Salta al contenuto

Connessioni remote a un host ESXi a prova di firewall

16 maggio 2012
etichette: , ,

Già in passato ho parlato sulle pagine del blog di un software a mio avviso estremamente interessante per gli amministratori di sistema: NeoRouter.

Oggi, però, voglio descrivere come utilizzarlo per risolvere un problema potenzialmente complesso e con implicazioni non indifferenti sul fronte della sicurezza.

Sto parlando dell’accesso remoto ad un server (host) VMware ESXi 5 per svolgere remotamente attività amministrative su di esso e sulle VM che ospita evitando di recarsi fisicamente presso l’infrastruttura dove è installato (cosa che in tempi di prezzo della benzina ai massimi storici non è da poco…)
Configurare l’accesso ad un host ESXi in presenza di router e firewall, infatti, vuol dire aprire le porte TCP 80, 443 e 902 e forwardarle all’IP del server.
Qui nascono i problemi sulla sicurezza poichè tra robots che esplorano la rete e hackers vari, non è difficile imbattersi nell’IP pubblico del server affidando così alla sola robustezza della password di root l’ultimo baluardo di protezione contro accessi indesiderati all’intera infrastruttura (cosa che, inevitabilmente, causa sempre qualche ansia notturna ad ogni System Administrator).
E’ vero, ci sono firewall e router che consentono di effettuare un filtraggio a livello di IP remoti concedendo l’accesso solo ad uno o più indirizzi “certicati” (quello, ad esempio, assegnato all’ADSL dell’ufficio dell’ amministratore di sistema) ma queste funzionalità, in  genere, sono riservate ad apparecchi di fascia medio-alta non sempre presenti in ogni infrastruttura.
Allora, come risolvere il problema senza chiedere costosi upgrade ai sistemi di protezione e contemporaneamente continuare a fare sogni tranquilli (diciamo, ragionevolmente tranquilli…)?
La risposta sta in questo “piccolo” software che anche nella versione completamente free è più che sufficiente al nostro scopo.
Non mi dilungherò sulle sue caratteristiche dettagliate – di cui ho già parlato nel post citato all’inizio – ed andrò subito al sodo descrivendo come possiamo usarlo per risolvere il particolare problema di cui ci stiamo occupando.
La cosa è piuttosto semplice:
1) per prima cosa creiamo una macchina virtuale sull’host VMware (basta una semplice VM con Windows XP) sulla quale installeremo il nostro client NeoRouter che, configurato di default come servizio, funziona tranquillamente con la macchina in logoff.
2) installiamo, quindi,  sulla nostra workstation amministrativa il VIclient  di VMware per la gestione dell’host e delle VM.
Et voilà, il giuoco è fatto.
Seduto comodamente nel proprio ufficio, l’ avveduto ‘Amministratore di Sistema si connette alla VM creata ad hoc sul server ESXi  (dopo avere installato il NeoRouter Client anche sulla sua postazione) e da quel momento è come se fosse all’interno della rete dell’organizzazione potendo svolgere tutte le tasks amministrative esattamente come se fosse fisicamente presente.
Tutto questo, senza aprire alcuna porta sui firewall o creare qualunque punto di debolezza ne sistema.
Piccolo trucco:
se avete un ADSL commerciale con limitata banda in upload, potrebbero verificarsi rallentamenti nella gestione delle VM utilizzando direttamente il VI Client, in questo caso basta aprire una semplice connessione di desktop remoto dalla workstation amministrativa alle singole VM ed operare con ragionevoli velocità e senza ritardi.
Si attendono commenti ed osservazioni
Alla prossima…
Lascia un commento
da → Connettività, Vpn, Virtualizzazione

2011 in review – Un anno del blog in pillole …

1 gennaio 2012
etichette:

Un anno del blog per immagini.

Un anno ricco di esperienze nuove e condivise con nuovi amici.

