Articolo di :

Nicola Montemurro

Nicola Montemurro

Nicola Montemurro

Nicola Montemurro un Consulente IT specializzato in sicurezza e resilienza infrastrutturale, Windows, Linux, VMWare, CCNA

Privacy

Il diritto alla privacy
1920 1280 Nicola Montemurro

Le persone che dicono che non gliene frega niente della privacy, perchè non hanno nulla da nascondere non hanno mai riflettuto troppo a fondo sul problema, perchè quello che stanno dicendo in realtà è “non mi interessa questo diritto”. Quando dite che non vi importa del diritto alla privacy perchè non ho niente da nascondere, non è diverso dal dire che non mi importa della libertà di parola perchè non ho nulla da dire, oppure della libertà di stampa, perchè non ho nulla da scrivere

Edward Snowden

Cisco, Linux, VRRP, routing

VRRP tra Cisco e Linux
1920 1280 Nicola Montemurro

Come spiegato nell’articolo Multipresa smart con Raspberry PI, del mio blog personale, ho replicato la mia infrastruttura su macchine virtuali sul PC  per avere la possibilità di accedere a qualche risorsa mentre l’infrastruttura principale è spenta. A volte, però, per mia distrazione, quando il sistema principale si avvia in contemporanea alla copia, si verificano collisioni di rete. Per ovviare al problema ho pensato di usare il protocollo VRRP, Virtual Router Redundancy Protocol, la versione standard del protocollo di ridondanza, simile al protocollo HSRP, proprietario Cisco, per la configurazione di ridondanza degli indirizzi IP dei router nelle configurazioni di rete ad instradamento (routing) statico.

Il risultato è stato ottimo e l’esperienza appagante, non avevo mai avuto modo di utilizzare VRRP tra sistemi eterogenei cosi diversi.

vrrp switch back

continua

vrrp switch to backup

Continua

vrrp arp mac changed

Continua

vrrp rearp mac changed

Continua

vrrp linux transition
pfsense

pfSense 2.7.0: “Up to date”
1920 1280 Nicola Montemurro

Se avete provato a fare l’aggiornamento del vostro firewall pfSense e nonostante siate certi del rilascio di una nuova versione, il vostro firewall si ostina a mostrarvi il messaggio “up to date” e la release installata è la 2.7.0, sappiate che sta mentendo. E’ infatti un problema noto, per trovare la soluzione ho dovuto faticare non poco, poi ho visto la “la luce in fondo al tunnel”.

Cosa fare:

Da riga di comando (console) oppure da webConfigurator => Diagnostics => Command Prompt,  se digitate il comando:

pfSense-upgrade -d -c

riceverete il seguente errore: “SSL certificate problem: self-signed certificate in certificate chain”

Risoluzione:

sempre da console, digitate:

certctl rehash

Al termine dell’esecuzione, sarete in grado di installare il nuovo aggiornamento.

Spero, di risparmiarvi qualche grattacapo.

programmazione powershell, code, coding, powershell

Binding sulla scheda di rete.
1920 1280 Nicola Montemurro

Nell’articolo VLAN con VMware Workstation e Virtualbox  avevo gia’ anticipato cosa è il binding e come si attivano o disattivano i bind di protocollo, su Windows, dalla GUI, graphic user inteface; se, però, questa attività deve essere svolta su un numero indefinito di interfacce di rete oppure doverla ripetere per un parco macchine numericamente importante, sarebbe estremamente dispendiosa in termini di tempo, per non dire estremamente noiosa; oppure ancora, se deve essere fatta in modo non interattivo, dopo la creazione massiva di macchine virtuali, ad esempio in abiente di virtualizzazione; occorre, quindi, utilizzare un altro metodo.

Per farlo, possiamo avvalerci di Powershell utilizzando il comando Get-NetAdapter, in combinazione al comando Get-NetAdapterBinding, per ottenere lo stato o a Set-NetAdapterBinding per impostare il nuovo stato; vediamo come:

Ricaviamo le informazioni che ci servono, in questo caso, l’elenco delle interfacce di rete, sul computer.

Get-NetAdapter | ft Name
Ps nic list

Sempre a titolo di esempio, applicheremo le modifiche alle prime quattro, denominate Intel(R) PRO-1000 PT Quad Port LP Server Adapter, …#2, …#3, …#4.

