DHCP Snooping? Certo, prima o poi lo attiverò.

Oggi arrivo dal cliente, e trovo un muletto in appoggio a una videoconferenza che ha problemi a collegarsi alla rete. Un’occhiata distratta: il cavo è collegato e sull’interfaccia c’è traffico, ma il notebook non “vede” nulla e non accede a nessuna risorsa.

Controllo l’indirizzo, e in effetti è una roba tipo 192.168.100.blabla. Ecco il problema: la rete aziendale è 10.yadda.yadda.bla e il solito Kevin Mitnick mancato deve aver toccato la configurazione, mi dico, ma in realtà c’è di meglio. La macchina è a posto, solo che sulla rete c’è collegato qualcosa che fa da DHCP server e ruba il lavoro agli onesti server che tirano la carretta tutti i giorni. E ciò è male: se gli si lascia fare così, nel giro di poche ore potrebbe scatenarsi una grave rottura di scatole. Continua a leggere

Il Wireshark dei poveri

Dopo la disinstallazione di un Exchange di cui ho parlato nel post precedente, mi è rimasto un problema: ho dovuto aggiungere all’interfaccia di rete del nuovo server l’IP privato del server dismesso (a sua volta modificato), pena la mancata ricezione di posta dall’esterno.

Con un po’ di calma e dopo una telefonata chiarificatrice con il solito Giuliano, mi sono deciso a controllare le connessioni in ingresso sul nuovo server, per capire dove stesse l’inghippo.

Non avendo la minima voglia di installare Wireshark su un server così importante, mi sono deciso ad usare netstat. Dopo un po’ di tentativi ho usato la seguente sintassi: Continua a leggere

Di domini, hosting e DNS

Ci sono diversi casi in cui un dominio viene registrato presso un fornitore mentre l’hosting (o un altro servizio) è altrove; i casi più comuni che mi vengono in mente sono i blog su Blogger e i Tumblr che desiderano utilizzare un proprio nome a dominio mantenendo la comodità di una piattaforma pubblica, oppure quando il dominio di primo livello che avete scelto non è gestito dall’hoster: un caso molto comune sono i domini .it su un provider statunitense. In quest’ultimo caso, poiché non sono supportati i .it, è necessario registrare il dominio altrove e poi intervenire sul DNS in modo da “puntare” il dominio sui server corretti. Continua a leggere

Aggirare un firewall con il port forwarding dinamico

Scenario 1: siamo connessi ad internet tramite un firewall con politiche restrittive che non permette il traffico verso i server di cui abbiamo bisogno e/o verso alcuni siti web.

Scenario 2: siamo connessi ad internet tramite una rete non fidata (internet cafè, lanparty, hackmeeting) e sospettiamo che il nostro traffico possa essere sniffato da qualche malintenzionato.

In questi casi, avendo a disposizione un account su un server SSH pubblico raggiungibile su una qualunque porta (anche diversa dalla stardard TCP/22) possiamo utilizzare il dynamic port forwarding, un sistema particolarmente comodo di veicolare traffico criptato bypassando eventuali restrizioni. Continua a leggere

Un tapullo per filtrare gratis il traffico internet

Pare che la moda del momento sia chiedere che i propri dipendenti non usino Facebook e non chattino su MSN. Pur non essendo d’accordo, credo si tratti di una richiesta lecita se fatta da chi paga sia le persone che la banda(*).

I sistemi di content filtering possono essere costosi e/o impegnativi nella manutenzione per aziende di piccole dimensioni che magari dispongono a malapena un firewall. Ci sono un paio di tecniche che permettono di filtrare abbastanza agevolmente senza dover fare alcun investimento. Il principio è controllare le query DNS, intercettando i domini da bloccare e/o utilizzando l’apposito servizio gratuito fornito da OpenDNS. Della situazione speculare, il blocco totale con pochi domini in whitelist avevo già parlato qui. Continua a leggere