Einsatz von Open Source Software an der Charite

E-Mail Proxy DNS/DHCP/NTP RADIUS Trouble-Ticket Überwachung VPN Webserver LDAP Firewall Netbooks

Einsatz von Open Source Software an derCharite

Ralf Hildebrandt

T-System Business Services

sage@guug-Berlin Treffen, 06. November 2008

Ralf Hildebrandt T-System Business Services

Einsatz von Open Source Software an der Charite


1 E-Mail

2 Proxy

3 DNS/DHCP/NTP

4 RADIUS

5 Trouble-Ticket

6 Überwachung

7 VPN

8 Webserver

9 LDAP

10 Firewall

11 Netbooks







Zusammenfassung

Bedingt durch den Kostendruck, mangelnde Flexibilität undZuverlässigkeit werden viele zentrale Netzwerkdienste inder Charite mittels Open Source Software realisiert.Dazu gehören unter anderem:

E-Mail mit Virenscanner

Proxies mit Virenscanner

DNS, DHCP und NTP

Trouble-Ticket-System

Netzwerküberwachung

VPN

sonstiges

eigentlich zweieines primär für outgoing, eines primär für incoming(MX-basiertes Routing)postfix

amavisd-new

clamd




Postfix

zahlreiche smtpd_*_restrictions

mime_header_checksgegen komische Attachmentsheader_checks

body_checks

amavisd-new als smtpd_proxy_filterArbeitsverzeichnis im RAMviele lustige und weniger lustige Workarounds




Postfix


mime_header_checksgegen komische Attachments

header_checks

body_checks





Postfix



body_checks





Postfix



body_checks





Postfix



body_checks

amavisd-new als smtpd_proxy_filterArbeitsverzeichnis im RAM

viele lustige und weniger lustige Workarounds




Postfix



body_checks





Abbildung: Morris-Wurm




“Sippenhaft”:

check_client_access cidr:/etc/postfix/drop.cidrcheck_sender_mx_access cidr:/etc/postfix/drop.cidr

check_sender_ns_access cidr:/etc/postfix/drop.cidr

Klassen von MX-Hosts:check_sender_mx_access

cdb:/etc/postfix/mx_accepts_no_bounces

DNSBLs:zen.spamhaus.org, bl.spamcop.net, b.barracudacentral.org

RHSBLs:dsn.rfc-ignorant.org




“Sippenhaft”:check_client_access cidr:/etc/postfix/drop.cidrcheck_sender_mx_access cidr:/etc/postfix/drop.cidr











Klassen von MX-Hosts:

check_sender_mx_access




















DNSBLs:

zen.spamhaus.org, bl.spamcop.net, b.barracudacentral.org



















RHSBLs:

dsn.rfc-ignorant.org













b.barracudacentral.org

Die DNSBL b.barracudacentral.org generiertsäckeweise Supportanfragen – das ist schlecht!

Ich dachte, soeine “professionelle” Blacklist würde weniger Probleme nachsich ziehen.




b.barracudacentral.org

Die DNSBL b.barracudacentral.org generiertsäckeweise Supportanfragen – das ist schlecht! Ich dachte, soeine “professionelle” Blacklist würde weniger Probleme nachsich ziehen.





smtp_discard_ehlo_keyword_address_maps =cdb:/etc/postfix/smtp_discard_ehlo_keyword_address

195.149.117.4 enhancedstatuscodes,dsn84.16.252.206 enhancedstatuscodes,dsn195.149.117.3 body

smtpd_discard_ehlo_keyword_address_maps =cdb:/etc/postfix/smtpd_discard_ehlo_keyword

213.61.110.45 STARTTLS








213.61.110.45 STARTTLS








213.61.110.45 STARTTLS








213.61.110.45 STARTTLS




Stress

Spezielle Einstellungen, die davon abhängen, ob Postfix unterStress ist (=alle smtpd Prozesse sind in Benutzung):

smtpd_hard_error_limit = ${stress?1}${stress:20}smtpd_timeout = ${stress?5}${stress:300}smtpd_banner = $myhostname ESMTP ${stress?(condition RED)}smtpd_error_sleep_time = ${stress?0}${stress:5}




Ratelimiting

Bremsen nach innen und außen!Außen:

smtpd_client_connection_rate_limit = 40smtpd_client_connection_count_limit = 16

Innen:

smtpd_client_connection_count_limit = 20smtpd_client_connection_rate_limit = 30




Spezialzustellung

Spezielle Methoden via transport_maps:

delucaandweizenbaum.com noesmtp:schering.de noesmtp:# spezieller SMTP transport der NIE ESMTP versucht!