Cerchiamo quali bind sono attivi, su ciascuna interfaccia.

$NetAdapter = Get-NetAdapter -Name "Intel(R) PRO-1000 PT*"

$NetAdapter | Foreach-Object {
   Get-NetAdapter -Name $_.Name | Get-NetAdapterBinding | ? {$_.Enabled -eq $true}
   Write-host $null
}
Ps bind list

Disabilitiamo i bind che non ci servono;

$NetAdapter = Get-NetAdapter -Name "Intel(R) PRO-1000 PT*"
$ComponentIDs = @('ms_lldp','ms_tcpip6','ms_server','ms_lltdio','ms_rspndr','ms_msclient','ms_pacer')

$NetAdapter | Foreach-Object {
   $Adapter = $_
   $ComponentIDs | ForEach {
   Get-NetAdapter -Name $Adapter.Name | Set-NetAdapterBinding -ComponentID $_ -Enabled $False
   }
}

Ripetiamo il comando precedente, per cercare i bind rimasti attivi.

Ps nic after bind disable

Con questo metodo, pur non essendo, Powershell, esattamente un fulmine, saremo in grado di automatizzare o compiere operazioni, altrimenti, noiose e ripetitive, in modo rapido, semplice ed efficace.

bash, Assegnare valori predefiniti e sequenziali di GID e UID, head, tail, Tips & Tricks

Assegnare valori predefiniti e sequenziali di GID e UID
1920 1280 Nicola Montemurro

Quando è necessario creare uno o più account su uno o più server Linux, mi piace raggrupparli per UID (userID) e/o GID (groupID), metodo che trovo utile anche nella successiva gestione dei server stessi; che si tratti di account applicativi o di account interattivi non è importante, per metodo, li divido in valori di UID e/o GID, ad esempio, si potrebbe essegnare agli account applicativi l’intervallo UID/GID da 5000 a 5500 e agli account utente l’intervallo da 6000 a 6500 e così via.

Il codice indicato è minimale, serve giusto a titolo di esempio sull’uso delle due funzioni, getmaxgid e getmaxuid, essenziali.

#!/bin/bash

getmaxgid() {

MINGID=$1

   gid=$(cat /etc/group | cut -f3 -d: | sort -un | awk -v extGID=$MINGID 'BEGIN { gid=extGID } $GID == gid { gid++ } $GID > gid { print gid; exit }')

   echo $gid

}

getmaxuid() {

MINUID=$1

   uid=$(cat /etc/passwd | cut -f3 -d: | sort -un | awk -v extUID=$MINUID 'BEGIN { uid=extUID } $UID == uid { uid++ } $UID > uid { print uid; exit }')

   echo $uid

}


GROUPID=$(getmaxgid 6000)
USERID=$(getmaxuid 6000)

echo $GROUPID $USERID
PacketFence

PacketFence, la soluzione NAC open source
1920 1280 Nicola Montemurro

Il NAC, Network Access Control, mira a unificare la sicurezza degli endpoint, l’autenticazione al sistema e l’applicazione dei criteri di sicurezza in un’unica soluzione, offrendo una modalità di accesso più intelligente rispetto a quanto offerto dalla maggior parte delle soluzioni UTM, Unified Threat Management. Il NAC garantisce, infatti, che ogni client che acceda alla rete sia conforme a precisi criteri di sicurezza e se necessario, può intraprendere azioni correttive sul client stesso. Ad esempio, i NAC possono verificare se sulla client è installato il software antivirus e in caso contrario, imperdirne o limitarne l’accesso. In alcuni casi, se il NAC è anche in grado di adottare misure correttive, può forzare l’installazione del programma antivirus in modo che sia conforme ai criteri di sicurezza richiesti. Sebbene una soluzione NAC possa migliorare notevolmente la sicurezza dell’ambiente, non è, però, alla portata di tutti, la maggior parte delle soluzioni commerciali, infatti, potrebbe risultare essere molto costosa. PacketFence, è un’applicazione open source distribuita in modo totalmente gratuita che potrebbe rappresentare la soluzione ottimale.

Certificazione, Cisco, ccna

Certificazione Cisco CCNA
1920 1280 Nicola Montemurro

Questo non è un articolo sponsorizzato da Cisco, mi sento di trattare l’argomento per stimolare qualcuno a fare un passo in avanti, un sacrificio, che può dare molte di soddisfazioni.

