La piattaforma che l’Fmline.com propone, si basa su due distinte linee di prodotti: Cisco per quanto riguarda la infrastruttura di rete e Linux RedHat Enterprise Server su server Hewlett Packard per quanto riguarda l’erogazione dei servizi.

Analizziamo per prima cosa la struttura della rete: la sua tipologia prevede la ridondanza completa dei sistemi che la compongono, partendo dal punto di accesso alla rete del provider per terminare alla connessione ai singoli server che erogano i servizi.Possiamo distinguere due aspetti distinti ma egualmente importanti e curati nella ns. struttura: dal punto di vista della connettività  essa è basata su una architettura mista gigabit / fast ethernet con capacità layer 2 e layer 3.

L’utilizzo di funzionalità layer 3 permette il controllo della banda, e della QoS ( quality of service ) associata ai singoli server ed ai singoli servizi erogati.

L’uso di funzionalità layer 2 permette invece in maniera semplice e veloce di modificare la struttura fisica della rete mediante creazione di  differenti VLAN; su questa struttura si appoggia una coppia di bilanciatori di carico che permette di creare sia la ridondanza dell’erogazione dei servizi che una facoltà di scalare le capacità dei server anche aumentandone il numero.

Il load balancer, oltre a gestire le politiche di gestione del carico, si occupa anche di effettuare le funzionalità di gestore dei certificati SSL e di proxy SSL per i server che, nel caso sia richiesto l’uso di tale tipologia di certificati, non avranno la necessità di gestire tale tipologia di lavoro. Dal punto di vista della sicurezza si è invece scelto di integrare all’attività dei firewall, presenti sia come appliance hardware che come applicazione software in esecuzione nello stack ip dei server, un sistema di intrusion detection.

Un IDS è una appliance che in maniera trasparente analizza il traffico che interessa la rete che controlla.

Il nostro in particolare è posto a cavallo del firewall in maniera da poter analizzare l’attività del firewall stesso riguardo al traffico proveniente e diretto ad Internet.

Oltre a tale funzione di ascolto un IDS è in grado do prendere parte attiva alla protezione della rete, seguendo due diversi filoni di attività: il primo riguardante la chiusura delle connessioni ritenute pericolose mediante un TCP connection reset ed il secondo mediante una attività di configurazione del firewall tale da creare in maniera dinamica delle liste di controllo che impediscano il fluire dei pacchetti pericolosi.

L’appliance aggiorna costantemente ed in maniera automatica la sua biblioteca di attacchi conosciuti mediante un servizio fornito dal vendor.

Il sistema di intrusion detection fa riferimento ad una console di management dalla quale vengono gestite le policy e gli allarmi

Come detto in precedenza tutti i prodotti di networking sono di un unico vendor, il Cisco Systems, e questa sorgente unica possiede due vantaggi molto importanti: un unico interlocutore con cui colloquiare accompagnato da un’architettura di prodotti coerenti e non meno importante una capacità di stretta interazione fra i diversi componenti della rete, come ad esempio i firewall ed l’intrusion detection.Come abbiamo già detto il firewall hardware è una appliance Cisco Pix 515° con acceleratore hardware IPSEC utilizzato oltre che come firewall anche come terminatore di VPN.

Simile funzione ci permette di entrare nella rete, per attività di configurazione, e di gestione senza che debba essere aperta alcuna porta di accesso verso internet.

Nella figura di seguito si può trovare lo schema della rete come è implementato nella nostra struttura.

Si è deciso di suddividere i server in due gruppi ulteriormente separati dal firewall per garantire più elevati standard di sicurezza.

La maggiore affidabilità si può ascrivere a due fattori distinti:

· una eventuale compromissione dei server esposti ad Internet non rende disponibile l’accesso ai dati, che saranno comunque protetti sui server di backend,

· i server di backend possono essere maggiormente ridondati dal punto di vista hardware

Un sistema di monitoraggio proattivo in SNMP permette il controllo dello stato di funzionamento dei server ed un monitoraggio delle performances dei medesimi.