dife.de nomime:# spezieller SMTP transport der keine 7bit-8bit Wandlung macht!

doctors.org.uk noquote:# [email protected] statt "doctor-"@doctors.org.uk

web.de webde:# a league of their own




Dreckpfuhler!

hotmial.com error:Sie meinen sicher hotmail.com, nicht hotmial.comhotmal.com error:Sie meinen sicher hotmail.com, nicht hotmal.comhormail.com error:Sie meinen sicher hotmail.com, nicht hormail.comhotmil.com error:Sie meinen sicher hotmail.com, nicht hotmil.comhotrmail.com error:Sie meinen sicher hotmail.com, nicht hotrmail.comhotnail.com error:Sie meinen sicher hotmail.com, nicht hotnail.comholmail.com error:Sie meinen sicher hotmail.com, nicht holmail.comhotmsil.com error:Sie meinen sicher hotmail.com, nicht hotmsil.comhotmali.com error:Sie meinen sicher hotmail.com, nicht hotmali.comhotmain.com error:Sie meinen sicher hotmail.com, nicht hotmain.com




Abbildung: Received und Rejected




amavisd-new

Von den ca. 100 Verbindungen/Minute im Wochenmittel werden

78 abgewiesen und23 angenommen.

Dazu kommen viele spontane Disconnects.

default_process_limit = 800

$max_servers = 16;

Erstaunlicherweise reicht das.




amavisd-new





$max_servers = 16;





amavisd-new





$max_servers = 16;





amavisd-new





$max_servers = 16;





clamd

Default, bis auf die Phishing/Spam Pattern von:http://www.sanesecurity.co.uk/clamav/scamsigs/scam.ndb.gz

http://www.sanesecurity.co.uk/clamav/phishsigs/phish.ndb.gz



http://www.sanesecurity.co.uk/clamav/scamsigs/scam.ndb.gz

http://www.sanesecurity.co.uk/clamav/phishsigs/phish.ndb.gz


Mailboxserver

18.000 Accountsdovecot-1.1.6

postfix mit TLS und SMTP-AUTH




Mailinglisten

> 500 Listen

welche davon sind tot?Injektion an amavisd-new vorbeibei Mail an alle Studenten dennoch recht viel los. . .




Mailinglisten

> 500 Listen welche davon sind tot?

Injektion an amavisd-new vorbeibei Mail an alle Studenten dennoch recht viel los. . .




Mailinglisten

> 500 Listen welche davon sind tot?Injektion an amavisd-new vorbei

bei Mail an alle Studenten dennoch recht viel los. . .




Mailinglisten

> 500 Listen welche davon sind tot?Injektion an amavisd-new vorbeibei Mail an alle Studenten dennoch recht viel los. . .




4 identische Proxies

squid-2.7.x

Squid-3.0 hatte Probleme (sog. “white pages”)Squid-3.1 wird wohl funktionieren. . .(wahrscheinlich schreit Udo jetzt im Publikum)




4 identische Proxiessquid-2.7.x






Squid-3.0 hatte Probleme (sog. “white pages”)

Squid-3.1 wird wohl funktionieren. . .(wahrscheinlich schreit Udo jetzt im Publikum)





Squid-3.0 hatte Probleme (sog. “white pages”)Squid-3.1 wird wohl funktionieren. . .

(wahrscheinlich schreit Udo jetzt im Publikum)









White Pages II

This ‘new’ issue is caused by certain widely-used web serverswhich shall remain nameless and unadvertised by me. Whichalways respond with HTTP/1.1 chunked-encoding of pages.

Servers are explicitly forbidden from sending that particularencoding type to software announcing itself as HTTP/1.0 (suchas squid). But the broken server is doing it anyway!




White Pages II

This ‘new’ issue is caused by certain widely-used web serverswhich shall remain nameless and unadvertised by me. Whichalways respond with HTTP/1.1 chunked-encoding of pages.Servers are explicitly forbidden from sending that particularencoding type to software announcing itself as HTTP/1.0 (suchas squid). But the broken server is doing it anyway!




White Pages II

Ironically: The authors use this server on their own help andsupport website. So those who are having this problem bothsee it as a squid problem, and can’t find or see any solutionthey may have posted anyway.

Will jemand raten, welcher Hersteller das ist?




