RREELLAAZZIIOONNEE TTEECCNNIICCAA - · PDF filepfSense ® è una ... DHCP e PROXY, e...

▪ Ing. Romualdo CAMARDA ▪

Via Cilea n. 117 -- 80127 Napoli

Tel/Fax. 081.5584141 Cell.328.2293744

E-mail: [email protected]

RREELLAAZZIIOONNEE TTEECCNNIICCAA

Progettazione e Direzione Lavori per infrastruttura ICT

Cliente:

RDP Telecomunicazioni s.r.l.

Corso Umberto I, n. 201 - 80138 Napoli

P.iva: 07542790634

Napoli, 9 gennaio 2015



Tel/Fax. 081.5584141 Cell.328.2293744 E-mail: [email protected]

Pagina i

SOMMARIO

RREELLAAZZIIOONNEE TTEECCNNIICCAA 1 1 ATTIVITÀ PROGETTUALI 3 2 AREE DI INTERVENTO 4 3 POTENZIAMENTO HW 7

3.1 SERVER 7 3.2 APPARATI DI RETE 8 3.3 NAS 10

4 SISTEMA OPERATIVO 11 4.1 Debian Lenny 5.04 con net-install 11 4.2 Configurazione 13

5 MONITORAGGIO RETE LAN 15 6 INVENTORY e REPORT MANAGEMENT 17

6.1 Analisi della rete 17 6.2 Rapporti 18 6.3 Registro delle modifiche 19 6.4 Pianificazione analisi 20 6.5 Analisi della rete 24 6.6 Inventario 24 6.7 Rapporti 25 6.8 Registro delle modifiche 25 6.9 Pianificazione analisi 25 6.10 Altro 25

7 ASSETT MANAGEMENT 31 7.1 Inventario software 31 7.2 Gestione delle licenze 31 7.3 Stato delle licenze dinamico 32 7.4 Rapporti 32 7.5 E altro ancora… 32 7.6 Tutto in un unico luogo 32 7.7 Panoramica della distribuzione 33 7.8 Una licenza è molto più di un numero 34 7.9 Tutti i dati e il loro significato effettivo 35 7.10 Tenere traccia delle installazioni software 36 7.11 Unione di diverse versioni 37 7.12 Espressioni regolari 37

8 NETWORK BACKUP 39 8.1 Pool e Volume 41 8.2 Quando e come impostare l’esecuzione del backup 42 8.3 Tipologie di backup: Full, Incrementale e Differenziale 43 8.4 Backup incrementale 44 8.5 Backup Differenziale 44 8.6 Quale strategia di backup scegliere 45 8.7 Come ripristinare i backup fatti 46 8.8 Progettare anche il server di backup 47

9 WEB SERVER 48 9.1 Introduzione 48 9.2 Installazione di Apache2 48 9.3 Configurazione di SSL 49 9.4 Configurazione dei Virtual Host 50 9.5 Installazione di PHP5 52 9.6 Test della configurazione 53




Pagina ii

9.7 Moduli aggiuntivi 54 9.8 Installazione di MySQL 54 9.9 L'interfaccia phpMyAdmin 55 9.10 Apache2: layout di configurazione 56 9.11 sites-available 56 9.12 sites-enabled 57 9.13 Apache2: files di configurazione 58

10 CONFIGURATION WEB MANAGER 63 10.1 Installazione 63 10.2 Configurazione 63 10.3 Moduli di eBox 64 10.4 Moduli predefiniti 64 10.5 Moduli aggiuntivi 65 10.6 Risorse 66

11 SERVER FAX 67 11.1 Installazione dei pacchetti software 67 11.2 Installazione di HylaFAX 68 11.3 Configurazione di HylaFAX 68 11.4 Configurazione dell’accesso al servizio (utente/rete) 74 11.5 Installazione dei client Windows (Winprint HylaFAX) 75

12 Sistema PABX VoIP 80 13 CRM 84 14 FIREWALL 88

14.1 Funzioni principali 88 14.2 Firewall 89 14.3 State Table (tabella di stato) 90 14.4 NAT: Network Address Tranlation 91 14.5 NAT Limitation 92 14.6 Ridondanza 92 14.7 Limitazioni 92 14.8 Bilanciamento di Carico 93 14.9 Inbound Load Balancing 93 14.10 VPN 93 14.11 IPsec 93 14.12 OpenVPN 94 14.13 PPTP Server 94 14.14 PPPoE Server 94 14.15 Report e Monitoraggio 94 14.16 Real Time Information 95 14.17 DNS Dinamico 95 14.18 Captive Portal 96 14.19 DHCP Server and Relay 97

15 LABORATORIO DI TEST 98 15.1 FLUKE DTX 1800 98 15.2 Golden MODEM TESTER 332B VDSL 99 15.3 AETHRA D2000 pro 100

ALLEGATI 102




Pagina 3

1 ATTIVITÀ PROGETTUALI

Per arrivare alla stesura della presente relazione, vi è stata un lungo periodo preparatorio,

articolato su più fasi.

Dopo una prima fase di raccolta delle specifiche, realizzata mediante delle interview con le

figure chiave dell’Azienda, si è passati ad una fase di consolidamento delle informazioni di

base, partendo dallo studio della realtà da upgradare. In altre parole si è realizzato un

sommario assessment dello scenario aziendale, studiando sia le configurazioni che le

procedure.

Una volta validate le specifiche raccolte, si è proceduto ad una ricerca di mercato per

identificare i prodotti che meglio interpretavano le necessità implementative richieste nel

rispetto del budget autorizzato.

Seguiva un tuning della proposta realizzativa, basata su audit col Cliente, il cui risultato finale

è la presente proposta.

Pur tuttavia l’attività del sottoscritto continuerà, in quanto alla fase progettuale - da ritenersi

estinta con l’accettazione della presente relazione – subentrerà quella direttiva, che si

realizzerà concretamente in una supervisione ed un supporto all’attività

implementativa/installativa di tutto quanto esposto nei seguenti capitoli.




Pagina 4

2 AREE DI INTERVENTO

Come riassunto anche nella relazione tecnico economica,

Architettura fisica

L'architettura fisica della soluzione propone un area composta da 6 server e

S.A.N. tra di loro collegati in modalità ridondata attraverso n° 2 switch Cisco in

Gigabit per la rete dati, per la parte elettrica con doppio alimentatore a n° 2 UPS.

Firewall aziendale

Il firewall proposto con piattaforma PF SENSE svolge un compito fondamentale

attraverso i due server dedicati e ridondati, oltre a proteggere la rete aziendale da

attacchi esterni, stabilisce le regole di comunicazione tra la rete lan e wan e e

l'area DMZ.

Segmentazione della lan

pfSense® è una distribuzione gratuita, open source, basata su FreeBSD,

customizzata per essere un firewall e router e viene utilizzata anche per la

segmentazione delle lan creando regole di routing.

Server intranet

I due server vengono utilizzati dalla piattaforma XEN server e sistema operativo

Debian Lenny e collegati al sistema San con dischi in RAID.

Su tale piattaforma è stato installato: Mail server, web server,workgroup,

Groupware, server voip, server jabber, e funzionalità di reporting, crm, Help

desk, asset management e inventory, fax server, provisioning e billing.




Pagina 5

Server di area DMZ

Sul server locato sul ramo DMZ della rete aziendale, ha la funzione di mail

server di bordo rete e web server per i contenuti web pubblici.

Monitoring e backup

La funzione di backup avviene attraverso il sw Bacula, installato su QNAP,

network-based, il monitoring invece è delegato al Nagios il quale ha la funzione

di monitorare la rete, con le ricche funzionalità a corredo.

Access point autenticato

Con LDAP di eBox sfruttiamo le autenticazioni tramite le credenziali dell'e mail

per connettersi al sistema wifi.

Sistema di gestione clienti

Il sistema di gestione clienti utilizzato è vTiger, il quale gestisce il cliente dalla

prima opportunità e a proseguire: offerta, ordine, inserimento contratto e

gestione dei ticket, con accesso dello stato anche da parte del cliente.

Un flusso lavorativo utilizzabile dagli addetti ai lavori sia per dare un contributo

che per attingere informazioni in qualunque punto dello stesso flusso lavorativo

ci si trovi. Inoltre sono presenti altri software a disposizione per i clienti, quali

mail web server, telefonia con server voip, fax server ip.

Sistema di gestione delle apparecchiature

I sistemi di gestione, hanno un ruolo fondamentale dato il numero elevato di

apparati e software. Tale ruolo è affidato al firewall per la gestione dei servizi




Pagina 6

DHCP e PROXY, e traffico della rete, per le anomalie ed analisi anche con

visualizzazione grafica a Nagios.

Laboratorio di test piattaforma Voip

Lo scopo del laboratorio e di erogare i servizi di centralino in modalità

centralizzata per i clienti, diventa quindi fondamentale controllare e testare la

qualità delle linee dati erogate ai clienti mediante specifici strumenti. Tali

strumenti vengono però anche utilizzati per emulare le linee telefoniche come il

D2000 PRO AETHRA, che ci permette di testare sia linee base che primari isdn.

Per le reti dati lan interne utilizziamo il Dtx 1800 della FLUKE, e per il

controllo delle reti wan adsl/vds il Golden MODEM TEST 332b VDSL.




Pagina 7

3 POTENZIAMENTO HW

3.1 SERVER

Sula scorta dell’architettura da realizzare e dei requisiti da soddisfare, la

fornitura di nuovo HW dovrà avere la seguente consistenza minima.

Sistema Quantità Descrizione

Server Applicativi 2 Dell PowerEdge R520 Rack Chassis for Up

Monitoring e Backup 1 Dell PowerEdge R520 Rack Chassis for Up

Firewall 2

Dell Power Edge R320 Dual Core Xeon E5-244XX (2.8 Ghz, 10

MB, 1600 MHz RDIMMs)

Mail & WebServer DMZ 1 PowerEdge R520 Rack Chassis for Up

Per alloggiare queste macchine andrà previsto un rack di adeguate dimensioni e

funzionalità quale ad es. gli armadi della Tecnosteel serie Tecno SuperServer

100.

In aggiunta, per un corretto adeguamento della struttura e per un corretto

funzionamento della stessa, sarà necessario dotarsi di n. 2 UPS da 3000 VA,

quale ad es. i Soltecno mod. slmrt 3000.

Per finire, si prevede un ampliamento di almeno n. 3 postazioni di lavoro,

realizzabili con una semplice dotazione di n. 3 notebook. Tra la vasta gamma di

offerte sul mercato, si è individuato il prodotto della Acer E1-572G (o similare)

con processore AMD Radeon M265 da 2 GB DDR3 VRAM, HD da 500 GB, if:

USB, HDMI, VGA, LAN e dotato di lettore di schede e capacità di connessione

wireless.




Pagina 8

Per eventuali approfondimenti, le relative schede tecniche dei prodotti descritti

sono in allegato.

3.2 APPARATI DI RETE

In merito agli apparati di rete, necessari per le ipotesi di potenziamento della rete

e dei servizi che vi dovranno girare, si consigliano i Cisco serie 500 impilabili.

Al momento si ritiene sufficiente l’acquisto di due apparati attivi per soddisfare

le esigenze nel breve/medio periodo. Il prodotto selezionato infatti garantisce la

necessaria scalabilità per affrontare senza problemi eventuali maggiori richieste.

Infatti gli switch Cisco serie 500 possono essere configurati in stack per

consentire di configurare, gestire e risolvere i problemi di più switch fisici come

un unico dispositivo e poter ampliare così più facilmente la rete aziendale. Gli

switch Cisco serie 500 includono modelli senza ventola, in grado di assicurare

maggiore affidabilità ed efficienza energetica e riducendo al minimo il rumore.

La configurazione in stack autentica consente dati unificati e un piano di

controllo, oltre al piano di gestione, che assicurano flessibilità, scalabilità e

facilità di utilizzo poiché lo stack delle unità funziona come un'unica entità

costituita da tutte le porte dei componenti dello stack.

Implementazione e utilizzo dei Cisco 500

Gli switch Cisco serie 500 sono progettati per essere facili da usare e gestire per

le piccole imprese. Offrono le seguenti funzionalità:

● Le interfacce utente semplici da usare riducono i tempi necessari per

l'implementazione, la risoluzione dei problemi e la gestione della rete e




Pagina 9

consentono di supportare capacità avanzate senza necessità di personale IT

aggiuntivo.

● Gli switch possono essere gestiti come singoli dispositivi oppure è possibile

utilizzare CCA (Cisco Configuration Assistant) per rilevare, configurare e

gestire tutti i dispositivi Cisco nella rete.

● Gli switch supportano anche Textview, un'opzione dell'interfaccia della riga di

comando (CLI) per i partner che la preferiscono.

● Sfruttando l'intelligenza Auto Smartports, lo switch è in grado di rilevare un

dispositivo di rete collegato a qualsiasi porta e configurare automaticamente

sicurezza, QoS (Quality of Service) e disponibilità ottimali su tale porta.

● Il protocollo CDP (Cisco Discovery Protocol) rileva i dispositivi Cisco e

consente loro di condividere informazioni di configurazione cruciali,

semplificando in tal modo la configurazione della rete e la relativa integrazione.

● Il supporto del protocollo SNMP (Simple Network Management Protocol)

consente di configurare e gestire gli switch e altri dispositivi Cisco in remoto da

una stazione di gestione della rete, migliorando il flusso di lavoro del

dipartimento IT e le configurazioni di massa.

● L'utilità Cisco FindIT, che funziona tramite una semplice barra degli strumenti

nel browser Web dell'utente, rileva i dispositivi Cisco nella rete e visualizza le

informazioni di base, quali numeri di serie e indirizzi IP, in modo da facilitare la

configurazione e l'implementazione. (Per ulteriori informazioni e per scaricare

l'utilità gratuita, visitare: www.cisco.com/go/findit.)




Pagina 10

Ricordando che il brand Cisco è il leader del mercato, con esso si garantisce la

compatibilità col parco esistente e si innalza lo standard di qualità aziendale. Per

ulteriori dettagli tecnici e per le necessarie connettorizzazioni (ad es. 10 GBase

SFP, s rimanda ai datasheet prodotti in allegato.

