original in en Georges Tarbouriech
en to en Lorne Bailey
en to it Toni Tiveron
Georges � un utlizzatore di Unix di vecchia data, sia che si tratta
di versioni commerciali o free. Si interessa della sicurezza e vuole
ringraziare la comunit� free per il grandioso lavoro che ha svolto
nel software in questo settore.
SSH, la shell sicura, un prodotto
commerciale eccezionale. Tuttavia vi � una ampia scelta di
implementazioni, sia di client che di server, di tipo gratuito.
Queste implementazioni esistono sia per Unix (sia esso commerciale o
no) sia per altri sistemi operativi.
La pi� nota implementazione si pu� trovare presso il sito http://www.openssh.org. In questo
sito potrete trovare alternative per sistemi Unix, Windows, Mac,...
Per alcuni prodotti, come per esempio Windows, esistono solo soluzioni
alternative per i client.
In questo articolo vi presenter� alcuni esempi su come si possa
sfruttare ssh per creare un tunnel di dati da e verso altri
applicativi. VPN (Virtual Private Network - Rete Privata Virtuale) si
basa su ssh, ma in maniera assai diversa, molto pi� complessa del
caso che non andremo ad affrontare qui. Un'altra soluzione
sofisticata � quella di ricorrere a VTun.
Secondo quando appena detto, consideriamo questa forma di tunnel come
un semplice e lineare modo per inviare dati crittati su di una rete
eterogenea in modo da preveneri lo snoop dei dati scambiati tra i due
terminali. Tuttavia ricordate che ssh semplicimente cripta i dati,
non reder� di certo la vostra rete sicura...
Siete stati avvertiti!
SSH � un sostituto di telnet, rsh, rlogin, come gi� vi era stato
spiegato in un precedente articolo. Sebbene si
siano, recentemente, trovati alcuni problemi di sicurezza in ssh,
essa rimane un ottimo e sicuro strumento per la crittazione dei dati.
A proposito del succitato problema di sicurezza inerente le password:
vi raccomando caldamente di ricorrere all'autentificazione per mezzo
delle passphrases e del sistema RSA! L'utilizzo di ssh non vi vieta
di ricorrere anche all'usto di altri strumenti di sicurezza, come per
esempio, tcpwrapper.
� abbastanza semplice fare uno snoop dei dati che transitano in una
rete con strumento come tcpdump o snoop. Potete fare una prova con
due macchine che si scambiano dati, per esempio, mentre � attiva una
sessione di telnet. Da una terza macchina che utilizzi Linux come
Sistema Operativo, eseguite, per esempio, tcpdump (ovviamente da un
utente con i privilegi di root) e date un'occhiata a quel che capita.
Potrete leggere tutti i dati!!!! (Nota dell'editore: i tre computer
devono obbligatoriamenti essere collegati per mezzo di un HUB, non di
uno switch).
Noterete che quello che compare a video � troppo veloce per esser
letto, ma nessuno vi vieta di ridirezionarel l'output su un file, che
potrete tranquillamente leggere con calma mente vi bevete un caff�.
Se questo � vero per i dati, a maggior ragione lo � per le password:
ed ecco che il gioco � fatto, ovvero come si possa trovare una porta
spalancata per i cracker. Consegnerete loro cos� la chiave della
porta di casa vostra, che in questo caso � il vostro account.
Immaginatevi cosa accadrebbe se il tipo di traffico sulla vostra rete � strettamente
riservato.... se voi foste l'amministratore di sistema, temo che il
vostro capo a breve di chieder� di trovarvi un nuovo lavoro in un'
altra compagnina!!!
Similmente i comandi remoti, come rsh, rcp, rlogin, sono altrettanto
pericolosi, in quanto anche questo tipo di dati non � crittato. Se
ssh � una valida alternativa a rsh e rlogin, esso ha con se anche un
altro strumento: scp, ovvero una valida alternativa a rcp. Con questo
voglio dirvi che non vi serviranno pi� comandi remoti o telnet se
ricorrete ad ssh, o almeno, non dovresti utilizzarli.
