E’ di ieri l’atteso annuncio del rilascio di Samba 4.0.
La nuova versione è talmente compatibile con active directory da supportare tutte le versioni di MS Windows, compresa l’ultima rilasciata poche settimane fa.
Secondo le release notes dovrebbe essere possibile configurare il server come domain controller principale e gestire group policy e roaming profiles.
Sicuramente una soluzione interessante in realtà aziendali con budget ristretti, ma professionalità IT di buon livello.
In linea di massima non ho nulla contro l’anonimato su internet ed apprezzo sistemi come TOR.
Ma ci sono risorse per le quali vedo pochissime buone ragioni per accedere anonimamente e contemporaneamente tantissime cattive ragioni per farlo.
Vi faccio l’esempio di un sito di e-commerce: non vedo tanti buoni motivi per nascondere la provenienza del visitatore, anche se probabilmente ve ne è qualcuno più che lecito.
Ma so per certo che se dovessi tentare acquisti truffaldini farei di tutto per nascondere le mie tracce.
Purtroppo bloccare l’accesso ad un server dalla rete TOR non è semplice come bannare un range di IP. Tale rete è dotata di migliaia di nodi distribuiti per il mondo.
Tecnicamente l’unica difficoltà è procurarsi la lista aggiornati di tali nodi.
A questo scopo, dopo una breve ricerca su internet, ho trovato alcuni siti che visualizzano lo stato dei proxy appartenenti a TOR.
Con il semplicissimo script PHP che vedete di seguito (scritto di corsa senza badare allo stile 🙂 ) si può scaricare la lista completa in un file di testo filtrando la pagina HTML
Avendo l’elenco ci sono vari sistemi per bannare gli IP.
Per esempio si può creare un apposito file .htaccess per il sito.
Oppure se avete fretta è sufficiente da shell:
for i in `cat tor.txt`; do /sbin/iptables -I INPUT 1 -s $i -j DROP; done
Attenzione che quest’ultimo metodo se il server ha numerosi accessi può portare ad un considerevole utilizzo della CPU perchè la lista è formata da migliaia di voci e ad ogni connessione il firewall dovrà effettuare la ricerca sull’intera sequanza per decidere se il pacchetto può passare.
L’intera procedura può essere automatizzata e messa in CRON per mantenere l’elenco aggiornato.
Funziona? Direi di si: provate ad accedere a quasto sito usando TOR 🙂 (disattivato sul nuovo server)
<d>
Il progetto OpenOffice dopo le note vicissitudini sembra avere ricevuto nuova linfa essendo classificato come “Top Level project” in Apache Incubator.
Nel prossimo simposio che si terrà dal 5 all’8 novembre in Germania, verranno presentate numerose novità.
Una di queste in particolare sta suscitando un notevole interesse.
Si tratta di un progetto simile a Office 365, denominato “Cloud Apache Office basato su HTML5”.
Questo progetto consentirebbe di lavorare su documenti sfruttando le capacità di rendering di un browser HTML5 per collegarsi ad un’installazione di Apache OpenOffice centralizzata e servita attraverso un normale web server.
L’idea non è nuova basti pensare a Gdocs e al sopracitato Office365, ma la prospettiva è differente in quanto non trattandosi di una tecnologia proprietaria, chiunque sarebbe libero di configurare un suo server centrale per erogare il servizio, eliminando di fatto gli inconvenienti che generano nelle Aziende le perplessità (più che giustificate 🙂 ) nell’utilizzare servizi cloud.
Altra riflessione interessante visto quanto sopra riguarda la vitalità del progetto OpenOffice: dato quasi per spacciato e sostituito dal più vitale LibreOffice, sembra invece ancora in grado di dire la sua per ritornare leader del mercato open.
Problemino….la relazione di trust tra questa workstation e il dominio primario non è riuscita!!!!
A molti sarà capitato di vedere questo messaggio tentando di accedere al PC con un account di dominio.
