Pensare al proprio server come erogatore di servizi solo internamente alla propria lan domestica (o aziendale) è un pò limitante; altresì è vero che esporre tutti i servizi verso Internet, ossia il mondo è rischioso.
Personalmente penso che il gioco valga la candela (chissà perchè si dice così!), quindi espongo gran parte dei miei servizi anche verso Internet con qualche accortezza.
Partiamo dal più rischioso, ossia ssh. SSH permette di accedere in toto alla shell Linux del pc remoto come se si fosse davanti al monitor. Il protoccolo ssh è in se sicuro poichè viene creato un tunnel criptato, quindi chi volesse intercettare i pacchetti su Internet si troverebbe tanti dati... criptati e, per quanto ci è dato sapere, impossibili da decriptare. Un problema è però l'attacco brute-force con cui il male intenzionato di turno potrebbe cercare di scardinare la propria password. L'attacco brute force consiste molto semplicemente nel tentare di forzare la password con un dizionario di parole e termini conosciuti fino a che non si scova la password. Un attacco del genere va in porto se noi, stupidamente, usiamo parole d'uso comune per la nostra password: evitate quindi parole comuni come i nomi di persona, città o qualsiasi altra parola conosciuta. Password come amore, luisa, marco, giovanni, scuola, milano, roma, londra sono password fragili e bucabili. Una password sicura è ad esempio: ljh!8924jksklU_I9k . Certo non ve la ricorderete mai a memoria, però è un buon inizio.
Per ovviare anche all'attacco brute force, è bene installarsi fail2ban programmino che monitora vari log di linux e se qualcuno fallisce più e più volte l'accesso al vostro server, viene bannato, inibendogli a monte il prossimo tentativo di accesso alla macchina.
Infine, cosa che ci da un pizzico di sicurezza in più (senza essere determinante, per la sicurezza), cambiare la porta di accesso ssh. Non esporre ssh sulla porta 22 del nostro router ! Potete anche lanciare il server ssh sulla porta 22, ma chiuderla sul router e fare il redirect della (ad esempio) 2424 o 2342 etc. per farla puntare infine sulle 22 del server ssh. Tutto questo si fa con quel che è chiamato NAT che deve essere configurato sul proprio router.
Altri servizi esponibili verso l'esterno possono essere ad esempio anche il webserver o la gui di aMule, abbastanza sicuri poichè: protetti da password e poco sensibile a possibili attacchi distruttivi di dati (al limite, ti cancella un po' di code di download... ). Poi si può configurare l'accesso al lato web della videosorveglianza, molto sensibile per quanto riguarda la privacy, motivo per cui prima di farlo, accertarsi di aver protetto bene il tutto con password efficaci, pena l'esposizione di casa vostra agli occhi del mondo! E così via, non ci sono limiti !
Riepilogando, gli step da seguire per esporre servizi della propria rete locale, verso Internet, sono:
1. Far girare ogni servizio su porte differenti da quelle di default
2. Molto importante, ma spesso sottovalutato: accertarsi che non esistano falle di sicurezza note per quel tal servizio (Google viene incontro): magari impostiamo una password di 50 caratteri, per poi scoprire che a monte, quel servizio è vulnerabile (come il WEP) perchè presenti falle di sicurezza già nelle fondamenta del servizio!
3. Proteggere con password sicure l'accesso ad ogni singolo servizio: la password potrebbe anche essere la stessa e comune di ogni servizio, ma deve essere sicura (almeno 10-15 caratteri misti maiuscoli e minuscoli, e NON deve essere una parola d'uso comune)
4. Installare accorgimenti come fail2ban.
Un ultima cosa: essendo l'Adsl casalinga, per propria natura, con Ip dinamico, risalire al proprio server casalingo da Internet potrebbe rivelarsi leggermente difficile. Niente paura, ci vengono incontro servizi come no-ip.com o dyndns.com che permettono di registrare un dominio di terzo livello sui propri domini di secondo livello, che verranno aggiornati da un client residente sul nostro server. E' un piccolo servizio che rende statico il nostro indirizzo ip dinamico.
Alla prossima!
Nessun commento:
Posta un commento