SIAMO GEEK

Categoria: SysAdmin

  • La bella idea di mettere online le configurazioni

    L’iPhone (ma, badate, è un esempio di una casistica più generale) permette di configurare automaticamente l’accesso tramite VPN attraverso un file scaricabile con Safari.

    La procedura è descritta a pagine 23 del iPhone OS Enterprise Deployment Guide [PDF] e il file può essere creato con i tool di Apple oppure seguendo queste istruzioni.

    Fin qui niente di male, anzi è una bella idea che viene in aiuto quando si devono configurare dispositivi remoti in mano a persone non tecnicamente preparate, inoltre permette di mantenere l’uniformità delle configurazioni, tanto cara ai SysAdmin.

    Il file di configurazione può contenere una chiave segreta condivisa per l’accesso alla VPN, che serve a tenere fuori dalla rete i computer che non possiedono le credenziali adatte.

    Ma il file di configurazione deve essere messo online perché Safari vi possa accedere ed ecco che, mettendo le rune corrette in Google, saltano fuori i file di configurazione delle VPN.

    Va detto che la maggior parte sono file di configurazione per accedere a campus universitari o istituzioni simili, ma se qualcuno avesse tempo e voglia di spazzolarsi gli oltre cento risultati non è detto che potrebbe trovare qualcosa di utile.

  • Martedì, maledetto martedì

    Chi ha scritto del codice che ha a che fare con le date e i calcoli ad esse associate prima o poi si è scontrato con il problema spinoso della Pasqua, o, meglio, del lunedì successivo, l’unico giorno festivo che cambia di data ogni anno con regole che coinvolgono sole e luna.  Per chiesa cristiana cattolica, la Pasqua è la prima domenica successiva al primo plenilunio di primavera, ovvero la prima domenica successiva all’equinozio di primavera.

    Come se non bastasse, molte aziende di software rilasciano gli aggiornamenti a cadenza regolare programmata.

    I produttori del malware fanno la stessa cosa, ma con 24 ore di ritardo rispetto alle aziende.

    Questo è lo schema seguito da alcune aziende, buona fortuna:

    (altro…)

  • Incapsulare il TCP nell’RDP

    Il protocollo di connessione al desktop remoto (RDP) è utilizzato in ambiente Windows per collegarsi ad un sistema remoto per assistenza o per eseguire dei programmi applicativi direttamente sul sistema remoto.

    Molti lasciano una macchina Windows con RDP accessibile a Internet. Al di là delle normali considerazioni di sicurezza, rdp2tcp pone un ulteriore questione in merito a questa pratica.

    rdp2tcp sfrutta i virtual channels del protocollo RDP per instradare ilprotocollo TCP attraverso una sessione terminal.

    In questo modo l’attaccante può utilizzare una serie di tool di analisi e di attacco dalla propria macchina senza installare nulla sulla vittima. (via PenTestIT)

  • Windows 7 e Windows 2008 R2 SP1 RC

    La release candidate dei service pack 1 per Windows 7 e Windows 2008 R2 sono disponibili per il download.

    Va da sé che non sono aggiornamenti adatti ad ambienti di produzione, ma servono a sviluppatori e SysAdmin per le verifiche di compatibilità.

    Le versioni definitive saranno disponibili nella prima metà di quest’anno.

  • Giornata mondiale IPV6

    Come riportato da più fonti (p. es http://isoc.org/wp/worldipv6day/), il prossimo 8 giugno si terrà la giornata mondiale dell’IPV6.

    Alcuni dei principali gestori di servizi (google, facebook. yahoo…) offriranno i loro contenuti  anche attraverso IPV6 per 24 ore.

    Si tratta sicuramente di un’iniziativa utile, ma che fa sorridere i tecnici. Infatti dal punto di vista tecnico l’utilità è quasi nulla. Solo lo 0,22% dei navigatori internet ha accesso a indirizzi IPV6 e nessuno vietava i gestori di effettuare i loro test silenziosamente ed in maniera assolutamente non invasiva.  Da notare che google offre già i suoi contenuti su http://ipv6.google.com/ da diverso tempo. Youtube credo sia già attivo in IPV6.   Io stesso ho attivato il nuovo spazio di indirizzamento su diversi domini e posso garantire di non aver mai riscontrato nessun problema.

    Fa sorridere, inoltre, il limite temporale delle 24 ore dichiarato dall’evento: se funziona lasciatelo attivo e basta!.

    La vera utilità è dell’iniziativa è nascosta dietro alla vera natura della stessa: credo si tratti infatti di un evento mediatico il cui scopo è quello di iniziare a far conoscere al navigatore occasionale alcuni aspetti tecnici relativi al futuro assetto di internet. E soprattutto di far capire al navigatore medio che, contrariamente a quanto insinuato da alcuni articoli apocalittici relativi all’esaurimento dello spazio IPV4, non ci sarà alcun trauma per l’eventuale futuro passaggio alla nuova tecnologia.

