Difference between revisions of "Network"

From Web
Jump to navigation Jump to search
(→‎Firewall sulla rete: ssh forwarding)
Line 84: Line 84:
 
Per questo motivo non è possibile accedere a cartelle condivise windows tra domini di broadcast diversi (ad esempio dalla rete Wireless).
 
Per questo motivo non è possibile accedere a cartelle condivise windows tra domini di broadcast diversi (ad esempio dalla rete Wireless).
 
Questo e' stato fatto storicamente per evitare la diffusione di virus tra VLAN diverse.
 
Questo e' stato fatto storicamente per evitare la diffusione di virus tra VLAN diverse.
 +
 +
==== Tunneling attraverso ssh ====
 +
 +
Ssh permette il ''port-forwarding''. Con questo meccanismo è possibile ''clonare'' una porta di un server su un'altra macchina, la comunicazione tra le due macchine (server e clone) avviene su connessione criptata e sicura.
 +
 +
Esempio: collegarsi usando Remote Desktop a una macchina nella subnet di ingegneria dell'informazione.
 +
 +
Prerequisiti:
 +
* client: macchina con client rdesktop e client ssh
 +
* server: macchina con server rdesktop dentro la subnet di ingegneria dell'informazione. In questo esempio è ischia.ing.unimo.it
 +
* intermediario ssh: macchina dentro la subnet di ingegneria dell'informazione che monta un server ssh (macchine Linux SunOs e anche Windows). In questo esempio è sparc20.ing.unimo.it su cui è attivo l'account ''corni''
 +
 +
E' importante che server e intermediario ssh siano nella stessa subnet.
 +
 +
Il seguente comando eseguito sul client effettua il ''forward'' della porta rdesktop (3389) del server su una porta locale del client:
 +
ssh -o ServerAliveInterval=5 -C \
 +
    -L3389:apollo13.ing.unimo.it:3389 \
 +
    corni@sparc20.ing.unimo.it
 +
 +
ora e' sufficiente collegarsi con il client rdesktop a localhost:
 +
rdesktop -g 1024x768 -a 24 localhost &
 +
 +
Per macchine windows client e server ssh si può installare tra i pacchetti
 +
cygwin
 +
che si installano gratuitamente a partire dal sito [http://www.cygwin.com/] (scaricare setup.exe, scegliere un mirror e tra i pacchetti da installare scegliere bash e ssh).
  
 
= Liste di distribuzione di ateneo =
 
= Liste di distribuzione di ateneo =

Revision as of 11:16, 7 March 2007

Pagina di strumenti utili per la configurazione della rete. Riferimenti:

Rete wireless del campus di Ingegneria

Nuova rete Wireless: presto inizieranno i lavori per l'installazione della rete wireless' di ateneo. La nuova rete wireless avrà antenne diverse ed un sistema di autenticazione diverso (non più basato sui certificati). La Rete Wireless di Ateneo non è ancora disponibile ad Ingegneria. I lavori per passare dall'attuale rete wireless di Ingegneria alla rete wireless di ateneo si svolgeranno al più presto. Durante il periodo dell'installazione il collegamento wireless potrebbe non essere disponibile.

Acorni 17:09, 25 gen 2007 (CET)

  • Il CeSIA ha introdotto un nuovo livello di protezione sulla rete WiFi di ingegneria. Da oggi oltre all'autenticazione usuale (basata su SecureW2) per poter navigare al di fuori dell'università occorre inserire nuovamente la propria username e password della posta elettronica. L'accesso verso l'esterno dell'ateneo sarà abilitato solo dopo questa fase di autenticazione. Questo è stato fatto a seguito di gravi malfunzionamenti alla rete di ateneo a causa dell'utilizzo eccessivo di banda da parte di programmi P2P (Peer to Peer, e non [1]). In questo modo in caso di abusi dal CeSIA possono risalire alla persona responsabile.

Acorni 12:19, 10 gen 2007 (CET)

  • Nuovi certificati: Il 31 Dicembre 2006 sono scaduti i vecchi certificati per il collegamento alla rete wireless di ingegneria. Ecco i certificati aggiornati download [4/1/2007]. Per installare i certificati, sembra che occorra disinstallare il vecchio software SecureW2 e seguire nuovamente la procedura di installazione.