Auguri a tutti per un fantastico 2012 sperando di buttarsi definitivamente la crisi alle spalle e di avere un nuovo inizio …

A presto …

Here’s an excerpt:

A San Francisco cable car holds 60 people. This blog was viewed about 1.600 times in 2011. If it were a cable car, it would take about 27 trips to carry that many people…

Click here to see the complete report.

Lascia un commento
da → 2011

A che punto è il VoIP nella P.A. ?

10 novembre 2011
etichette: , , , , ,

Sono tempi di crisi questi…

Il debito pubblico italiano è alle stelle, la classe politica del tutto inadeguata, lo spettro del default aleggia sulle nostre teste minacciando le nostre vite, il nostro benessere e l’avvenire dei nostri figli.

Eppure se ognuno facesse la sua parte con onestà e competenza molte cose potrebbero rapidamente migliorare e sarebbe un bene per tutti.

Ma questo è un blog tecnologico ed io mi chiedo : cosa può concretamente fare la tecnologia per aiutare l’economia? A mio parere molto.

Prendiamo spunto da questa circolare che riguarda la diffusione del VoIP nelle scuole pubbliche italiane : Monitoraggio sull’utilizzo del VoIP. Continua a leggere…

Lascia un commento
da → VoIP

Exchange Server Vs Gmail – Parte Seconda – Due cose buone

22 agosto 2011
etichette: ,

Vacanze finite.

Si torna al lavoro (nonostante il gran caldo…)

Come promesso nel precedente post sull’argomento, voglio condividere quanto di buono ho scoperto sull’uso di Google Apps come un vero server di posta aziendale.

Come dice il titolo: due cose buone

Fin dal primo momento di questa mia avventura del mondo delle Google Apps (io, affezionato seguace di Exchange Server + Outlook) una cosa mi aveva lasciato profondamente perplesso: Thunderbird e IMAP. Continua a leggere…

Lascia un commento
da → Posta Elettronica, Software Open Source

Exchange Server Vs Gmail – Parte Prima

1 luglio 2011
etichette: ,

Da un po di tempo avevo in mente di provare come e quanto una soluzione di posta elettronica aziendale basata su un server interno Microsoft Exchange potesse essere efficacemente sostituita dal celebre Gmail di Google.

Armato di santa pazienza, ho deciso di sperimentare personalmente quello che effettivamente si può fare.

L’ obiettivo che mi sono prefisso era quello di sfruttare tutto quanto offrono le Google Apps in materia di posta elettronica per dotare un’azienda, un ente pubblico o anche un piccolo studio professionale di una infrastruttura di posta elettronica che potesse competere con quella di provata affidabilità basata su Exchange Server di Microsoft.

Premetto che, come è nello stile di questo blog, i risultati riportati sono esclusivamente quelli raggiunti “sul campo”, provati direttamente anche se per un periodo di tempo ancora non molto esteso Continua a leggere…

Lascia un commento
da → Posta Elettronica

Un provider VoIP italiano business oriented compatibile con Asterisk

31 maggio 2011
etichette: , ,

Nelle ultime due settimane ho avuto il piacere di entrare in contatto attraverso la mia rete Linkedin con operatori dell’ IT e delle comunicazioni VoIP particolarmente preparati ed innovativi.

Una di loro, in particolare, mi ha colpito per la disponibilità e la competenza dimostrate:  il Reseller Sales Manager di VoipVoice  Samuel Lo Gioco.

Con Samuel abbiamo discusso del panorama italiano nel campo della comunicazione unificata – sia per gli aspetti normativi che tecnici – scambiandoci le nostre reciproche esperienze. Continua a leggere…

4 commenti
da → VoIP

Finalmente un efficace test per i firewall

1 maggio 2011
etichette: , ,

 

Tutti gli amministratori di sistema, windows o linux, conoscono tools come Nmap in grado di verificare quali siano i servizi attivi su un dato server al fine di arrestare quelli non necessari riducendo la “superficie di attacco” (per la verità non solo gli amministratori di sistema lo usano …).

