[Tech] Tunnelling creativo e sicurezza

Gian g.ciotti@tirrenide.net
Ven 2 Feb 2007 16:37:13 CET 

francis3 wrote:
> 
> Smetto di sproloquiare su FLUG e pongo un quesito "teNNico" per esporre un
> dubbio che mi e' venuto qualche giorno fa.
> 
> Avevo la necessita' di raggiungere un desktop remoto su un indirizzo di
> rete privata, senza avere la possibilita' di intervenire con un port
> forward sul firewall.
> 
> Senza sperare troppo in un successo, penso di sfruttare una macchina linux 
> che fornisce un servizio sshd.
> 
> Situazione:
>     			
> 			        $$$$$$$$$$$$$$
> 			        $  INTERNET  $
> 		||==============$            $===============||
> 		||		$$$$$$$$$$$$$$               ||
> 		||                    ||                     ||
> 		||		      ||                     ||
> 	&&&&&&&&&&&&            &&&&&&&&&&&&             &&&&&&&&&&&&
> 	& firewall &            & firewall &             & firewall &
> 	&&&&&&&&&&&&            &&&&&&&&&&&&             &&&&&&&&&&&&
> 	     ||                      ||                       ||
> 	     ||                      ||                       ||
> 	 -----------             -----------              ----------- 
> 	|           |           |           |            |           |
> 	|Rete priv.1|           |Rete priv.2|            |Rete priv.3|
> 	| host XP   |           |server     |            | host XP   |
> 	|           |           |  linux    |            |           |
> 	 -----------             -----------              ----------- 
> 													     
> [Apprezzare le doti di disegno pls!:-) ]
> 
> 
> Allora, in rete priv 1 c'e' una macchina XP che fornisce un servizio di 
> desktop remoto sulla porta 5900. Tramite ssh (con un certo account senza 
> shell sul server linux) dalla macchina XP faccio un tunnel (da locale a 
> remoto) della porta 5900 sul server linux che sta nella rete 2. 
> A questo punto, ovviamente, sul server linux vedo le porte che ho "portato"
> dentro il tunnel in "listen".
> 
> Poi, da una macchina nella rete priv 3, sempre tramite ssh, ma (NB: CON UN 
> ALTRO UTENTE), faccio un tunnel dalla porta in listen sul server linux
> (questa volta da remoto a locale) verso la macchina che si trova sulla rete 3.
> 
> Risultato: sulla macchina nella rete 3 ho un servizio in listen di un server
> che si trova dentro la rete priv 1, passando dalla rete priv 2, e mi
> connetto specificando semplicemente localhost:porta.
> 
> Il tutto funziona molto bene, considerando anche la grande distanza geografica
> tra le reti 1 e 3. 
> 
> La domanda:
> e' normale che un utente qualsiasi possa portare "in giro" per la rete
> dei servizi all'insaputa dell'amministratore? E che queste porte non
> siano sue "proprietarie", ma che possano essere sfruttate anche da altri
> utenti?

si se l'amministratore non amministra le macchine (i tunnel, gli accessi 
ssh, i vari servizi (immagino vnc data la porta 5900) vanno pur 
installati con tutti i sacrosanti crismi et diritti del caso) oppure se 
l'amministratore permette regole sui router/firewall piuttosto libertine 
e generiche per non bacarsi il cxxx_ (cosa piuttosto comune a causa 
della sempre maggiore resistenza da parte dei tasti della tastiera a 
scendere verso il basso, credo ;) ).

PS: bello il disegno, ma la nuvola Internet l'avrei incorniciata di "@"! 
gustibus... ;))

ciao,


-- 

Gian

member of  A.G.O.W. #C10771
    and orgoglione to be!

Maggiori informazioni sulla lista flug-tech