3.3 NAS

Sempre basandosi su un criterio che, soddisfacendo i requisiti, si attenesse ad un

elevato rapporto tra prezzo e qualità, la scelta che qui si propone è sui prodotti

della QNAP. Si segnala in particolare il modello TSEC880U-RP. Ampio

materiale tecnico è riportato in allegato.

Ottimo abbinamento proposto per le memorie di massa sono gli HHDD della

Western Digital, nei tagli da 2, 3 e 4 TB.




Pagina 11

4 SISTEMA OPERATIVO

Debian 5.04 Lenny ha le seguenti caratteristiche:

• versione Live e installabile. (Questo fa sì che sia possibile testare l’hardware

prima dell’installazione);

• ha un peso di 700 MB e quindi è masterizzabile su un singolo CD;

• come desktop environment utilizza KDE 3.5.10;

• adatta per essere installata su computer datati o caratterizzati da poche risorse;

• basata sul kernel 2.6.32-3 (in aggiunta al kernel 2.6.26);

• dotata di OpenOffice in italiano.

Ricco parco software Per la creazione di questa distribuzione è stato necessario

utilizzare una Debian minimale usando la versione net-install, alla quale

successivamente sono stati aggiunti i componenti essenziali per rendere il

sistema idoneo alle nostre particolari esigenze. La versione net-install consente

una prima installazione con lo stretto necessario al funzionamento del sistema;

da qui, è poi possibile iniziare a comporre una versione personalizzata.

In seguito, grazie all’uso di Remastersys è stato possibile creare un’immagine

.iso del sistema operativo, che ha il vantaggio di essere live e installabile in

pochi passi.

4.1 Debian Lenny 5.04 con net-install

Come precedentemente annunciato, preoccupiamoci di avere a disposizione

l’immagine .iso di Debian Lenny, che andremo a cercare alla pagina

www.debian.org/distrib/netinst. Per l’installazione è possibile usare un PC

oppure una macchina virtuale. Cominciamo con l’avviare il sistema da CD,

impostando al boot l’avvio corretto se necessario.

http://www.debian.org/distrib/netinst




Pagina 12

Seguiamo i semplici passi che ci portano a una prima configurazione del

sistema, fino ad arrivare al punto di dover scegliere alcune preconfigurazioni di

pacchetti.

Dopo aver installato il sistema minimale della net-install, riavviamo e

cominciamo a lavorare con la shell (verificato che la rete sia funzionante).

Per prima cosa installiamo uno strumento fondamentale: MC, poi l’ambiente

grafico e il nostro DE KDE3.5 in lingua italiana.

# aptitude update

# aptitude install mc xserver-xorg kdebase kde-i18n-it




Pagina 13

Prima di riavviare consiglio di rimuovere exim4 se non volete usare un MTA

# aptitude remove exim4-config exim4-base

Ora riavviamo e cominciamo a personalizzare la nostra distro

# reboot

4.2 Configurazione

Al riavvio avremo KDM che ci aspetta. Dopo esserci autenticati accediamo al

sistema.




Pagina 14

A questo punto comincia la fase di configurazione della nostra distro

personalizzata. Per installare dunque ulteriori pacchetti preferisco solitamente

usare konsole e aiutarmi con una comoda GUI (kpackage) che non interferisce

con aptitude da shell e mi permette di effettuare la ricerca e visualizzazione delle

descrizioni e dipendenze relative ai pacchetti in modo più semplice e intuitivo.

In alternativa, è possibile usare synaptic, che tuttavia richiede un discreto

numero di dipendenze.

Configurate i vostri repository a seconda del tipo di pacchetti che desiderate.

deb http://ftp.it.debian.org/debian/ lenny main contrib non-free deb-src http://ftp.it.debian.org/debian/ lenny main contrib non-free deb http://security.debian.org/ lenny/updates main deb-src http://security.debian.org/ lenny/updates main deb http://volatile.debian.org/debian-volatile lenny/volatile main deb-src http://volatile.debian.org/debian-volatile lenny/volatile main # Remastersys #deb http://www.geekconnection.org/remastersys/repository debian/ deb http://www.backports.org/debian lenny-backports main contrib non-free

Per chi volesse ripetere l’installazione di D4C, qui trovate la lista dei pacchetti

presenti in essa: http://dl.dropbox.com/u/3251342/d4c.txt. Per installarla

eseguire:

# dpkg --set-selections < d4c_list.txt # apt-get -u dselect-upgrade

Oppure date spazio alla vostra fantasia.

Warningbox | Se fate uso di repository non dello stesso ramo è consigliato il

pinning.

Per approfondimenti a riguardo:

http://e-zine.debianizzati.org/web-zine/numero_2/?page=12:Pinning

http://www.geekconnection.org/remastersys/repository%20debian/




Pagina 15

5 MONITORAGGIO RETE LAN

Il prodotto individuato è NAGIOS.

Nagios è sicuramente un’alternativa valida alle varie soluzioni a pagamento di

HP o IBM. Nagios è sicuramente un programma completo e completamente

personalizzabile: la sua grande flessibilità lo rende quindi completamente

adattabile ai repentini cambiamenti che caratterizzano sistemi in produzione.

Se ne fa qui una breve presentazione, essendo il prodotto molto noto ed

ampiamente documentato in rete (oltre ad un vero e proprio sistema di supporto

online tramite le mailing-list e i forum). La documentazione ufficiale è reperibile

su: http://www.nagios.org

Nagios è un sistema di monitoraggio che controlla, in particolare, che tutti i

servizi (ad es. server per la gestione della posta elettronica, del sito web

aziendale, del sito internet oltre ai tradizionali file server) siano sempre attivi e

raggiungibili.

Il monitoraggio é continuo, ad intervalli prestabiliti.

Esso controlla anche le risorse dei terminali di maggior importanza all'interno

della rete aziendale. Se ad es. il web-server ha troppi processi attivi questo

potrebbe rallentare la macchina e quindi non fornire in modo adeguato il proprio

servizio.

Naturalmente è di primaria importanza l'implementazione del sistema di

monitoraggio in una situazione di piena sicurezza; di conseguenza la macchina

di management sarà posta dietro ad un firewall, i dati che fluiscono attraverso la

rete devono essere crittografati e chi ha accesso ai dati del monitoraggio ci può

arrivare attraverso le opportune autenticazioni.




Pagina 16




Pagina 17

6 INVENTORY e REPORT MANAGEMENT

Per l'audit dei PC e l'inventario dei software si propongono Total Network

Inventory 3 o prodotti similari, facilmente reperibili data la vasta diffusione.

Di seguito ne sono riportate le caratteristiche salienti, risultandone così un mini-

corso sull’uso e possibilità di questo software.

6.1 Analisi della rete

È possibile analizzare i computer basati su Windows, OS X, Linux, FreeBSD e

ESX/ESXi senza alcun agente preinstallato: è sufficiente conoscere la password

amministratore. L'analisi può essere eseguita su singoli nodi, intervalli di

indirizzi di rete o struttura Active Directory.




Pagina 18

6.2 Rapporti

È possibile creare rapporti versatili per diverse categorie di dati. Puoi generare

rapporti tabellari con centinaia di campi con il modello di dati TNI 3. Puoi

quindi copiare, esportare o stampare i rapporti, mentre la funzione di ricerca

mostra i risultati prima ancora di aver finito di digitare.




Pagina 19

6.3 Registro delle modifiche

Rileva e consulta le modifiche apportate all'hardware e al software. Puoi

scoprire quando un'applicazione è stata installata, disinstallata o aggiornata su

qualsiasi computer della rete; quando è stato collegato o rimosso un componente

hardware; le dinamiche di utilizzo dello spazio su disco; e molto altro.




Pagina 20

6.4 Pianificazione analisi

Puoi pianificare quando devono essere raccolti i dati, con singole sessioni di

analisi posticipate e attività ripetitive: ogni giorno, tutti i venerdì, il primo lunedì

del mese... Puoi anche analizzare diverse serie di asset in momenti diversi e

tenere l'inventario sempre aggiornato.




Pagina 21




Pagina 22




Pagina 23




Pagina 24

6.5 Analisi della rete

È possibile analizzare i computer basati su Windows, OS X, Linux,

FreeBSD eESX/ESXi senza alcun agente preinstallato: è sufficiente conoscere la password

amministratore. L'analisi può essere eseguita su singoli nodi, intervalli di indirizzi di rete o

struttura Active Directory.

6.6 Inventario

Ogni computer occupa alcune decine di kilobyte nell'archiviazione centralizzata

del sistema di gestione. È possibile raggruppare gli asset, aggiungervi dei

commenti e allegare informazioni aggiuntive.




Pagina 25

6.7 Rapporti

È possibile creare rapporti versatili per diverse categorie di dati. Puoi generare

rapporti tabellari con centinaia di campi con il modello di dati proposto. Puoi

quindi copiare, esportare o stampare i rapporti, mentre la funzione di ricerca

mostra i risultati prima ancora di aver finito di digitare.

6.8 Registro delle modifiche

Rileva e consulta le modifiche apportate all'hardware e al software. Puoi

scoprire quando un'applicazione è stata installata, disinstallata o aggiornata su

qualsiasi computer della rete; quando è stato collegato o rimosso un componente

hardware; le dinamiche di utilizzo dello spazio su disco; e molto altro.

6.9 Pianificazione analisi

Puoi pianificare quando devono essere raccolti i dati, con singole sessioni di

analisi posticipate e attività ripetitive: ogni giorno, tutti i venerdì, il primo lunedì

del mese... Puoi anche analizzare diverse serie di asset in momenti diversi e

tenere l'inventario sempre aggiornato.

6.10 Altro

Puoi creare un database degli utenti di rete, registrare le password per diversi

asset e protocolli, nonché seguire lo stato online degli asset in tempo reale.

Queste e molte altre funzioni faranno risparmiare tempo e fatica durante l'audit

di rete.




Pagina 26

Analizza tutto

Computer basati su Microsoft Windows - 2000 e versioni successive.Tecnologia di

analisi • Dati raccolti

Computer basati su Apple OS X.Tecnologia di analisi • Dati raccolti

Asset basati su Linux.Tecnologia di analisi • Dati raccolti

Asset basati su FreeBSD.Tecnologia di analisi • Dati raccolti

ESX/ESXi server.Tecnologia di analisi • Dati raccolti

Qualsiasi dispositivo di rete che supporta il protocollo SNMP o Telnet.Dati raccolti

Cosa occorre?

Solo la password amministratore. Per un audit di rete non è necessario preinstallare alcun

agente sui computer remoti né effettuare alcun altro tipo di preparativo. È sufficiente

installare il client su un singolo computer e in pochi minuti è possibile accedere alle

informazioni sull'intera rete.

Analisi avanzata

Basta dire al programma cosa vuoi analizzare, e viene avviato il rilevamento della rete:

vengono trovati tutti i nodi dell'intervallo IP specificato, viene presentato un elenco dei

computer del gruppo di lavoro e viene estratta la struttura del dominio. Seleziona i nodi,

specifica dati di accesso e password per singoli asset o gruppi, quindi fai clic su Avvia analisi.

L'analisi richiede solo pochi minuti e i dati raccolti vengono inseriti nell'archiviazione del

sistema di management. L'inventario PC e Mac è pronto per essere usato.

http://docs.softinventive.com/En/Total_Network_Inventory_3/White_paper/Scanning_Microsoft_Windows_assets

http://docs.softinventive.com/En/Total_Network_Inventory_3/White_paper/Scanning_Microsoft_Windows_assets

http://docs.softinventive.com/En/Total_Network_Inventory_3/Gathered_data/Windows

http://docs.softinventive.com/En/Total_Network_Inventory_3/White_paper/Scanning_Unix-based_assets

http://docs.softinventive.com/En/Total_Network_Inventory_3/Gathered_data/OS_X


http://docs.softinventive.com/En/Total_Network_Inventory_3/Gathered_data/Linux


http://docs.softinventive.com/En/Total_Network_Inventory_3/Gathered_data/FreeBSD


http://docs.softinventive.com/En/Total_Network_Inventory_3/Gathered_data/ESXi

http://docs.softinventive.com/En/Total_Network_Inventory_3/Gathered_data/Generic_devices/

http://www.softinventive.it/content_images/tni/scr/Scanner.png




Pagina 27

Analisi pianificata

Crea un elenco di asset da analizzare in un secondo tempo o ripetutamente, impostando il

momento in cui dovrà essere effettuata l'analisi. Con il modulo di pianificazione puoi creare

complessi attivatori temporali:

Puoi creare un numero illimitato di attività pianificate con attivatori differenti. E i dati sono

mantenuti sempre aggiornati automaticamente.

Archiviazione centralizzata

L'archiviazione è una normale cartella sul disco rigido. Per ogni computer viene registrato un

file di circa 35 KB. È quindi facile spostare questi file in un'altra area di archiviazione o

http://www.softinventive.it/content_images/tni/scr/Scheduler.png

http://www.softinventive.it/content_images/tni/scr/Scanner.png

http://www.softinventive.it/content_images/tni/scr/Assistants.png

http://www.softinventive.it/content_images/tni/scr/Screen.png

http://www.softinventive.it/content_images/tni/scr/Search.png

http://www.softinventive.it/content_images/tni/scr/Table.png

http://www.softinventive.it/content_images/tni/scr/Table_constructor.png

http://www.softinventive.it/content_images/tni/scr/Printable.png

http://www.softinventive.it/content_images/tni/scr/Soft.png




Pagina 28

effettuarne il backup. Se condividi la cartella di archiviazione, puoi lavorare con essa da altri

computer.

Tutto ciò di cui hai bisogno per la contabilità hardware

Puoi allegare ai computer note, numeri di inventario e campi aggiuntivi di testo, prezzo e data.

Tutti i dati vengono registrati in un singolo luogo, sempre a portata di mano. L'inventario

hardware non è mai stato così facile e versatile.