In questa situazione il metodo più veloce per risolvere il problema è rifare il join del computer.
Non è neppure necessario cancellare dalle active directory il PC prima di rifare il join con lo stesso nome.
L’unico problema è che per questa operazione è necessario PRIMA effettuare il login nel computer con un account con privilegi di amministratore.
Non potendo accedere al dominio è necessario utilizzare un account locale.
Se vi ricordate la password di un account locale con privilegi elevati il problema si risolve in pochi minuti, ma nelle realtà in cui si usano solo ed esclusivamente account di dominio spesso questa informazione viene persa 10 minuti dopo la configurazione iniziale del sistema.
A questo punto potete seguire due strade:
1)Reinstallazione del sistema
2)Recupero della password di un account di amministratore locale con strumenti “alternativi”
La mia preferenza ovviamente va alla seconda opzione.
Ci sono vari strumenti utilizzabili. Escluderei i “password cracker” (come l’ottimo ophcrack) che, soprattutto se i vostri sistemisti hanno una certa fantasia, sono del tutto inefficaci.
In fondo a noi non serve recuperare la password, ma è sufficiente in un modo o nell’altro, riuscire ad accedere al PC. Quindi un reset dell’account è più che sufficiente.
Per effettuare questa operazione un ottimo tool è Offline NT Password & Registry Editor .
Si tratta di un sistema linux minimale avviabile da USB o da CD che consta solo in una serie di script a menù orientati alla risoluzione di queste problematiche.
All’avvio è sufficiente indicare la partizione di sistema e il percorso del file di registro.
Io ho testato le funzioni per il blanking della password e la riattivazione di un utente disattivato (l’account “Administrator” spesso è bloccato).
Entrambe le operazioni sono state eseguite velocemente consentendomi, dopo il riavvio, l’accesso al sistema ed il nuovo join nelle active directory.
Una riflessione finale sulla sicurezza è d’obbligo.
Se ce ne fosse bisogno quanto spiegato sopra è un’ulteriore riprova del fatto che la sicurezza del PC è sempre efficace nella misura in cui i malintenzionati non dispongano fisicamente di un accesso alla macchina.
Questo a meno che non si utilizzi un filesystem crittato nel qual caso le cose diventano un po’ più complicate sia per un malintenzionato che per un utente onesto che ha dimenticato la password 🙂
Prosegue su SIAMOGEEK l’interessante serie di articoli su IPV6.
Luigi descrive una soluzione basata su una linux box CentOS.
Diversamente da quella da me proposta nel precedente articolo, non richiede un hardware specifico, ma può essere implementata con qualsiasi PC di recupero o, in ambienti virtualizzati, con una VM molto leggera.
Vi consiglio la lettura dell’articolo.
Lo trovate qui: http://siamogeek.com/2012/09/tunneling-ipv6-linux-centos/
[ vista la rilevanza dell’argomento trattato ho pubblicato questo articolo anche su SIAMOGEEK che ha un audience decisamente più vasta]
(Disclaimer: seguite questo tutorial a vostro rischio e pericolo. Potreste incorrere in danni hardware (brick del dispositivo) intrusioni di hacker nel vostro sistema, o sviluppare dipendenza difficilmete curabile da IPV6. In nessun caso l’autore potrà essere ritenuto responsabile)
Nel nostro paese è molto difficile ottenere una connessione con IPV6 nativo per la casa o l’ufficio.
La soluzione di seguito proposta consentirà di portare IPV6 sulla vostra LAN in maniera trasparente.
Il dispositivo che consente di ottenere questo risultato è un router un po’ particolare, ma facilissimo da procurare. Probabilmente se siete informatici per professione o diletto lo avete già nella cassetta del materiale di scarto :-).
Nel mio caso ne ho reperiti un paio, ma la mia scelta è caduta sul più potente router/access point Dlink DIR-600.
