Novell conNection - 2006. április

DeMilitarizált Zóna az ORFK-ban

DMZ infrastruktúra SUSE Linux alapon

Linux alapú megoldások az informatikai rendszerekben egyre nagyobb és fontosabb szerepet kapnak. Jelen cikkünk egy, a Novell Consulting által az Országos Rendőr-Főkapitányságon (ORFK) kialakított DMZ (DeMilitarizált Zóna – egy az internettől védett és a belső hálózattól is elválasztott hálózatrész) infrastruktúra felépítését és telepítési paramétereit ismerteti. Az ORFK esetében a DMZ-ben helyet kapó szolgáltatások bármelyikének kiesése szervezeten belül több mint 4000 felhasználót és nyilvános szolgáltatásokat is érinthet. Ezért ugyan nominális rendelkezésre állás biztosítása nem volt feladat, de a DMZ tervezése és kialakítása során a biztonság mellett elsődleges szempont volt az emelt szintű rendelkezésre állás is. Az alábbiakban részletezett megoldás ötvözi a terheléselosztó (load balance cluster) és az emelt rendelkezésre állású (HA/failover cluster) fürtözési technológiákat a kiszolgálók kapacitásának optimális és megbízható kihasználása érdekében.

„A DMZ tervezése és kialakítása során a biztonság mellett elsődleges szempont volt az emelt szintű rendelkezésre állás is”

ORFK - Novell együttműködés

Az Országos Rendőr-Főkapitányság és a Novell Magyarország között régóta szoros a munkakapcsolat, hiszen az ORFK számos Novell terméket, így a NetWare-t, a GroupWise-t, a ZENworks-öt és a DirXML-t is használja informatikai rendszerében. Az új DMZ infrastruktúra bevezetésével kapcsolatos tapasztalatokról Ravasz Gábort, az ORFK osztályvezetőjét kérdeztük.

Miért határozták el egy új DMZ infrastruktúra kiépítését?

Egy új, minden webes szolgáltatást integráló DMZ kialakítására a több irányból is felmerült igények miatt került sor. Egyrészt a korábbi proxy infrastruktúrát kiszolgáló hardver a más, meglévő szolgáltatásai mellett már nem tudta ellátni ezt a szerepet, másrészt az internet felé irányuló POP3 alapú levelezést is „kinőttük”. Ez utóbbi annak idején – még a GroupWise bevezetése előtt - biztonsági okok miatt került kialakításra, hogy a belső levelező rendszert elválasszuk a külső levelezéstől és hogy megoldható

1. ábra: DMZ topológia
legyen, hogy az internetes levelezés csak adott felhasználó csoportok számára legyen elérhető. Az új rendszerben a Novell címtárához integrált mail proxy szolgáltatásnál állítható be, hogy kinek van joga az internet felé levelet küldeni, illetve onnan levelet fogadni. További fejlesztésként egy portál rendszert is kialakítottunk és az új DMZ nagy előnye, hogy a fenti három szolgáltatást – proxy, portál, email – integráltan kezeli.

Miért döntöttek egy Linux alapú rendszer kialakítása mellett?

A DMZ-ben kialakított szolgáltatások esetén mindenképpen ki szerettük volna használni az ezen a területen rendkívül elterjedt Linux alapú megoldások által nyújtott lehetőségeket. A nyílt forráskódú webes szoftverek nagyon sok szolgáltatást nyújtanak, rendkívül rugalmasak és az igényeknek megfelelően jól testre szabhatóak. A webes szolgáltatások jogosultságkezeléséhez fontos volt, hogy a DMZ elemei képesek legyenek kezelni a nálunk használt Novell metacímtárban tárolt információkat. A Linux alapú rendszereknél a Novell eDirectory LDAP alapú elérése, illetve a felhasználói azonosítás integrálása a Novell címtárral könnyen megoldható volt.

Miért a SUSE Linux-ot válaszották?

Az ORFK és a Novell között régóta nagyon jó a kapcsolat, az ORFK informatikai infrastruktúrájában a NetWare, GroupWise és a ZENworks termékek kiemelkedő fontossággal bírnak. A SUSE megvásárlásával az egyik legelterjedtebb Linux disztribúció a Novell-hez került és mivel az ORFK és a Novell között fennálló licencszerződés lehetővé tette a SUSE Linux Enterprise Server használatát, így kézenfekvő döntés volt a DMZ kialakításánál erre a termékre építeni. Mivel a DMZ működése több, mint 4000 alkalmazott munkáját befolyásolja, így a SUSE Linux Enterprise Server mögött levő nagyvállalati terméktámogatás is nagyon fontos a számunkra.

Hardver és operációs rendszer

A DMZ alapját 5 darab Intel alapú XEON processzoros szerver képezi. A kiszolgálókon egységesen beállított 36GB kapacitású RAID1 tömb lehetővé tette azt, hogy az alap szoftverkonfiguráció is egységesítésre kerüljön. A kiszolgálókra az operációs rendszer telepítése nem hagyományos telepítési folyamat hanem a RAID1 tömbön előállt lemezterületre egy mintarendszeren előzetesen telepített és az összes szolgáltatással (proxy, web stb.) felkonfigurált SUSE Linux Enterprise Server 9 alaprendszer felmásolása által történt meg. Így egyszerűsödik az operációs rendszerek karbantartása és hardverhiba eseten a meghibásodott rendszerek kiváltása vagy pótlása.

Proxy-szolgáltatás

A Proxy-szolgáltatás kialakítása a SUSE Linux Enterprise Server 9 rendszer részét képező és ugyan más architektúrán, de korábban is használt Squid (squid-2.5.STABLE5 csomag) alkalmazáscsomag felhasználásával történt meg.