Tutta la rete a colpo d'occhio

La struttura della rete può presentare vari tipi di dati: nome della rete, indirizzo IP, numero

d'inventario, icona e nome del sistema operativo, indicatore dello stato online e molto altro. Il

sistema di management rileva automaticamente i sistemi virtuali e li maschera. Tutti questi

dati possono essere usati per effettuare delle ricerche: se conosci alcuni dati di un computer,

lo puoi trovare subito tra centinaia di altri!

http://www.softinventive.it/content_images/tni/scr/Assistants.png




Pagina 29

Scopri cosa accade nella rete

Ogni volta che un computer viene analizzato nuovamente, TNI ne crea una nuova istantanea.

La funzione Registro delle modifiche confronta tutte le istantanee e presenta un elenco

completo di eventi: potrai così sapere se qualcosa è stato aggiunto, rimosso o

modificato.

Puoi vedere quale software è stato installato, disinstallato o aggiornato…

…quali hotfix sono stati applicati…

…quali servizi presentano uno stato modificato…

…quale hardware è stato spostato…




Pagina 30

…e molto altro!

Il registro offre funzioni di ricerca e filtro ed è disponibile anche sotto forma di report

stampabile:




Pagina 31

7 ASSETT MANAGEMENT

Total Network Inventory 3 offre, come precedenteente illustrato, strumenti potenti per

l'inventario del software e la gestione delle licenze. Qui viene introdotto lo specifico modulo

per la Gestione degli asset software.

7.1 Inventario software

Tutti i software dei dispositivi Windows e Mac OS sono raccolti in un unico luogo con

funzionalità complete di ricerca e filtro. Puoi sfogliare, organizzare e individuare i software e

le installazioni, contrassegnare gli elementi più importanti, assegnare tag, aggiungere

commenti e molto altro.

7.2 Gestione delle licenze

Puoi memorizzare i dati sulle licenze software che possiedi insieme ai relativi parametri, alle

chiavi di licenza, alle date di scadenza, ai prezzi e a tutta la documentazione di corredo come

fatture e contratti di licenza.




Pagina 32

7.3 Stato delle licenze dinamico

Assumi il controllo di tutti i dati più importanti sulla distribuzione del software e delle licenze

nella tua rete. Puoi scopri i software con licenze insufficienti o in eccesso e ottenere

informazioni complete sui problemi legati alle licenze.

7.4 Rapporti

Puoi generare rapporti in modo rapido e preciso su ogni aspetto dell'inventario di software e

licenze, ad esempio un elenco delle installazioni, un riepilogo delle licenze o una descrizione

di tutti i problemi legati alle licenze. I rapporti possono poi essere copiati, esportati o stampati

in numerosi formati.

7.5 E altro ancora…

Puoi tenere traccia dei software presenti su specifici dispositivi. Puoi anche unire diverse

versioni di uno stesso software e usare espressioni regolari per migliorare i risultati delle

ricerche. Per scoprire a cosa serve un'applicazione, puoi passare direttamente a una ricerca

Google o al sito Web dello sviluppatore.

7.6 Tutto in un unico luogo

TNI 3 elabora il software rilevato su dispositivi Windows e Mac OS X. Il database di tutti i

tuoi software viene presentato con massima chiarezza. Puoi cercare le applicazioni all'istante

per nome e versione. Applicando i filtri puoi vedere tutti i software di un particolare

produttore, quelli installati sui dispositivi selezionati e così via. E per soddisfare tutte le

possibili esigenze puoi combinare insieme ricerche e filtri.




Pagina 33

7.7 Panoramica della distribuzione

Seleziona uno o più elementi software per esaminarne tutte le installazioni.




Pagina 34

7.8 Una licenza è molto più di un numero

Molti sistemi SAM (Software Asset Management) per la gestione degli asset software

rappresentano una licenza come "numero di attivazioni". Ma una licenza è molto più di un

numero.

Dopo l'acquisto di una licenza software, aggiungila al tuo archivio SAM. Quindi associala al

software corrispondente e specificane il prezzo, la data di acquisto e la data di scadenza.

Puoi impostare il modello di licenza personalizzato per ciascuna licenza in diversi modi. Con

la licenza viene fornita una chiave di licenza? O forse più chiavi? Quante attivazioni sono

consentite per ogni chiave?

Aggiungi altre informazioni importanti compresi documenti, immagini e altri file.

Puoi creare tutte le licenze di cui hai bisogno e gestirle in modo efficace.




Pagina 35

Una volta creata e impostata una licenza, potrai visualizzarne lo stato automaticamente.

7.9 Tutti i dati e il loro significato effettivo

TNI 3 calcola automaticamente lo stato di conformità delle licenze sulla base dei dati

articolati sulla distribuzione del software nella tua rete e delle informazioni su tutte le

licenze che possiedi e le relative proprietà.

Puoi vedere lo stato delle licenze per elemento software o per licenza. Grazie alla chiara

codifica a colori è possibile individuare i problemi a colpo d'occhio. È sufficiente fare clic sul

messaggio di stato per approfondire la spiegazione dettagliata del problema rilevato.




Pagina 36

Il modulo di analisi individua le chiavi di licenza di alcuni software. Nella casella delle

licenze vengono presentate tutte le installazioni con chiave di licenza ma senza una licenza

appropriata.

Una volta calcolato, lo stato viene mantenuto aggiornato e riflette le modifiche apportate

all'archiviazione

7.10 Tenere traccia delle installazioni software

Come amministratore della rete, ti aspetti che alcuni software siano installati su alcuni

dispositivi ma non su altri. Con la funzione di traccia del software puoi contrassegnare un

software come Necessario o Vietato per specifici gruppo di computer.




Pagina 37

7.11 Unione di diverse versioni

Spesso la versione esatta degli aggiornamenti minori dei software non ha molta rilevanza.

Con TNI è possibile combinare su una singola riga tutte le diverse versioni di un particolare

software, semplificandone la gestione. Le versioni degli aggiornamenti minori restano

comunque visibili nell'elenco delle installazioni.

All'occorrenza le diverse versioni possono essere scorporate in qualsiasi momento.

7.12 Espressioni regolari

Utilizzando espressioni regolari puoi eseguire ricerche particolari e salvarle per riutilizzarle in

altre occasioni.




Pagina 38




Pagina 39

8 NETWORK BACKUP

Il prodotto selezionato per questa funzione è BACULA, altro prodotto open

source, completo di manuali e white paper.

Prima di tutto è necessario comprendere che la gestione del network backup è

come un diagramma a stella dove il server Bacula è il nodo centrale.

Qualsiasi client all’interno della rete può collegarsi, tramite la console al server

principale e, se ha le giuste credenziali, può operare sulle altre macchine.

E’ sufficiente digitare il comando:

console

per potervi accedere ed operare.

In qualsiasi momento si potrà avere un help online col semplice comando:

help

Dovreste ottenere un output pressapoco come questo:

Command Description

======= ===========

add add media to a pool

autodisplay autodisplay [on|off] -- console messages

automount automount [on|off] -- after label

cancel cancel [<jobid=nnn> | <job=name>] -- cancel a

job

create create DB Pool from resource

delete delete [pool=<pool-name> | media

volume=<volume-name>]

disable disable <job=name> -- disable a job

enable enable <job=name> -- enable a job

estimate performs FileSet estimate, listing gives full

listing




Pagina 40

exit exit = quit

gui gui [on|off] -- non-interactive gui mode

help print this command

list list [pools | jobs | jobtotals | media

<pool=pool-name> |

files <jobid=nn>]; from catalog

label label a tape

llist full or long list like list command

memory print current memory usage

messages messages

mount mount <storage-name>

prune prune expired records from catalog

purge purge records from catalog

python python control commands

quit quit

query query catalog

restore restore files

relabel relabel a tape

release release <storage-name>

reload reload conf file

run run <job-name>

status status [storage | client]=<name>

setdebug sets debug level

setip sets new client address -- if authorized

show show (resource records) [jobs | pools | ... |

all]

sqlquery use SQL to query catalog

time print current time

trace turn on/off trace to file

unmount unmount <storage-name>

umount umount <storage-name> for old-time Unix guys




Pagina 41

update update Volume, Pool or slots

use use catalog xxx

var does variable expansion

version print Director version

wait wait until no jobs are running [<jobname=name>

| <jobid=nnn> | <ujobid=complete_name>]

Prendiamo in considerazione il fatto di fare backup solo su disco, quindi,

almeno inizialmente, non pensiamo all’utilizzo di nastri. Dobbiamo dire che la

struttura rimane comunque quella dei nastri, infatti è sempre presente il concetto

di Volume e di Pool.

8.1 Pool e Volume

Il Pool è semplicemente un gruppo di Volumes, ovvero un gruppo di nastri da

far ruotare. Lavorando su disco, imposteremo i Volumes come files su un

filesystem a nostra scelta. Attenzione che un Volume, quando viene definito, ha

una dimensione massima (proprio come un nastro) sarà quindi Bacula che

gestirà la rotazione di questi file all’interno del Pool.

Definito almeno un pool (ma di default l’installazione del Bacula server già ne

crea uno), saremo pronti a definire il modo di operare di Bacula stesso.

Ogni operazione è definito, all’interno di Bacula, come Job e per poter operare

questi Jobs è necessario definire dei Filesets.

In qualsiasi momento, col comando status possiamo accedere allo stato dello

storage, o di un Job in corso, oppure anche sulle condizioni di un client.

Una volta definiti i client che devono essere backuppati sarà possibile mettere

una sequenza di Jobs in schedule in modo che sia Bacula stesso a gestire le

tempistiche per i backup.




Pagina 42

Possiamo definire vari FileSets che possono comprendere vari percorsi

all’interno del filesystem che possiamo ruotare con differenti strategie. Ad

esempio potremo definite alcuni Filesets soltanto per aree del filesystem che

raramente vengono modificate che quindi inseriremo in jobs relativamente poco

frequenti.

Per Filesets che comprendono files con un alta frequenza di aggiornamento,

potremmo schedulare Jobs molto più serrati. La cosa interessante è che anche se

un Job può durare molto a lungo, ciò non compromette l’accesso ai file.

Bacula, infatti, opera file per file bloccandolo, facendone una copia,

sbloccandolo e procedendo oltre. Normalmente quest’operazione richiede

pochi millisecondi, tantoché, il sistema sotto backup “non si rende conto” di ciò

che sta accadendo.

8.2 Quando e come impostare l’esecuzione del backup

L’unica eccezione sono i file dati dei database che non devono essere messi

sotto backup a caldo per evitare di corromperli, sarà necessario schedulare il

backup, piuttosto, dei relativi dump.

Tendenzialmente dovremo anche evitare, in momenti di alto traffico su disco, il

backup di file di grosse dimensioni. Questo punto non è una vera e propria

controindicazione, poiché Bacula riuscirà a portare a termine l’operazione, ma è

possibile che il lock del file duri qualche secondo creando qualche problema ad

applicativi che cercheranno di accedere a quel file.

Per i motivi sopraindicati è corretto cercare di individuare i momenti scarichi

durante l’arco delle 24 ore e della settimana in modo da operare proprio quando

il sistema è relativamente “tranquillo”. Per operare una soluzione ancora più

elegante, potreste settare, da cron, dei job che fermano l’attività degli applicativi

ad interfaccia pubblica, come applicativi web, per lo stretto tempo necessario al




Pagina 43

backup del relativo fileset. Potreste addirittura comunicare all’esterno una

pagina statica con un messaggio di “Backup in corso, ritorneremo tra pochi

minuti”.

Per evitare di “sforare” visto che i tempi di Bacula possono variare in base a

molti fattori, potrete scriptare delle attività proprio all’interno del job stesso.

8.3 Tipologie di backup: Full, Incrementale e Differenziale

A questo punto diventa necessario capire le varie tipologie di Backup possibile

con Bacula:

Full

Incrementale

Differenziale

Il primo è il più semplice, viene infatti creata una copia del FileSet scelto in

storage.

Questo è l’unico Backup completamente “autosufficiente” nel senso che non

richiede che siano stati fatti Backup preventivi. La controindicazione sta nel

fatto che, ovviamente, è il tipo di Backup che occupa più spazio sullo storage. Il

problema può essere minimizzato utilizzando l’impostazione di Bacula per fare

gzip dei backup creati. Utilizzare questa impostazione diminuirà lo spazio

occupato, ma aumenterà i tempi di backup e l’impegno di CPU dello storage

server, possiamo quindi utilizzare questa piccola miglioria, ma dobbiamo

studiare attentamente anche tipologie di Backup meno stressanti per lo storage.




Pagina 44

8.4 Backup incrementale

Il Backup incrementale, richiede un backup Full preventivo. Se non esistente,

Bacula provvederà a crearlo prima. Il Backup incrementale crea una copia

soltanto delle differenze riscontrate rispetto all’ultimo Job di un dato FileSet.

Attenzione che, in questo modo, partendo da un solo Backup Full, ad ogni

backup incrementale, questo salverà esclusivamente le differenze rispetto allo

step precedente. Ciò sta ad indicare che avremo bisogno di tutti i backup a

ritroso fino ad un Backup Full.

Tutto ciò è necessario perchè il Backup incrementale può essere successivo ad

un numero relativamente infinito di backup incrementali avvenuti prima.

Naturalmente, in questo modo impegneremo al minimo il filesystem in merito

ad un solo backup, ma saremo obbligati, nel qual caso il numero di backup salga

molto in fretta, a mantenere un gran numero di backup sullo storage.

8.5 Backup Differenziale

Il terzo metodo, il Backup differenziale, funziona in modo molto simile al

precedente con la differenze che, dato un Backup Full, verranno salvate le

differenze tra questo backup e la situazione corrente. In questo modo, qualsiasi

Backup differenziale avrà bisogno soltanto del Backup Full a cui fa riferimento

senza necessitare di tutti gli eventuali step intermedi. Possiamo affermare che

questa sia una soluzione intermedia, abbiamo infatti un uso dello storage non

troppo importante e non dovremo avere il vincolo di mantenere un numero

molto alto di Backup.