Come installare ssh, generare le chiavi pubbliche e private... non
rientra nello scopo di questo articolo. Troverete tutto quello che vi
serve all'interno dell'archivo di ssh che scaricherete, o potrete
leggerne la documentazione relativa all'argomento su the Linux Documentation Project (in
inglese) e Italian Linux
Documentation Project (in italiano).
Dato che l'utilizzo di un computer oggigiorno verte essenzialmente
nel trasferimento di dati, sia in un senso che nell'altro, ssh
dovrebbe essere uno strumento obbligatorio... bhe in ogni caso spetta
a voi la scelta. Tuttavia ssh pu� servire a ben altro che non
semplicemente sostituire telnet o la suite di comandi remoti.
Pu� essere utilizzata per crittare i dati trasferiti da applicazioni
esterne, ed ovviamente, tra sistemi operativi diversi. Pu� anche
comprimere i dati. � spesso usata in associazione a protocolli come
pop, ftp, http... sia per comprimere che per crittare dati. � altres�
molto utile se siete degli amministratori di sistema, per esempio,
per collegarvi da casa al lavoro e viceversa.
Trattandosi di un applicativo client/server, ssh ovviamente per poter
lavorare necessita di una macchina su giri il server ed una su cui
giri il client (spero che abbiate notato quanto sia arguto!).
Se vi chiedete come mai io abbia sottolineato un aspetto cos� banale
ora ve ne dar� una esauriente risposta!. Infatti, dato che qui si sta
parlando di software gratuito, molti sistemi operativi che non siano
unix, non posseggono una implementazione gratuita del server. Ed
eccoci al punto, cio� a volte non si � in grado di vedere le cose pi�
ovvie, e quindi si deve cercare una strada alternativa: la soluzione
� chiamata forwarding. Parleremo poi di questa soluzione. Questo vuol
dire che se utilizziamo sistemi operativi come Mac Os o Windows, non
potremmo avere dei server gratuiti, ma dovremmo arrangiarci con i
soli client gratuiti. Come fare questo non �, dopotutto, una cosa
cos� immediata ed ovvia. Proviamo ad affrontare alcuni esempi
concreti.
Se non conoscete che cosa sia VNC, vi state perdendo uno dei pi�
grandi strumenti mai creati. Potete darci un occhio qui per saperne di pi�.
Se visitate il sito web di VNC
(http://www.uk.research.att.com/vnc/docs.html) troverete la
docuemntazione inerente il problema che stiamo affrontando. Per
esempio, troverete come utilizzare VNC per mezzo di ssh, da un client
Windows verso un server Unix. Di conseguenza io non riscriver� il
grandioso lavoro fatto da Frank Stajano, dato che quest'ultimo � di
certo migliore del mio.
Diamo ora un'occhiata a come funziona il tutto.
Dapprima dobbiamo scegliere un client gratuito per Windows. Durante
questo esempio utilizzeremo Teraterm Pro con l'estensione ttssh. Lo
potrete trovare http://hp.vector.co.jp/authors/VA002416/teraterm.html.
Per dovere di cronaca noi utilizzeremo ttssf, che � la versione dell'
estensione permessa in Francia. (Le cose stanno, comunqe variando,
per quel che concerne le leggi sull'esportazione della crittografia.
Potete controllare lo stato inerente il vostro paese su questo sito: http://www2.epic.org/reports/crypto2000/countries.html.)
Ora supponiamo di aver avviato il server ssh su di una macchina Unix.
Supponiamo anche che nella stessa macchina noi si abbia attiva una
sessione VNC Server. Quando avremo questi due server funzionanti,
potremmo far collegare una macchina WindowsNT al server Unix per
messo di Ttssh.. Questo vuol direi che avremmo una
connessione crittata tra le due macchine. Tuttavia questo non vi
permette di attivare, dalla macchina NT, un client VNC con protocollo
crittografico. Per ottenere questa funzione dovremmo indicare a ssh
di inoltrare (ed � appunto per questo che ho scritto questo articolo!)
i dati sulla giusta porta.
La macchina Unix su cui gira VNCserver si chiamer� "bandit" ed � in
ascolto sulla porta 5901, in quanto si tratta del primo display, di
conseguenza il display X per questa macchina sar� 0. Nel caso di uso
diretto si dovrebbe utilizzare il seguente comando: "vncviever bandit:1".