Tale controllo avviene tramite VPN direttamente dagli uffici dell’FMline.com, dai quali il nostro personale è in grado di attivare tutte le misure necessarie ad ottimizzare lo stato di funzionamento della rete.

Si è scelto di utilizzare Linux RedHat Enterprise Server 3 come piattaforma software per i servizi offerti  in quanto il vendor garantisce un elevato standard di qualità del prodotto fornito, sia dal punto di vista delle performances che della completezza del prodotto.

Inoltre viene fornito un servizio di aggiornamento e mantenimento della soluzione software fornita, fondamentale per una applicazione di tipo professionale.

Non meno importante, Linux RedHat Enterprise è la distribuzione consigliata e supportata sui server HP.

I server che stiamo utilizzando sono basati su architettura Intel Xeon e sono in particolare dei server HP Proliant DL140, con due processori per i frontend e dei server Proliant DL380 per i backend anch’essi a due processori con architettura a 64 bit EMT_64.

Nella figura di seguito vi è lo schema della struttura dei server di frontend

I server di Backend 2 al momento sono configurati in Cluster utilizzando come storage condiviso uno storage HP MSA500 serie 2, basto su architettura SCSI ultra 320; le performances sono di 15.000 io/min, tra le più alte della categoria.

Nella figura di seguito è schematizzata la struttura dei server di backend

Su questa piattaforma software sono installate le applicazioni per erogazione dei servizi: apache come webserver, MySQL come database, VSFTPD come server FTP e QMAIL/Courier  come server di posta.

L’Apache installato sui server di frontend, in modalità bilanciamento del carico, ha disponibili tutti i principali moduli di estensione reperibili sul mercato.

L’architettura del server di posta è del tipo a due livelli nella quale le caselle di posta risiedono sul filesystem offerto dai server di backend, mentre le connessioni vengono smaltite dai server di frontend.Il filesystem dei server di backend viene montato per motivi di affidabilità in NFS versione 4, che a differenza delle versioni precedenti, garantisce una sicurezza e delle performances adeguate allo scopo per il quale lo stiamo utilizzando Qmail, da cui proviene Critical Path che è il server di posta utilizzato dai maggiori provider come Libero, Tin e Wind, ha un elevato grado di resistenza agli attacchi esterni.

Inoltre ha una configurazione personalizzabile  a livello di singolo dominio e di singola casella di posta, sia per quanto riguarda la dimensione della singola casella, che per il numero di messaggi che ognuna può contenere.

Il sistema è corredato da un filtro Antispam basato su SPAMASSASSIN versione 3 e da un doppio sistema antivirus, uno sul frontend utilizzando il prodotto Clamscan e QmailSCAN ed il secondo basato sul prodotto TREND Micro Server Protect sui server di backend.

Le politiche di gestione dell’antispam possono essere personalizzate a livello di singolo utente.

Il sistema mette a disposizione un server POP3, un server IMAP4 ed una WebMail basata su SquirrelMail con funzionalità e look personalizzabile per ogni singolo utente.

Per quanto riguarda la WebMail questa viene utilizzata anche come veicolo tramite il quale l’utente può personalizzare il suo servizio di mail, gestendo tra le varie altre cose le whitelist e le blacklist dei mittenti.

I server sono configurati con stringenti politiche di anti relay e per permettere l’invio di posta, utilizzano sia i meccanismi di SMTPAUTH che di SMTP after POP.

In questa maniera, gli utenti autorizzati possono inviare la posta anche non risiedendo nella stessa rete del server, senza inficiare le regole di gestione del relay.

A scelta del cliente oltre ai tradizionali servizi POP3 ed IMAP sono attivi i servizi POP3S ed IMAPS che utilizzano accessi crittografati ai server, evitando il transito in chiaro delle credenziali di accesso alle caselle di posta.

E’ inoltre disponibile su richiesta del proprietario del dominio la funzionalità di BIG BROTHER, tramite la quale il traffico in uscita dal server può essere mandato in copia ad una particolare casella di posta per motivi di controllo o archivio.

I server di posta al momento due permettono di gestire la ricezione e trasmissione contemporanea di 400 mail, cosa che permette di avere un servizio valido e funzionale.