E’ evidente che non esiste una soluzione vincente in ogni caso, ogni situazione

va valutata attentamente per capire quando sarà il momento di intervenire con un

Backup completo, oppure con una sequenza di incrementali, o con una serie di

differenziali.




Pagina 45

8.6 Quale strategia di backup scegliere

Normalmente, si tende a volere un Full backup nel momento di minore attività

settimanale (spesso coincidente con una notte del week-end). A questo punto,

avremo la “base” per l’intera settimana a venire.

Una semplice strategia è quella di procedere con un backup incrementale per

ogni giorno della settimana, dal punto di vista strategico non richiede uno studio

approfondito, ma potrebbe non essere sufficiente, soprattutto se vogliamo

mantenere più Full Backup (magari per un mese) e, dovendo mantenere ogni

step incrementale, il numero di bytes utilizzati potrebbe salire troppo. Potrebbe

essere, quindi, necessario pensare ad un backup differenziale a metà settimana,

dopodiché potremo procedere con l’eliminare a ritroso i backup incrementali

fino al precedente Full Backup.

Naturalmente, sto facendo delle mere ipotesi che dovranno essere approfondite

di volta in volta, naturalmente per i primi tempi sarà necessario monitorare con

costanza la situazione in modo da capire quanto spazio è necessario per lo

storage.

Per mantenere lo storage occupato a livello accettabile sarà necessario settare

correttamente il ciclo di vita di un Volume.

Ricordate di settare l‘AutoPrune ed il Recicle su Yes in modo che i Volumi

vengano svuotati e riutilizzati. Naturalmente, essendo su File, svuoteremo solo

il file che funge da Volume, ma ciò ci permetterà di riutilizzarlo per futuri

backup. L’abilità dell’amministratore di un server Bacula sta nel capire quanto

velocemente i Volumi devono essere ciclati in modo da avere sempre spazio

sufficiente per fare backup.




Pagina 46

Trovare un giusto equilibrio è difficile perché bisogna agire

contemporaneamente sul ciclo di vita dei Volumes, sulla tipologia di Backup e

relativa quantità. L’obiettivo primario di questa strategia è quello di avere varie

versioni dei propri file sempre disponibili (aver almeno un mese arretrato

sarebbe ottimale) ed uno spazio libero su storage di almeno un 20% per avere

spazio di manovra.

Trovato l’equilibrio delle procedure di backup, avremo raggiunto un ottimo

risultato, naturalmente il buon amministratore di sistema sa che non bisogna mai

gongolarsi troppo, per questo motivo non dimenticate di monitorare comunque

la situazione per evitare brutte sorprese, le macchine sotto backup crescono

continuamente nell’uso del filesystem e ciò potrebbe comportare uno o più

backup falliti.

8.7 Come ripristinare i backup fatti

Rimane un ultimo punto da analizzare. Quando necessario potremo ripristinare

un qualsiasi file oppure un’intera cartella con il semplice comando:

restore

Questo comando ci permetterà il ripristino scegliendo anche la data di backup

dalla quale dovremo attingere per ripristinare il file.

E’ possibile ripristinare qualsiasi dato che sia stato inserito all’interno di un

backup valido (ovvero Full, Incrementale a ritroso fino ad un Full, Differenziale

su un Full).

La data (e quindi la versione) del file sarà quella all’atto del backup come

indicato in console. E’ possibile ripristinare anche intere porzioni di

filesystem, oppure, se avremo avuto l’accortezza di mantenere sotto Backup




Pagina 47

ogni partizione del sistema, potremo creare una procedura completa di Disaster

Recovery come indicato nell’articolo precedente.

Concludendo questa carrellata sul Network Backup, abbiamo affrontato ogni

possibile combinazione legata a questa struttura di protezione dei dati ma non

dimentichiamo mai che l’esperienza è fondamentale per gestire queste

procedure. Il grande problema da affrontare con le procedure di emergenza,

infatti, è la scarsa possibilità di attuarle (per fortuna).

Purtroppo, ciò “arriugginisce” la nostra capacità di operare velocemente e nel

vero momento del bisogno potremo trovarci in difficoltà. Per questo motivo, è

necessario testare periodicamente le procedure di ripristino in modo da

mantenere una buona manualità. Non solo, così facendo potremo anche

verificare l’effettiva bontà dei nostri backup per non avere sgradevolissime

sorprese quando ormai è troppo tardi.

8.8 Progettare anche il server di backup

Anche il server stesso di Backup potrebbe richiedere, un domani, un ripristino.

Per questo motivo, consiglio di proteggere i dati di quest’ultimo sui cari, vecchi

(ma sempre efficienti) nastri con le stesse procedure usate sui Volumes su

Disco. Quest’ultimo livello può sembrare vicino alla paranoia, ma non

necessiteremo di backup estremamente frequenti ed avremo la garenzia che, se

fosse il Server contenente i backup dell’intera sottorete a fallire, potremo

ovviare anche a questo grattacapo rendendo l’intera struttura ragionevolmente

protetta da ogni accidentale perdita di dati.




Pagina 48

9 WEB SERVER

9.1 Introduzione

LAMP è un acronimo che indica un ambiente server in cui siano installati Linux, Apache, MySQL e PHP. In

questa guida vedremo come installare un server Apache2 su Debian Lenny, come configurare il modulo

SSL e come fornire supporto per il linguaggio di scripting PHP5 e i database basati su MySQL.

In tutta la guida assumeremo che il nome del server Debian sia demo e il suo indirizzo IP

sia 123.45.67.890. Questi valori vanno ovviamente sostituiti con quelli del vostro ambiente di lavoro.

9.2 Installazione di Apache2

Installare il web server Apache2 su Debian è un'operazione molto semplice:

# aptitude install apache2-mpm-prefork apache2-utils libexpat1 apache2-suexec

Se notaste, all'avvio del web server, il messaggio di avvertimento:

apache2: Could not reliably determine the server's fully qualified domain name,

using 127.0.0.1 for ServerName

Per eliminarlo è sufficiente aprire il file di configurazione di Apache2:

# nano /etc/apache2/apache2.conf

e aggiungere la direttiva:

ServerName demo

Abilitate alcuni comodi moduli aggiuntivi:

# a2enmod headers

# a2enmod expires

Quindi riavviate Apache2 per fargli digerire le modifiche:

# apache2ctl graceful

A questo punto aprite il vostro browser preferito e navigate verso l'indirizzo http://123.45.67.890. Sarete

accolti dalla pagina di benvenuto del vostro web server: It Works!

http://123.45.67.890/




Pagina 49

9.3 Configurazione di SSL

Le connessioni sicure SSL sono vitali per le aree di amministrazione dei nostri siti, poiché assicurano

segretezza e protezione alle password che digitiamo. In questa sezione vedremo come configurare un

certificato auto-firmato e come creare un virtual host sulla porta https (443) per le nostre connessioni.

NOTA: i certificati auto-firmati, poiché non verificati da un'autorità internazionale, generano nel browser un

messaggio di avvertimento. Per questo motivo sono adatti in ambienti intranet o su server dove il traffico

https serve solo per amministrazione e non per fornire servizi a utenti esterni.

Installazione

Creiamo innanzitutto una directory dove archiviare i nostri certificati:

# mkdir /etc/apache2/ssl

Quindi creiamo i nostri certificati:

# openssl req -new -x509 -days 365 -nodes -out /etc/apache2/ssl/apache.pem -

keyout /etc/apache2/ssl/apache.pem

L'output iniziale del comando sarà:

Generating a 1024 bit RSA private key

...........++++++

...........++++++

writing new private key to '/etc/apache2/ssl/apache.pem'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

e poi ci verrà posta una serie di domande:

Country Name (2 letter code) [AU]: IT

State or Province Name (full name) [Some-State]: Lodi

Locality Name (eg, city) []: S. Angelo Lodigiano

Organization Name (eg, company) [Internet Widgits Pty Ltd]: Compagnia di Test

Organizational Unit Name (eg, section) []: Divisione IT

Common Name (eg, YOUR name) []: demo.dominio.local

Email Address []: [email protected]




Pagina 50

Rispondete ovviamente inserendo i parametri più adatti al vostro caso.

Adesso che abbiamo i certificati piazzati al loro posto non dobbiamo far altro che abilitare Apache mod_ssl

e, già che ci siamo, alcuni altri moduli utili:

# a2enmod ssl

# a2enmod rewrite

# a2enmod suexec

# a2enmod include

9.4 Configurazione dei Virtual Host

Iniziamo con il creare un file di testo che specifichi il nostro Virtual Host SSL:

# nano /etc/apache2/sites-available/default-ssl

e configuriamolo come segue:

NameVirtualHost *:443

<VirtualHost *:443>

SSLEngine on

SSLCertificateFile /etc/apache2/ssl/apache.pem

SSLCertificateKeyFile /etc/apache2/ssl/apache.pem

ServerAdmin [email protected]

ServerName server.dominio.org

ErrorLog /var/log/apache2/error_ssl.log

LogLevel warn

CustomLog /var/log/apache2/access_ssl.log combined

ServerSignature On

DocumentRoot /var/www/apache2-default

<Directory />

Options FollowSymLinks

AllowOverride None

</Directory>

<Directory /var/www/apache2-default>

Options Indexes FollowSymLinks MultiViews

AllowOverride None

Order allow,deny

allow from all

</Directory>

ScriptAlias /cgi-local/ /var/www/apache2-default/cgi-bin/




Pagina 51

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

<Directory "/var/www/apache2-default/cgi-bin">

AllowOverride None

Options None

Order allow,deny

Allow from all

</Directory>

<Directory "/usr/lib/cgi-bin">

AllowOverride None

Options None

Order allow,deny

Allow from all

</Directory>

Alias /icons/ "/usr/share/apache2/icons/"

Alias /manual/ "/usr/share/doc/apache2-doc/manual/"

<Directory "/usr/share/apache2/icons">

Options Indexes MultiViews

AllowOverride None

Order allow,deny

Allow from all

</Directory>

</VirtualHost>

Da Debian Jessie:

il controllo degli accessi Rule-Based prevede una configurazione differente

per negare l'accesso alla directory a tutti:

Order deny,allow

Deny from all

modificare in

Require all denied

per consentire l'accesso alla directory a tutti:

Order allow,deny

Allow from all

modificare in




Pagina 52

Require all granted

Apache non è in ascolto sulla porta 443, quella normalmente utilizzata da apache-ssl, e quindi lo dobbiamo

istruire modificando il file /etc/apache2/ports.conf aggiungendo la riga:

Listen 443

Come ultima cosa, importantissima, bisogna attivare il sito che abbiamo appena creato (sempre utilizzando

i comodi comandi che Apache2 ci mette a disposizione). Sarà quindi sufficiente un:

# a2ensite default-ssl

Un riavvio di Apache2 caricherà la nuova configurazione:

# /etc/init.d/apache2 force-reload

9.5 Installazione di PHP5

Per avere il supporto a PHP5 è sufficiente installare il linguaggio di scripting e il relativo modulo di supporto

ad Apache2:

# aptitude install php5 libapache2-mod-php5

A questo punto un riavvio di Apache è sufficiente:

# /etc/init.d/apache2 reload

Su tutte le Debian Squeeze c’è una correzione al volo da fare al file php.ini. Il problema è dovuto al

parametro:

memory_limit = -1

Visto così sembrerebbe un flag disabilitato e ci aspetteremmo quindi che non ci sia alcun limite nella

memoria allocabile, invece il comportamento è tutt’altro:




Pagina 53

PHP Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to

allocate 64 bytes) in /var/www/clients/client21/web54/web/XXXXXX.php on line

212

Per ovviare al problema, è bene specificare quale effettivamente è il limite di memoria che intendiamo

imporre ad uno script php eseguito da linea di comando. Il parametro si trova nel file:

/etc/php5/cli/php.ini

E la modifica da effettuare è la seguente:

; Maximum amount of memory a script may consume (128MB)

; http://php.net/memory-limit

;memory_limit = -1

memory_limit = 128M

Potrebbe essere utile aumentare il valore dei dati POST caricabili attraverso script PHP. In questo caso

occorre modificare il file di configurazione di Apache:

# nano /etc/apache2/apache2.conf

aggiungendo la sezione

<Files *.php>

SetOutputFilter PHP

SetInputFilter PHP

LimitRequestBody 524288

</Files>

e riavviando il server:

# /etc/init.d/apache2 restart

9.6 Test della configurazione

Prima di procedere è una buona idea verificare che tutto ciò che abbiamo fatto funzioni realmente. Per

questo utilizziamo il metodo phpinfo di PHP5 caricandolo in una pagina di test. Partiamo col creare il file

della pagina di test:




Pagina 54

# nano -w /var/www/test.php

Quindi riempiamolo in questo modo:

<html>

<head>

<title> PHP Test Script </title>

</head>

<body>

<?php

phpinfo( );

?>

</body>

</html>

salviamo il file e richiamiamolo nel nostro browser: http://123.45.67.890/test.php. Se tutto è andato per il

verso giusto vi troverete davanti a una schermata di riepilogo delle funzionalità abilitate di PHP5.

9.7 Moduli aggiuntivi

Tramite le funzionalità di ricerca di aptitude diamo uno sguardo ai moduli disponibili per PHP5:

# aptitude search php5

Scegliete solo quelli che vi servono e installateli nel solito modo:

# apt-get install dh-php5 libapache2-mod-php5filter libexpect-php5 libgv-php5

libow-php5 libphp5-embed php5-adodb php5-apcu php5-cgi php5-curl php5-dbg php5-

enchant php5-exactimage php5-ffmpeg php5-fpm php5-gd php5-gdcm php5-geoip php5-

gmp php5-imagick php5-idn php5-imap php5-interbase php5-intl php5-json php5-

ldap php5-librdf php5-mapscript php5-mcrypt php5-memcache php5-memcached php5-

mhash php5-ming php5-mongo php5-mssql php5-mysql php5-odbc php5-pgsql php5-ps

php5-pspell php5-radius php5-recode php5-remctl php5-rrd php5-sasl php5-snmp

php5-sqlite php5-svn php5-sybase php5-tidy php5-xcache php5-xmlrpc php5-xsl

9.8 Installazione di MySQL

L'installazione del RDBM MySQL è semplice:

# aptitude install mysql-server mysql-client

http://123.45.67.890/test.php




Pagina 55

Durante l'installazione vi verrà chiesta la password di amministratore di MySQL (che è chiamato root ma è

diverso dall'utente root del server Debian):

New password for the MySQL "root" user: <-- LAMIAPASSWORD

Repeat password for the MySQL "root" user: <-- LAMIAPASSWORD

La password che sceglierete sarà valida sia per l'utente MySQL root@localhost sia per l'utente

root@demo.