L’incubo è inizia con l’arrivo dei 5 scatoloni contenenti i nuovi PC desk I5 quad core di un notissimo brand.
Dopo avere disimballato il primo lo metto sul banco prova e lo accendo. Inizio subito a rispondere ad alcune semplici domande di rito.
Si sono Italiano.
No, non voglio registrare il prodotto.
Si so che così facendo mi perdo un sacco di opportunità.
Si sicuramente lo farò in seguito (l’opzione MAI non è neppure contemplata)…
No non voglio attivare Morton insecurity.
No non voglio farlo neppure in seguito.
Si lo so che sono uno sciagurato e mi espongo a rischi incalcolabili, ma la mia azienda ha scelto un altro prodotto…..
Finalmente, dopo aver deciso il nome del PC e il nome utente principale, ecco la schermata di avvio.
E di nuovo… No non me ne frega nulla di avere assistenza e prompt di richiesta che escono all’improvviso per sconcertare l’utente…..
Chi ha provato a mantenere una rete di PC sa che quando il numero dei computer raggiunge la doppia cifra la faccenda si fa molto impegnativa.
Le difficoltà crescono in maniera esponenziale con il numero. Per esempio mantenere il software aggiornato, requisito fondamentale per la sicurezza, diventa difficile quando non si sa esattamente cosa sia installato su ogni macchina.
Giunge quindi il momento di dotarsi di strumenti opportuni. Il mercato ne offre un’ampia scelta. Alcuni prodotti sono gratuiti e di questi alcuni sono opensource.
Vista la mia propensione naturale per questa categoria ho pensato di dare uina chance a OCSINVENTORY-NG che sta per OCS next generation inventory.
Parlare di questo prodotto come un semplice software di inventario di rete è riduttivo e ne sminuisce quelle che sono le effettive potenzialità.
Infatti, oltre che per avere un inventario sempre aggiornato (ed interrogabile) del software e dell’hardware della vostra azienda, è un utilissimo strumento per il deployment del software stesso. E’ possibile pacchettizzare i software da installare/aggiornare su uno o più PC e attivare l’installazione. Non resta che attendere il termine delle operazioni e analizzare il report riguardante il numero delle installazioni (in notifica/in corso/riuscite/fallite) con il dettaglio del singolo PC.
Per concludere, altra caratteristica fondamentale, si tratta di un prodotto multipiattaforma. Ad oggi si possono inventariare macchine windows, linux, mac OS. A breve anche Android.
Ma veniamo ora alla prova su strada. Continue reading »
Partiamo dal caso reale: mi trovo a dover migrare un certo numero di account dal vecchio server DOMINO ad uno di tipo differente.
Ciascun account contiene una struttura di cartelle piuttosto complessa e un gran numero di messaggi (alcuni più di 30.000).
Stimo un totale che supera abbondantemente il mezzo milione di messaggi da migrare (chissà perchè la gente non cancella mai niente 🙂 ).
Fallito miseramente l’utilizzo del tool che gira sotto windows fornito dal provider del nuovo server e fallito al primo tentativo lo spostamento con client (TB impallato ripetutamente…..) mi trovo a dover cercare una soluzione differente ed affidabile.
La prima scelta, confortata da un certo numero di messaggi sui forum che ne esaltavano le grandi qualità è imapsync.
Il prodotto è scritto in PERL e fa già parte dei pacchetti diponibili per la maggior parte delle distribuzioni LINUX.
Purtroppo le ultime versioni non sono free, ma acquistabili per una cifra irrisoria.
Utilizzando il pacchetto disponibile su rpmforge scopro che:
Provandolo sul mio account (circa 16.000 messaggi) scopro che la migrazione è veloce ed assolutamente indolore. Mi ricrea tutte le cartelle uguali sul nuovo server e trasferisce tutti i messaggi. Rispetto al copia/incolla con TB è veramente una festa.
Dopo avere creato il file .CSV con tutti gli utenti da migrare, l’ho lanciato più volte (la copia ha richiesto un intervento manuale per eliminare un messaggio che bloccava il procedimento). In pochissimi casi ha creato dei messaggi duplicati sui quali sono intervenuto con un altro ottimo prodotto che meriterebbe una trattazione a parte: imaptools (in particolare delIMAPdups).
Insomma un piccolo software che vale la pena tenere sul nostro PC portatile e che può semplificare la vita in alcune situazioni.
Ultima nota: esiste una versione windows sempre acquistabile per un importo veramente modesto.
Sulle riviste del settore l’argomento IPV6 è sempre più popolare.
Anche se sono state disatettese le più catastrofiche stime che, a partire dalla fine degli anni ’80, davano come prossimo l’esaurimento degli indirizzi IP liberi con il sistema attuale (V4), è anche vero che con il ritmo attuale delle assegnazioni i netblock liberi si esauriranno entro 3 anni.
Pertanto è verosimile prevedere che l’interesse della comunità informatica per il nuovo spazio V6 crescerà molto nei prossimi mesi.
Poco tempo fa, spinto più da curiosità personale, che da reale necessità lavorativa, ho incominciato a sperimentare questo mondo nuovo.
Ho scoperto due cose interessanti:
1) il nuovo spazio di indirizzi è già attivo e frequentato
2) Non è così difficile accedervi.
Per chi si avvicina per la prima volta a questo mondo, essendo ancora molto difficile ottenere una connessione nativa IPV6 nel nostro paese, l’accesso alla rete è possibile in diversi modi.
Il più semplice è quello di utilizzare un “tunnel broker” che, sfruttando come veicolo di trasporto il normale protocollo V4, consente di collegare il vostro computer (o la vostra rete) ad un provider IPV6 attraverso un tunnel.
Il vostro computer manterrà anche la normale connettività V4 lavorando in una modalità definita “dual stack”.
I pacchetti V6 usciranno dal tunnel, mentre gli altri continueranno a fluire attraverso il vostro gateway predefinito. Nel caso l’host da raggiungere abbia contemporaneamente un indirizzo V4 e V6 lo stack V6 prende il sopravvento.
Ci si aspetta che, quando la connettività V6 prenderà piede, i computer connessi ad internet manterranno la modalità dual stack per essere in grado di raggiungere i “vecchi” indirizzi.
I tempi per un totale abbandono del V4 su internet non sono al momento prevedibili. Alcune stime parlano di 15/20 anni…quindi non sarà una transizione improvvisa ed avremo tutto il tempo di prepararci.
I sistemi utilizzati dai tunnel broker sono diversi. Io consiglio di sperimentare uno dei seguenti:
Con entrambi i sistemi, anche se possedete solo una connessione con IP dinamico, è possibile ottenere l’assegnazione di una subnet /64 statica, corrispondente a qualche milione di indirrizzi IP.
Connessione con protocollo TSP
E’ necessario installare un software TSP e collegarsi ad un provider compatibile.
Di solito funziona anche dietro firewall e NAT.
Un buon provider gratuto è freenet6. Potete registrarvi ed ottenere il vostro account.
Sempre dal sito dovete scaricare il client.
Ho effettuato la prova su una distro LINUX CentOS 5.3 compilando il codice sorgente. Su altre versioni di LINUX dovrebbe funzionare con poche variazioni.
Una volta effettuato il download, decomprimete il file ed entrate nella cartella creata.
A questo punto, se il vostro computer dispone dei normali strumenti di sviluppo:
make target=linux
make target=linux installdir=/usr/local/gw6c
Otterrete così l’eseguibile.
cd /usr/local/gw6c/bin
vi trovate nella cartella dell’eseguibile.
E’ presente anche un’esempio del file di configurazione.
cp gw6c.conf.sample gw6c.conf
Avete così un file di configurazione valido, che dovete però editare.