Firewall sulla rete

Da ingegneria ci sono tre livelli di firewall prima di accedere a internet: 

 -----------  
( Internet  ) 
 -----------  
    |
    | CeSIA-FW
    |
 --------- 
(  CeSIA  ) 
 --------- 
    |
    | Ing-FW
    |
 ----------------
(router Ingegneria)
 ----------------
    |
    |  ----------------
    + ( VLAN Informazi )
    |  ----------------
    |
    |  ----------------
    + ( VLAN Meccanica )
    |  ----------------
    |
    |  ----------------
    + ( VLAN Materiali )
    |  ----------------
    |
    |  ----------------
    + ( VLAN spinoff   )
    |  ----------------
    |                                                            .
   etc..

Il risultato è che (tranne le eccezioni autorizzate)

una macchina di ingegneria può collegarsi verso l'esterno a qualunque porta,

una macchina di ingegneria può essere contattata dall'esterno sulla porta 22 (protocollo ssh) oppure su qualunque porta sopra la 1024.

CeSIA-FW

Gestito dal gruppo di sicurezza di ateneo (Lalla Mantovani), implementa tutte le policy decise a livello di ateneo. Filtra ogni pacchetto entrante e uscente dall'ateneo.

Politiche di default:

  • In uscita sono aperte tutte le porte
  • In ingresso sono aperte le porte 22,80 e tutte quelle sopra la 1024.

Eccezioni a queste regole possono essere richieste al gruppo di Lalla Mantovani. Normalmente le porte a aperte in ingresso sono poi filtrate dal firewall di Ingegneria.

Ing-FW

Gestito dal personale tecnico di Ingegneria (prima Massimo Vignone, ora Alberto Corni) implementa le policiy a livello di campus di Ingegneria.

Politiche di default:

  • In uscita sono aperte tutte le porte
  • In ingresso sono aperte le porte 22 e tutte quelle sopra la 1024.

Eccezioni a queste regole possono essere richieste ad Alberto Corni.


Router Ingegneria

Il router di ingegneria impedisce il traffico SMB (samba, cioè file sharing Windows) tra le VLAN di ingegneria. Per questo motivo non è possibile accedere a cartelle condivise windows tra domini di broadcast diversi (ad esempio dalla rete Wireless). Questo e' stato fatto storicamente per evitare la diffusione di virus tra VLAN diverse.

Tunneling attraverso ssh

Ssh permette il port-forwarding. Con questo meccanismo è possibile clonare una porta di un server su un'altra macchina, la comunicazione tra le due macchine (server e clone) avviene su connessione criptata e sicura.

Esempio: collegarsi usando Remote Desktop a una macchina nella subnet di ingegneria dell'informazione.

Prerequisiti:

  • client: macchina con client rdesktop e client ssh
  • server: macchina con server rdesktop dentro la subnet di ingegneria dell'informazione. In questo esempio è ischia.ing.unimo.it
  • intermediario ssh: macchina dentro la subnet di ingegneria dell'informazione che monta un server ssh (macchine Linux SunOs e anche Windows). In questo esempio è sparc20.ing.unimo.it su cui è attivo l'account corni

E' importante che server e intermediario ssh siano nella stessa subnet.

Il seguente comando eseguito sul client effettua il forward della porta rdesktop (3389) del server su una porta locale del client: 

ssh -o ServerAliveInterval=5 -C \
   -L3389:apollo13.ing.unimo.it:3389 \
   corni@sparc20.ing.unimo.it

ora e' sufficiente collegarsi con il client rdesktop a localhost: 

rdesktop -g 1024x768 -a 24 localhost &

Per macchine windows client e server ssh si può installare tra i pacchetti 

cygwin

che si installano gratuitamente a partire dal sito [2] (scaricare setup.exe, scegliere un mirror e tra i pacchetti da installare scegliere bash e ssh).

Liste di distribuzione di ateneo

La lista degli iscritti alla lista del DII può essere consultata all'indirizzo Lista_DII.

Le liste che interessano il campus di ingegneria di Modena sono 

   dip_ingegneria_dellinformazione@unimore.it
   dip_ingegneria_meccanica_civile@unimore.it
   dip_ingegneria_deimateriali_dellambiente@unimore.it
   doc_fac_ingegneria_mo@unimore.it

Per iscrizioni, cancellazioni o maggioni informazioni, spedire una e-mail a support_posta@unimore.it.

Dettagli tecnici rete del campus di Ingegneria

Pagine accessibili solo agli utenti registrati

Pagine accessibili solo ai tecnici addetti ai lavori

Retrieved from "https://web.ing.unimo.it/wiki/wiki/index.php?title=Network&oldid=3435"