Embed Size (px)
DESCRIPTION
Guida per vedere Facebook
Citation preview
, ,
Il calo libloccaFacebook?
Usa a distanza l'AD5l di casasfruttando il protocollo 55Hed evadi sul Web, indisturbato
In ufficio sanno bene quanto si possaperdere, in termini di produttività,scrivendo commenti o sottoponen-
dosi agli innumerevoli test di Facebook.Non è un caso, infatti, se il tuo datore dilavoro impone all'amministratore di re-te di correre ai ripari. E i poveri dipen-denti che non possono fare a meno ditaggare, postare e sbirciare nei fatti al-trui dovrebbero forse rinunciare alle lo-ro abitudini? Certo che no! In queste pa-gine vedremo quindi come superare lacensura aziendale, per fare qualche pic-colo strappo alla regola. Impareremo in-fatti ad usare alcune tecniche di rete avan-zate, che potranno comunque risultare uti-
O li in molte altre occasioni.Cosa cioccorre UnashellsicuraServerSSHperPC Il primo elemento della soluzione che• La nostra scelta... proponiamo è SSH, ovvero Secure Shell.freSSHd Sitratta di un protocollo di rete usato perQuanto CDSta: Gratuito stabilire una connessione cifrata tra dueSitoII11l!met: macchine, mediante la quale un com-\\I\fNJ.freesshd.com
puter client può accedere all'interfacciaa linea di comando di un server remoto.Per semplificare il discorso, immaginia-mo di aprire una finestra simile a quelladel Prompt dei comandi di Windows e diimpartire un comando. Questo, anzichéessere eseguito dal computer, come av-viene solitamente, viene cifrato ed in-viato ad un server remoto che lo decifra,lo esegue e rispedisce indietro il risulta-to. Il protocollo SSH è particolarmentediffuso in ambiente Unix/Linux, ma nonmancano le implementazioni perWin-dows; per i nostri scopi abbiamo infattiscelto due software gratuiti, semplici dausare, ma molto completi: sul server in-stalleremo freSSHd (Macropasso Al men-tre dal lato client useremo PuTTY (Ma-cropasso m.
Tempo4S minuti
DifficoltàMedia
Servizio di DNSalllOlllalicD• La nostra scelta...DynDNSQuanto CDSta: GratuitoSito 1111I!met:\\I\fNJ.dyndns.com
OientSSH• La nostra scelta...PuTTYQuanto CDSta: GratuitoSito 1111I!met: \\I\fNJ.chiark.greenend.org.uk
I Il capo ti blocca Facebook I Fai da te I Antivirus&Sicurezza
PCdi casa come serverSSH -(l~5010 pochi router offrono il servizio 55H. Per aggirare lostacolo, installiamo un server 5ecure 5helldirettamente sul PC di casa. Vedremo poi come reindirizzare il traffico dal router verso il suo IP.
.d@
Completing the freeSSHdSSH/T elnet Server Setup Wizard
Set~ ha. frished Ì'1slaIin9 freeSSHd SSHITeInet Server onJ'OU corrç<J.... The appIicaIion ""l' be Iaunched by ,eIecli-lgIhe mtoled icons.
rK:k Frlim In 1":)((~p.h.,~
Private kevs should be created. ShoUd I do il:now?
Sì No
(i)Installiamo il server1 Scarichiamo il file eseguibile freeSSHd.exe da Win Extra ed
avviamolo con un doppio clic del mouse. Seguiamo la pro-cedura guidata fino a confermare la creazione della chiave priva-ta per il server SSH e l'avvio del programma come servizio auto-rizzato di Windows.
..JgJ.!!l
u.. I ••..•••••• I ~ I Orh_ I -.-.--s-.--.. I ,••..• I SSH I •••••.••. ' ~ ,.,.".... I SFlP
",.,..~pgoI~pr b.Jto.w.d~lobc~ .••q1Z7,o.llI,
""'__ ~rr
{ilAllililiamo l'inoltro delle POrte3 Selezioniamo la scheda Tunneling ed abilitiamo Allow loeal
port forwarding. Per sicurezza possiamo limitare l'accessoal server SSH al solo indirizzo IP dell'ufficio (se statico) inseren-dolo nella scheda Host restriction. Confermiamo le impostazioni clic-cando su OK.