White Pages II

Ironically: The authors use this server on their own help andsupport website. So those who are having this problem bothsee it as a squid problem, and can’t find or see any solutionthey may have posted anyway.

Will jemand raten, welcher Hersteller das ist?




White Pages III




dansguardian

Als Contentfilter läuft dansguardian.

als Virenscanner clamdJegliche Contentfilterung (pr0n) außer Virenscan istdeaktivierteinige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)




dansguardian


als Virenscanner clamd

Jegliche Contentfilterung (pr0n) außer Virenscan istdeaktivierteinige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)




dansguardian


als Virenscanner clamdJegliche Contentfilterung (pr0n) außer Virenscan istdeaktiviert

einige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)




dansguardian


als Virenscanner clamdJegliche Contentfilterung (pr0n) außer Virenscan istdeaktivierteinige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)




DNS, DHCP und NTP sind auf drei identischen Maschinenvereinigt

DNS: BIND9

DHCP: statisches DHCP für normale Netze, Pools fürWLANNTP: eigener Empfänger für DFC77 und externe Quellen




DNS, DHCP und NTP sind auf drei identischen MaschinenvereinigtDNS: BIND9






DHCP: statisches DHCP für normale Netze, Pools fürWLAN

NTP: eigener Empfänger für DFC77 und externe Quellen









Autorisierung für Switches und Router

Autorisierung der Rechner an den SwitchesAutorisierung für WLANWechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben




Autorisierung für Switches und RouterAutorisierung der Rechner an den Switches

Autorisierung für WLANWechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben




Autorisierung für Switches und RouterAutorisierung der Rechner an den SwitchesAutorisierung für WLAN

Wechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben




Autorisierung für Switches und RouterAutorisierung der Rechner an den SwitchesAutorisierung für WLANWechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben




OTRSAktuell existiert noch Support-Magic, aber der Name istwohl ein subtiler Witz.

An OTRS schätze ich die intuitive Bedienung undKonfiguration. . .




OTRSAktuell existiert noch Support-Magic, aber der Name istwohl ein subtiler Witz.

An OTRS schätze ich die intuitive Bedienung undKonfiguration. . .




Überwachung vom Netzwerk, nicht von den Mitarbeitern. . .

Nagiosim Umbau, Christian Froemmel implementiert seineLösung aus der ZEDATSmokepingMaster-Slave-Setup, schön bunt!




Überwachung vom Netzwerk, nicht von den Mitarbeitern. . .Nagiosim Umbau, Christian Froemmel implementiert seineLösung aus der ZEDATSmokepingMaster-Slave-Setup, schön bunt!







OpenVPN

für Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

Leider wird das iPhone nicht unterstützt. . .




OpenVPNfür Windows, Windows CE (?), Mac OS X und Linux

pam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager





OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .

dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager





OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werden

individuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager





OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den Login

Nutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager





OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameserver

mit GUI!ViscosityTunnelblickNetworkManager





OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager





OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager





TYPO3 (www.charite.de)Wiki (Serverdokumentation)Marktplatz (Bestellsystem)mailman (Mailinglisten)




Adressbuch für E-MailAbbildung der UnternehmenstrukturFührungsebenen, Centren, InstituteAutorisierung für OpenVPN (und bald E-Mail)




historisch: Checkpoint FW-1OSS wäre theoretisch möglich, aber ähnlich wie beiExchange:politische Widerstände, deshalb auch keineOSS-Groupware bisher




Wir haben angefangen, kleine Netbooks (Acer Aspire One) fürspezielle Netzwerkpunkt-Überwachung zu nehmen:

klein

günstigperformanter als Router

die sonst die günstigste Lösung gewesen wären.Und zusätzlich auch immer ein Terminal im Netzwerkschrank.Macht ja ohne Linux keinen Sinn!





kleingünstig

performanter als Routerdie sonst die günstigste Lösung gewesen wären.Und zusätzlich auch immer ein Terminal im Netzwerkschrank.Macht ja ohne Linux keinen Sinn!





kleingünstigperformanter als Router







die sonst die günstigste Lösung gewesen wären.

Und zusätzlich auch immer ein Terminal im Netzwerkschrank.Macht ja ohne Linux keinen Sinn!






die sonst die günstigste Lösung gewesen wären.Und zusätzlich auch immer ein Terminal im Netzwerkschrank.

Macht ja ohne Linux keinen Sinn!










Fragen?

Ralf Hildebrandt [email protected]



Documents

Einsatz von Open Source Software an der Charite