Discussion:
Problemi di sharing
(too old to reply)
">> Alberto
2007-03-09 13:43:30 UTC
Permalink
Ho problema antipatico... :(

Il mio piccolo mondo è così fatto:

Rete Range Cosa

Cattivi 192.168.192.0/24 PC Win2K, WinXP Pro, Server DC Dominio1
Buoni 192.168.168.0/24 Portatili Win2K Pro
DMZ 10.10.10.0/24 Server vari, DC Dominio2


C'è un FW Check Point che regola il traffico, permette a Buoni e Cattivi
di andare su DMZ, vieta a DMZ di andare su Buoni o Cattivi, permette a
Buoni di andare in Internet (nattati), vieta ai Cattivi di navigare.

In DMZ c'è SRV (Win2K Srv Std Eng) DC Dominio2, Active Diractory, DNS,
che condivide la directory "Shared".

I Cattivi sono su un loro dominio isolato (Dominio1).
I Buoni non sono sul Dominio (tutti workgruop).

Sia Buoni che Cattivi la vedono e la usano, ma mentre per i Cattivi
tutto ok ai Buoni saltuariamente cade la connessione ("Percorso non
disponibile"); se qualcuno stava modificando un .doc direttamente su
Shared sono guai...

Qualche giorno fa ho migrato SRV a Win2K3 R2 Std Eng e tutto è peggiorato!!!

Ora anche i Cattivi hanno gli stessi problemi...

Aiuto...

Cosa posso guardare/cercare?

Grazie dell'aiuto.
Mailing List Manager
2007-03-12 16:54:13 UTC
Permalink
----- Forwarded message from Akira <marcoxiii(at)gmail.com> -----
From: Akira <marcoxiii(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] Problemi di sharing

Partiamo dal livello pi? basso..

Le reti sono tutte correttamente interconnesse? (il routing tra 192... e
10.. funziona correttamente?)

Salendo di livello:

I Server stanno in dominio?
Nello stesso di Cattivi?


Perch? non metti tutti dentro lo stesso dominio?
Sicuramente ti si semplificherebbero le cose :)
--
---www.fermath.info
Cryptology resource--

----- End forwarded message -----
Alfredo Cozzino
2007-03-11 11:40:06 UTC
Permalink
Soggetto: [ml] Problemi di sharing
Mittente: >> Alberto <<
Data: Fri, 9 Mar 2007 14:43:39 +0100 (CET)
Ho problema antipatico... :(
Rete Range Cosa
Cattivi 192.168.192.0/24 PC Win2K, WinXP Pro, Server DC Dominio1
Buoni 192.168.168.0/24 Portatili Win2K Pro
DMZ
10.10.10.0/24 Server vari, DC Dominio2
C'è un FW Check Point che regola il traffico, permette a Buoni e Cattivi di andare su
DMZ, vieta a DMZ di andare su Buoni o Cattivi, permette a Buoni di
andare in Internet
(nattati), vieta ai Cattivi di navigare.
In DMZ c'è SRV (Win2K Srv Std Eng) DC Dominio2, Active Diractory, DNS, che condivide la directory "Shared".
I Cattivi sono su un loro dominio isolato (Dominio1).
I Buoni non sono sul Dominio (tutti workgruop).
Sia Buoni che Cattivi la vedono e la usano, ma mentre per i Cattivi tutto ok ai Buoni
saltuariamente cade la connessione ("Percorso non disponibile"); se
qualcuno stava
modificando un .doc direttamente su Shared sono guai...
Devi fare troubleshooting.
Hai modo di vedere sullo Smartview Tracker (LogViewer) di Checkpoint
se ci sono Drop?
(questo mentre i buoni accedono a shared)
Quali regole possono loggare?
Puoi permettere alle regole implicite di essere loggate?
Routing? Lo fa esclusivamente il Firewall o ci sono apparati di mezzo?
Qualche giorno fa ho migrato SRV a Win2K3 R2 Std Eng e tutto è peggiorato!!!
Probabilmente devi disabilitare il Firewall integrato di SRV per fare le prove.
Lo hai fatto?
Ora anche i Cattivi hanno gli stessi problemi...
Aiuto...
Cosa posso guardare/cercare?
Prima di tutto puoi dire quale versione/Hotfix del firewall usi.
Dire che hai Checkpoint non basta... sei troppo generico.
Poi se usi checkpoint hai le licenze/maintenance pagate per utilizzare
il sito secureknowledge.checkpoint.com ?

Alfredo Cozzino
CCSA/CCSE NG AI
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Fabio Battini
2007-03-12 18:23:27 UTC
Permalink
Salve a tutti,
Avrei la necessità su varie macchine, pressocchè tutti windows server
2003, di implementare una soluzione di business continuity;
Prendiamo l'esempio più classico per quanto riguarda la mia realtà:
- macchina IBM xseries 346, con Win 2003 server che funge da sito
web, server sql 2000 e server TS per alcune applicazioni.