~G"",,~I
I: '"'Loon[.w>
A<Ahoriz..m Ip•••"""dstaed •• SHAl ilMh ilPaHWOfd: I- ~
P••• WOId(••••• 1: I··..· ....lI
Dcmen IUse. can use: r snea
r SFTP
~ lIimi!iil(ilUn nuovo auoum SSH2 Clicchiamo sull'icona di FreeSSHd nella System Tray di Win-
dows e selezioniamo la scheda Users. Clicchiamo su Added inseriamo i dati come indicato in figura. Naturalmente possiamousare ciò che vogliamo come Login e Password; l'importante è abi-litare il Tunneling (casella di controllo in basso).
f:7••••••••••~ ••••••••••••.••••,..•••••IioooN"'_
Q" ••••••••••••••••••••••••••••••••
~ Tocr.aal firewall di Windows4 Apriamo il Pannello di controllo dal menu Start di Windows
e selezioniamo Windows Firewall. Andiamo nella scheda Ec-cezioni, clicchiamo sul tasto Aggiungi porta e specifichiamo la por-ta Tep 22 come indicato in figura. Chiudiamo tutte le finestre con-fermando con OK.
Sono fuori dal tunnel!Del protocollo SSHuseremo anche un'al-tra importante caratteristica e cioè la pos-sibilità di creare un "tunnel" cifrato tradue macchine. In pratica, faremo in mo-do che il client SSH, che installeremo sulcomputer aziendale, resti in ascolto suuna determinata porta TCP (nel nostrocaso la 8080). Tutto il traffico indirizza-to a questa porta verrà inviato, semprein modo cifrato, al server SSHche avremoinstallato sul computer di casa. Que-st'ultimo può ridirigere la richiesta di in-formazioni verso qualsiasi sito Internet ciinteressi, attenderne la risposta e inol-
DA AUTOM«ASTAnmSe in casa hai più diun PC collegato in re-te, conviene disatti-vare il server DHCPdel router ed asse-gnare manualmentegli IP. Il motivo èsemplice: nel Macro-passo B vedremo cheè necessario ridirige-re il traffico SSH,proveniente dall'e-sterno, verso il no-stro server SSH casa-lingo; per fare questobisogna conoscerel'indirizzo IP localeassegnato al PC cheesegue freeSSHd. Perassegnare al PC Un IPstatico, andiamo nelPannello di controllodi Windows, apriamola finestra delle con-nessioni di rete e se-lezioniamo la rete lo-cale (LAN). Clicchia-mo con il tasto de-stro e scegliamo lavoce di menu Proprie-tà. Selezioniamo ilProtocollo InternetTPc//P v4 e clicchia-mo su Proprietà. Nel-la finestra che siapre selezioniamol'opzione Utilizza ilseguente indirizzo IPe specifichiamo l'in-dirizzo IP (ad esem-pio 192.168.1.69), ilgateway (l'indirizzodel router, ad esem-pio 192.168.1.1) e iDNS del nostro provi-der (se il router li ri-leva automaticamen-te, in questo campopossiamo digitare1'1P del router).
trarla (con un percorso a ritroso) verso ilclient. In questo modo, sul PC aziendalepotremo usare un normale browser: ba-sta soltanto avere l'accortezza di impo-stare PuTTY come proxy (MacropassoD): il traffico generato dal browser vieneinoltrato a PuTTY,che a sua volta provvedea comunicare con il server SSH casalin-go attraverso il tunnel cifrato, che do-vrebbe superare senza problemi il fire-wall aziendale (raramente il protocolloSSH viene disabilitato dagli amministra-tori di rete, in quanto loro stessi lo usanoper effettuare da remoto interventi sul-la rete locale).
