Windows Server 2003: guida alla sopravvivenza! - 5

Il modo migliore di bloccare tutto il traffico P2P nella vostra rete privata è quello di installare i servizi di Routing e Accesso Remoto presenti in Windows Server dalla versione 2000 in poi.
Il server deve avere (come d'altronde è lo scenario tipico) due schede di rete: una, che chiameremo esterna collegata solo al modem ADSL (IP 10.0.0.2 ad esempio, se il modem è 10.0.0.1), e l'altra, che chiamiamo interna, collegata alla rete locale, di IP 192.168.1.x ad esempio.
Configuriamo allora le due interfacce nella console del servizio di Routing. La configurazione è semplice e guidata da un wizard molto intuitivo.
Poi attiviamo il blocco di tutti i pacchetti in uscita dalla rete interna che non siano consentiti, e cioè andiamo su Proprietà di questa rete alla voce Firewall di base/NAT nello snap-in e clicchiamo su Filtri in uscita nella prima maschera che ci compare.
Qui si clicca su aggiungi e si inserisce solo la voce Porta di origine con il numero del servizio consentito e selezioniamo il protocollo di livello 4 associato, ad esempio:

• 53 TCP
• 53 UDP, entrambe per le richieste al DNS;
• 80 TCP per il protocollo http;
• 443 TCP, per il protocollo https;
• 20 TCP per il protocollo ftp;
• 21 TCP per il protocollo ftp;
• e così via.

Applicando le modifiche il router software lascierà passare solo i pacchetti con origine remota in queste porte. Ricordiamo inoltre di inserire il prtocollo ICMP lasciando a 0 il numero di porta (tutte).
Per poter invece accedere a risorse della rete interna (es. access point con accesso web o telnet) bisognerà aggiungere al server la relativa porta nella lista della scheda interna come Porta di destinazione (es. aggiungere la porta 80 o 143 per accedere alla configurazione di un access point) e così via per tutte le porte che sono di servizi di reti Windows (es. 137, 138, 139 e 445 per la condivisione dei file).

Per garantire invece l'accesso al server da Internet, ad esempio se questo ospita un server web, è necessario creare delle eccezioni nel firewall di base dell'interfaccia di rete esterna, cliccando sulla relativa maschera e inserendo quando richiesto, l'indirizzo IP del server della rete interna.

Se ad esempio in queste due configurazioni una porta fosse aperta in entrambi (es. 125 TCP e UDP) , programmi come Emule non riuscirebbero comunque a connettersi tramite questa, perchè il verso di transito dei pacchetti è solo in ingresso e ne è vietata l'uscita, quindi non ha luogo nessuna richiesta.

Bloccare il P2P in rete privata

Dopo tutta la serie di notizie più o meno allarmanti dal mondo della burocrazia statale e delle normative in generale contro il file sharing, è venuto il momento di analizzare quali sono le possibilità reali di blocco dei pacchetti P2P in rete aziendale. Prendiamo ad esempio in considerazione il blocco di Emule; è dunque possibile:

1. bloccare con un firewall le porte caratteristiche di Emule, la 4662 e la 4672, non funziona più, nè dal lato client (poichè il mulo sceglie una porta a caso fra le PASV, cioè quelle dal 1024 in su) nè dal lato server (perchè i server di Emule hanno porte spesso molto diverse dalla 4661 che dovrebbero avere in teoria);


2. bloccare con firewall molto evoluto (es. Kerio) i pacchetti di livello 5 (cioé bloccare quelli che sono riconosciuti dal programma come ed2k, riconoscimento che può fallire perchè basato su datastamp), che è però un'alternativa molto onerosa dal punto di vista del server che fornisce l'accesso alla Rete, poco efficace (specialmente per programmi come Ares) e difficilmente implementabile (anche i firewall che promettono questa feature in realtà poi non spiegano come vada implementata se non per i pacchetti più comuni come HTTP);


3. installare un proxy con una lunga IPtable per vedere cosa bloccare; ha gli stessi svantaggi della numero 1;


4. installare un router che apra l'accesso solo alle porte di servizi conosciuti.

