettamente i principali standard UNIX, quali ANSI e POSIX.

Nella community, c’è la ferrea regola di scrivere programmi in modo che siano affidabili e corretti, seguendo le cd. “best practices” del tao della programmazione. I programmi così scritti risultano più stabili, predicibili, affidabili e sicuri.

Documentazione

Gli sviluppatori del progetto danno grande importanza alla documentazione del progetto.Le man pages contenute in ogni release sono veramente complete, esaustive e chiare.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Considerazioni su un’installazione

Prendiamo in considerazione una piattaforma Intel compatibile.

L’installazione è un processo guidato, abbastanza facile, una volta compreso il meccanismo di fdisk e delle disklabels (un po’ differente da quello classico di linux).

Mancano installer grafici – tipo quelli di alcune major distributions di Linux – ma questa limitazione è ben presto superabile.

Nel corso delle release, la compatibilità con l’hardware è andata via via crescendo – se una volta era quasi obbligatorio costruirsi una macchina dedicata per il sistema, adesso si è quasi certi di potere avere un’installazione sistemante senza modificare gli IRQ.

Le limitazioni sono le solite: winmodems, hardware “esoterico” e poco diffuso, hardware di scarsa qualità.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Trovare una release

Possibili soluzioni:

La soluzione principe, ed ovviamente consigliata, è quella di procurarsi una suite di CD direttamente dal sito del progetto. Così facendo finanzierete il progetto, ed avrete 3 stupendi cd, con una simpaticissima copertina, per circa 30 $.

La seconda soluzione è acquistare i CD prodotti da OpenBEER. Contengono il mirror del sito FTP del progetto, opportunamente riorganizzato. Costo totale operazione: 1 € a CD. Sosterrete lo user group italiano (oddio, è più gradita una donazione, visto che con 1 € ci si fa poco )

Terza soluzione: scaricarsi l’immagine del CD o dei floppy di net install, bruciarla su un supporto e procedere con l’installazione via rete. Necessaria almeno un’ADSL.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

OpenBSD al lavoro:

Citiamo in seguito alcune situazioni che han fatto uso del sistema:

RICERCA ED UTENTI NON COMMERCIALI:

L’Azienda Ospedaliera "Carlo Poma" è l’istituzione sanitaria principale di Mantova, con sei ospedali ed altri piccoli ambulatori. OpenBSD è stato scelto come bridging firewall tra la WAN e l’ospedale centrale di Mantova.

INFN – Istituto Nazionale Fisica Nucleare di Firenze. OpenBSD viene utilizzato come DNS e come packet filter.

Praha Institute of Chemical Technology: Questa struttura monta OpenBSD sui PC dello staff e degli studenti; che è pure presente un secondary DNS ed un time server.

“Forcefield” art installation: Parte della gestione dell’audio e delle luci in Forcefield, all’esibizione biennale del Whitney Museum of American Art a New York (2002) gira su OpenBSD. La scelta è dovuta alla stabilità ed all’affidabilità.

La lista è ancora lunga: università, ospedali, centri di ricerca sparsi in tutto il mondo fanno largo uso di OpenBSD. I motivi? Sempre i soliti: affidabilità e robustezza.

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

OpenBSD al lavoro:

UTENTI COMMERCIALI:

Adobe System -OpenBSD è stato scelto come firewall e come piattaforma di test per le reti.

Altheon Networks Produttori di hardware Ethernet a 1 Gigabit. Piattaforma di test e gatewayFSC Internet Corp.: è una grande ditta specializzata in Information Security ed Internet. OpenBSD e la sua feature IPsec sono stati utilizzati per sviluppare una soluzione VPN per un cliente di notevole calibro.

Learning Tree International: questa ditta di formazione, indipendente dai vendors, utilizza OpenBSD e PF in molti corsi di sicurezza e di firewalling.

Anche in questo caso, la lista potrebbe essere allungata. I providers più importanti nel mondo, per esempio, fanno un notevole affidamento su OpenBSD. Ovviamente: un sistema sicuro per default non può non essere stimato da professionisti che devono lavorare con delle macchine sicure ed affidabili.

Fondo Sociale Europeo: OpenBSD viene insegnato nei corsi di sicurezza informatica

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Le novità introdottenella versione 3.5

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

La versione 3.5 di OpenBSD ha introdotto alcune sostanziali modifiche:

OpenBSD 3.5 supporta nativamente anche AMD 64, mvme88k e ARM cpu

bc, dc, nm e size sono stati rimpiazzati con comandi equivalenti sotto licenza BSD

PF, il firewall nativo di OpenBSD è stato modificato profondamente:•Il cambiamento dell’implementazione del sistema di regole porta una sostanziale diminuzione della probabilità di finire in uno stato inconsistente•Riduzione del 30% delle dimensioni delle tabelle•Miglioramento sostanziale dell’interfaccia•Prevenzione del problema dell’identificazione di una connessione remota come locale

Nuove architetture supportate

Update di alcuni comandi di sistema

Update di PF

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

•spamd viene dotato della funzionalità di graylisting – un potente metodo per limitare il problema dello spamming•Viene aggiunto sensorsd per potere gestire sensori hardware•Viene implementato CARP (Common Address Redundancy Protocol) •OpenSSH 3.8.1

•Nei socket lookup: con 10000 socket, la 3.5 è più veloce di circa 100 volte rispetto alla precedente•TCP SYN cache: il costo in termini di memoria delle connessioni IP mezze aperte viene ridotto sensibilmente•Miglioramenti sensibili nell’implementazione di OpenSSL (incremento prestazionale fino al 100% per md5. sha1, blowfish…

•Migliorato il supporto per:•Hard Disk ATA-SATA•Gigabit Ethernet•USB Flash

Nuove funzionalità

Miglioramento delle performance – maggiore compatibilità

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

XFree86 4.4.0 Gcc 2.95.3 (+ patches) e 3.3.2 (+ patches) Perl 5.8.2 (+ patches) Apache 1.3.29, mod_ssl 2.8.16, DSO support (+ patches) OpenSSL 0.9.7c (+ patches) Groff 1.15 Sendmail 8.12.11 Bind 9.2.3 (+ patches) Lynx 2.8.4rel.1 con supporto HTTPS ed IPv6 (+ patches) Sudo 1.6.7p5 Ncurses 5.2 Latest KAME IPv6 Heimdal 0.6rc1 (+ patches) Arla-current

Software e pacchetti

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Il sito ufficiale del progetto:

http://www.openbsd.org

Il sito di OpenBEER

http://www.openbeer.it

I-Nfinity

http://www.i-nfinity.com

OpenBSD Journal

http://www.deadly.org

RISORSE

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Disponibilità per corsi, consulenze e progetti:

gbiondo@i-nfinity.com

+39 348 22 37 500

CONTATTI

OpenBSD – Un’esposizione divulgativa

w e b b i t 0 4

Matteo Cantoni – aka goony //con la minuscola

Ilary Airoldy – Quant’è piccolo il mondo, vero?

Franco Farnedi e Iacopo Cacciaguerra di Proxima Solutions, Rimini

Massimo Piccioni – per qualche drink foriero di ispirazioni

Ultima, ma non per importanza

Elena – per avere reso possibile un sogno

RINGRAZIAMENTI