Per ragioni di sicurezza, l’accesso alla nostra rete interna (LAN), trovandosi all’esterno dell’OAR, è possibile solo attraverso tre modalità; queste procedure sono di seguito elencate con i loro pro e contro.
1) Collegamento indiretto: si utilizza una specifica macchina del CED
Bisogna collegarsi prima con la macchina VEGA4, che è il punto di accesso, utilizzando l’account che è stato assegnato; da qui si potrà aprire una connessione con qualsiasi macchina della LAN, a prescindere dalla classe di rete ad essa assegnata.
Per effettuare il collegamento è obbligatorio utilizzare il protocollo SSH (SSH, SFTP, SCP) su una specifica porta assegnata dal personale del CSIT; chiedete informazioni ( ced@oa-roma.inaf.it ) sul numero di porta utilizzata.
Il comando per collegarsi è:
ssh –p numeroporta nomeutente@vega4.oa-roma.inaf.it
Per trasferire dati utilizzare il seguente comando:
scp -P numeroporta /directory/locale/nome-file nomeutente@vega4.oa-roma.inaf.it:/directory/remota/
- Contro: richiesta preventiva di un account
- Contro: doppio passaggio nei trasferimenti dati
- Contro: l’account può essere violato
- Pro: si può accedere anche alle macchine con IP privato
A chi è consigliata: prevalentemente per chi ha macchine con indirizzo IP privato, non raggiungibili con le altre due modalità
NB: per usufruire di questo servizio è richiesta l’autorizzazione della Direzione tramite il modulo “Richiesta servizi e risorse”
2) Apertura del firewal: porta SSH (o altre specificate) per un IP esterno
Tale modalità potrà essere praticabile solo per esigenze molto particolari, da esaminare con il CED.
- Contro: richiesta preventiva di apertura su firewall
- Contro: conoscenza dell’IP esterno da cui ci si connette; non sempre è fisso
- Contro: apertura per un IP statico esterno
- Contro: apertura solo delle porte richieste
- Pro: scambio dati punto-punto non possibile con la soluzione 1)
- Pro: apertura di porte relative ad applicativi
A chi è consigliata:
- utilizzo di programmi od utilità che fanno uso di porte particolari o non standard
- utilizzo della connessione da parte di utenti, non appartenenti all’OAR, in numero maggiore di 2-3
- connessione sempre attiva per erogare servizi continuativi in automatico
Per utilizzare questo servizio è richiesta l’autorizzazione della Direzione tramite il modulo “Richiesta servizi e risorse“. Nel modulo dovete specificare il numero della/e porta/e che si vuole/vogliono far aprire e l’IP della macchina esterna con cui si vuole la connessione
3) Collegamento diretto: utilizzando una particolare procedura
Si utilizza una procedura che, interagendo con il firewall, permette di aprire automaticamente una connessione punto-punto con una macchina interna all’OAR su richiesta dall’esterno da parte dell’utente.
Questa procedura fornisce un modo semplice, veloce, ma sicuro, per comunicare al firewall ciò che si vuole fare e con quale macchina.
Vediamo come procedere operativamente.
Occorre inviare alla macchina, con cui si vuole stabilire una connessione, una sequenza di 4 codici: i primi tre sono uguali per tutti, mentre il quarto cambia per ogni utente. Questo si può fare utilizzando qualsiasi programma, comando o procedura che faccia una richiesta (TCP) di apertura connessione su una porta specificata dall’utente, come, per esempio, Putty, WinSCP, programmi di scanning o con le due procedure che potete scaricare in fondo alla pagina.
Per aprire una connessione, quindi, basta eseguire più richieste di connessione verso la macchina che interessa, interna alla LAN, sulla rete 192.156.213.*, utilizzando i codici suddetti come porte remote, ed interromperle dopo aver atteso un tempo adeguato alla capacità della rete che si sta utilizzando; vediamone di seguito l’utilizzo pratico con SSH:
1° comando da inviare ssh PC_Remoto –p codice1 interrompere
2° comando da inviare ssh PC_Remoto –p codice2 interrompere
3° comando da inviare ssh PC_Remoto –p codice3 interrompere
4° comando da inviare ssh PC_Remoto –p codice4 interrompere
Se il comando non viene interrotto dall’utente, verrà terminato dal sistema in automatico dopo circa 30-40 sec.
Vediamo il significato dei codici inviati:
- Il primo ed il secondo codice, in sequenza fissa, comunicano al firewall di mettersi in ascolto (si sta in pratica “bussando” al firewall).