l' dinamico? No problemIUn altro "trucco" che impareremo in que-ste pagine è l'uso di un servizio di Dyna-mie DNS. Solitamente le ADSL domesti-che non forniscono un indirizzo IP sta-tico per accedere al Web: ad ogni con-
. nessione, infatti, ce ne viene assegnatouno diverso. Ciò potrebbe rappresentareun problema per noi che vogliamo rag-giungere il server SSH casalingo dalla po-stazione di lavoro. Ecco perché vedremo(Macropasso C) come associare al nostroserver Un nome simile a "mionorne.dnsa-lias.net" che resterà invariato qualunquesia l'IP assegnatoci dal provider. ~
\
Win Magazine Novembre2009_
ROUTER:UN MISTERO?Se abbiamo dubbi sucome eseguire il for-ward della porta TCP22 verso il PCcheesegue freSSHd, pro-viamo a dare un'oc-chiata al sito http:/ /pcrtforward.cem, Ba-sta selezionare il mo-dello del nostro rou-ter, saltare la paginapubblicitaria usandoillink in alto a destrae diccare sul softwa-re da configurare (nelnostro caso il servi-zio SSH)_Compariran-no subito le istruzionipasso passo per ese-guire l'operazione_
SSH A BASSOCONSUMOAlcuni router offronodirettamente il servi-zio SSH;altri ancoralo fanno 5010 dopoaver installato unfirmware modificato(come il D-LinkDSLG624T con il firmwa-re RouterTech,www_routertech.org).In questi casi si puòevitare la configura-zione del PCcomeserver SSH.Non saràdunque necessario la-sciare acceso il com-puter, ma soltanto ilrouter. " risparmio dicorrente è garantito!
DNS DINAMICONEL ROUTERMolti router suppor-uno DynDNS:adogni cambio dell'indi-rizzo IP pubblico locomunicano aDynDNSc!le provve-de ad associarloall'hostname scelto.Per configurarlo adesempio sullo ZyxelPrestige 662, bastaaccedere al pannellodi controllo del rou-ter, raggiungere lasezione Advan-ced/Dynamic DNS especificare Use, Na-me, Passwo,d ed HostName del nestre pro-filo DyDNS(PassoCl).
~ Apri la porta del routerDobbiamo fare in modo che il server 55H sia raggiungibile dall' esterno. A tal fine, il routerdovrà reindirizzare il traffico sulla porta 22 verso il PCcon free55Hd. Ecco come fare.
M.lll1len.
...••.••""o..i IPVOl:.:JNATSleIuS' ActiYllled
~oll's r-sngIer,.....0_
ffl Nel pannello del router1 Solitamente si accede alla configurazione del router pun-tando il browser Web all'indirizzo http://192.168.1.1. l'IP
del router potrebbe essere diverso: controlliamo il manuale o le eti-chette adesive sul dispositivo. Caricata la pagina, logghiamoci con usere password (li troviamo sul manuale).
SI~M ttelp
1MuIIs.-IQrSl"ClllP~
IUo_ f"4'3SlotrIParI_ p:;--&wIParI_ p;--L_P_~
- $U" •••• , -~, L•••• _ •••
; "'" "'"~
""" """,.
: ... ... ,." "
,.· o o· o o, o o· o o· o o
" o o
" o o
" o o ====i" o o.. · o.. · o ----'" · o
(il Il Z2 è il numero estraIIII2 Entriamo nella sezione Advanced SetuplNAT e clicchiamo
sullink Virtua/ Server. Qui possiamo aggiungere una nuo-va regola specificando la porta (22) e l'indirizzo /P del computer chefunge da selVerSSH (nel nostro caso 192.168.1.69). Confermiamocliccando su SAVE.
PCsempre raggiungibileLe AD5L di casa offrono, di $olito, un indirizzo IP dinamico (che cambia ad ogni connessione).Ma con i servizi di DN5 dinamico possiamo raggiungere il server 55H anche senza conoscerne l'IP!
.1'1.