„A megoldás ötvözi a terheléselosztó és az emelt rendelkezésre állású fürtözési technológiákat”
A korábbi konfiguráció az adott verzióhoz és a megváltozott authentikációhoz történő igazítás után átemelésre került.

Az 1. ábra szerinti host1 kiszolgáló kizárólagos, host2 kiszolgáló elsődleges prioritással futtat proxy szolgáltatást (proxy1 és proxy2 szolgáltatások), így alkotva aktív-aktív párt és látva el a privát zónában lévő munkaállomások internetes elérésének szabályozását és gyorsítását. A kiszolgálók eth0 és eth1 interfészen folyamatosan megfigyelik egymást és - mivel mindkét kiszolgáló folyamatosan futtat proxy-szolgáltatást - szükség esetén elegendő átvenni a kieső kiszolgálón futó szolgáltatás lebegő IP-címét, szolgáltatást indítani nem szükséges. Aktív-aktív pár esetén szükséges a ‘nice/auto failback’ opció bekapcsolása.

Proxy1 és proxy2 szolgáltatások között a terhelés megosztása indirekt módon történik. A proxy-szolgáltatáshoz rendelt két IP-címet egy DNS host-névhez kapcsolva (pl: proxy.domain.hu) a szolgáltatás felhasználói Round-robin algoritmus szerint (50%-os eloszlásban) egyik vagy másik szervert érik el.

Host1 és host2 kiszolgálókon telepítésre került a Novell eDirectory 8.7.3 szolgáltatáscsomag és megtörtént a proxy-szolgáltatások azonosításának konfigurálása ezen szolgáltatásokhoz. Ennek értelmében mindkét kiszolgáló a rajta futó eDirectory szerverhez azonosít LDAP felületen, squid_ldap_auth komponens felhasználásával.

Webszolgáltatás

Host3 és host4 kiszolgálókon a webszolgáltatás aktív-aktív httpd-MySQL párban került kialakításra. Host3 elsődlegesen httpd, host4 elsődlegesen SQL szolgáltatást futtat. A két kiszolgáló képes egymás feladatait ellátni. Kimaradás esetén a szolgáltatások IP-címei automatikusan átvételre, a szolgáltatások pedig elindításra kerülnek. Aktív-aktív pár esetén itt is szükséges a ‘nice/auto failback’ opció bekapcsolása.

Mail Relay szolgáltatás

A mail-relay szolgáltatást párhuzamosan futó Postfix MTA szolgáltatások biztosítják, Mailscanner és Spam Assassin segítségével történik a SPAM-szűrés, míg a Mailscanner-Clamav által a vírusvédelem.

A Mailscanner végzi az üzenetek továbbítás előtti „kihurkolását”, átadva azokat az ellenőrzést valójában elvégző eszközöknek.

A Spam Assassin, egy szabályokon alapuló, heurisztikus keresések használatával működő spam felismerő program. Az alábbi módszerek használatának konfigurálása történt meg:

  • fejlécanalízis
  • levéltörzsanalízis
  • feketelisták
  • Razor (Vipul’s Razor egy nyilvános spam adatbázis, ahol több millió karakterisztika található a világon előforduló és bejelentett spam-típusokról.)

A Clamav nyílt forráskódú, ingyenes víruskereső rendszer, amelyet kifejezetten Mail-Relay levelező kiszolgálókhoz fejlesztettek.

A levelezéshez kapcsolódó szolgáltatások kiszolgáló-specifikus beállítása a szolgáltatást futtató kiszolgálókon, a ‘/etc/mail’ alatt található konfigurációs állományokon keresztül történik meg. A szolgáltatás host5, host4 és host2 kiszolgálókon azonos beállítással került telepítésre, azonban alapértelmezett futási szinten csak host5 és host4 kiszolgálókon indul. Amenynyiben a DMZ-ben kialakított mail-relay szolgáltatás elsődleges MX, a levelezés publikus címeire cím-fordítás (lebegő IP-címek 25 portja) és a nyilvános DNS-be MX rekord bejegyzése szükséges. Emelt rendelkezésreállás hangolása MX-prioritások módosításával történhet.

Naplózás és archiválás

Kiszolgálók üzeneteinek gyűjtése host5 kiszolgálón történik. A rendszerüzenetek továbbítása syslog protokoll felett, a web- és proxy-naplóké pedig ftp felhasználásával történik. A naplók a helyi rendszereken is tárolásra kerülnek, így host5 kiesése esetén is biztosított a naplózás folytonossága, adatvesztés nem történik. Ezen a kiszolgálón történik a szolgáltatásokhoz tartozó naplók analizálása is a webalizer programcsomag felhasználásával.

Syslogd és Syslog-ng felhasználásával történik a topológia gépein keletkező naplóbejegyzések továbbítása és fogadása. A rendszerből érkező üzenetek a bejegyzés tárolása szerint három csoportba sorolhatóak: lokálisan tárolt, továbbított és konzolon megjelenített. Mivel a syslog protokollal naplózni nem képes szolgáltatások naplóinak továbbítása ftp protokoll felett történik, szükségessé vált host5 kiszolgálón ftp-szolgáltatás futtatása is. Ugyan a szolgáltatás beállításai szigorúan a minimális felhasználást teszik csak lehetővé, mégis szükséges host5 ftp-portjának tűzfal általi védelme.

Proxy és web kiszolgálókon naplók továbbítása az időzített napló-rotálási (logrotate) mechanizmusba került integrálásra (etc/cron.daily/logrotate). A továbbítási folyamat során a folyamat státusza a syslog-ba keletkező bejegyzések által követhető. Sikeres továbbítás után a helyi példányok törlésre kerülnek.