Questa ultima possibilità, che è la più efficace, non solo per Emule, verrà affrontata nell'articolo seguente implementando il servizio di Routing ed Accesso Remoto presente in Windows Server 2003.

Windows Server 2003: guida alla sopravvivenza! - 4

Se siete interessati al broadcast di audio o video in rete installare Windows Media Services, che in Windows Server 2003 sono disponibili nella versione 9.
La gestione è molto semplice e avviene dalla console raggiungibile da Strumenti di Amministrazione nel menu Start. Non è necessaria alcuna configurazione preliminare.
Potete scegliere nella maschera delle proprietà del server i tipi di protocolli per lo streaming, tra cui HTTP (porta 80 TCP - dovete impostare la "convivenza di WMServer e di IIS come indicato in Technet), MMS (porta 1755 TCP e UDP) e RTSP (porta 554).
WMS supporta anche il multicast, ma dovete avere dei router di rete compatibili e per questo il metodo di trasporto suddetto non è usato in Internet.
Ogni trasmissione che aggiungere nel comodo wizard attivabile dall'ultima voce dello snap-in viene trasmesso in ogni protocollo attivo, salvo indicazioni particolari contrarie.
E' possibile inoltre impostare tutta una serie di ottimizzazioni (es. per lo streaming in reti wireless) e di autenticazioni per accedere al contenuto.
Se volete che l'evento di streaming che avete creato parta automaticamente al riavvio del server, allora attivate la relativa voce che sta nelle prime quattro proprità di ogni evento.

Si ricorda infine che altri servizi utili per il vostro server possono essere WSUS, scaricabile da Microsoft, che permette di creare un server mirror di Microsoft Update; e MailEnable, programma già citato in questo blog per la sua versatilità come server di posta (alternativa poco costosa a Exchange, che però possiede un eccellente sistema accesso Web - Outlook Web Access).

Windows Server 2003: guida alla sopravvivenza! - 3

Arrivati a questo punto potreste aver bisogno di installare dei servizi di rete come DHCP, DNS e WINS per la vostra rete locale.
Aggiungete queste applicazioni da Agggiungi/Rimuovi software dal Pannello di controllo ma prima di configurarle e metterle in funzione dovrete installare Active Directory poichè il DHCP ha bisogno di essere autorizzato all'interno dell'AD.
Per fare ciò, da Start/Esegui... digitare dcpromo e seguire il wizard.
Al termine avviate la console di configurazione del servizio DHCP e dopo averla configurata (immettendo pool di indirizzi da distribuire, server WINS - che poi è la stessa macchina-, nome di dominio e altre informazioni richieste) premete Azione/Autorizza dai menu a tendina.
Avviate ora il servizio e ricordatevi di escludere dal pool di indirizzi di distribuzione gli IP fissati (su computer, access point, router, stampanti di rete, ecc.). Avviare infine DNS (dopo una breve configurazione) e WINS e il gioco è fatto.

Virtual Box la nuova virtual machine

Da poco tempo è disponibile su http://www.virtualbox.org/ una nuova e potente macchina virtuale per piattaforme host Windows, Linux e Mac OS X. I sistemi operativi guest supportati sono:

• Windows (da DOS+3.1 fino a Vista);


• Linux;


• OS/2;


• Solaris;


• altri sistemi Unix;


• L4 (sistema operativo scritto su kernel per embedded).

Questo software è poco invasivo come Virtual PC ma a prima vista più performante, specialmente in ambito grafico dove permette per l'avvio dell'installer di Ubuntu.

Insomma, un clone gratuito di VmWare, con un pieno suppoto per Linux, dal kernel 2.2 al 2.6 passando per il 2.4. Emulazione di USB e floppy presenti; disponibile anche la creazione di dischi fissi virtuali statici e dinamici. Inoltre l'interfaccia di rete parte di default come NAT, molto importante se non potete ad esempio interrompere l'attività sulla scheda di rete fisica durante il primo avvio della macchina virtuale.

