Analisi della situazione attuale

Prima di procedere con una ricerca di soluzione del problema è stato necessario efettuare un'analisi della situazione aziedale attuale, andando a reperire informa-zioni sulle macchine e sul personale utili alla messa in regola rispetto ai requisiti individuati.

L'elenco degli amministratori di sistema verrà omesso in quanto non perti-nente con la presente tesi, verranno invece presetate le informazioni reperite sul

7.3 ANALISI DELLA SITUAZIONE ATTUALE comportamento delle macchine e sui sistemi di autenticazione, essendo, grazie ad essi, possibile reperire tutte le informazioni richieste.

Oltre alle autenticazioni è stato utile conoscere la struttura della rete interna e delle reti sotto il la gestione degli amministratori che ho avuto il compito di mettere sotto auditing.

Processi coinvolti I processi coinvolti nella creazione di questo sistema sono unicamente le procedure di login/logout di ogni sistema al quale un amministra-tore accede, quindi il sistema in sé deve rimanere inalterato, l'unica modica è trasparente agli utilizzatori. Coinvolge invece l'assegnazione delle username e le relative password individuali, la legge impone che ogni accesso sia associabile ad una persona sica e non ad un ruolo, ci sarà un successivo salvataggio di ogni operazione di login/logout, inviate poi su di un apposito server di raccolta.

La rete interna contiene tutte le macchine collegate all'LDAP e buona parte dei server Windows e Linux, l'altra rete contenente un buon numero di server è la DMZ, là sono presenti tutti i server che hanno la necessità di fornire servizi disponibili ai clienti da internet; le altre reti riguardano in gran parte dispositivi di rete, solo alcuni server (Radius) sono presenti nella rete Padova Wi e Monselice Wi.

In gura 7.1 è mostrato come la macchina che fungerà da server sarà posta fra le due reti. I logs provenienti dalle reti esterne attraverseranno inevitabilmente il Firewall, ma si è riusciti ad evitare un usso costante di dati entranti verso la rete interna. Saranno ora elencati i software di ambiete che sono stati rilevati essere in uso:

1. Windows XP

2. Windows Server 2000 (Standard e Advanced edition) 3. Windows Server 2003 (Standard e Advanced edition) 4. Linux - Gentoo (In molte versioni dierenti)

5. Linux - Ubuntu (Tendenzialmente dalla 6 in avanti) 6. Linux - RedHat

7. Linux - Suse

I software di base (DBMS) utilizzati invece sono i seguenti: 1. Oracle

Figura 7.1: Struttura della rete aziendale 2. Mysql

3. Postgres 4. SQLServer

5. Informix - Unicamente per il Tram

7.3.1 LDAP

L'autenticazione per le macchine Windows è centralizzata, ogni macchina all'ac-cesso riceve l'autenticazione dall'LDAP (Windows Server 2000), sono presenti vari LDAP all'interno dell'azienda e questi tra di loro sono visibili ma non accessibili (Telerete vede Unicontact ma non vi può accedere). Lo schema che , al momento dell'inizio dei lavori, deniva il dominio aziendale è rappresentato in gura 7.2, si nota la separazione tra vari domini e la presenza di macchina isolate, inoltre nella DMZ non è presente alcuna struttura 'portante'. Queste caratteristiche mi hanno spinto a proporre soluzioni migliorative in questa strada, quali l'unica-zione degli accessi e la creal'unica-zione di un PDC posto a livello superiore rispetto a quelli già presenti, che permettesse agli amministratori di Rete di controllare i domini sottostanti con maggiore livello di astrazione. Tutte le macchine collegate

7.3 ANALISI DELLA SITUAZIONE ATTUALE

Figura 7.2: Struttura dell'albero LDAP attualmente presente in azienda all'LDAP dispongono delle utenze relative a tutti i dipendenti e degli ammini-stratori di sistema, grazie alle peculiarità del sistema LDAP è ppossibile accedere ai propri le ed alla propria congurazone personale da qualunque macchina in azienda, essendo caricate sulla macchina che ha il ruolo di Server LDAP e di server Exchange per la posta, in particolare si tratta di un Windows Server 2000, ance se a breve è prevista una migrazione ad un Windows Server 2003.

7.3.2 Host Linux

Sono presenti pochi PC Linux all'interno della Rete Telerete, questi non eettuano l'accesso al dominio, per la precisione sono macchine utilizzate da amministratori di sistema, su queste macchine sono presenti unicamente dati personali degli amministratori o lovo lavori in corso, e non sono necessariamente da mettere sotto auditing, in ogni caso i dati sulle macchine personali restano di responsabilità propria.

7.3.3 Server Linux

In azienda sono presenti numerosi server Linux, la maggior parte delle macchine nel DataCenter, tutti questi server utilizzano il sistema di autenticazione nativo di Linux, ovvero una username ed una password salvate localmente all'interno della macchina stessa, inoltre è uso comune accedere unicamente attraverso l'utente root, non permettendo al sistema di ottemperare alle cogenze di legge, le quali richiedono di poter identicare l'identità dell'amministratore che ha eettuato l'accesso.

I dati contenuti sui server Linux sono svariati e molti di questi rientrano nei requisiti dettati dalla legge, dato il numero di server e il tipo di dati che essi contengono, questi saranno parte integrante del progetto.

7.3.4 Server Windows isolati

Molti dei server Windows, indipendentemente dalla rete in cui si trovano, so-no scollegati dall'LDAP, questa scelta è stata fatta per evitare che utenti so-non autorizzati possano accedervi o anche solo essere a conoscenza della loro presen-za, in sostanza per motivi di sicurezpresen-za, come per le macchine Linux, anche qua è uso comune utilizzare unicamente l'utente Administrator, creando dicoltà nell'identicazione della persona reale che ha eettuato l'accesso.

I dati presenti su questi server rientrano quasi sempre nell'insieme denito dalla legge, andranno quindi monitorati anche gli accessi a queste macchine.

7.3.5 Database

I database sono presenti sia sulle macchine Windows che sulle macchine Linux, in entrambi i casi le macchine coinvlote non sono incluse nell'LDAP. Attualmente l'accesso ai database è garantito dall'inserimento di user e password direttamente da console, o inviando i dati tramite connessioni remote, l'elenco di utenti è contenuto all'interno del database stesso. Per ogni databse solitamente è presente un unico utente Root, non è quindi possibile risalire al nome dell'amministratore che sta eettuando l'accesso.

Va tracciato ogni accesso ai Database.

7.3.6 Attività coinvolte

Un vicino cambio di Windows Server (da 2000 a 2003) sarà da tenere presente sia durante che dopo i lavori, oltre ad aggiungere al dominio tutti i pc della rete andranno riagganciati anche i pc linux della rete interna. Il nuovo server è già presente ed è momentaneamente situato nella DMZ, questo per evitare conitti col Windows Server correntemente in uso.