Per coloro che vogliono preparare una carriera nell’ambito networking, il percorso di certificazione Cisco CCNA rappresenta un passaggio “quasi” obbligato. Il percorso di certificazione è formulato per fornire ai professionisti, le giuste competenze e conoscenze necessarie per poter installare, configurare e gestire reti.

Primo passo verso una carriera di tecnico di rete.

I corsi della serie, CCNA (ICND parte 1 e ICND parte 2), introducono alle architetture, i modelli, i protocolli e gli elementi di rete, funzioni necessarie per supportare le operazioni e le priorità delle aziende. Al termine del percorso di formazione avrete sviluppando una conoscenza pratica degli schemi di indirizzamento IP e della sicurezza di rete, sarete in grado di eseguire configurazioni di base per router e switch.

Perché dovresti valutare la certificazione Cisco CCNA?

Maggiori opportunità: La certificazione Cisco CCNA è riconosciuta a livello globale, le aziende sono costantemente alla ricerca di professionisti qualificati.

Crescita professionale: Il percorso di preparazione per superare l’esame forma una base solida e ordinata, facilitando l’apprendimento di nozioni necessarie ad accedere ad argomenti più complessi.

Prestigio: La certificazione CCNA è considerata una delle certificazioni più prestigiose nelle tecnologie delle reti, inoltre, mostra impegno e dedizione per la tua professione.

Come prepararsi.

Procurati la guida ufficiale: Le tecnologie evolvono, le reti evolvono e i corsi evolvono, accertati di avere il programma di studio più recente, l’esame verterà su quello.

Scegli il materiale di studio: Su internet trovi quantità incredibile di documentazione.

Fai tanta pratica: Anche di strumenti se no trovano in quantità, es. GNS3, Wireshark, Packet Tracer, Boson Netsim, VIRL, etc.

Studia regolarmente: Come a scuola, la costanza allo studio, fa la differenza tra l’essere promosso o bocciato.

In Bocca al Lupo!

Per informazioni sull’esame 200-301 CCNA guarda direttamente sul sito Cisco

installare VMWare Workstation su Kali Linux

Installare VMWare Workstation su Kali Linux
1920 1280 Nicola Montemurro

Installare VMWare Workstation su Kali Linux

Per coloro che desiderano installare VMWare Workstation su Kali Linux, di seguito troveranno tutta la procedura da eseguire per la corretta installazione; la scelta di aggiornare o meno il sistema operativo come prima operazione è lasciata all’utente, sottolineando che le operazioni di compilazione dei moduli necessari al corretto funzionamento di VMWare Workstation, dovranno essere eseguite ad ogni aggiornamento del kernel.

N.B.

Le operazioni seguenti, dovranno essere eseguite da riga di comando con privilegi di root, utilizzando un account utente non privilegiato, ai comandi di sistema dovrà essere anteposto il sudo.

Installazione dei requisiti per la compilazione

apt install libz-dev libssl-dev libcurl4-gnutls-dev libexpat1-dev gettext cmake gcc curl

Installazione degli headers del kernel

apt install linux-headers-$(uname -r)
cd /usr/src

Download della versione 16(.2.5)

wget https://softwareupdate.vmware.com/cds/vmw-desktop/ws/16.2.5/20904516/linux/core/VMware-Workstation-16.2.5-20904516.x86_64.bundle.tar

Estrazione del file dall’archivio.

tar -xvf VMware-Workstation-16.2.5-20904516.x86_64.bundle.tar

Assegnazione dei permessi di esecuzione

chmod +x VMware-Workstation-Full-16.2.5-20904516.x86_64.bundle

Lanciando l’installazione, questa, sarà eseguita parzialmente per mancanza dei moduli vmmon e vmnet

./VMware-Workstation-Full-16.2.5-20904516.x86_64.bundle

Download dei moduli con git per lo specifico branch (in questo caso workstation-16.25).

git clone -b workstation-16.2.5 https://github.com/mkubecek/vmware-host-modules.git
cd vmware-host-modules/

Qui le info sull’autore https://github.com/mkubecek,
Qui le info sui moduli https://github.com/mkubecek/vmware-host-modules/tree/workstation-16.2.5

