Approfindimento: Sophos message router funzionalità e funzionamento


Per chi non sapesse neanche di cosa io stia parlando il sophos message router è un componente dell'infrastruttura sophos, esso è responsabile della comunicazione tre il managment agent locale (che è l'effettiva interfaccia tra il processo SAV e il server di gestione) e la console. Per quanto possa sembrare banale la modularità di questo componente permette agli amministratori di realizzare infrastrutture complesse che gestiscono migliaia di client in un unica console.

Il sophos message router si comporta in modo simile ad un qualsiasi software che deve comunicare tra due nodi, un  server e un client per l'appunto, di fatto esiste una vera e propria procedura di handshake che esamineremo di seguito.

  1. Al primo avvio del client RMS (l'acronimo sta per Remote Managment System e identifica l'intero sistema formato dal sophos message router)  il software cerca di contattare il proprio parent router sulla porta 8192 (le coordinate del parent router si trovano nella chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\Private per le macchine a 32 bit in HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sophos\Messaging System\Router\Private per quelle a 64) In questa sede è importante approfondire il ruolo di parent router. Nella struttura sophos il parent router è il servizio RMS direttamente sopra al client. Nella maggior parte delle installazioni esso corrisponde al server console ma può non essere così, in determinate situazioni è necessario assegnare ad una macchina della rete il ruolo di message relay, essa ha il compito di convogliare i messaggi in arrivo da un determinato numero di client in un unica comunicazione verso il server centrale, in questo caso il message relay è il parent router del client pur non essendo il server console.
  2. L'infrastruttura sophos basa le sue comunicazioni sullo standard CORBA, un insieme di specifiche sviluppate da consorzio OMG orientato alla creazione di un sistema per la gestione di architetture distribuite. Una volta stabilita la comunicazione sulla porta 8192 il cient riceve una stringa IOR (Interoperable Object Reference) che possiamo analizzare incollandola QUI, in essa sono contenuti i dettagli per il passo successivo che dovrà essere quello di stabilire una conessione "sicura" con il parent router tramite SSL
  3. La connessione prosegue su una nuova porta, la 8194, a questo punto l'handshake è quasi completo, il client ha una connessione sicura ma senza certificato, per ottenerlo viene creato un token, esso non è null'altro che un numero appeso al nome del client (di solito il nome macchina) per avere la certezza che il nome client sia univoco all'interno del sistema, la richiesta di token viene inoltrata dal parent router alla certification manager sul server.
  4. una volta che il client ottiene il token inoltra una certificate request alla certification manager, la certifiction manager risponderà con il certificato che il client memorizzerà in HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sophos\Messaging System\Router\Private
  5. A questo punto il client può effettuare la configurazione dell'IOR, le impostazioni sono visibili in HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sophos\Messaging System\Router\IORSenderPort la chiave indica fondamentalmente la porta utilizzata dal client (solitamente 8192)
  6. A questo punto il managment agent locale può a sua volta generare una certification request ed iniziare le comunicazioni con la console. Il certificato del managment agent lo si può trovare nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private

Il presente articolo è frutto di una mia ricerca in internet, la maggior parte delle informazioni provengono da un post della comunity sophos che indico QUI

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *