Il Capo ti blocca Facebook by Peter Parker

Il calo li blocca Facebook? Usa a distanza l'AD5l di casa sfruttando il protocollo 55H ed evadi sul Web, indisturbato 4S minuti

Difficoltà Media

Cosa ci occorre

n ufficio sanno bene quanto si possa perdere, in termini di produttività, scrivendo commenti o sottoponendosi agli innumerevoli test di Facebook. Non è un caso, infatti, se il tuo datore di lavoro impone all'amministratore di rete di correre ai ripari. E i poveri dipendenti che non possono fare a meno di taggare, postare e sbirciare nei fatti altrui dovrebbero forse rinunciare alle loro abitudini? Certo che no! In queste pagine vedremo quindi come superare la censura aziendale, per fare qualche piccolo strappo alla regola. Impareremo infatti ad usare alcune tecniche di rete avanzate, che potranno comunque risultare utili in molte altre occasioni.

Tempo

ServerSSHperPC • La nostra scelta... freSSHd Quanto CDSta: Gratuito SitoII11l!met: \\I\fNJ.freesshd.com

Servizio di DNS alllOlllalicD

• La nostra scelta... DynDNS Quanto CDSta: Gratuito Sito 1111I!met: \\I\fNJ.dyndns.com

OientSSH • La nostra scelta... PuTTY Quanto CDSta: Gratuito Sito 1111I!met: \\I\fNJ.chiark. greenend.org.uk

Una shellsicura Il primo elemento della soluzione che proponiamo è SSH, ovvero Secure Shell. Si tratta di un protocollo di rete usato per stabilire una connessione cifrata tra due macchine, mediante la quale un computer client può accedere all'interfaccia a linea di comando di un server remoto. Per semplificare il discorso, immaginiamo di aprire una finestra simile a quella del Prompt dei comandi di Windows e di impartire un comando. Questo, anziché essere eseguito dal computer, come avviene solitamente, viene cifrato ed inviato ad un server remoto che lo decifra, lo esegue e rispedisce indietro il risultato. Il protocollo SSH è particolarmente diffuso in ambiente Unix/Linux, ma non mancano le implementazioni perWindows; per i nostri scopi abbiamo infatti scelto due software gratuiti, semplici da usare, ma molto completi: sul server installeremo freSSHd (Macropasso Al mentre dal lato client useremo PuTTY (Macropasso m.

I Il capo ti blocca Facebook

Antivirus&Sicurezza

I Fai da te I

PCdi casa come serverSSH 5010 pochi router offrono il servizio 55H. Per aggirare lostacolo, installiamo un server 5ecure 5hell direttamente sul PC di casa. Vedremo poi come reindirizzare il traffico dal router verso il suo IP. ~

.d@ G"",,~ I Completing the freeSSHd SSH/T elnet Server Setup Wizard Set~ ha. frished

'"'

Ì'1slaIin9 freeSSHd SSHIT eInet Server on J'OU corrç<J.... The appIicaIion be Iaunched by ,eIecli-lg Ihe mtoled icons. rK:k Frlim

Loon[.w>

""l'

A<Ahoriz..m

In 1":)(( ~p.h.,

PaHWOfd:

~ Private kevs should be created.

P••• WOId(••••• 1: Dcmen

ShoUd I do il:now?

Use. can use:

(i) 1

•• SHAl ilMh

I-

il ~

I··..·

....lI

I r

snea

r SFTP

Sì

Ip•••"""dstaed

Installiamo il server

Scarichiamo il file eseguibile freeSSHd.exe da Win Extra ed avviamolo con un doppio clic del mouse. Seguiamo la procedura guidata fino a confermare la creazione della chiave privata per il server SSH e l'avvio del programma come servizio autorizzato di Windows.

(il 2

~ lIimi!iil

Un nuovo auoum SSH

Clicchiamo sull'icona di FreeSSHd nella System Tray di Windows e selezioniamo la scheda Users. Clicchiamo su Add ed inseriamo i dati come indicato in figura. Naturalmente possiamo usare ciò che vogliamo come Login e Password; l'importante è abilitare il Tunneling (casella di controllo in basso).

..JgJ.!!l

I ••..•••••• I ~ I Orh_ I ,••..•I SSH I •••••.••. ' ~

s-.--.. u..

I -.-.-,.,.".... I SFlP

",.,..~pgoI~p r

""' __

b.Jto.w.d~lobc~

.••q1Z7,o.llI,

~r r

f:7••••••••••~

••••••••••••.•••• ,.. •••••IioooN"'_

Q" ••••••••••••••••••••••••••••••••

{ilAllililiamo

l'inoltro delle POrte

Selezioniamo la scheda Tunneling ed abilitiamo Allow loeal port forwarding. Per sicurezza possiamo limitare l'accesso

al server SSH al solo indirizzo IP dell'ufficio (se statico) inserendolo nella scheda Host restriction. Confermiamo le impostazioni cliccando su OK.

Sono fuori dal tunnel! Del protocollo SSH useremo anche un'altra importante caratteristica e cioè la possibilità di creare un "tunnel" cifrato tra due macchine. In pratica, faremo in modo che il client SSH, che installeremo sul computer aziendale, resti in ascolto su una determinata porta TCP (nel nostro caso la 8080). Tutto il traffico indirizzato a questa porta verrà inviato, sempre in modo cifrato, al server SSH che avremo installato sul computer di casa. Quest'ultimo può ridirigere la richiesta di informazioni verso qualsiasi sito Internet ci interessi, attenderne la risposta e inol-

Tocr.aal firewall di Windows

Apriamo il Pannello di controllo dal menu Start di Windows e selezioniamo Windows Firewall. Andiamo nella scheda Eccezioni, clicchiamo sul tasto Aggiungi porta e specifichiamo la porta Tep 22 come indicato in figura. Chiudiamo tutte le finestre confermando con OK.

-(l~ DA AUTOM« ASTAnm

Se in casa hai più di un PC collegato in rete, conviene disattivare il server DHCP del router ed assegnare manualmente gli IP. Il motivo è semplice: nel Macropasso B vedremo che è necessario ridirigere il traffico SSH, proveniente dall'esterno, verso il nostro server SSH casalingo; per fare questo bisogna conoscere l'indirizzo IP locale assegnato al PC che esegue freeSSHd. Per assegnare al PC Un IP statico, andiamo nel Pannello di controllo di Windows, apriamo la finestra delle connessioni di rete e selezioniamo la rete locale (LAN). Clicchiamo con il tasto destro e scegliamo la voce di menu Proprietà. Selezioniamo il Protocollo Internet TPc//P v4 e clicchiamo su Proprietà. Nella finestra che si apre selezioniamo l'opzione Utilizza il seguente indirizzo IP e specifichiamo l'indirizzo IP (ad esempio 192.168.1.69), il gateway (l'indirizzo del router, ad esempio 192.168.1.1) e i DNS del nostro provider (se il router li rileva automaticamente, in questo campo possiamo digitare 1'1P del router).

trarla (con un percorso a ritroso) verso il l' dinamico? No problemI client. In questo modo, sul PC aziendale Un altro "trucco" che impareremo in quepotremo usare un normale browser: ba- ste pagine è l'uso di un servizio di Dynasta soltanto avere l'accortezza di impomie DNS. Solitamente le ADSL domestistare PuTTY come proxy (Macropasso che non forniscono un indirizzo IP staD): il traffico generato dal browser viene tico per accedere al Web: ad ogni coninoltrato a PuTTY,che a sua volta provvede . nessione, infatti, ce ne viene assegnato a comunicare con il server SSH casalinuno diverso. Ciò potrebbe rappresentare go attraverso il tunnel cifrato, che do- un problema per noi che vogliamo ragvrebbe superare senza problemi il fire- giungere il server SSH casalingo dalla powall aziendale (raramente il protocollo stazione di lavoro. Ecco perché vedremo (Macropasso C) come associare al nostro SSH viene disabilitato dagli amministraserver Un nome simile a "mionorne.dnsatori di rete, in quanto loro stessi lo usano per effettuare da remoto interventi sul- lias.net" che resterà invariato qualunque sia l'IP assegnatoci dal provider. ~ la rete locale). Win Magazine Novembre2009_

ROUTER: UN MISTERO?

~ Apri la porta del router

Se abbiamo dubbi su come eseguire il forward della porta TCP 22 verso il PCche esegue freSSHd, proviamo a dare un'occhiata al sito http:/ / pcrtforward.cem, Basta selezionare il modello del nostro router, saltare la pagina pubblicitaria usando illink in alto a destra e diccare sul software da configurare (nel nostro caso il servizio SSH)_Compariranno subito le istruzioni passo passo per eseguire l'operazione_

Dobbiamo fare in modo che il server 55H sia raggiungibile dall' esterno. A tal fine, il router dovrà reindirizzare il traffico sulla porta 22 verso il PC con free55Hd. Ecco come fare.

SSH A BASSO CONSUMO

ffl

Alcuni router offrono direttamente il servizio SSH;altri ancora lo fanno 5010 dopo aver installato un firmware modificato (come il D-LinkDSL G624T con il firmware RouterTech, www_routertech.org). In questi casi si può evitare la configurazione del PCcome server SSH. Non sarà dunque necessario lasciare acceso il computer, ma soltanto il router. " risparmio di corrente è garantito!

SI~M

1MuIIs.-IQrSl"ClllP~ IUo_ SlotrIParI_ &wIParI_

"Win

f"4'3

p:;-p;--

L_P_~ M.lll1len.

-; "'"... -~, "'"... ,.,.. : " ~ " ··, " ...."" · ====i " · $U"

...••.••""o..i IPVOl:.:J NATSleIuS'

~oll's

ActiYllled

r-sngIer,.....

Nel pannello del router

Solitamente si accede alla configurazione del router puntando il browser Web all'indirizzo http://192.168.1.1. l'IP del router potrebbe essere diverso: controlliamo il manuale o le etichette adesive sul dispositivo. Caricata la pagina, logghiamoci con user e password (li troviamo sul manuale).

(il 2

L ••••

•••• ,

"""

o o o o o o o o o

o o o o o o o o o o o o

•••

----'

Il Z2 è il numero estraIIII

Entriamo nella sezione Advanced SetuplNAT e clicchiamo sullink Virtua/ Server. Qui possiamo aggiungere una nuova regola specificando la porta (22) e l'indirizzo /P del computer che funge da selVerSSH (nel nostro caso 192.168.1.69). Confermiamo cliccando su SAVE.

PC sempre raggiungibile Le AD5L di casa offrono, di $olito, un indirizzo IP dinamico (che cambia ad ogni connessione). Ma con i servizi di DN5 dinamico possiamo raggiungere il server 55H anche senza conoscerne l'IP!

DNS DINAMICO NEL ROUTER Molti router supporuno DynDNS:ad ogni cambio dell'indirizzo IP pubblico lo comunicano a DynDNSc!le provvede ad associarlo all'hostname scelto. Per configurarlo ad esempio sullo Zyxel Prestige 662, basta accedere al pannello di controllo del router, raggiungere la sezione Advanced/Dynamic DNS e specificare Use, Name, Passwo,d ed Host Name del nestre profilo DyDNS(Passo Cl).

ttelp

~~~~----------------------~

.1'1.

usererre: Last~tB: CUTentl?_,

_-_ ..•. -_•...-... _-..•. ------.•.....••.. •.. •..

~~Sta

Neva" __

••• ,

Dyr()NS.com Internet Q;de: __ .......,""'

~....,~

•.•.__

c,. ••

IJ§'"' __

••••• O'O-CM""'I4'9' •••••••••••••••••

U,trcw.r

•.••••• .at_III

••••••.••..

[)ytlanic

•...•...". .

••••••••

Enablacl on Ihis PC

,.,.,~_C>n"IIt~_f1(U'~-.a

~(J

ONS

Hosts

mU"Ome.msahas.ret

t'WIIIHap....-.a(,) ('OfI'W_I')

l1JAaoum DN5: è

ReftesbtmtllSt

lUttO gratis!

Colleghiamoci al sito www.dyndns.com.clicchiamo Create Account e registriamoci compilando il modulo. Clicchiamo sullink nell.e-mail ricevuta per abilitare l'account ed eseguiamo il 10gin al sito. Clicchiamo My Services e poi Add hostname. Scegliamo un nome, clicchiamo Use auto deteaed /P address, premiamo Add To Cart e completiamo la procedura. . .

Magazine Novembre

2009

c.rc.o

••••

Indirizzo sempre auiornato

Per fare' in modo che il nostro hostname (scelto al Passo Cl) corrisponda sempre all'indirizzo IP pubblico che il provider ADSL associa al nostro router, scarichiamo il software DynDNS Updater dalla sezione Support del sito. Installiamolo, eseguiamo il login con i dati del nostro account DynDNS, meniamo il segno di spunta sul nostro hostname e confermiamo con OK

Antivirus&5icurezza

I Il capo ti blocca Facebook I Fai da te I

Configurare il PCaziendale . mgo e pronto. p.essramo an dare are im uff·· ICIO e provare a navigare sfruttan d o Il PCcasaI·• il tunnel 55H. Tutto quello che serve, oltre al classico browser, è un client 55H come puny. L.. Features

Im=me.dyna6a s, ne, Comection Iype: Baw Iolnet

f .-

~ Window : .. Appearance

1m-c

Riogin

r. lS:S:R.l r·

i S~S

Se,iol

: .. Dete

i·· . Appear

1.. ··

~ !r r

ance

! \... Behaviour

Trensletion

! l···· Selection ! !.. Colours 8 Connection

';J 4

Add

I.!N".

r;;:H

Wld.-".IIect.

e::-~\oO\*' .••••••

dIII•• t..-ao,.."

•••••

......[1"':

I-~--~*~~~_·p

d __

....•

lrOiuo

•• carIl;u- •••.•• LtoIIIItu ••~ p.,lA:Izz.-et"~, •.

r~.~~1ZIorl UtIuI~dlr.a:tt,.Jt

proxy 1M

(" SOO:S..;

('~.,.~

&tomItIcI

5000,",

••• I*IIoe.ItIoIt.'21O'Ol E__ ~Cf9,.fIIli

••~~u

c:::::2W

-I---L.J

(;j

Scegliamo un browser per fSSIloo

Se per l'accesso SSH vogliamo usare Firefox, andiamo in Strumenti/Opzioni, selezioniamo Avanzate e poi Rete. Clicchiamo su Impostazioni e, nella nuova finestra, selezioniamo Configurazione manuale dei proxy. In Host SOCKS scriviamo localhost e in Porta digitiamo 8080. Buon Facebook!

"'*'-

*-ttN ••

-soctSr= ~PI

~ ~

•.•••"L I

fOfWarded 1'0<1:

Iltunnel è aperto

tPOlllllltchtcon

~oUInonl'l_

._\

Tunnel: lavori in mrso

InftMIVW'IIJI'"I09Va. 111COI'"I9J"UIIaN atam.tt:

F'fcIto.tiTTP.

~OUIce port

Data

""""-EE.I

:I:~"'_

Eseguiamo il login utilizzando le credenziali specificate al Passo Al. Digitando la password non vedremo comparire nulla a monitor: quindi, scriviamo lentamente per non commettere errori. Il messaggio This service is prohibited si riferisce alla shell SSH: il tunnel, invece, è attivo. Lasciamo aperta questa finestra.

Per connetterei al server SSH casalingo, basta selezionare la sessione salvata al Passo 02 e cliccare su Open. La prima volta che contatteremo il server, ci verrà chiesto se siamo sicuri dell'autenticità del server e se vogliamo memorizzare la sua chiave: clicchiamo su Sì.

r•••• e-.. •....,..

_O.'·~T,~

Nell'elenco ad albero, a sinistra, apriamo il nodo SSH e selezioniamo la voce Tunnels. Attiviamo l'opzione Dynamic, nella casella Source port inseriamo 8080 e clicchiamo sul tasto Add. Torniamo alla voce Session, scriviamo un nome nella casella Saved Sessions e confermiamo con Save.

IlmntaIIII è Slabirlto!

'.T

me porta lasciamo la 22.

Ben

Option. cont,oIingSSH'Pcw1 lo,,,,ardirlg-

.0_- ~_ .' Port fOfWarding LoeaI porjs accept comectiont hom other host. i Remoto gort. do the sarno (SSH·2 onIy)

Features

fiJ

. .exe di PuTTY (presente nel-

l'lnterfaccia Principale del Win CO/DVD-Rom); il software non ha bisogno di installazione. Nella schermata iniziale, nel campo Host Name scriviamo quello creato con DynDNS (Ma ero passo C) e co-

(il

filAvviamo il dient 1 Facciamo doppio clic sul file

Il: :

j. Keyboard

~ Window

P,oxy . Telnel Riogin !±I SSH

l'A

~. Te,minai

•• sion.

i Delaull Setting.

s·· Conneclion

TV Conhqufdhon

Catego'y:

--,,--,"~'--"".~--.,

:x Pul

i Load •• avo '" doIeto a stOled .o ss ion

Behaviaur T'OIl.lation - Seleclion c. CoIour.

fiDARSI E BENE •••

~oyuuo,u

, .. Ben

~ (;)

000

_<I

e l'ahro usiamolo per lavorare

Il controllo dell'au· tenticità del server (Passo 03) serve per evitare attacchi in· formatici come il "Man in the middle", ovvero la possibilità che un malintenzio· nato possa interporsi tra client e server SSH spiandone il traffico in transito e magari alterandolo. È buona regola controllare che l'impronta (fingerprint) della chiave ssh-rsa visua-' lizzata nel messaggio di PuTTYcorrisponda al campo RSA key della scheda SSH del pannello di controllo di freeSSHd.

IL 22 ÈAL CAPOLINEAl Sebbene i firewall aziendali lascino passare il traffico SSH, potremmo essere così sfortunati da trovare la porta TCP22 bloccata. In questo caso possiamo usame un'altra sicuramente aperta, come la Tep 443, destinata al traffico HTTPS.Basta seguire il tutorial descritto, tenendo a mente di eseguire le sostituzione. Per quanto riguarda la configurazione di freeSSHd, ad esempio, apriamo la scheda SSH e specifichiamo la porta 443.

UN FRENO ALLA PARANOIA Sebbene PuTTYnon necessiti di installazione, lascia traccia sull'hard disk delle sue impostazioni. Se in nostra assenza temiamo controlli sul PC aziendale, possiamo usare la versione porta bile (www.winmagazine.it/linkl 381) installata su una chiavetta USB.

Se invece preferiamo "navigare in SSH" con Internet Explorer, riservando Firefox per la rete aziendale, andiamo in Strumenti/Opzioni Internet/Connessioni e clicchiamo Impostazioni LAN. Abilitiamo la voce Utilizza server proxy e clicchiamo Avanzate. In Socks digitiamo localhost e 8080 in Porta.

Win MagaDIe Novembre

•••

i •

2009