.•-.....••.._ •..•..---_ ..•.__ ~....,~ •.•.__ c,. •• IJ§'"' __ ,.,.,~_C>n"IIt~_f1(U'~-.a
.......,""' ••••• O'O-CM""'I4'9' ••••••••••••••••• U,trcw.r •.••••• .at_III ••••••.••..
•...•...". . •••••••• ~(Jt'WIIIHap....-.a(,)('OfI'W_I')
•...- ._ ._ ..----_ ..•.---------l1JAaoum DN5: è lUttO gratis!
. . Colleghiamoci al sito www.dyndns.com.clicchiamo Create1 Account e registriamoci compilando il modulo. Clicchiamo
sullink nell.e-mail ricevuta per abilitare l'account ed eseguiamo il 10-gin al sito. Clicchiamo My Services e poi Add hostname. Scegliamoun nome, clicchiamo Use auto deteaed /P address, premiamo AddTo Cart e completiamo la procedura.
"Win MagazineNovembre 2009
0< c.rc.o I ••••
usererre:~~~~----------------------~Last~tB: Neva"CUTentl?_, __
~~Sta ••• , On
Dyr()NS.com Internet Q;de: Enablacl on Ihis PC
[)ytlanic ONS Hosts
Ea mU"Ome.msahas.ret
ReftesbtmtllSt ~
m Indirizzo sempre auiornatoPer fare' in modo che il nostro hostname (scelto al Passo
2 Cl) corrisponda sempre all'indirizzo IP pubblico che il provi-der ADSL associa al nostro router, scarichiamo il software DynDNSUpdater dalla sezione Support del sito. Installiamolo, eseguiamo illogin con i dati del nostro account DynDNS, meniamo il segno di spun-ta sul nostro hostname e confermiamo con OK
I Il capo ti blocca Facebook I Fai da te I Antivirus&5icurezza
Configurare il PCaziendale _<IIl PC I·• p. dare i ff·· . f d fiDARSIcasa mgo e pronto. essramo an are m u ICIO e provare a navigare s ruttan o E BENE •••il tunnel 55H. Tutto quello che serve, oltre al classico browser, è un client 55H come puny. Il controllo dell'au·
. tenticità del server(Passo 03) serve perevitare attacchi in·formatici come il"Man in the middle",ovvero la possibilitàche un malintenzio·nato possa interporsitra client e serverSSH spiandone iltraffico in transito emagari alterandolo. Èbuona regola control-lare che l'impronta(fingerprint) dellachiave ssh-rsa visua-'lizzata nel messaggiodi PuTTYcorrispondaal campo RSA key del-la scheda SSH delpannello di controllodi freeSSHd.
~oyuuo,u ! Im=me.dyna6a s, ne, 1m-- l, .. BenL.. Features Comection Iype:
J~ Window f Baw r Iolnet c Riogin r. lS:S:R.l r· Se,iol: .. Appearance .- --,,--,"~'--"".~--.,
IBehaviaur iLoad •• avo '" doIeto a stOled .o ss ion
T'OIl.lation i S~S •• sion. ,- Seleclion il I
c. CoIour. i Delaull Setting. Fs·· Conneclion: .. Dete i ~IP,oxy I. Telnel .~
RioginI!±I SSH
filAvviamo ildient .1 Facciamo doppio clic sul file .exe di PuTTY (presente nel-
l'lnterfaccia Principale del Win CO/DVD-Rom); il software nonha bisogno di installazione. Nella schermata iniziale, nel campo HostName scriviamo quello creato con DynDNS (Ma ero passo C) e co-me porta lasciamo la 22.
(il IlmntaIIII è Slabirlto!3 Per connetterei al server SSH casalingo, basta selezionare
la sessione salvata al Passo 02 e cliccare su Open. La pri-ma volta che contatteremo il server, ci verrà chiesto se siamo si-curi dell'autenticità del server e se vogliamo memorizzare la suachiave: clicchiamo su Sì.
c:::::2W
o r•••• e-.. •....,.. EE.I F'fcIto.tiTTP.