Ovviamente questa soluzione funziona, ma non staremo trasmettendo
dati crittografati. Per mezzo della "shell" di NT (alcuni la chiamano
interfaccia DOS...), digitiamo il seguente comando: "/ssh-L5902:bandit:5901"
senza spazi. Questo serve a creare una porta locale, nella
fattispecie la 5902. Grazie a questo comando potremmo avere una
connessione crittografata sul protocollo VNC dalla nostra macchina NT.
Questo pu� esser fatto senza la necesst� di ricorrere alla linea di
comando, dato che, Ttssh ha una propria interfaccia grafica.
Permettemi di aggiungere che questa sintassi inerente Ttssh. Se lo
digitassimo da una macchina Unix dovremo scrivere:
"ssh -L 5902:bandit:5901 bandit".
Ovviamente questo era un esempio molto semplice: potrete fare cose
molto pi� complesse. Date un occhio alla documentazione presente sul
sito di VNC, in particolarmodo quella redatta da Frank Stajano.
MySQL � probabilmente uno dei DBMS
pi� utilizzati, specialmente in internet. So di essere monotono, ma
rendere MySQL sicuro va oltre lo scopo di questo articolo. Tuttavia
rendere il flusso di dati tra il server ed i client crittato
contribuisce a rendere le connessioni sicure. SSH ci permette di fare
ci�, proprio come abbiamo precedentemente fatto con VNC, insomma
inoltrare una porta.
Poniamo come caso una situazione Intranet. Il server MySQL gira su di
una macchina Linux, e la maggior parte dei client sono macchine
WindowsNT. Anche in questo caso ricorreremo all'uso di Ttssh come
client sulle macchine Windows.
La porta predefinita del server MySQL � la 3306. Noi inoltreremo i
dati sulla medesima porta.
Potrete scegliere se inoltrare in locale o in remoto.
Un inoltro locale apparir� all'incirca cos�:"/ssh-L3306:localhost:3306"
sulla macchina NT o "ssh -L 3306:localhost:3306" su una macchina Unix.
Se utilizzeremo come host "localhost" faremo passare i dati per mezzo
dell'interfaccia di loopback invece che per mezzo della scheda di
interfaccia esterna della macchina.
Un inoltro remoto assomiglier� a: "/ssh-R3306:bandit:3306" su una
macchina NT e "ssh -R 3306:bandit:3306" si di una Unix.
Questo riguarda, ovviamente, la sola connessione. Per accedere al DBM,
dovrete, ovviamente, configurare e l'hostname e lo username del
vostro server MySQL, che probabilmente, saranno diversi dallo
username della macchina in cui vi trovate. Verficate nelle pagine del
manuale di ssh (man ssh) sull'uso dell'opzione "-l".
Ovviamente questo funzioner� solo se avete un client MySQL sulla
vostra macchina WindowsNT.
Se non lo avete, dovrete ricorrere all'uso di un applicazione ODBC,
come Sybase. Avviate la vostra applicazione e configuratene l'ODBC
per collegarsi al vostro server MySQL. Ora potrete collegarvi al
localhost, non al server MySQL, per accedere la server MySQL. Il dati
che transitano tra il client ed il server ora sono crittografati.
Potete verficare, se volete, con snoop e tcpdump.
Questo � un esempio su rete locale (LAN). Se volete utilizzare questa
soluzione su una WAN, potrebbe essere un poco pi� complesso,
specialmente se dovete passare attraverso un firewall.
Questa potrebbe essere una soluzione per amministrare da casa, se
siete un amministratore di sistema, ma non potete pensare a ricorrere
ad un tale metodo se volete interfacciare un sito web con un DBM. In
questo caso dovrete cercare soluzioni pi� complesse, come una VPN.
Dopotutto questa � solo un suggerimento.
Attenzione, non crediate che questa soluzione sia sufficientemente
sicura per dati molto sensibili, come le carte di credito, per
trasferire i dati da e verso il DBM! E dopotutto, chi veramente pu�
affermare di avere un server cos� sicuro da poter effettuare questo
tipo di transizioni senza alcun rischio? Bhe io no di certo!.
Cosa vuole dire questa assurda affermazione dato che stiamo gi�
utilizzando un'emulazione terminale?