Creazione del file di archivio (.tar) per ciascun modulo

tar -cf vmnet.tar vmnet-only
tar -cf vmmon.tar vmmon-only

Copia dei file vmmon.tar e vmnet.tar nella directory moduli di VMWare

cp -v vmmon.tar vmnet.tar /usr/lib/vmware/modules/source/

Compilazione dei moduli

vmware-modconfig --console --install-all

Al termine eseguire VMware Workstation per terminare l’installazione.

vmware
La roccaforte nel deserto

La roccaforte nel deserto
1920 1280 Nicola Montemurro

Per descrivere la condizione di sicurezza di molte aziende, ho cercato un’immagine che evocasse, con chiarezza, il concetto che intendo esprimere; sono molte le aziende che per essere al sicuro hanno installato un firewall, un firewall grande, molto grande, più è grande e costoso più è sicuro; il risultato ottenuto dalla maggior parte di esse, però, è questo.

La porta nel deserto

Come anche descritto nell’articolo Fort Apache o Alcatraz, si tratta di una condizione molto comune, dettata dal modo semplicistico di affrontare la materia; Coloro che si trovano nella posizione di dover decidere cosa fare per la sicurezza e mi riferisco al personale IT, lo fa, pensando alla sicurezza informatica come ad un Totem, con cui essere legittimati a rendere difficoltosa le attività del personale in nome di un fine superiore, senza dover fare quello che in realtà servirebbe, ovvero rivedere, riprogettare la struttura informatica; il più delle volte aggiungere orpelli fini a se stessi è inutile, potrebbe essere sufficiente rivedere il layout di rete, analizzare e rivedere i privilegi e le autorizzazioni degli utenti, ma che spesso si traduce in attività da svolgere durante le ore più impensate.

Non esistono pasti gratis.

Che voi decidiate di affrontare l’argomento in modo radicale, analizzando, rivedendo, riprogettando e realizzando quanto necessario, il prezzo da pagare sarà quello di dormire poco, avere a che fare con gli utenti, che avranno la scusa per scaricare le loro frustrazioni su di voi; quando avrete raggiunto il traguardo, non troverete nessuno ad acclamarvi, semplicemente perchè nessuno avrà avuto la reale percezione di ciò che avrete fatto, la soddifazione sarà solo vostra e non sarà condivisibile.

Che voi decidiate, invece, di fare il minimo indispensabile per giustificare la vostra presenza in azienda, continuando a chiedere l’acquisto di orpelli tecnologici, che puntualmente vi vengono rifiutati o fortemente ridimensionati, per costruire, appunto, come dal titolo dell’articolo, le roccaforti nel deserto, il prezzo da pagare sarà vivere l’evento spiacevole, nel quale resterete coinvolti soprattuto voi, spesso pagandone il prezzo.

L'azienda siete voi, anche se non ne siete i titolari.

apache webserver

Apache: Reverse proxy
1920 1280 Nicola Montemurro

Oltre a essere un server web di base e a fornire contenuti statici e/o dinamici agli utenti finali, Apache web server, così come molti altri web server, può anche agire da reverse proxy, noto anche come server gateway.

In questi scenari, Apache non ospita i dati, ma il contenuto viene ottenuto da uno o più server di backend, che normalmente non hanno una connessione diretta alla rete esterna. Quando Apache riceve la richiesta dal client, la stessa viene inoltrata  al backend, che la elabora, genera il contenuto e la restituisce ad Apache, generando la risposta HTTP al client. Le ragioni di un’implementazione di questo tipo sono diverse, ma in genere i motivi tipici sono la sicurezza, l’alta disponibilità, il bilanciamento del carico. In queste implementazioni è fondamentale che il layout dell’architettura preveda che l’infrastruttura di backend sia isolata e protetta dall’esterno; l’unico punto di contatto che ha il client, per ottenere i dati, è rapresentato dal reverse proxy.

Di seguito è riportata un’implementazione tipica:

reverse proxy
  • 1
  • 2

    Preferenze Privacy

    Quando visiti il nostro sito web, possono essere memorizzate alcune informazioni, di servizi specifici, tramite il tuo browser, di solito sotto forma di cookie. Qui puoi modificare le tue preferenze sulla privacy. Il blocco di alcuni cookie può influire sulla tua esperienza sul nostro sito Web e sui servizi che offriamo.

    Il nostro sito web utilizza cookie, principalmente di terze parti. Personalizza le preferenze sulla privacy e/o acconsenti all'utilizzo dei cookie.