Unica pecca il meccanismo di controllo di limite di RAM assegnabile, che non si ferma nemmeno di fronte al limite fisico della macchina, ed è fisso a 1200 MB. Selezionare quindi sempre un valore pari alla metà della RAM installata sull'host, pena errore di esecuzione della macchina virtuale e terminazione dell'emulazione.

Windows Server 2003: guida alla sopravvivenza! - 2

Come primo servizio potreste avere bisogno di installare IIS 6.0. A differenza di quanto precedente mente riportato in questo blog, si eseguirà ora un'installazione diversa e sicuramente funzionante nonché più performante (poichè utilizza solo ISAPI al posto dei moduli CGI).
Nell'ordine:

• scaricare da http://www.php.net/ l'ultima distribuzione di sorgenti precompilati per Windows compressa in zip del PHP 5;


• scompattare il tutto nella cartella C:\php;


• rinominare il file php.ini-recommended in php.ini in questa cartella, e SPOSTARLO sotto C:\windows;


• apritelo poi con un editor e modificate alcune voci: cgi-forceredirect=0 (perchè useremo IIS), settare la path di root del web server e quella della estensioni (ad es. "C:\php\ext" - ricordare di usare la barra inversa e non quella diritta a differenza degli esempi riportati in php.ini), attivare anche le estensioni volute (togliendo il ";" davanti alle DLL coma ad es. php_mysql.dll);


• installare IIS 6.0 da Aggiungi/Rimuovi Applicazioni nel Pannello di Controllo;


• aprire la console di gestione di IIS e cliccare col destro su "Sito Web Predefinito" e poi su Proprietà; settare i permessi voluti di accesso (solitamente si attiva Accesso anonimo) e aggiungere nella lista dei documenti predefiniti per la ricerca anche, nell'ordine, index.html, index.php, main.php; è inoltre raccomandato togliere iisstart.htm da questa lista;


• l'ultima voce della parte a sinistra della console di riferisce alle estensioni del server; in questa creiamo una nuova estensione chiamata PHP e con eseguibile C:\php\php5isapi.dll; consentiamo l'esecuzione dell'estensione;


• aprire la console di gestione di IIS e cliccare col destro su "Sito Web Predefinito" e poi su Proprietà; cliccare sul tasto Configurazione... della maschera che ospita il il percorso della radice del sito, e aggiungere nelle estensioni ".php" e come eseguibile C:\php\php5isapi.dll;


• aggiungere poi nella variabile d'ambiente PATH di Windows ";C:\php";


• inatallare MySql se necessario e riavviare il sistema.

All done, il vostro sito web è funzionante. Se avete cambiato la cartella di default del sito in IIS (che è C:\Inetpub\wwwroot) ricordate anche di dare i permessi all'utente IUSR_nomecomputer almeno in lettura.

Windows Server 2003: guida alla sopravvivenza! - 1

Se dovete installare Windows Server 2003 (standard, web o enterprise) è utile sapere alcune cose preliminari:

• il sistema operativo non ha abilitato di default l'audio, quindi avviare il servizio Audio da console (Start/Esegui/services.msc) dopo aver installato i driver;


• il sistema operativo non ha abilitato di default l'accelerazione DirectX, quindi abilitarla dalla debita maschera di DxDiag (Start/Esegui/dxdiag);


• Windows Server chiede sempre all'utente un CTRL+ALT+CANC per loggarsi e una spiegazione scritta ad ogni riavvio o spegbimento della macchina; per togliere questi fastidi basta configurare le apposite voci dalle Group Policies (Start/Esegui/gpedit.msc);


• per aggiungere un utente abilitato a loggarsi nel server (accesso interattivo) basta digitare lusrmgr.msc da Esegui... , creare l'utente e poi aggiungerlo al gruppo Administrators (attenzione: se avete Active Directory già installata, questa console sarà disablilitata e dovrete aggiungere l'utente da lì);


• infine, piccola nota a margine, i driver 4in1 per i chipset VIA non sono inclusi nel cd di Wndows, a differenza di quanto accade con l'XP.

Completati questi passi iniziali siete pronti per installare i servizi che vi servono.