Per creare un utente in MySQL è necessario accedere come root (o da altro utente che ha i privilegi di

creazione degli utenti): aprite un terminale e digitate:

# mysql -uroot -p

Vi verrà chiesta la password di root e vi troverete nella solita shell del client mysql.

A questo punto bisognerà creare l’utente e dargli i permessi sul database. Per fare ciò digitate nella shell di

MySQL:

GRANT ALL PRIVILEGES ON nome_db.* TO ‘nome_utente’@'localhost’ IDENTIFIED BY

‘password_utente’ WITH GRANT OPTION;

9.9 L'interfaccia phpMyAdmin

Per amministrare i nostri database può essere comoda un'interfaccia grafica raggiungibile da browser. A

questo scopo installiamo phpMyAdmin:

# aptitude install phpmyadmin

Durante l'installazione vi verrà chiesto di indicare il web server in esecuzione sulla vostra machina. Indicate

apache2:

Web server to reconfigure automatically: <-- apache2

A questo punto lanciate il browser su http://123.45.67.890/phpmyadmin e fate login con le credenziali di

root di MySQL inserite poco fa.

Poiché la password di login su phpmyadmin viaggia in chiaro, può essere una buona cosa forzare il servizio

phpmyadmin a restare in ascolto solo sul protocollo HTTPS, creando una riscrittura automatica dell'indirizzo

HTTP verso il protocollo SSL. Questo può essere agevolmente fatto modificando il file di configurazione di

phpmyadmin.

http://123.45.67.890/phpmyadmin




Pagina 56

Fino a Debian Wheezy:

# nano /etc/apache2/conf.d/phpmyadmin.conf

Da Debian Jessie:

# nano /etc/phpmyadmin/apache.conf

e aggiungendo all'inizio del file le righe:

<IfModule mod_rewrite.c>

<IfModule mod_ssl.c>

<Location /phpmyadmin>

RewriteEngine on

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}/phpmyadmin [R]

</Location>

</IfModule>

</IfModule>

# Il resto del file rimane invariato

Alias /phpmyadmin /usr/share/phpmyadmin

...

Da adesso, anche digitando http://123.45.67.890/phpmyadmin, sarete rigirati verso l'equivalente pagina

HTTPS.

9.10 Apache2: layout di configurazione

Assumendo di aver utilizzato aptitude o apt-get per installare Apache2, spostiamoci nella sua directory di

configurazione per dare un occhio a come è strutturata:

# cd /etc/apache2

# ls

9.11 sites-available

Questa directory conterrà i file con le configurazioni di ogni sito (conosciuti come virtual hosts) che vorrete

servire con Apache. Uno sguardo alla directory:

ls sites-available/

http://123.45.67.890/phpmyadmin




Pagina 57

...

default default-ssl

ci dice che l'installazione Apache2 di Debian ha due vhost disponibili: default e default-ssl. Notate

che la presenza di un virtual host in questa directory non significa che questo sia attivo e visibile dagli

utenti; significa solo che sarà disponibile se verrà abilitato.

Tutto questo ci porta a...

Da Debian Jessie:

ls sites-available/

...

000-default.conf default-ssl.conf

i due vhost disponibili sono 000-default.conf e default-ssl.conf, terminano con estensione

.conf e il contenuto va personalizzato secondo le proprie esigenze.

9.12 sites-enabled

Questa directory contiene dei link simbolici ai files dei siti che volete rendere disponibili. Per esempio, su un

web server ci possono essere diversi siti pronti per essere pubblicati (configurati nella directory sites-

available), ma solo quelli linkati simbolicamente in questa directory saranno realmente visibili dagli

utenti. Diamo uno sguardo alla directory:

# ls -l sites-enabled

...

lrwxrwxrwx 1 root root 26 Oct 28 22:38 000-default -> ../sites-

available/default

Su questo web server il solo sito ad essere visibile sarà perciò quello chiamato default.

mods-available

Questa directory contiene i moduli di Apache2 pronti per essere resi disponibili.

mods-enabled

Questa directory, come nel caso dei virtual host, contiene i link simbolici ai moduli effettivamente abilitati sul

web server.

a2en e a2dis

Essere buoni amministratori di sistema significa conoscere i comandi per renderci le cose più semplici.

a2dissite

Questo comando cancella il link simbolico di un sito abilitato. Ad esempio il comando:




Pagina 58

# a2dissite default

rende indisponibile il sito di default di Apache.

a2ensite

Questo comando serve invece a abilitare un virtual host:

# a2ensite default

rimette le cose a posto, ripristinando il sito di default precedentemente disabilitato.

a2dismod

Questo comando disabilita un modulo di Apache.

a2enmod

Questo comando abilita un modulo di Apache.

9.13 Apache2: files di configurazione

ports.conf

È il file che indica ad Apache su quali porte TCP/IP restare in ascolto:

NameVirtualHost *:80

Listen 80

<IfModule mod_ssl.c>

# SSL name based virtual hosts are not yet supported, therefore no

# NameVirtualHost statement here

Listen 443

</IfModule>

La sintassi del file di default è molto semplice:

tutti i virtual host di Apache sono in ascolto sulla porta 80 (*:80)

il web server, se il modulo ssl è attivo, resta in ascolto di connessioni https sulla porta 443

Se volete aggiungere porte basterà inserire una riga del tipo:

Listen 8080

e riavviare Apache.

Da Debian Jessie:




Pagina 59

per evitare di visualizzare l'avviso

Restarting web server: apache2AH00548: NameVirtualHost has no effect and will

be removed in the next release /etc/apache2/ports.conf:5

commentare la riga 5 relativa a NameVirtualHost apache2.conf

È il file di configurazione principale di Apache su Debian. È estremamente ben commentato, ma può valer

la pena lo stesso dare un'occhiata alle opzioni di configurazione principali.

Timeout

Default:

Timeout 300

Questa opzione imposta il tempo massimo, in secondi, durante il quale Apache aspetta una richiesta, la

processa e le risponde. È impostato deliberatamente su un valore molto alto, ma è possibile ridurlo,

portandolo a un sano 45 (o anche meno). Ridurre questo valore può anche aiutare a controbattere gli effetti

di un attacco DOS.

KeepAlive

Default:

KeepAlive On

Questo parametro andrebbe lasciato su ON, poiché indica a Apache di mantenere aperta una connessione

con il client, in modo che ogni file o immagine di un documento HTML non siano richiesti con una nuova

connessione. Di seguito vedremo alcune impostazioni del parametro KeepAlive.

MaxKeepAliveRequests

Default:

MaxKeepAliveRequests 100

Per ogni connessione persistente attiva definisce il numero massimo di richieste possibili. Va tenuto alto per

garantire efficienza. Se il vostro sito contiene parecchi javascript, immagini, etc, provate a aumentarlo a

200.

KeepAliveTimeout

Default:

KeepAliveTimeout 15




Pagina 60

Descrive il tempo in secondi in cui ogni connessione persistente attiva aspetta per la prossima richiesta,

prima di chiudersi definitivamente.

prefork MPM

Durante l'installazione di Apache2 abbiamo optato per il pacchetto apache2-mpm-prefork, preferendolo

al pacchetto apache2-mpm-worker. Vi rimando alla documentazione ufficiale di Apache2 per le

differenze.

Questo parametro definisce il comportamento di Apache2 MPM prefork.

Default:

<IfModule mpm_prefork_module>

StartServers 5

MinSpareServers 5

MaxSpareServers 10

MaxClients 150

MaxRequestsPerChild 0

</IfModule>

StartServers: il numero di processi figlio creati all'avvio

MinSpareServers: il numero minimo di processi figlio inattivi (idle)

MaxSpareServers: il numero massimo di processi figlio inattivi (idle)

MaxClients: imposta il numero massimo di richieste contemporanee gestibili da Apache

MaxRequestsPerChild: imposta quante richieste saranno gestite da un processo figlio prima di

terminare. Il valore 0 indica che il processo non termina mai. Modificare questo valore può aiutare la

gestione della memoria RAM del server.

ServerName

Default: Non impostato Questo parametro va impostato utilizzando l'hostname del server o il suo FQDN

(Fully Qualified Domain Name).

HostnameLookups

Default:

HostnameLookups Off

Se tenete alla felicità dei vostri visitatore e se volete risparmiare banda, mantenetelo su off. Altre

impostazioni sono:

On: abilita le ricerche DNS lookup per loggare gli host names

Double: come On. In più controlla l'hostname.

ServerTokens

Default:




Pagina 61

ServerTokens Full

Indica quante informazioni vengono inviate dal server nell'header. Può essere utile modificare il valore di

default per una questione di sicurezza: meno informazioni forniamo sul nostro server, sulla versione di

Apache e sui moduli installati, e meno facile sarà trovare un exploit per bucarci.

Le possibili opzioni sono:

Full

Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch Server at demo

OS

Apache/2.2.9 (Debian) Server

Minimal

Apache/2.2.9 Server

Minor

Apache/2.2 Server

Major

Apache/2 Server

Prod

Apache Server

ServerSignature

Default:

ServerSignature On

Le pagine generate in automatico dal server, come le pagine di errore 404, possono contenere un footer

con informazioni sul server o il contatto dell'amministratore.

I possibili valori sono:




Pagina 62

Off: non viene aggiunto alcun footer

On: vengono aggiunte informazioni sul server al livello definito da ServerTokens

Email: viene aggiunto anche l'indirizzo email dell'amministratore




Pagina 63

10 CONFIGURATION WEB MANAGER

eBox è un framework web utilizzato per la gestione della configurazione delle

applicazioni web. L'implementazione modulare consente di scegliere quali

servizi configurare attraverso l'uso di eBox.

10.1 Installazione

I diversi moduli di eBox sono divisi in vari pacchetti, consentendo di installare

solo quelli necessari. Per visualizzare i pacchetti disponibili, in un terminale,

digitare:

apt-cache rdepends ebox | uniq

Per installare il pacchetto eBox, che contiene i moduli predefiniti, digitare:

sudo apt-get install ebox

Per installare i moduli disponibili usare il meta-pacchetto ebox-all.

Durante la fase di installazione viene chiesto di fornire una password per l'utente

ebox. Finita l'installazione, è possibile accedere all'interfaccia web di eBox

da: https://ilmioserver/ebox.

10.2 Configurazione

È utile ricordare che, durante l'uso di eBox nella configurazione dei moduli, è

presente un pulsante Change che implementa la nuova configurazione. Una

volta premuto questo pulsante, la maggior parte dei moduli, ma non tutti, deve

essere salvata facendo clic sul collegamento «Save changes» nell'angolo in alto

a destra.




Pagina 64

Quando viene fatta una modifica che richiede un salvataggio, il collegamento passa

da verde a rosso.

10.3 Moduli di eBox

I moduli di eBox, in modo predefinito, non sono abilitati, nemmeno quando ne

viene installato uno nuovo.

Per abilitare un modulo disabilitato, fare clic sul collegamento Module status nel

menù a sinistra. Quindi selezionare quali moduli abilitare e fare clic su «Save».

10.4 Moduli predefiniti

Questa sezione fornisce una panoramica sui moduli predefiniti di eBox.

System: contiene le opzioni per la configurazione di diverse voci di eBox.

General: consente di impostare la lingua, il numero della porta e contiene

un modulo per il cambio della password.

Disk Usage: visualizza un grafico con le informazioni sull'utilizzo del

disco.

Backup: è usato per eseguire backup delle informazioni di configurazione

di eBox. L'opzione Full Backup consente di salvare tutte le informazioni

di eBox, come i file di registro, non incluse nell'opzione Configuration.

Halt/Reboot: consente di arrestare o riavviare il sistema.

Bug Report: crea un file contenente i dettagli utili alla segnalazione di bug

agli sviluppatori di eBox.

Logs: consente di eseguire interrogazioni sui registri di eBox in base alla

configurazione del tempo di "purge".

Events: questo modulo consente di inviare avvisi attraverso RSS, Jabber e i file

di registro.

Eventi disponibili:




Pagina 65

o Free Storage Space: avvisa se lo spazio libero scende al di sotto di

una determinata percentuale, il valore predefinito è il 10%.

o Log Observer: questo evento non funziona con la versione

di eBox fornita con Ubuntu 7.10.

o RAID: monitora il sistema RAID e invia avvisi se si verificano

problemi.

o Service: invia avvisi se un servizio si riavvia troppe volte in poco

tempo.

o State: avvisa riguardo lo stato di eBox, attivo o disattivo.

Invio di dispacci:

o Log: invia i messaggi degli eventi al file di registro

di eBox /var/log/ebox/ebox.log.

o Jabber: prima di abilitare questa forma di invio dei dispacci è

necessario configurarla facendo clic su «Configure».

o RSS: una volta configurato è possibile abbonarsi a quell'indirizzo

per visualizzare gli avvisi.

10.5 Moduli aggiuntivi

Segue una breve descrizione di altri moduli disponibili per eBox:

Network: consente la configurazione delle opzioni di rete del server attraverso

eBox.

Firewall: configura le opzioni del firewall per l'host eBox.

UsersandGroups: questo modulo consente di gestire gli utenti contenuti in una

directory LDAP OpenLDAP.

DHCP: fornisce un'interfaccia per configurare un server DHCP.

DNS: fornisce le opzioni di configurazione per un server DNS BIND9.

Objects: consente la configurazione di eBox Network Objects, che consente

l'assegnazione di assegnare un nome a un indirizzo IP o a un gruppo di indirizzi

IP.

Services: visualizza informazioni di configurazione per i servizi disponibili

nella rete.