    Se volete avere un riscontro delle preoccupazioni dell’utente medio date un’occhiata ai commenti in calce all’ articolo su tom’s hardware relativo all’evento: qualcuno si preoccupa addirittura di uno stallo nazionale  della connettività internet legata al passaggio a IPV6.

    Speriamo che, grazie alla grande visibilità di questa iniziativa garantita dai grossi nomi coinvolti, sia fatta chiarezza una volta per tutte.

  • I cani sciolti

    Avete messo in piedi un bel sistema di sicurezza per la vostra organizzazione: antivirus con policy restrittive, antispam, IDS, firewall…

    Dopo mesi (o anni) di lavoro, avete avuto un periodo relativamente tranquillo dal punto di vista della sicurezza: il malware che arriva da chiavette o attachment viene immediatamente identificato e reso inoffensivo.

    Un bel giorno vi dicono che l’organizzazione utilizzerà su alcuni collaboratori esterni per rimpolpare la forza vendita e di promozione. Tutte brave persone che aggiorneranno i dati aziendali da casa collegandosi in VPN e venditori con un proprio laptop professionale che utilizzeranno anche per presentare i prodotti ai possibili clienti.

    (altro…)

  • Ha ancora senso creare le LAN /24?

    È una domanda che mi pongo da un anno a questa parte. Parlo ovviamente di LAN office con un numero di utenti maggiore di ε.

    Dallo scorso anno le LAN che creavo ex novo le ho fatte tutte /16, anche se non c’era una ragione particolare. Questo perché mi sono trovato molte volte ad avere ristrettezze di manovra in LAN /24 in cui erano stati aggiunti dispositivi IP non previsti in precedenza.

    RFC 1918 mette a disposizione tre gruppi di indirizzi IPv4 per le LAN private, nessuno dei quali è più piccolo di un /16:

    • 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
    • 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
    • 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

    Visto il crescere di dispositivi IP, tra cui, per citare un esempio, la telefonia VoIP, credo che oramai sia autolimitante utilizzare dei /24 per le LAN.

    Tutto questo nell’attesa dell’arrivo di IPv6 e, speriamo, del pensionamento di NAT e indirizzi privati non routabili.

  • Spam e botnet: il volto mutevole del male

    Lo spam sta probabilmente cambiando forma e obiettivi.

    Quello che vedete a fianco è il diagramma annuale delle mail rifiutate per spam di uno dei server che amministro che gestisce meno di cinquanta utenti ma ha un discreto volume di traffico. Il trend è in evidente calo.

    Fino ad un paio di anni fa lo spam rendeva molto. Ora tutti i mail server hanno sistemi antispam e i PC zombizzati dei botnet che distribuiscono spam finiscono velocemente nelle black list utilizzate dai mail server per bloccare lo spam.

    (altro…)

  • QNAP, iSCSI e autospegnimento dei dischi

    Attivare la funzione di autospegnimento dei dischi in caso di inattività sui NAS QNAP (almeno su un TS-4329 Pro II) può far arrabbiare un server Windows 2008 R2.

    Per quasi una settimana ho avuto a che fare con il problema che ho descritto anche nel forum di QNAP. In sostanza, connetto una LUN iSCSI ad un server 2008R2, il tutto funziona, ma dopo un po’ di tempo smette di funzionare.

    All’inizio il colpevole poteva sembrare l’aver attivato la funzione di thin provisioning del volume iSCSI, ma dopo vari e lunghi esperimenti ho trovato la soluzione. La combinazione QUNAP, iSCSI e Windows 2008R2 non gradisce l’impostazione di autospegnimento dei dischi in caso di inattività.

  • Ricerca di device IPV6 in LAN

    Johannes Ullrich ha creato un piccolo script shell per individuare i dispositivi IPV6 connessi in una LAN /24.

    Lo script è basilare e passibile di migliorie, ma potrebbe servire per iniziare ad impratichirsi con IPV6. (via SANS)

  • Ricetta per un capodanno nerd

    1. installare figlet
    2. impostare il salvaschermo di Gnome a “fuochi artificiali”
    3. controllare che il demone ntp stia facendo il suo dovere
    4. salvare lo script che segue come cdown.sh:
      #!/bin/bash

let b=`date +%s`-1293836400
while [ $b -lt 0 ]; do
   clear
   figlet -c -f big -W -- $b
   sleep 0.1
   let b=`date +%s`-1293836400
done
clear
figlet -c -f big -W  "BUON ANNO!"
sleep 5
gnome-screensaver-command -a
    5. da dentro un xterm eseguire ./cdown.sh
    6. festeggiare!

  • Windows, Linux, e la fuga dai virus

    Dopo aver impiegato ben tre giorni (non continuativi) di lavoro per eliminare (o forse e` ancora li` ma io non lo trovo piu`) l’ennesimo rootkit da un pc windows di un amico, vorrei provare a spiegarvi come e perche` potete liberarvi di Windows.

    (altro…)