Lasciatelo inalterato tranne i seguenti valori:
userid=
passwd=
server=amsterdam.freenet6.net
auth_method=passdss-3des-1
prefixlen=64
log_filename=/var/log/gw6c.log
Questa è una configurazione semplice che consente una connessione autenticata che provoca l’assegnazione di un solo indirizzo V6 statico dal vostro lato del tunnel. Sono possibili configurazioni più complesse che prevedono l’assegnazione di una subnet totalmente gestibile dal vostro lato, utilizzando come router il PC che attiva la connessione.
E’ possibile persino la delega del DNS reverse.
Tali configurazioni complesse esulano da questo articolo.
Ok ci siamo!
./gw6c
Dovrebbe uscire una serie di messaggi che vi conferma l’attivazione del tunnel
digitando (da root)
ifconfig
dovreste visualizzare insieme alle altre un interfaccia di tipo tun con parametri simili a questi:
tun Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
-00
inet6 addr: 2001:5c0:1400:b::3811/128 Scope:Global
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
RX packets:9 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:688 (688.0 b) TX bytes:272 (272.0 b)
l’inet6 address è il vostro indirizzo IPV6 (in questo caso 2001:5c0:1400:b::3811)
Per testare la connessione provate a pingare qualche indirizzo IPV6
[fvettore@fvettore ~]$ ping6 -c3n ipv6.google.com
PING ipv6.google.com(fx-in-x68.google.com) 56 data bytes
64 bytes from fx-in-x68.google.com: icmp_seq=0 ttl=57 time=280 ms
64 bytes from fx-in-x68.google.com: icmp_seq=1 ttl=57 time=322 ms
64 bytes from fx-in-x68.google.com: icmp_seq=2 ttl=57 time=239 ms
— ipv6.google.com ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 239.472/280.930/322.749/33.998 ms, pipe 2
Se il ping va a buon fine va a buon fine significa che la connessione funziona.
Potete collegarvi col browser a www.kame.net e, se la tartarughina si muove, siete connessi tramite V6.
Bene ora disconnettetevi immediatamente!
Un brutale
killall gw6c
dovrebbe sortire lo scopo.
State infatti navigando utilizzando un IPV6 pubblico raggiungibile direttamente dall’esterno. Pertanto è consigliabile configurare un firewall.
Gli hacker hanno da tempo scoperto il V6….
Sotto LINUX Centos c’è il pacchetto ip6tables che funziona in maniera molto simile a iptables.
Il file di configurazione è /etc/sysconfig/ip6tables
Sulla CentOS, nell’installazione di default, trovate già qualcosa di simile:
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmpv6 -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp –dport 5353 -d ff02::fb -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 32768:61000 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp –dport 32768:61000 -j ACCEPT
#-A RH-Firewall-1-INPUT -m tcp -p tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp6-port-unreachable
COMMIT
Decommentate la penultima riga se desiderate che la vostra macchina sia accessibile tramite SSH.
service ip6tables start
Il firewall dovrebbe partire.
Per rendere permanente la protezione del firewall al prossimo avvio:
chkconfig ip6tables on
Ora se volete potete far ripartire il vostro client TSP e navigare con IPV6!
Con un ulteriore piccolo sforzo potete creare uno script di avvio da mettere in /etc/init.d ed utilizzare gw6c come un normale servizio.
Connessione con tunnel 6in4
Avviene senza l’installazione di un software specifico.
Essendo un tipo di connessione non autenticato, è necessario comunicare al provider l’indirizzo IPV4 da cui si attiva il tunnel.
Di solito si può fare attraverso un normale form http, rendendo possibile la modifica del vostro “enpoint V4” con un semplice script, anche se avete un IP dinamico.
Un ottimo provider che fornisce il servizio gratuitamente è Hurricane Electric.
Potete registrarvi su www.tunnelbroker.net ed attivare fino a 4 tunnel.
