Pare che la moda del momento sia chiedere che i propri dipendenti non usino Facebook e non chattino su MSN. Pur non essendo d’accordo, credo si tratti di una richiesta lecita se fatta da chi paga sia le persone che la banda(*).

I sistemi di content filtering possono essere costosi e/o impegnativi nella manutenzione per aziende di piccole dimensioni che magari dispongono a malapena un firewall. Ci sono un paio di tecniche che permettono di filtrare abbastanza agevolmente senza dover fare alcun investimento. Il principio è controllare le query DNS, intercettando i domini da bloccare e/o utilizzando l’apposito servizio gratuito fornito da OpenDNS. Della situazione speculare, il blocco totale con pochi domini in whitelist avevo già parlato qui.

Come spesso accade, in azienda c’è un piccolo server Windows 200x o Small Business Server che adempie alle solite funzioni (AD controller, file e print server, DNS, DHCP ecc ecc.); concentriamoci sul DNS. In questo esempio mi interessa bloccare il traffico verso Facebook, quindi ne carico una pagina e do una scorsa al sorgente HTML, dal quale mi accorgo che gli unici domini interessati sono Facebook.com e fbcdn.net. Provvedo quindi a creare due nuove zone di ricerca diretta primarie, integrate in AD e replicate su tutti i server DNS proprio per quei due domini (facebook.com e fbcdn.net).

Il risultato di questa operazione sarà che il mio server sarà convinto di essere autoritativo per i domini in questione e non si preoccuperà di recuperare dai suoi forwarder, o dai root server, l’indirizzo IP degli host di quei domini(**). Non avendo alcun record di tipo A definito, restituirà al client un messaggio di host sconosciuto (“www.facebook.com non esiste“); otteniamo così il risultato di rendere Facebook non raggiungibile. (Naturalmente devo attendere che la cache DNS sui client sia scaduta o forzarne il refresh con ipconfig /flushdns)

Per evitare che un utente più smaliziato usi un server DNS pubblico, bisogna bloccare sul firewall tutto il traffico in uscita sulla porta 53 sia TCP che UDP, tranne quello proveniente dai server DNS interni.

Per bloccare Messenger e per un controllo su altre categorie di siti, si può usare il servizio gratuito offerto da OpenDNS, dove basta registrarsi, configurare il proprio server DNS con gli appositi forwarder, registrare e confermare il proprio network seguendo le semplici indicazioni (c’è anche un client per chi non ha un IP pubblico statico) e attivare il content filtering. Questo è un esempio di configurazione che blocca Messenger ed altre categorie di siti.

Queste impostazioni che vedete sono disponibili anche nella versione gratuita, che assolve egregiamente ai suoi scopi. Si possono anche specificare singoli domini da blacklistare. Il servizio offre anche un po’ di statistiche. Le pagine bloccate vengono catturate e viene restituita una pagina con messaggi personalizzabili e logo dell’azienda.

E’ evidente che questi metodi non resistono ad un utente con competenze evolute (non riuscirete a bloccare il traffico a un ufficio di sistemisti), ma per la maggior parte dell’utenza è uno scoglio insormontabile.

Pregi:

• Sono gratuiti.
• Sono molto semplici da implementare.
• Sono facili da spiegare ai clienti.
• Richiedono pochissima manutenzione.
• Sono adatti a aziende piccole o medio-piccole.
• Sono facilmente reversibili alla configurazione “tutto aperto”.

Difetti:

• Pasticciare con le query DNS non è affatto elegante.
• Ci si affida a un servizio esterno con tutti ciò che ne consegue in termini di sicurezza, privacy e continuità del servizio.
• Utilizzare un servizio come OpenDNS che raccoglie un database di query e lucra sul traffico rediretto è comunque un compromesso.
• Non scalano bene nel caso le esigenze di controllo diventino più granulari.
• Non sono adatti ad aziende più grandi con infrastrutture più complesse.

(*)Ulteriori considerazioni sul filtrare i contenuti internet sono al di fuori dello scopo di questo post.

(**)Semplificazione. Per una spiegazione più approfondita, leggimi qui.