~oUInonl'l_ -
I.!N". r;;:H Wld.-".IIect. ~ •••••Ip e::-~\oO\*' .•••••• d __ dIII•• t..-ao,.." ~~ II-~--~*~~~_·-
~
•.•••"L I I......[1"': _....•--soctSr=
(" SOO:S..; r. 5000,",
~PI ••• I*IIoe.ItIoIt.'21O'OlE__ ~Cf9,.fIIli
('~.,.~ ••~~u,~ -I---L.J
(;jScegliamo un browser per fSSIlooSe per l'accesso SSH vogliamo usare Firefox, andiamo in
5 Strumenti/Opzioni, selezioniamo Avanzate e poi Rete. Clic-chiamo su Impostazioni e, nella nuova finestra, selezioniamo Con-figurazione manuale dei proxy. In Host SOCKS scriviamo localhoste in Porta digitiamo 8080. Buon Facebook!
••• \
:x Pul TV Conhqufdhon
Catego'y:~. Te,minai l'A Il: : Option. cont,oIingSSH'Pcw1 lo,,,,ardirlg- ],,
j. Keyboardl ! Ben ~.' Port fOfWarding _. '.T .0_- ~_ _O.'·~T,~
Features!r LoeaI porjs accept comectiont hom other host.
~ Window ir Remoto gort. do the sarno (SSH·2 onIy)
i i·· . Appear ance
I :I:~"'_ ._\I ! \... Behaviour
I ~ 1.. ·· Trensletion! l···· Selection! !.. Colours
8 Connection Add MW fOfWarded 1'0<1:
: Data ~OUIce port ~ ~fiJTunnel: lavori in mrsoNell'elenco ad albero, a sinistra, apriamo il nodo SSH e se-
2 lezioniamo la voce Tunnels. Attiviamo l'opzione Dynamic, nel-la casella Source port inseriamo 8080 e clicchiamo sul tasto Add.Torniamo alla voce Session, scriviamo un nome nella casella SavedSessions e confermiamo con Save.
';J Il tunnel è aperto4 Eseguiamo il login utilizzando le credenziali specificate al
Passo Al. Digitando la password non vedremo comparirenulla a monitor: quindi, scriviamo lentamente per non commette-re errori. Il messaggio This service is prohibited si riferisce alla shellSSH: il tunnel, invece, è attivo. Lasciamo aperta questa finestra.
lrOiuo proxy 1M "'*'-""""--tPOlllllltchtcon •• carIl;u- •••.•• LtoIIIItu ••~InftMIVW'IIJI'"I09Va. p.,lA:Izz.-et"~, *-ttN ••111COI'"I9J"UIIaN atam.tt: •.r~.~~1ZIorlr UtIuI~dlr.a:tt,.Jt __ &tomItIcI
I
~
(;) 000 e l'ahro usiamolo per lavorare6 Se invece preferiamo "navigare in SSH" con Internet Explorer,
riservando Firefox per la rete aziendale, andiamo in Stru-menti/Opzioni Internet/Connessioni e clicchiamo Impostazioni LAN.Abilitiamo la voce Utilizza server proxy e clicchiamo Avanzate. In Socksdigitiamo localhost e 8080 in Porta.
IL 22 ÈALCAPOLINEAlSebbene i firewallaziendali lascino pas-sare il traffico SSH,potremmo essere cosìsfortunati da trovarela porta TCP22 bloc-cata. In questo casopossiamo usameun'altra sicuramenteaperta, come la Tep443, destinata altraffico HTTPS.Bastaseguire il tutorial de-scritto, tenendo amente di eseguire lesostituzione. Perquanto riguarda laconfigurazione difreeSSHd, ad esem-pio, apriamo la sche-da SSH e specifichia-mo la porta 443.
UN FRENO ALLAPARANOIASebbene PuTTYnonnecessiti di installa-zione, lascia tracciasull'hard disk dellesue impostazioni. Sein nostra assenza te-miamo controlli sulPCaziendale, possia-mo usare la versioneporta bile (www.win-magazine.it/linkl381) installata suuna chiavetta USB.
•Win MagaDIe Novembre 2009i
