L'informatica non riguarda i computer più di quanto l'astronomia riguardi i telescopi.

— Edsger Wybe Dijkstra

Aiutare un amico nel "tunnel"

  • user warning: Table './stenoweb/node_comment_statistics' is marked as crashed and should be repaired query: SELECT last_comment_timestamp, last_comment_name, comment_count FROM node_comment_statistics WHERE nid = 85 in /home/stenoweb/public_html/modules/comment/comment.module on line 596.
  • user warning: Table './stenoweb/node_comment_statistics' is marked as crashed and should be repaired query: SELECT last_comment_timestamp, last_comment_name, comment_count FROM node_comment_statistics WHERE nid = 18 in /home/stenoweb/public_html/modules/comment/comment.module on line 596.
  • user warning: Table './stenoweb/node_comment_statistics' is marked as crashed and should be repaired query: SELECT comment_count FROM node_comment_statistics WHERE nid = 18 in /home/stenoweb/public_html/modules/comment/comment.module on line 1121.

http://www.stenoweb.it/files/blog/openssh.png Come dare assistenza alle workstation aziendali interne al nostro dominio mede.it ? La prima cosa che viene in mente è abilitare sulle stesse il Desktop Remoto o un servizio VNC, ma se non sono in azienda come posso collegami da internet sui desktop degli utenti nascosti dal mio SBS Server archi.mede.it ? OpenSSH ci viene in aiuto confermando la sua vocazione di coltellino svizzero...

Già al punto in cui siamo ora con la guida il nostro server dà dei servizi importanti alle workstation della nostra azienda:

  1. Firewall & SNAT con cui proteggo la rete interna e con cui permetto a tutti di accedere a internet "mascherati" con il NAT
  2. DNS & DHCP per velocizzare la navigazione e la risoluzione dei nomi con il caching DNS e assegnare gli indirizzi IP nella rete
  3. Samba per avere un potente file server e domain controller.

Le workstations interne hanno un indirizzo IP "privato", non instradabile da/su internet, e quindi sono virtualmente irraggiungibili da remoto, il servizio/server VNC installato sul pc wks01.mede.it con IP 192.168.40.20 non è indirizzabile dall'esterno, a meno che ...

Tunnel SSH

... non usiamo il nostro server come cavallo di troia.

A differenza delle workstation interne , archi.mede.it dispone di un indirizzo IP pubblico e quindi accessibile dall'esterno. Dispone anche del servizio openSSH a cui posso collegarmi con una shell sicura.
Vediamo come con un semplice comando possiamo sfruttare questo come ponte verso la rete interna.

Supponiamo di voler accedere con VNC (porta 5900) a wks01.mede.it da remoto. Da shell digito :

ssh -L5901:wks01.mede.it:5900 admin@archi.mede.it

inserisco la password e lascio il terminale aperto.
Cosa è successo ? All'apparenza nulla di speciale, ho una shell sul server archi.mede.it, in pratica molto di più, ho instaurato un tunnel ssh tra la mia macchina remota e la rete mede.it che rimarrà attivo fino alla chiusura della shell.

E ora ?

Ora posso accedere a wks01.mede.it con un client VNC collegandomi alla porta locale 5901, ssh mi instraderà in modo sicuro verso la porta 5900 della workstation attraverso il server archi.mede.it. Wow !

Ad esempio con KDE possiamo usare krdc :

http://www.stenoweb.it/files/blog/krdc.png

e portare aiuto al nostro amico nel "tunnel" :)

Potente e pericoloso

Naturalmente posso usare qualsiasi porta/servizio nel tunnel, ad esempio RDP per il desktop remoto:

ssh -L13389:wks01.mede.it:3389 admin@archi.mede.it

la porta locale (in questo caso 13389) è arbitraria, posso mettere quello che voglio.
Posso accedere ad un database interno, ad un web server, alle condivisioni samba/windows, in pratica, in mano ad una persona esperta, a quello che si vuole, basta conoscere il nome o l'indirizzo IP della macchina interna (ottenibile anche con una semplice scansione).

Da qui dovrei capire quanto pericoloso sia il servizio openSSH, non è una semplice shell, ma un vero e proprio passepartout verso la nostra rete privata. Quindi se non si è sicuri molto meglio disabilitarlo e/o limitarlo, in ogni caso scegliere una password seria e magari disabilitare l'utente root.

E con Windows ?

Se in remoto ho un desktop con Windows e non Linux ? Con il gratuito putty forse è ancora più facile :)

Se volete approfondire l'argomento potete cominciare da qui per rendervi conto di di che razza di diavolerie posso combinare con ssh ;)

Bye.

Módulo 8 - Geração De Trafego ( Pilar Do Sucesso) SEO. http://formulanegocioonline.download/