Pagina 66

Squid: opzioni di configurazione per il server proxy Squid.

CA: configura un'autorità di certificazione per il server.

NTP: imposta le opzioni per il protocollo Network Time Protocol.

Printers: consente la configurazione delle stampanti.

Samba: opzioni di configurazione di Samba.

OpenVPN: opzioni di impostazione per l'applicazione OpenVPN Virtual Private

Network.

10.6 Risorse

Per maggiori informazioni, consultare il sito web di eBox.

http://ebox-platform.com/




Pagina 67

11 SERVER FAX

HylaFAX

HylaFAX è il software che si occupa di sostituire le funzionalità di un fax mediante un

fax/modem (meglio se di quelli vecchi seriali). Installato su di una distribuzione linux, può

essere utilizzato per la gestione di una o più linee fax in entrata/uscita, inoltre la sua

architettura client-server ne consente l’utilizzo via rete (LAN o WAN) e anche su sistemi

multipiattaforma, in quanto sono disponibili dei client grafici per tutti i sistemi operativi.

11.1 Installazione dei pacchetti software

Per il corretto funzionamento del sistema occorrono software aggiuntivi come convertitori e

librerie (PostScript, TIFF, PDF,ecc), che saranno usate da HylaFAX per impaginare i fax che

saranno spediti e/o ricevuti. Per prima cosa consiglio di apportare delle modifiche al file che

contiene gli indirizzi dei repository dove andare a prelevare i pacchetti, aggiungendo questi

qui riportati.

vi /etc/apt/sources.list

deb http://debian.fastweb.it/debian stable main contrib non-free

deb http://packages.dotdeb.org stable all

Una volta salvato il file occorre aggiornare l’elenco dei pacchetti disponibili per APT. Quindi:

http://debian.fastweb.it/debian

http://packages.dotdeb.org/




Pagina 68

apt-get update

11.2 Installazione di HylaFAX

Ora possiamo procedere con il prelevamento ed installazione dei suddetti software

apt-get install libgd2 libgd2-dev libtiff-dev libgd-tools jed

apt-get install sylpheed-claws-ghostscript-viewer subversion subversion-tools \

xml-core xfonts-100dpi xfonts-75dpi xfonts-100dpi-transcoded \

xfonts-75dpi-transcoded libwww-perl

apt-get install psrip libft-perl metamail libgimpprint1 libpaper-utils \

libpaper1 libtiff-tools libxt6 mime-codecs libtiff-opengl freetype1-tools \

sendmail-bin defoma-doc psfontmgr x-ttcidfont-conf dfontmgr tetex-bin t1utils \

psutils gimpprint-locales sendmail-doc logcheck sasl2-bin mgetty gs \

hylafax-server sasl2-bin openssl

11.3 Configurazione di HylaFAX

Adesso che abbiamo installato i software necessari, il sistema deve essere configurato. Tale

fase consiste nel rispondere a delle domande (numero di fax, prefisso, denominazione, ecc)

che ci vengono poste dallo script. Si può seguire la procedura riportata qui di seguito:

faxsetup

You do not appear to have any modems configured for use. Modems are

configured for use with HylaFAX with the faxaddmodem(8) command.

Do you want to run faxaddmodem to configure a modem [yes]?




Pagina 69

Serial port that modem is connected to [ttyS0]?

Ok, time to setup a configuration file for the modem. The manual

page config(5) may be useful during this process. Also be aware

that at any time you can safely interrupt this procedure.

Reading scheduler config file /var/spool/hylafax/etc/config.

No existing configuration, let's do this from scratch.

Country code [1]? 39

Area code [415]? 091

Phone number of fax modem [+1.999.555.1212]? +39.91.6809508

Local identification string (for TSI/CIG) ["NothingSetup"]? FaxServer

Long distance dialing prefix [1]? 0

International dialing prefix [011]? 00

Dial string rules file (relative to /var/spool/hylafax) [etc/dialrules]?

Tracing during normal server operation [1]?

Tracing during send and receive sessions [11]?

Protection mode for received facsimile [0600]? 0644

Protection mode for session logs [0600]? 0644

Protection mode for ttyS0 [0600]? 0666

Rings to wait before answering [1]? 3

Modem speaker volume [off]? quiet

Command line arguments to getty program ["-h %l dx_%s"]?

Pathname of TSI access control list file (relative to /var/spool/hylafax) [""]?

Pathname of Caller-ID access control list file (relative to /var/spool/hylafax) [""]?

Tag line font file (relative to /var/spool/hylafax) [etc/lutRS18.pcf]?

Tag line format string ["From %%l|%c|Page %%P of %%T"]?

Time before purging a stale UUCP lock file (secs) [30]?




Pagina 70

Hold UUCP lockfile during inbound data calls [Yes]?

Hold UUCP lockfile during inbound voice calls [Yes]?

Percent good lines to accept during copy quality checking [95]?

Max consecutive bad lines to accept during copy quality checking [5]? 3

Max number of pages to accept in a received facsimile [25]?

Syslog facility name for ServerTracing messages [daemon]?

Set UID to 0 to manipulate CLOCAL [""]?

Use available priority job scheduling mechanism [""]?

Your facsimile phone number (+39.91.6809508) does not agree with your

country code (39) or area code (091). The number

should be a fully qualified international dialing number of the form:

+39 091 <local phone number>

Spaces, hyphens, and periods can be included for legibility. For example,

+39.091.555.1212

is a possible phone number (using your country and area codes).

The non-default server configuration parameters are:

CountryCode: 39

AreaCode: 091

FAXNumber: +39.91.6809508

LongDistancePrefix: 0

InternationalPrefix: 00

DialStringRules: etc/dialrules

SessionTracing: 11




Pagina 71

RecvFileMode: 0644

LogFileMode: 0644

DeviceMode: 0666

RingsBeforeAnswer: 3

GettyArgs: "-h %l dx_%s"

LocalIdentifier: FaxServer

TagLineFont: etc/lutRS18.pcf

TagLineFormat: "From %%l|%c|Page %%P of %%T"

MaxConsecutiveBadLines: 3

MaxRecvPages: 25

Are these ok [yes]?

Now we are going to probe the tty port to figure out the type

of modem that is attached. This takes a few seconds, so be patient.

Note that if you do not have the modem cabled to the port, or the

modem is turned off, this may hang (just go and cable up the modem

or turn it on, or whatever).

Probing for best speed to talk to modem: 38400 OK.

About fax classes:

The difference between fax classes has to do with how HylaFAX interacts

with the modem and the fax protocol features that are used when sending

or receiving faxes. One class isn't inherently better than another;

however, one probably will suit a user's needs better than others.

Class 1 relies on HylaFAX to perform the bulk of the fax protocol.

Class 2 relies on the modem to perform the bulk of the fax protocol.




Pagina 72

Class 2.0 is similar to Class 2 but may include more features.

Class 1.0 is similar to Class 1 but may add V.34-fax capability.

Class 2.1 is similar to Class 2.0 but adds V.34-fax capability.

HylaFAX generally will have more features when using Class 1/1.0 than

when using most modems' Class 2 or Class 2.0 implementations. Generally

any problems encountered in Class 1/1.0 can be resolved by modifications

to HylaFAX, but usually any problems encountered in Class 2/2.0/2.1 will

require the modem manufacturer to resolve it.

If you're unsure and your modem supports it, use Class 1.

This modem looks to have support for Class 1 and 1.0.

How should it be configured [1]?

Hmm, this looks like a Class 1 modem.

Product code (ATI0) is "33600".

Other information (ATI3) is "V2.011.1-V34_ACF_DS1".

DTE-DCE flow control scheme [default]?

Modem manufacturer is "Rockwell".

Modem model is "33600".

Using prototype configuration file rc288dpi-1...

The modem configuration parameters are:

ModemDialCmd: ATDT%s

ModemFlowControl: rtscts

ModemHardFlowCmd: AT&K3




Pagina 73

ModemMfrQueryCmd: !Rockwell

ModemModelQueryCmd: !RC288DPi

ModemNoFlowCmd: AT&K0

ModemRate: 19200

ModemRevQueryCmd: ATI3

ModemSetupDCDCmd: AT&C1

ModemSetupDTRCmd: AT&D2

ModemSoftFlowCmd: AT&K4

Are these ok [yes]?

Creating new configuration file /var/spool/hylafax/etc/config.ttyS0...

Done setting up the modem configuration.

Checking /var/spool/hylafax/etc/config for consistency...

...some parameters are different.

The non-default scheduler parameters are:

CountryCode: 39

AreaCode: 091

LongDistancePrefix: 0

InternationalPrefix: 00

DialStringRules: etc/dialrules

Creating new configuration file /var/spool/hylafax/etc/config...

...saving current file as /var/spool/hylafax/etc/config.sav.

Don't forget to run faxmodem(8) (if you have a send-only environment)




Pagina 74

or configure init to run faxgetty on ttyS0.

Creating /etc/hylafax/config from /var/spool/hylafax/etc/config.

Creating /etc/hylafax/config.sav from /var/spool/hylafax/etc/config.sav.

Creating /etc/hylafax/config.ttyS0 from /var/spool/hylafax/etc/config.ttyS0.

Updating /etc/hylafax/setup.cache from /var/spool/hylafax/etc/setup.cache.

Updating /etc/hylafax/setup.modem from /var/spool/hylafax/etc/setup.modem.

Creating /etc/hylafax/users.conf from /var/spool/hylafax/etc/users.conf.

Do you want to run faxaddmodem to configure another modem [yes]? No

Should I run faxmodem for each configured modem [yes]?

/usr/sbin/faxmodem ttyS0

Done verifying system setup.

Updating /etc/hylafax/setup.cache from /var/spool/hylafax/etc/setup.cache.

Updating /etc/hylafax/setup.modem from /var/spool/hylafax/etc/setup.modem.

/etc/init.d/hylafax restart

11.4 Configurazione dell’accesso al servizio (utente/rete)

Adesso occorre specificare e limitare l’accesso al servizio in base l’utente oppure consentirne

l’uso a tutta una rete con un solo utente (sconsigliato per situazioni che prevedono molti

utenti). Il file che contiene le informazioni per l’accesso è hosts.hfaxd sotto /etc/hylafax. Per

consentire l’intera rete 192.168.0.0 /24, basta aggiungere al file la riga:

192\.168\.0\.

Se si vuole abilitare l’accesso in base all’utente, da riga di comando, digitiamo

faxadduser -p password nome_utente

Ora il file hosts.hfaxd conterrà delle righe con gli utenti abilitati e la relativa password cifrata.




Pagina 75

11.5 Installazione dei client Windows (Winprint HylaFAX)

Winprint HylaFAX è un client creato per spedire direttamente fax al server HylaFAX. Una

volta installato è possibile inviare fax da qualunque applicazione. Per mezzo di una finestra si

ha la possibilità di inserire il numero di fax al quale spedire il documento e anche una mail al

quale ricevere l’esito dell’invio. Una volta eseguita l’installazione seguire le operazioni

riportate di seguito per completare la configurazione del software. Per prima cosa occorre

creare una stampante locale. Andando su Start e poi su Impostazioni scegliere Stampanti e

Fax, cliccare su Aggiungi nuova stampante. Scegliere Stampante locale e deselezionare la

casella Rileva automaticamente in quanto stiamo creando una stampante virtuale.

Come tipo di porta dobbiamo scegliere dal menu Crea nuova porta, la voce Winprint

HylaFAX e poi proseguire.

http://www.areanetworking.it/wp-content/uploads/2006/12/hylafax11.png




Pagina 76

Adesso ci viene chiesto di inserire un nome per identificare la porta associate alla stampante.

Possiamo mantenere il nome predefinito.

Come tipologia di stampante scegliamo dall’elenco produttore Apple, la Apple LaserWriter

12/640 PS.






Pagina 77

Come nome della stampante è consigliato costituirlo con uno più appropriato. Hylafax

potrebbe esserne un esempio.






Pagina 78

Non condividere la stampante, in quanto ogni pc necessita di seguire questa stessa procedura

di installazione e configurazione. Per terminare clicchiamo con tasto destro del muse sulla

stampante appena creata e selezioniamo Proprietà e andiamo sulla scheda Porte.

Clicchiamo su Configura Porta e inseriemo I dati che ci vengono chiesti come nella figura

seguente.





Pagina 79

Adesso siamo pronti per spedire fax direttamente da qualunque applicazione che permette

l’utilizzo di una stampante. In questa finestra bisogna inserire il numero al quale spedire il fax

e una mail dove ricevere la notifica della spedizione.






Pagina 80

12 Sistema PABX VoIP

Il sistema proposto è ELASTIX.

Elastix è un software open source dedicato alla comunicazione che riunisce:

IP PBX

Email

IM

Faxing

Collaboration Functionality

Le funzionalità di Elastix si basano su progetti open source, tra cui Asterisk, HylaFAX,

Openfire e Postfix. Questi pacchetti offrono rispettivamente le funzioni PBX, fax, instant

messaging ed e-mail. Elastix gira su sistema operativo CentOS.

Caratteristiche

Attraverso le varie versioni sono state aggiunte funzionalità che includono il modulo Call

Center, che comunica con un 'agent console' tramite un protocollo proprietario chiamato

ECCP (Elastix Call Center Protocol). Il protocollo è open source e permette la comunicazione

con le console sviluppate da altri e progettate per agire come un agente o supervisore.

Un altro importante passo è stato il rilascio di Elastix Web Services, il programma di

certificazione hardware, e Elastix MarketPlace. Quest'ultimo contiene le soluzioni sviluppate

da altri per essere distribuito dal modulo Elastix Addons, che un utente amministratore può

tranquillamente installare dall'interfaccia. Ogni soluzione è certificata dal QA department

PaloSanto Solutions, per assicurarsi che sia completamente compatibile con la versione più

stabile di Elastix.

La lista delle caratteristiche di Elastix è ampia, ma le più importanti sono:

PBX

Call recording

Conference center with virtual rooms

Voicemail

SIP and IAX support, among others

Voicemail-to-Email functionality

Supported codecs: ADPCM, G.711 (A-Law & μ-Law), G.722, G.723.1 (pass through), G.726,

G.728, G.729, GSM, iLBC (optional) among others

Flexible and configurable IVR

Support for analog interfaces as FXS/FXO (PSTN/POTS)

Voice synthesis support

Support for digital interfaces (E1/T1/J1) through PRI/BRI/R2 protocols

IP terminal batch configuration tool

Caller ID




Pagina 81

Integrated echo canceller by software

Multiple trunk support

End Point Configurator

Incoming and outgoing routes with support for dial pattern matching

Support for video-phones

Support for follow-me

Hardware detection interface

Support for ring groups

DHCP server for dynamic IP

Support for paging and intercom

Web-based operator panel

Support for time conditions

Call parking

Support for PIN sets

Call detail record (CDR) report

Direct Inward System Access (DISA)

Billing and consumption report

Callback support

Channel usage reports

Support for bluetooth interfaces through cell phones (chan_mobile)

Support for call queues

Elastix Operator Panel (EOP)

Distributed Dial Plan with dundi

Voip Provider configuration

Asterisk Real Time

FAX

Fax server based on HylaFax

Fax to email customization

Fax visor with downloaded PDFs

Access control for fax clients

Fax to email application

Can be integrated with Winprint Hylafax

SendFax Module

Fax send through Web Interface

General

Online embedded help

Centralized updates management

System resources monitor

Backup/restore support via Web

Network configurator




Pagina 82

Support for skin

Server shutdown from the web

Configurable server date, time and timezone

Access control to the interface based on ACLs

Backups on an FTP server

Heartbeat Module

Elastix Modules at RPMs

DHCP Client List Module

Automatic Backup Restore

Backup Restore Validation

DHCP by MAC

Elastixwave

New Dashboard

Elastix News Applet

Hardware detector enhancement

Telephony Hardware Info

Communication activity applet

Process Status Applet

Collaboration

PBX-integrated calendar with support for voice notifications

Phone Book with click-to-dial capabilities

Two CRM products integrated to the interface (vTigerCRM and SugarCRM)

Web Conference

New Features in Calendar Module

Extras

Billing support with A2Billing

Integrated CRM: vTigerCRM and SugarCRM

Addons Module

Instant messaging

Openfire instant messaging server

Report of user sessions

IM client initiated calls

Jabber support

Web based management for IM server

Plugins support

IM groups support

LDAP support




Pagina 83

Support for other IM gateways like MSN, Yahoo Messenger, GTalk and ICQ

Server-to-server support

Email

Mail server with multi-domain support

Support for quotas

Web based management

Antispam support

Support for mail relay

Based in Postfix for high email volume

Web based email client

Email List management

Remote SMTP Module

Modulo Call center

Elastix è stata la prima distribuzione a includere un modulo call center con un dialer

predittivo, rilasciato interamente come software libero. Questo modulo può essere installato

dalla stessa interfaccia web-based Elastix attraverso un modulo loader. Il modulo Call center è

in grado di gestire campagne in entrata e in uscita.

Alcune delle caratteristiche sono:

Support for non-listed numbers to call (Do-Not-Call List)

Support for inbound and outbound campaigns

Association forms for campaign

Association for campaign script

Agent console

Support breaks, and these different types of configurable

Open source predictive dialer

Advanced Reports




Pagina 84

13 CRM

vTiger rappresenta una delle poche soluzioni realmente operative di CRM senza alcuncosto

di licenza. Questo risulta essere un vantaggio notevole sia per chi vuole iniziare a cimentarsi

nel mondo del CRM sia per le medio grandi imprese che hanno bisogno di estendere questi

sistemi a diverse decine se non centinaia di utenti senza dover sostenere per ognuno dei costi

di licenza lato utente.

Cos’è vTiger

E' uno strumento aziendale, nel senso che può essere utile a tutte le aziende,

indipendentemente dalla dimensione. Questo perché le fasi del ciclo di prevendita-vendita-

postvendita sono uguali per ogni impresa e settore.

Ma che bisogno abbiamo di vTiger?

Normalmente le attività di Marketing, Vendita e Post Vendita vengono gestite con strumenti

diversi come fogli Excel, programmi di posta, database locali. Per non parlare della gestione

cartacea dei clienti: Post-it sugli schermi, folder, bacheche e quant'altro. Di conseguenza, le

informazioni sui clienti risultano sparse in più archivi, senza possibilità di recuperare uno

storico delle attività svolte e di fare una programmazione seria delle visite e dei servizi che

dobbiamo erogare ai nostri clienti.

Una buona gestione del cliente necessita, quindi, che le attività Marketing, Vendita e Post

Vendita siano tutte collegate tra loro rispetto ad un OGGETTO COMUNE vale a dire la

scheda cliente. In questo modo è possibile monitorare le diverse fasi del ciclo di vendita,

tramite indicatori e report, elaborare delle segmentazioni e agire in modo coordinato con

proposte mirate per i nostri già clienti e/o clienti potenziali.

vTiger oltre a queste attività, è dotato di un modulo di amministrazione per configurare gli

utenti, i gruppi, i profili e i ruoli in modo da definire in modo rigoroso le informazioni

accessibili per ciascun operatore che si trovi a gestire il cliente. L’insieme degli strumenti per

la personalizzazione di vTiger ne fanno una soluzione CRM estremamente flessibile e

adattabile a qualsiasi esigenza.

In vTiger posso ridisegnare tutti i moduli aggiungendo e togliendo campi nel database,

impostando i valori appropriati nei menù a tendina; posso inoltre decidere come devono

essere pubblicati i dati per ciascun utente definito.

vTiger è sviluppato con tecnologia WEB, non necessita quindi l’installazione di cliente, lato

server, può essere posizionato in qualsiasi punto della vostra rete intranet o internet.

L’interfaccia di amministrazione è sviluppata con tecnologia AJAX che permette un efficiente

e veloce accesso alle informazioni.

Il database utilizzato da vTiger è Mysql che garantisce elevati standard di sicurezza e ottime

performance anche su una grossa mole di dati.

Grande spazio, tra gli strumenti di vTiger, è dedicato al backup dei dati e all’aggiornamento

del sistema con le nuove release essenziali per garantire un servizio di continuità e sicurezza.

CRM Home Page




Pagina 85

Il seguente capitolo spiegherà come personalizzare la Home Page di vTiger e come utilizzare

le funzioni CRM.

La maggior parte dell’area della Home page, come illustrato al centro della Figura 2.2, mostra

i blocchi riassuntivi delle più importanti informazioni di CRM. E' possibile cambiare l’ordine

di questi blocchi trascinandoli con il mouse nella posizione preferita (drag and drop). Il

contenuto della vostra Home Page può essere modificato, come illustrato nel capitolo 2.4:

Mie Preferenze.

Lista dei blocchi principali e descrizione

Mie Aziende Principali: Lista delle vostre migliori aziende. Il contenuto di questa lista è

calcolato sommando tutte le opportunità aperte e collegate all’azienda.

Più importanti Opportunità Aperte: Lista delle più importanti opportunità aperte.

Attività del mio Gruppo:

Lista delle Attività e altre entità di CRM che sono state assegnate al gruppo di utenti del quale

tu sei membro.

Miei ticket: Lista dei ticket (HelpDesk) assegnati a voi o ad un gruppo di cui fate parte.

Parametri Chiave:

In questo box trovate il numero complessivo dei record che rientrano nelle liste da

voi create a titolo riassuntivo. Ad esempio, se avete creato una lista che si chiama

“Lead caldi”, vi troverete in questo box il numero complessivo di questo tipo di

Lead presenti su vTiger.

Miei Preventivi più importanti :Preventivi migliori, classificati sulla base dell’ammontare.

Miei Ordini di Vendita più importanti: Vendite Migliori, classificate sulla base

dell’ammontare.

Miei Ordini di Acquisto più importanti: Ordini Migliori, classifica sulla base dell’ammontare.

Mie Principali Fatture Aperte Fatture di Vendita aperte, classificate sulla base

dell’ammontare.




Pagina 86

Miei Nuovi Leads Ultimi Lead creati

Attività pendenti e imminenti: Attività imminenti e pendenti collegate al vostro calendario.

Miei FAQ Recenti Collegamento alle ultime FAQ pubblicate sul vTiger

Importante Tutti i dati immagazzinati nel vTiger devono avere un proprietario. Il proprietario

è definito con "assegnato a". Se create una nuovo record sarà assegnato a voi

automaticamente a meno che, voi non lo assegniate a qualche altro utente di vTiger. Nella

Home Page vengono visualizzati i dati relativi ai record di cui siete proprietario e non quelli

assegnati agli altri utenti di vTiger.

Nell’area destra della Home Page è possibile vedere la lista delle Attività pendenti e

imminenti ed il TAG CLOUD: entità di vTiger illustrate nei capitoli successivi.

Modalità di Navigazione

La “Top Area”, come illustrato nella figura 2.3, consente l’accesso a differenti funzioni:

Figura 2.3

Area di Login: in alto a destra questa area vi permette di accedere alle vostre preferenze di

visualizzazione, di consultare l’help in linea e di effettuare il Logout da vTiger . A fianco

della voce di menù

Esci è esplicitato, tra parentesi l’utente di vTiger con il quale si è effettuato il login.

Area di navigazione: consente l’accesso a tutte le funzionalità CRM di vTiger.

Menù creazione veloce: per creare velocemente le entità CRM di vTiger (Lead, Contatti,

Opportunità ecc.).

Cerca: qui potete cercare singole parole presenti all’interno del DataBase di vTiger.

Strumenti: consente l’accesso veloce al calendario, all’orologio, alla calcolatrice e ad altri

strumenti di vTiger di cui, in generale, si fa un uso frequente.

Mie Preferenze

Come persentato nella tabella 2.4, quando si accede alla voce Mie Preferenze, si apre una

finestra che permette di vedere e modificare le informazioni dell’utente e di impostare le

proprie preferenze.

CAMPI

Admin Se il checkbox “Admin” è “on” l’utente ha privilegi di amministratore. Questo campo

può essere cambiato solo dall’amministratore.

Ruolo e Login

Utente

Questo campo rappresenta il ruolo assegnato e può essere cambiato solo

dall’amministratore.




Pagina 87

Ruolo e Login

Utente: Stato

Questo campo mostra se un utente è attivo. Utenti inattivi non sono ammessi

all’accesso di vTiger . Questo campo può essere modificato solo dall’amministratore.

Di Più

Informazioni -

Firma: Questo definisce la firma che viene aggiunta nelle vostre email.

Di Più Informazioni –

Riporta a:

Qui è definito il supervisore a voi assegnato.

Home Page

Componenti:

Qui vengono visualizzate le informazioni CRM che sono mostrate nella Home Page

dell’utente.

Tag Cloud Questo tasto permette di tenere queste liste in vista o nascoste

Miei Gruppi: Se l’utente è un membro di un gruppo è mostrata la lista dei membri.

Storia Login: Riporta la storia degli accessi al vTiger da parte dei diversi utenti.




Pagina 88

14 FIREWALL

Il prodotto selezionato è pfSense

pfSense® è una distribuzione gratuita, open source basata su FreeBSD,

customizzata per essere un firewall e router. Oltre ad essere una potente

piattaforma firewall erouter, essa include una lunga lista di pacchetti che

permettono di espandere facilmente le funzionalità senza compromettere la

sicurezza del sistema.

pfSense® è un progetto abbondantemente testato che conta ormai più di

1.000.000 (fine primo trimestre 2011) di download ed innumerevoli installazioni

in tutto il mondo che variano dall'uso domestico fino alla grande azienda, ente

pubblico, ministeri eduniversità.

14.1 Funzioni principali

pfSense® include quasi tutte le funzionalità dei costosi firewall commerciali ed

in molti casi ne include anche di più. Quella che segue è una lista delle funzioni

attualmente disponibili nella versione pfSense® 2.0. Tutte le funzioni che

seguono sono gestibili tramite interfaccia web, senza utilizzare la riga di

comando.

Questa pagina include anche la descrizione delle limitazioni che attualmente

conosciamo. Dalla nostra esperienza e dall'esperienza di migliaia di utenti

sappiamo molto bene cosa pfSense® 2.0 può e non può fare. Qualsiasi software

ha delle limitazioni. Noi ci distinguiamo da molti comunicando questo concetto.

Sono benvenute tutte le persone che vorranno contribuire ad eliminare queste

limitazioni. Molte di queste limitazioni sono le stesse di altri progetti open

source e prodotti commerciali.




Pagina 89

14.2 Firewall

• Filtraggio da sorgente e destinazione IP, protocollo IP, porta sorgente e

destinazione per TCP e UDP traffic

• Abilitazione dei limiti per connessioni simultanee su regole di base

• pfSense® utilizza p0f, un'avanzata utility di rete per impronte digitali che

abilita ilfiltraggio attraverso il sistema operativo all'inizio della connessione

• Option to log or not log traffic matching each rule

• Politiche di routing ad alta flessibilità per la selezione del gateway sulle

regole di base per il bilanciamento di manda, failover, WAN multiple, backup su

più ADSL, ecc…

• Possibilità di creazione Alias di gruppi di IP e nomi di IP, networks e

porte. Queste caratteristiche aiutano a tenere la configurazione pulita e facile da

comprendere, specialmente in configurazioni dove ci sono svariati IP pubblici e

numerosi Server

• Filtraggio trasparente Layer 2. Possibilità di bridgiare interfacce e filtrare

il traffico tra queste

• Normalizzazione di pacchetto. Descritto dalla documentazione di pf

scrub. (Vedi documentazione). Abilitato di default. È possibile disabilitarlo se

necessario

• Possibilità di disabilitare il filtraggio (firewalling) per utilizzare pfSense®

come purorouter




Pagina 90

14.3 State Table (tabella di stato)

La tabella di stato del firewall mantiene informazioni sulle connessioni

aperte.pfSense® è un stateful firewall, per default tutte le regole sono stateful.

Molti firewall non hanno la capacità di controllare la tabella degli stati.

pfSense® ha numerose funzioni in grado di eseguire un controllo granulare della

tabella dello stato, grazie alle caratteristiche di OpenBSD's pf.