Ma quanti sanno testare efficacemente il proprio firewall al fine di vedere quali siano le connessioni “outbound” effettivamente consentite?

E cosa fare se si ha il sospetto che il proprio internet provider applica una qualche forma di filtro su porte e protocolli? Continua a leggere…

Lascia un commento
da → Sicurezza

Connessioni remote … everywhere

27 marzo 2011
etichette: ,

Sempre più nella mia attività di amministratore di sistema effettuo conessioni remote ai server che gestisco. Cosi facendo posso rispondere prontamente alle richieste dei miei clienti e, cosa non trascurabile di questi tempi, evito di prendere la macchina e fare anche 100 km che, con la benzina ad 1,50 euro, non è un risparmio da poco …

Per connettermi remotamente alle mie reti  utilizzo il desktop Remoto di Windows Server  o i vari PuTTY e WinSCP per i server linux.

Recentemente, tuttavia, mi sono trovato in una situazione piuttosto incresciosa.

In una delle infrastrutture da me amministrate il fornitore ADSL (Telecom Italia) ha installato un nuovo router Cisco per una non meglio identificata connessione a “banda minima garantita” . A parte qualche legittimo dubbio sulla reale convenienza del  nuovo contratto sottoscritto dal mio cliente mi sono presto reso conto che il nuovo router non era accessibile e, quindi, non era possibile definire il forwarding della porta TCP 3389 necessaria al funzionamento del Remote Desktop.

Parlare con la Telecom per chiedere la soluzione del problema entrando negli infernali gironi danteschi del 191 è un impresa alla quale ho da tempo rinunciato percui, armatomi di santa pazienza, ho provato a cercare in rete quale potesse essere la soluzione.

Continua a leggere…

Lascia un commento
da → Vpn

Il miglior antivirus

9 febbraio 2011
etichette:
Prestazioni a confronto
NSS Labs – Table1: Product Guidance

And the winner is …

Quante volte abbiamo sentito questa frase ma, scommetto, poche volte parlando di Antivirus …

L’Antivirus o anti-malware che dir si voglia è un componente essenziale dei nostri PC.

Se in passato beccarsi un virus poteva significare vedere una pallina rimbalzare sullo schermo o, peggio ancora, scoprire che a pochi giorni dalla laurea erano sparite molte pagine della propria tesi (come è accaduto a chi scrive …) oggi i rischi sono completamente diversi.

Agli odierni cybercriminali non interessa fare un dispetto o dimostrare quanto sono bravi sostituendo l’home page della Casa Bianca o di Google ma, al contratrio, essi lavorano nell’ombra e vogliono rimanere invisibili. Continua a leggere…

Lascia un commento
da → Sicurezza

Una bella storia di Natale

5 gennaio 2011
etichette:

Il primo post del 2011 lo voglio dedicare a Leo D’Alessandro, un bravo tecnico canadese ma di chiare origini italiane del supporto Sangoma.

La storia risale alla vigilia di Natale quando, dopo molti vani tentativi, mi sono deciso a chiedere aiuto per risolvere un problema relativo alla riconfigurazione di una scheda A200 Sangoma installata in un’appliance VoIP cui era stata sostituita la scheda madre.

Come è nello spirito di questo blog, si vuole condividere l’esperienza così che possa essere utile anche ad altri che dovessero trovarsi in situazioni analoghe.

La mother board dell’appliance VoIP di un mio cliente, infatti, non funzionava più a dovere ed era necessaria la sua sostituzione.

Ovviamente non è stato possibile reperirne una identica a causa della veloce obsolescenza tipica dell’informatica e ci si è orientati su un modello più recente dello stesso produttore.

Installati tutti i componenti sulla nuova mb (processore e RAM) e collegato il vecchio hard disk si è proceduto al riavvio del sistema. Continua a leggere…

Lascia un commento
da → VoIP
« Vecchi articoli
Iscriviti

Get every new post delivered to your Inbox.