Facciamo un esempio. Poniamo di utilizzare una vecchia applicazione
Cobol su di un server Unix. I client, sono anche questa volta delle
macchine WindowNT. Per poter utilizzare questa applicazione, i client,
devono poter utilizzare un'emulazione terminale pi� evoluta di un
semplice vt100, vt220 o vt320. Ovvero gli accenti, le tabelle, e
tutti gli altri caratteri speciali non sarebbero visibili con queste
emulazioni. Forzare un'emulazione standard (vt100, vt200, ...) in
modalit� 8 bit, non sar� sufficiente ad avere il tutto correttamente
funzionante. Anzi render� il tutto semplicemente instabile.
Oltretutto, trattandosi di un prodotto alquanto datato, dovrete
ricorrere ad un'emulazione terminale piuttosto vecchia.
Dopo varie peripezie e tentativi per avere un'emulazione funzionante,
scopirete che l'emulazione "ibm3151" � quella che vi d� il miglior
risultato.
Dato che il software che andrete ad utilizzare � stato sviluppato
tempo addietro, di sicuro non avr� in s� alcun concetto di sicurezza.
La connessione, difatti, si basa essenzialmente sul protocollo telnet!
E come noto, i dati che si vanno a visualizzare sono alquanto
confidenziali... Che fare allora? Dobbiamo, per lo meno, trovre un
modo per crittare i dati. Ed ecco che ssh ci viene nuovamente in
aiuto.
In ogni caso, vi � pi� di una soluzione per ottenere il nostro
risultato...
Potete o ridirezionalre il telnet sulla porta 22 (ssh) o inoltrare la
porta dell'emulazione terminale. Purtroppo... temo che il server non
accetter� il reindirizzamento del telnet (la porta di questo servizio
� normalmente 23): dovrete esser root per poter effetture questo tipo
di operazioni (o almeno io mi auguro dobbiate esserlo!). Per quel che
rigurda l'applicazione terminale, puo' esser utilizzata da svariate persone
allo stesso tempo, ovviamente ricorrendo ad una porta diversa per
ogni connessione, mi spiego: 10 utenti, 10 porte.
La cosa si sta un attimo complicando vero??
Iniziamo premettendo che il server su gui gira l'applicativo deve
avere il servizio ssh attivo e funzionante, pronto a ricevere
connessioni sulla porta 22.
Da un client WinNT, collegatevi al server dell'applicativo per mezzo
di Ttssh o per mezzo dei comandi ad interfaccia testo. Semplicemente
stabilirete una connessione sicura tra il server ed il client per un
determinato utente. Dalle opzioni di Ttssh scegliere l'inoltro della
porta 50000 alla porta 23 remota (servizio telnet) sul server. Nella
riga di comando dovrebbe esser un qualcosa del tipo "ssh-L50000:servername:23".
Ora potrete istruire il vostro emulatore di terminale di collegarsi
alla porta 50000 invece della 23. Ora i dati che transiteranno
saranno in un canale sicuro, ovvero crittato. Potrete verificarlo per
mezzo di snoop e di tcpdump.
Ovviamente dovrete fare la stessa cosa in ogni postazione utente per
collegarvi all'applicativo, cambiando, ovviamente il numero della
porta. Per sempio potrete utilizzare le porte 50001, 50002, e cos�
via.
Ora qualcuno potrebbe chiedersi: perch� ricorrere a dei valori di
porta cos� elevati?. La risposta �: Moltissime ragioni!
Seriamente, la ragione principale � che si possono gesitre porte di
valore elevato senza aver bisogno di avere i privilegi di root.
Il secondo motivo � dato dal fatto che le porte su cui andremo ad
eseguire il forward non devono essere gi� in uso. Per esempio, se
utilizziamo Solaris, molte delle porte della fascia alta sono in uso,
in accordo ai servizi del sistema. Tuttavia iniziando ad utilizzare
la porta 50000, o superiore, il tutto dovrebbe funzionare. Con questo
voglio sottolineare il fatto che dovete controllare le porte che
andrete ad utilizzare per effettuare le connessioni.
Ovviamente, questo dovrebbe funzionare per tutti i sistemi operativi
in grado di utilizzare un client ssh.