Al momento tutto gira sui dischi in locale. (in raid ovviamente) +
backup giornaliero su NAS + backup giornaliero su DAT

Prevedo che così come stanno le cose, se questo mio xSeries dovesse
guastarsi, o dopo un aggiornamento Win 2003 server non partire più,
etc io avrei la mia macchina ferma per molte ore.

Penso che per quanto riguarda la mia realtà, creare dei cluster sia
eccessivo e per quella che è la mia esperienza, ho iniziato a cercare
di approfondire soluzioni SAN e macchine virtuali vmware, ma non so
se può essere la strada giusta.

Una soluzione di business continuity che mi viene in mente per
esempio è questa:
- sistema SAN collegato ai server xSeries
(il sistema operativo viene installato sui dischi locali, mentre i
dati e i database sulla SAN)

- Server pronto con installato vmware server o esx server
- Immagine virtuale del server fisico aggiornata una volta a
settimana utilizzando vmware converter e salvata su NAS.

In caso di guasto di una macchina, verrebbe caricato il server
virtuale sul server con installato vmware rendendo operativa la
macchina in poco tempo.

Può essere una strada percorribile, oppure tutta l'installazione (os
compreso) devono essere su SAN?

Qualcuno può consigliarmi esperienze, soluzioni o letture da fare a
riguardo o su come si fa business continuity su semplici server windows?

grazie

Cordiali saluti

Fabio B.________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Lombardo
2007-03-13 13:06:25 UTC
Permalink
Post by Fabio Battini
Salve a tutti,
Ciao
Post by Fabio Battini
Una soluzione di business continuity che mi viene in mente per
Tralasciamo la definizione di business continuity và :-)
Post by Fabio Battini
In caso di guasto di una macchina, verrebbe caricato il server
virtuale sul server con installato vmware rendendo operativa la
macchina in poco tempo.
La sola soluzione "per te": VMotion di vmware.
http://www.vmware.com/products/vi/vc/vmotion.html



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Fabio Battini
2007-03-15 12:56:45 UTC
Permalink
Salve a tutti e innanzitutto grazie a tutti per le preziose risposte.

Prendo nota che per affrontare guasti hardware senza fermi macchina,
utilizzando la virtualizzazione, gli strumenti da usare sono vmware
vmotion, Xen, etc, che poi mi andrò ad approfondire meglio.

Un mio ulteriore dubbio è:
se il problema non fosse hardware, ma software, (dopo spiego cosa
intendo dire) anche utilizzando la tecnologia vmotion avrei
semplicemente la ridondanza di una macchina (virtuale) non funzionante.

Faccio un esempio di cosa mi è capitato:
Avendo attivi diversi server Windows server 2003, mi è capitato più
di una volta che in seguito ad aggiornamenti di windows, service pack
1 o altri, la macchina al reboot non si avviasse più.. come al
solito, hal.dll mancante, ntoskrnl.exe, bla bla..etc. etc.. problemi
non gravi, poi ripristinati certo, ma dopo molte ore di fermo
macchina e mugugni da parte dei clienti.

Per evitare fermi macchina anche in questi casi, l'idea era quella di
virtualizzare un server fisico o virtuale che sia ogni tot giorni, o
prima di una aggiornamento/installazione etc in modo da avere una
copia virtuale da far partire immediatamente, in caso di problema
software.
Non so se poi però avendo una macchina virtuale in uno stato diverso
da quella originale, riesco immediatamente a rendere operativi
database, IIS e gli altri servizi.
Suggerimenti, esperienze o opinioni su questo metodo?

Chiedo scusa per la spiegazione molto "pratica", ma in realtà medio-
piccole sono più o meno anche questi i problemi quotidiani sulle
macchine server.

ciao a tutti!

Fabio B.
Post by Federico Lombardo
Post by Fabio Battini
Salve a tutti,
Ciao
Post by Fabio Battini
Una soluzione di business continuity che mi viene in mente per
Tralasciamo la definizione di business continuity và :-)
Post by Fabio Battini
In caso di guasto di una macchina, verrebbe caricato il server
virtuale sul server con installato vmware rendendo operativa la
macchina in poco tempo.
La sola soluzione "per te": VMotion di vmware.
http://www.vmware.com/products/vi/vc/vmotion.html
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
fRANz
2007-03-15 20:37:15 UTC
Permalink
Post by Fabio Battini
Per evitare fermi macchina anche in questi casi, l'idea era quella di
virtualizzare un server fisico o virtuale che sia ogni tot giorni, o
prima di una aggiornamento/installazione etc in modo da avere una
copia virtuale da far partire immediatamente, in caso di problema
software.
Non so se poi però avendo una macchina virtuale in uno stato diverso
da quella originale, riesco immediatamente a rendere operativi
database, IIS e gli altri servizi.
Suggerimenti, esperienze o opinioni su questo metodo?
Se parli di VMware, verifica nella documentazione la parte di gestione
degli 'snapshot', fa proprio al caso tuo.