Potete anche scegliere il vostro PoP (point of presence) cioè il punto di accesso più vicino alla vostra connessione in modo da limitare la latenza. Io ho ottenuto prestazioni migliori utilizzando quello tedesco.
Dal vostro pannello di controllo potete attivare il tunnel, avendo l’accortezza, se siete dietro NAT, di specificare come vostro endpoint V4, l’indirizzo pubblico del vostro router.
Dovrebbe funzionare con qualsiasi firewall che lascia passare il protocollo 41.
Nella parte inferiore della schermata trovate le istruzioni per configurare il tunnel sul vostro computer, disponibili per varie versioni di sistema operativo.
Prima di attivarlo vale la pena configurare il firewall come spiegato in precedenza….
Sul sito trovate parecchie risorse utili nel caso vogliate approfondire la vostra conoscenza sull’argomento.
Vi consiglio di iscrivervi per la certificazione.
Non è difficile all’inizio, ma vi invoglierà a sperimentare configurazioni sempre più complesse.
Altri metodi, provider…e SIXXs
Ci sono diversi altri servizi disponibili su internet. Alcuni sono basati su tecnologie differenti.
Vale una segnalazione SIXXs che è uno dei più quotati.
Lo staff è formato da persone molto competenti.
Purtroppo ho avuto l’impressione che alla loro genialità corrisponda un’uguale dose di arroganza.
A seguito della registrazione, otterrete un certo numero di “crediti”, che dovrete usare con la massima parsimonia per compiere le operazioni più semplici, come aprire un tunnel. Non è ammesso alcun errore, altrimenti verrete penalizzati.
Dopo aver cambiato un paio di endpoint perchè non riuscivo ad alzare il tunnel a causa (ho scoperto dopo…) di una poco aggiornata versione del sistema operativo, mi sono trovato con il credito sotto zero.
Quasto mi impedirà di richiedere l’assegnazione di una subnet ancora per qualche settimana, cioè fino a quando il credito sarà ritornato sufficiente. Ho provato a richiedere un credito ulteriore, come spiegato nelle FAQ, ma non ho ottenuto neppure una risposta.
Per concludere, pur apprezzando un servizio così professionale, non vedo motivo di utilizzarlo quando altri provider offrono prestazioni analoghe senza tante limitazioni e/o imposizioni.
Quale usare?
Per la sola navigazione la soluzione TSP ha numerosi vantaggi. Potete attivarla in maniera semplice anche da un computer portatile.
Se volete provare a configurare una rete più complessa e permanente, la soluzione 6in4 dà maggiori garanzie di stabilità e configurabilità.
Ho provato a configurare la mia rete domestica utilizzando la subnet statica assegnata. Con poco sforzo, attraverso la delega del DNS reverse, ho definito gli hostname di tutti i PC della rete.
Ora sono raggiungibili dall’esterno (attraverso un firewall opportunamente settato) con indirizzi statici.
Per i PC non è solitamente necessario configurare nulla, basta attivare l’interfaccia V6 e, attraverso l'”autoconf” troveranno il loro IP statico che non cambierà ai riavvii successivi.
La feature del DNS reverse è offerta da molti, ma non sono riuscito a farla funzionare con freenet6, anche se è prevista dal TSP. Probabilmente la colpa è mia, riproverò con più calma.
Con HE, invece, è possibile una delega RDNS per oguno dei tunnel attivati e funziona molto bene.
Con SIXXs, in teoria, è possibile, ma non ho avuto modo di testarla viste le difficoltà di cui sopra.
Dove iniziare?
su wikipedia i concetti di base http://it.wikipedia.org/wiki/IPv6
IPV6 Mini Howto http://www.mrball.net/tutorials/ipv6-go6.html
Huurricane Electric tunnelbroker http://tunnelbroker.net/
Freenet6 http://freenet6.net
SIXXs http://sixxs.net
IPV6 Knoledge Center su freenet6 http://wiki.go6.net/index.php?title=Main_Page