• Regolazione della dimensione tabella dello stato – esistono numerose

installazioni di pfSense® che usano diverse centinaia di migliaia di stati. Di

default la tabella di stato varia in funzione della RAM installata nel sistema, ma

può essere aumentata in tempo reale alla dimensione desiderata. Ciascuno stato

occupa approssimativamente 1 KB di RAM, quindi questo parametro va tenuto a

mente quando si va a dimensionare la memoria.

• Regole di base:

o Limiti di connessioni simultanee dei client

o Limiti dello stato per host

o Limiti di nuove connessioni al secondo

o Definire lo stato del timeout

o Definire il tipo di stato

• Tipi di stato – pfSense® offre numerose opzioni per la gestione dello stato

o Keep state – Funziona con tutti i protocolli. Di default su tutte le

regole

o Modulate state – Lavora solo con TCP. pfSense® genererà dei ISNs

(Initial Sequence Numbers) per conto dell'host




Pagina 91

o Synproxy state – i Proxy iniziano le connessioni TCP per aiutare i

server da spoofed TCP SYN floods

o None – Non viene tenuta nessuna voce sullo stato

• Opzioni di ottimizzazione della tabella di stato – pfSense® offre quattro

stati per l'ottimizzazione della tabella di stato

o Normale – default

o Hight latency – usata per links ad alta latenza, come collegamenti

satellitari

o Aggressive – scadenza dello stato di idle più veloce. Più efficiente

usando più risorse hardware, ma può eliminare connessioni corrette

o Conservative – Cerca di evitare la cancellazione di connessioni

corrette a scapito di un maggior utilizzo della CPU e RAM

14.4 NAT: Network Address Tranlation

• Il Port forwards include un ranges e uso di IP pubblici multipli

• NAT 1:1 per IP individuali o intere subnet

• Outband NAT

o Impostato di default, tutto il traffico in uscita verso l'IP della WAN.

In configurazioni con WAN multiple, verrà usato il traffico in uscita all'IP

dell'interfaccia WAN

o Advanced Outbound NAT

• NAT Reflection – in qualche configurazione, NAT Reflection è utilizzato

per servizi che possono accedere con IP pubblici da reti interne




Pagina 92

14.5 NAT Limitation

PPTP / GRE Limitation – Il monitoraggio dello stato delle code in pfSense® per

il protocollo GRE può solo monitorare una singola sessione per IP pubblico per

serveresterno. Questo significa se si usano connessioni PPTP VPN, solo una

macchina interna potrà connettersi simultaneamente al PPTP server su internet.

Migliaia di macchine possono connettersi simultaneamente a migliaia di server

PPTP, ma solo uno simultaneamente potrà connettersi a un server PPTP. L'unico

modo per aggirare il problema è utilizzare IP pubblici differenti sul firewall, uno

per client, o usare ip pubblici multipli per i PPTP server. Questo problema non si

ha con connessioni VPN con protocolli diversi. La soluzione a questo problema

è attualmente in sviluppo.

14.6 Ridondanza

Il protocollo CARP da OpenBSD gestisce l'hadware failover. Due o più gruppi

di firewall hardware possono essere configurati come un gruppo di failover. Se

un'interfaccia si guasta sul dispositivo primario o il dispositivo primario va

offline, il secondo si attiva. pfSense® include anche una capacità di

sincronizzazione automatica tra il dispositivo primario ed il secondario. pfsync

assicura che la tabella di stato del firewall è replicata su tutti firewall inseriti nel

failover. Questo significa che le connessioni esistenti saranno mantenute nel

caso di failure.

14.7 Limitazioni

Funziona solo con IP pubblici statici, non funziona con stateful fileover usando

DHCP, PPPoE o PPTP sulla WAN.




Pagina 93

14.8 Bilanciamento di Carico

Bilanciamento di carico in uscita: (Outbound)

Il load balancing in uscita è usato su WAN multiple per fornire il bilanciamento

ed il failover. Il traffico è diretto verso un gateway designato o un pool di

bilanciamento di carico definito nelle regole di base del firewall.

14.9 Inbound Load Balancing

Il bilanciamento di carico in ingresso è usato per distribuire il carico tra vari

server. È comunemente usato per con server web, server di posta e altri. I server

che non rispondono al ping o connessione TCP su porta definita saranno esclusi

dal pool.

14.10 VPN

pfSense® offre tre tipologie per la connettività VPN, IPsec, OpenVPN, e PPTP.

14.11 IPsec

IPsec consente connettività con tutti i dispositivi che supportano lo standard

IPsec. Questo è di uso comune nelle configurazioni site to site con altri

dispositivi pfSense®. Altri firewall open source come m0n0wall e molti altri

firewall commerciali come Cisco, Juniper, ecc... la implementano. È usata

spesso anche nelle connessioni client mobile.




Pagina 94

14.12 OpenVPN

OpenVPN è una flessibile, potente soluzione SSL VPN che supporta un ampia

gamma di sistemi operativi client. Vedere il sito di OpenVPN per maggiori

dettagli.

14.13 PPTP Server

PPTP è un sistema VPN molto popolare perché installato su quasi tutti i S.O.

client inclusi tutti i sistemi operativi Windows a partire da Windows 95 OSR2.

Vedere ladocumentazione per maggiori informazioni. Il server pfSense® PPTP

può usare un database locale o un RADIUS server per l'autenticazione. La

compatibilità RADIUS è supportata.

14.14 PPPoE Server

pfSense® offre un server PPPoE. Per maggiori informazioni sul protocollo

PPPoE, vedere la documentazione. Gli utenti locali del database posso essere

usati per l'autenticazione e l'autenticazione RADIUS con opzioni di accounting è

anche supportata.

14.15 Report e Monitoraggio

Grafici RRD. I grafici RRD in pfSense® forniscono le seguenti informazioni:

• Utilizzo della CPU

• Traffico totale

• Stato del firewall




Pagina 95

• Traffico individuale sulle interfacce

• Packets per second rates per tutte le interfacce

• Tempo di risposta al ping del gateway dell'interfaccia WAN

• Code di traffic shaper sul sistema se il traffic shaper è abilitato

14.16 Real Time Information

Le informazioni della storia del sistema sono importanti, ma qualche volta sono

più importanti le informazioni real time. I grafici SVG mostrano il traffico in

real time per tutte le interfacce. La pagina iniziale include grafici AJAX che

mostrano il tempo reale il carico della CPU, memoria, swap e spazio disco usato

e la tabella di stato.

14.17 DNS Dinamico

Il client di DNS dinamico abilita alla registrazione mediante uno di questi

servizi:

• DynDNS

• DHS

• DNSexit

• DyNS

• EasyDNS

• FreeDNS

• HE.net

• Loopia

• Namecheap




Pagina 96

• No-IP

• ODS.org

• OpenDNS

• ZoneEdit

14.18 Captive Portal

Il captive portal permette di forzare l'autenticazione o ridirigere il traffico di rete

ad una pagina di autenticazione di rete. Questo è comunemente usato nelle

connessioni di rete hot spot, ma anche ampiamente usata per livelli di sicurezza

aggiuntivi nell'accesso delle reti internet attraverso i sistemi wireless. Per

maggiori informazioni sul Captive Portal si veda questa pagina. Quello che

segue è una lista di funzioni e caratteristiche del Captive Portal.

• Connessioni massime concorrenti - Limita il numero delle connessioni

concorrenti per ciascun IP client. Questa funzionalità previene gli attacchi DOS

• Idle timeout – Disconnette i client che non effettuano connessioni per più

di un certo numero di minuti

• Hard timeout – Forza la disconnessione dei client connessi per più di un

numero definito di minuti

• Pop up di logon – Opzione di pop up della finestra con pulsante di

disconnessione

• URL Rediretcion – dopo l'autenticazione gli utenti possono essere rediretti

verso una pagina di default definita

• MAC Filtering – di default pfSense® usa il filtraggio indirizzi MAC




Pagina 97

• Opzioni di autenticazione – ci sono tre metodi di autenticazione

o Nessuna autenticazione: abilita la navigazione senza l'inserimento

di nessun dato

o Utenti locali – il database degli utenti locali può essere configurato

e usato per l'autenticazione

o Autenticazione RADIUS – Questo è il metodo prediletto da

aziende, enti ed ISP. Può essere usato con l'autenticazione di Microsoft

Active Directory e numerosi altri server RADIUS

• Capacità di RADIUS

o Forzare la re-autenticazione

o Abilitazione all'aggiornamento degli account

o Autenticazione MAC RADIUS abilita il Captive Portal

all'autenticazione dei client usando il MAC address e username e

password

o Accetta configurazioni ridondanti di RADIUS Server

• http e HTTPS – La pagina del portale può essere configurata sia in http

che in https

• Pass-through MAC and IP addresses – Indirizzi MAC e IP possono essere

inseriti in una white list bypassando il portale

• File manager – Questo permette di caricare delle immagini che possono

essere utilizzate nella pagina iniziale del captive portal

14.19 DHCP Server and Relay

pfSense® include DHCP Server e funzionalità Relay.




Pagina 98

15 LABORATORIO DI TEST

Per la realizzazione del laboratorio di test saranno utilizzate apparecchiature per

la simulazione di apparati di rete e gli analizzatori di protocollo per eseguire le

verifiche di funzionamento delle soluzioni. Vengono simulati flussi ISDN

Primari e Base e linee ADSL e HDSL.

15.1 FLUKE DTX 1800

Utilizzato anche come strumento certificatore. Verrà utilizzato il DTX 1800

Cable Analyzer della Fluke Networks, ideale per la verifica e la certificazione

delle infrastrutture in rame nel pieno rispetto dei

requisiti ISO/IEC 14763-3.

Soddisfa i requisiti di certificazione TIA-568-C e

ISO 11801:2002.

Questo tester offre sorgente LED su fibre

multimodali overfilled.

CARATTERISTICHE TECNICHE

Ampiezza di banda massima (MHz) 900

Tempo test automatico Cat 6 (secondi) 9

Capacità di memoria interna (grafica, Cat 6) 250

Risultati grafici Cat 6 per ciascun modulo multiplo da 32 MB 600

Batterie agli ioni di litio – durata delle batterie 12

Ulteriori dettagli sono sui datasheet in allegato.




Pagina 99

15.2 Golden MODEM TESTER 332B VDSL

Il 332B VDSL è un tester palmare multifunzione di piccole dimensioni per

misure ADSL, progettato specificamente per misure su linee XDSL.

Include: ADSL, ADSL2, ADSL2+ VDSL2 ,READSL etc.

Il 332B VDSL esegue misure XDSL, misure PPPoE, PPPoA DIAL TEST

Funzione Multimetro : misura tensione c.c. / c.a.

Capacità - lunghezza cavo - distanza interruzione cavo, Resistenza, Misure di

isolamento, simulazione modem, Telefono di prova, ind.tensione sulla linea.

Display LCD alfanumerico 8 righe, menù operativo che mostra direttamente sul

display i risultati delle misure e prova il servizio XDSL del provider internet in

maniera egregia semplice e chiara.

Caratteristiche

1) Test : ADSL2+;ADSL;ADSL2;READSL ,VDSL2

2) Multifunzione: Prova dello stato fisico della linea, Simulazione modem; PPPoE dial; DMM

test;

Browse IP address information; Determinazione del guasto sulla linea telefonica




Pagina 100

3) Giudizio sulla qualita’ del servizio ( Excellent , Good, Ok ,Poor )

4) Compatibile con tutti I tipi di DSLAM

5) LCD display 8 righe di visualizzazione dati

6) Menù operativo In ITALIANO

7) Semplice, portatile ,ottimo rapporto qualita’ prezzo

8) Interfaccia RS 232 (per trasferimento dati al PC ) e software di trasferimento dati

15.3 AETHRA D2000 pro

Analizzatore già affermato per le linee ISDN realizzato da Aethra, arricchito con

nuove funzionalità per rispondere concretamente a problemi di installazione, di

manutenzione e risoluzione dei problemi.

Interfaccia utente chiara, design compatto ed ergonomico, modalità di accesso

rapido alle caratteristiche principali. L'integrazione di nuove funzionalità, dà a

D2000 PRO la possibilità di ampliare la sua capacità di lavoro permettendo di

effettuare test su una vasta gamma di applicazioni tra cui Datacom e reti WAN

per verificare SHDSL, HDSL e il Cloud di Internet. utti questi punti rendono il

D2000 PRO un completo tester multi-interfaccia e analizzatore.

Il D2000 PRO offre un'interfaccia grafica con caratteristiche comuni alle

apparecchiature di test di nuova generazione Aethra

Mantenendo un aspetto del menu familiare, é possibile utilizzare l'intera gamma

delle apparecchiature con procedure di navigazione semplici, attraverso il menu

Smart Status che fornisce tutte le informazioni necessarie per verificare lo stato

della linea e l'eventuale presenza di disturbi sulla linea, con un solo pulsante.

L'accesso a tale funzione è sempre disponibile anche durante l'esecuzione di un

test, permettendo così di avere sempre sotto controllo il monitoring su layer 1, 2

e 3, allarmi, errori, configurazioni dei canali e test in corso, nonché lo stato del

dispositivo stesso.




Pagina 101

Caratteristiche in breve

1) Onboard analisi multi protocollo incluso la decodifica full frame;

2) Applicazioni Internet con specifici test per PPP/IP e Frame relay;

3) Espansione di memoria attraverso standard MultiMediaCard;

4) Include PC108 per sw Windows per approfondite analisi e gestione remota;

5) GUI multi linguaggio onboard, incluso font speciali;

6) Firmware upgradabile in field

Le specifiche tecniche sono sul datasheet in allegato.




Pagina 102

ALLEGATI

Gli allegati vengono forniti separatamente rispetto a questo volume.

RREELLAAZZIIOONNEE TTEECCNNIICCAA - · PDF filepfSense ® è una ... DHCP e PROXY, e...

Documents

Transcript of RREELLAAZZIIOONNEE TTEECCNNIICCAA - · PDF filepfSense ® è una ... DHCP e PROXY, e...