HTH,
-f
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Lombardo
2007-03-15 22:26:04 UTC
Permalink
Post by Fabio Battini
1 o altri, la macchina al reboot non si avviasse più.. come al
solito, hal.dll mancante, ntoskrnl.exe, bla bla..etc. etc.. problemi
non gravi, poi ripristinati certo, ma dopo molte ore di fermo
macchina e mugugni da parte dei clienti.
Per evitare fermi macchina anche in questi casi, l'idea era quella di
virtualizzare un server fisico o virtuale che sia ogni tot giorni, o
prima di una aggiornamento/installazione etc in modo da avere una
copia virtuale da far partire immediatamente, in caso di problema
software.
Per evitare che succedano questi casi non c'è altra soluzione che mettere
su il cosiddetto "ambiente d'esercizio" ed "ambiente di collaudo o
certificazione".

Come ben sai, fare il deployment di una soluzione in ambiente di esercizio
è "capestra" se devi garantire la continuità del servizio; non c'è B.C.
che tenga.

Chiaramente per una società medio piccola mi rendo conto possa essere un
effort economico non sottovalutabile, ma:

grazie a dio la virtualizzazione ci permette di creare sistemi di
certificazione/collaudo almeno paragonabili a quelli di esercizio

se l'impatto sul tuo business è tale, allora direi che devi pensare non
solo all'affidabilità del sw e dell'hw, ma anche a quella
dell'infrastruttura fisica che ti circonda.

in pratica ti sto dicendo:

e se dessi la tua B.C. in outsourcing ?
fa i tuoi calcoli economici e vedi se ti conviene il "make" o il "buy".
ci sono "n" vendor che la fanno egregiamente in Italia.

Federico

P.S. infrastrutture critiche rulez! :-D



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giuseppe Paternò (Gippa)
2007-03-16 06:43:01 UTC
Permalink
Post by Fabio Battini
se il problema non fosse hardware, ma software, (dopo spiego cosa
intendo dire) anche utilizzando la tecnologia vmotion avrei
semplicemente la ridondanza di una macchina (virtuale) non funzionante.
IMHO e' la grossa limitazione di VMWare, nel senso che AFAIK
monitorizza la macchina ma non i servizi che stanno girando. In questo
bisognerebbe usare un software di cluster o di monitoring dei servizi.
Se non sbaglio le API di VMWare si limitano allo stato della macchina
per-se (on/off/paused/...) .... forse riescono a capire eventualmente
se la macchina e' partita (il ntoskrnl) tramite i vmware toolz, ma non
i servizi (BTW non ho mai usato le API).

Cosa differente sono i servizi (db,web,...). Ad esempio Solaris 10 ha
dei meccanismi di restart dei servizi se il probe non funziona. Sotto
RHEL puoi installare ClusterSuite oppure fare uno script che controlli
lo stato del servizio (eg: /etc/init.d/portmapper status). Sotto
Windows non saprei ... ammetto la mia ignoranza in ambito M$.

<vendor>Con RHEL in questo caso consigliamo ClusterSuite tra i nodi
virtuali, che tanto e' compresa nella nuova Advanced Platform (non
voglio fare il commerciale, quindi chi vuole google o mi contatti in
privato :)</vendor>

Un Gippa stranamente sveglio alle 7.30 del mattino :D

P.S. Mi sa che sto scivolando un po' OT ...
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Domenico Viggiani
2007-03-16 07:31:08 UTC
Permalink
Post by Fabio Battini
Per evitare fermi macchina anche in questi casi, l'idea era
quella di virtualizzare un server fisico o virtuale che sia
ogni tot giorni, o prima di una aggiornamento/installazione
etc in modo da avere una copia virtuale da far partire
immediatamente, in caso di problema software.
Allo scopo, sempre su VMWare, esiste il concetto di snapshot, che fa una
fotografia della macchina in un certo istante. Da utilizzarsi periodicamente
o prima di lavori importanti (aggiornamenti, service pack, etc)