- Il terzo codice (codice3) indica l’azione da eseguire; si sta chiedendo al firewall di aprire una connessione (c’è anche la possibilità di chiuderla, nel caso fosse già stata aperta); quindi il terzo codice in realtà sono due, uno per aprire ed uno per chiudere.
- Il quarto codice (codice4) è la firma dell’utente; ogni utente ne avrà uno personale.
A questo punto, se i codici sono stati inviati nella sequenza corretta, il firewall automaticamente permetterà una connessione fra il vostro computer e “PC_Remoto”, ossia la macchina a cui li avete inviati, con la possibilità di lavorare in desktop remoto sia da windows che da unix/linux e con il protocollo SSH.
Chiaramente, se si sta utilizzando una connessione aperta con questa procedura e per qualche ragione cambia l’IP a voi assegnato (si spegne e si riaccende il modem o ci si sposta di presa negli istituti con IP assegnato, per esempio), non ci si potrà più collegare/scollegare e si dovrà ripetere la sequenza di apertura connessione.
Le connessioni rimaste aperte verranno automaticamente chiuse ogni giorno alle ore 24.
Utilizzando questa procedura, le connessioni, come già detto, sono possibili solo verso macchine dell’OAR che hanno indirizzo IP nella classe 192.156.213.*. Per tutte le altre macchine, raggiungibili solo con indirizzo IP 172.*.*.*, è necessario passare da vega4, come si è fatto finora.
I codici “codice1”, “codice2”, “codice3” e “codice4” verranno inviati direttamente all’utente che ne abbia fatto richiesta tramite un mail a ced@oa-roma.inaf.it; dato che si ha anche la possibilità di poter chiudere le proprie connessioni aperte, vi verrà fornito anche il codice di chiusura, oltre che di apertura. Riceverete quindi tre mail in risposta alla vostra richiesta: il primo conterrà i due codici di contatto, il secondo i codici di apertura e chiusura connessione, il terzo il codice personale.
Tali codici, da trattare come se fossero delle password, tracceranno la vostra attività e quindi sono da considerarsi strettamente personali e da conservare in maniera adeguata. L’uso improprio o la cattiva custodia dei codici assegnati può mettere in pericolo l’intera LAN dell’OAR e quindi l’assegnatario potrà essere denunciato alle autorità competenti. Per esigenze di collegamento da parte di collaboratori esterni, potete richiedere un codice personale per il collega, a vostro nome, indicandone le generalità e la data di inizio e fine utilizzo; in tal caso, la responsabilità dell’uso dei codici e della loro custodia sarà esclusivamente della persona a cui sono stati assegnati, in quanto il richiedente interno certifica solo l’identità della persona che li userà.
- Contro: dover ripetere ogni giorno la procedura di apertura sul firewall
- Contro: si può utilizzare solo con macchine della LAN con IP 192.156.213.*
- Pro: richiesta una tantum dei codici di accesso (via mail a ced@oa-roma.inaf.it solo per interni).
- Pro: la procedura per aprire il firewall si esegue una volta sola nella giornata
- Pro: non rimangono collegamenti aperti per più di un giorno (a mezzanotte viene azzerato tutto)
- Pro: si possono aprire collegamenti virtualmente infiniti da più IP esterni verso una o più macchine della LAN
- Pro: tale procedura può essere utilizzata anche da collaboratori esterni, previa autorizzazione scritta
A chi è consigliata: a tutti gli utenti che vogliono collegarsi spesso, ma non in modo continuativo, ad una o più macchine della LAN da uno o più IP pubblici. E’ consigliabile avere anche un account su vega4 (punto 1) come backup.
Potete scaricare ed utilizzare le seguenti procedure automatiche per aprire una connessione dalla macchina su cui si lancia verso una macchina interna all’OAR. Dato che queste procedure contengono i codici per attivare una connessione, dovranno essere protette da accessi indesiderati, non inviate tramite mail e non cedute a terzi.
Procedura automatica su Linux/Unix e Mac per attivare una connessione
All’interno dello script, al posto di “cod1”, “cod2”, “codice3A” e “codice3C”, vanno inseriti i relativi codici che ti sono stati assegnati.
Procedura automatica su Windows per attivare una connessione
All’interno dello script, al posto di “cod1”, “cod2”, “codice3A” e “codice3C”, vanno inseriti i relativi codici che ti sono stati assegnati.