Sui metodi di automatizzazione dei processi di configurazione sui
client, potete sbizzarrire la vostra fantasia. Ricordate per� che non
potete chiedere ad un utente medio di effettuare tutte queste
operazioni prima di potersi collegare. Lascio questa parte come
esercizio per il lettore...
Questi pochi esempi ci danno un'idea delle possibilit� d'uso di ssh. Potete
fare molto di pi� con molte applicazioni ed ssh. Dipende dalle vostre
necessit�. Alla fine di tutto comunque la filosfia che sta alla base del �
l'inoltro dei pacchetti ad un'altra porta.
Tuttavia prestate attenzione quando ricorrete a situazioni pi� complesse. Per
esempio se inoltrate i dati per mezzo di una terza macchina, i dati che
transiteranno nel mezzo non satanno crittati.
Un'altro aspetto riguarda i client per Windows che ricorrono a Ttssh. L'inoltro
dei dati si basa sull'indirizzo IP, come fanno i comandi remoti, permettendo
quindi attacchi di tipo spoof. Ecco qui che ci si trova nella necessit� di
dover ricorrere ad altri strumenti, come, per esempio, tcpwrapper.
Approfondendo lo studio della documentazione su ssh, imparerete molto. La
vostra immaginazione far� poi il resto.
La sicurezza dovrebbe essere un argomento che riguarda tutti, ma spesso non �
cos�! ssh � solo uno dei tanti strumenti che potete utilizzate ogni giorno. �
un ottimo strumento, specie se si considera il suo uso, ovvero uno strumento
per crittografare e comprimere i dati.
Dal canto suo ssh risulta esser alquanto inutile fintantoch� non avrete
risolto i numerosi problemi di sicurezza che avete presenti sulla macchina o
sulla rete. Render sicura una rete o una macchina non � certo cosa semplice,
anzi! Spesso molti strumenti aiutano e sono molto validi, ma di certo non
fanno tutto il possibile o il necessario.
Vi sono alcune operazioni basilari ma essenziali per quello che riguarda la
sicurezza di una rete e di un sistema. Non dimenticate di disabilitare tutti
i servizi che non vi sono indispensabili, di controllare il bit di SUID, di
disabilitare i programmi "a rischio"... C'� moltissimo lavoro da fare e non
sar� mai abbastanza. Potretre installre tutte le correzioni di sicurezza che
volete su di un sistema, ma tutto ci� si dimostrer� perfettamente inutile se
lasciate una o pi� backdoor disponibili. Ovviamente qui si sta digredendo su
un altro argomento, ma � bene ricordare di non tralasciare le cose pi� ovvie.
Tornando ad ssh, potremmo dire che si tratta di uno strumento senza cui
sarebbe impossibile vivere, fintanto che lo si utilizza in maniera propria e
per le funzioni per cui � nata. Mi ripeto, ma utilizzatela con passphrases e
chiavi RSA, non con le semplici password. Controllare i permessi dei vari
file contenuti nella cartella .ssh e gli stessi permessi della cartella in
questione. Mi raccomando, utulizzare anche i wrapper!
Vi ricordo che � possibile fare un tunnel via ssh con la maggior parte dei
protocolli esistenti. Ci� pu� risultare utile al fine di ottenere delle
connessioni pi� sicure.
Esiste un altro utilizzo assai comune di ssh, di cui non abbiamo parlato:
l'inoltro di una sessione X. Dato che questo avrebbe implicto il fatto di
dover far girare X in pi� sistemi operativi, lo ho volutamente tralasciato.
Ma vertendo questo articolo sui tunnel di protocollo la cosa ci riguarda.
Specialmente se si considera che X non � un sistema molto sicuro, ssh pu�
migliorare lo stato delle cose.
Per un uso pi� sofisticato e complesso ssh non � sufficiente. Come avevo
detto precedentemente date un'occhiata alle VPN o a strumenti come VTun.
Questi probabilmente vi aiuteranno molto.
Come ultima cosa, ma no per questo meno importante, verificate lo stato d'uso
della crittografia nel vostro paese. Sarebbe alquanto seccante finire in
galera solo per avere utilizzato ssh ed essere trattato come un comune
criminale o una spia.
E con questo abbiamo finito!
Stiamo vivendo in tempi grandiosi.