--
Domenico Viggiani

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Daniele Arduini
2007-03-16 09:01:35 UTC
Permalink
Post by Fabio Battini
Salve a tutti e innanzitutto grazie a tutti per le preziose risposte.
Prendo nota che per affrontare guasti hardware senza fermi
macchina, utilizzando la virtualizzazione, gli strumenti da usare
sono vmware vmotion, Xen, etc, che poi mi andrò ad approfondire
meglio.
se il problema non fosse hardware, ma software, (dopo spiego cosa
intendo dire) anche utilizzando la tecnologia vmotion avrei
semplicemente la ridondanza di una macchina (virtuale) non
funzionante.
Avendo attivi diversi server Windows server 2003, mi è capitato più
di una volta che in seguito ad aggiornamenti di windows, service
pack 1 o altri, la macchina al reboot non si avviasse più.. come al
solito, hal.dll mancante, ntoskrnl.exe, bla bla..etc. etc..
problemi non gravi, poi ripristinati certo, ma dopo molte ore di
fermo macchina e mugugni da parte dei clienti.
Se hai problemi di questo tipo puoi utilizzare le tecnologie di
virtualizzazione consigliate per organizzare le VM in staging:
provi ad applicare le patch sulle VM di test e se tutto va bene
le applichi a quelle in produzione.
Inoltre con le stesse tecnologie puoi effettuare uno snapshot della
VM prima
dell'applicazione delle patches per fare il rollback in caso di
problemi.

Se neanche così non riesci a garantire un livello di servizio senza
mugugni da parte dei clienti...
cambia sistema operativo! :)

ciao,
Daniele Arduini

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Lombardo
2007-03-18 14:06:01 UTC
Permalink
Post by Daniele Arduini
Se neanche così non riesci a garantire un livello di servizio senza
mugugni da parte dei clienti...
cambia sistema operativo! :)
Ragazzi scusatemi se insisto questo tema, il problema non è tecnico, ma di
processo.

Il fatto che installi una patch e di crasha il sistema non ha nulla a che
vedere con un processo di business continuity, è un problema di gestione
dell'affidabilità del servizio, ma SOPRATTUTTO di governo del RILASCIO
delle applicazioni in esercizio.

Questa è una questione che va affrontata nell'ambito dell'organizzazione
del processo aziendale, non con una soluzione tecnologica.

La soluzione tecnologica, nella fattispecie può essere "abilitante", ma
cmq non mi toglie il problema che, credetemi, va assolutamente ESTIRPATO
alla radice.

Nel caso specifico io consiglio di canare nell'organizzazione processi
specifici (Es. ITIL - Change & Release Managment) e di creare una
struttura di esercizio ed una di collaudo!


Federico


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Giuseppe Paternò (Gippa)
2007-03-13 08:43:55 UTC
Permalink
Ciaps a tutti!!!
Post by Fabio Battini
- sistema SAN collegato ai server xSeries
- Server pronto con installato vmware server o esx server
Direi che ti stavo per consigliare la stessa cosa.

<vendor>
Quando vado in giro per Red Hat, parlando della RHEL5 dico che il
grosso vantaggio e' la virtualizzazione. Questo perche' in un ottica
di business continuity, o -per parlare "ignorante"- per ripristinare
al volo i casini, basta semplicemente ripristinare il file della
macchina. Stessa cosa per il backup dei dati .. copi il file e via
.... ovviamente ci sono applicazioni che non possono essere chiuse,
allora usi un backup client in aggiunta alla copia di file
</vendor>

Ora, che lo fai in ambiente Xen o VMWare, poco importa. Direi che
forse e' la cosa che fa per te e fa per molti clienti.
IMHO vale la pena usare Xen se hai macchine virtuali in prevalenza
Linux: con hardware VT/pacifica puoi creare macchine virtuali
Windows/FreeBSD/... e in piu' hai la facilita' di gestione di Linux e
il risparmio dei costi di VMWare. VMWare secondo me va meglio se hai
macchine virtuali in prevalenza Windows.
In un ottica di DR, puoi semplicemente fare la copia dei files in
remoto con un rsync,unison, copia SAN, ....
Questa e' ovviamente solo la mia opinione personale.
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giuseppe Paternò (Gippa)
2007-03-13 08:08:05 UTC
Permalink
Ciao!!
Post by ">> Alberto
Ho problema antipatico... :(
Quasi tutti i problemi sono PIA :-)
Post by ">> Alberto
tutto ok ai Buoni saltuariamente cade la connessione ("Percorso non
disponibile"); se qualcuno stava modificando un .doc direttamente [...]
Mumble mumble, mi pare di avere avuto un problema simile, ma la mia
memoria non ricorda cosa ho fatto :-(
Cmq okkio a SmartDefense: a me fino alla R55 dava casini e droppava le
connessioni (poi ho cambiato mestee). Prova a disabilitarlo
temporaneamente.
Come ti hanno giustamente suggerito, metti in log le regole e vedi
perche' le droppa nel tracker. Probabilmente e' smardedense (e te lo
dice) oppure manda un TCP RST al client (potrebbe essere la causa
delpercorso non disponibile).

Ciao da un Gippa arrugginito!
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...