Tapullo: “Non esiste parola che si possa paragonare a Tapullo. Trattasi di riparazione di fortuna che spesso dura nel tempo e aggiunge nuove funzionalità (…). I Genovesi, da sempre parsimoniosi, sono abili nei Tapulli. I Tapulli vengono mostrati con fierezza agli amici, alcuni diventano perfino leggendari e spesso i grandi marchi vi si ispirano per migliorare i propri prodotti. A volte viene usato il termine per denigrare una riparazione di fortuna (raro), o per indicare una soluzione temporanea (più comune).” Fonte.

Caprica è il prequel di Battlestar Galactica, che ho da poco finito di vedere. Mi aspettavo grandi cose da questa serie, perché il materiale da cui parte è buono e c’erano le possibilità per creare un’altra grande serie di fantascienza. Dopo cinque-puntate-cinque devo dire di essere un po’ deluso. Poca fantascienza, pochissima tecnologia, troppi dialoghi. Il robottone è relegato a 5 minuti per episodio e non fa assolutamente nulla. L’impressione è che gli autori stiano aggiungendo materiale su materiale nella speranza di imbroccare la strada giusta.

Per ora ho visto un teen drama, una soap opera, un hardboiled, ma pochissima fantascienza. Certo, i personaggi sono tratteggiati abbastanza bene e le trame articolate, ma la piega che sta prendendo la storia (?) non mi entusiasma affatto. Dopo cinque puntate non siamo ancora arrivati al punto, non viene da chiedersi “Cosa succederà?”, si assiste solo al dipanarsi delle vicende dei numerosi personaggi che si intrecciano tra di loro.

Trovo l’ambientazione stranamente incongrua: intanto questa civiltà, di circa mezzo secolo anteriore a quella rappresentata in BG, sembra tuttavia più avanzata tecnologicamente. Un mondo in grado di creare un ambiente virtuale perfetto e assemblare un robot antropomorfo dotato di intelligenza artificiale, è popolato di persone che sembrano uscite dagli anni ‘50: cappelli con la tesa e auto con cromature e pinne. Da un lato fogli e-ink “intelligenti” usa e getta e “holoband”, dall’altro monitor a tubo, stampanti a aghi e tabulati, telefoni a filo nelle case, con cornetta e tutto.

Alla fine continuerò a guardarlo perché rappresenta comunque un’eredità di Battlestar Galactica, ma non lo consiglio a chi non sia un appassionato.

Ultimamente ho problemi al feed, gli accenti vanno e vengono, e i post riappaiono misteriosamente. Appena ho un attimo per occuparmene, vedo di aggiornare WP e relativo plugin.

Abbiate pazienza.

Ricetta quick’n dirty per creare una VPN tra un client remoto ed un server, entrambi con sistema operativo Windows. Destinata a cuochi mediamente abili. Versione routed(*).

Ingredienti:

• Un host che faccia da server, con IP privato statico (es: 192.168.1.2/24), collegato ad internet, acceso 24/7 e a cui il router inoltri almeno una porta TCP(**) (Es: TCP/11900). Windows 2000 o successivi, non necessariamente Server.
• Un client con connessione ad internet con IP privato di classe diversa dal server (es: 192.168.254.0/24).
• OpenVPN.

Esecuzione:

• Generare una chiave simmetrica key.txt tramite l’apposita utility e copiarla nelle cartelle “config” di OpenVPN di entrambi gli host.
• Scegliere una terza subnet diversa da entrambe le subnet degli host coinvolti. Es: 172.30.0.0/16.
• Aggiungere sul default gateway (tipicamente il router) della rete del server una rotta statica che inoltri tutto il traffico destinato alla rete 172.30.0.0/16 verso l’IP privato del server (192.168.1.2).
• Registrarsi su DynDNS e creare un hostname per il server (es: mioserver.dnsalias.net).
• Installare sul server il client DynDNS (versione per 200x Server in fondo alla pagina) e configurarlo per usare l’hostname appena creato. Accertarsi che il relativo servizio parta automaticamente.
• Installare OpenVPN su entrambi gli host, e inserire nelle cartelle “config” di OpenVPN i ripettivi file di configurazione, con estensione .ovpn.

File: client.ovpn
remote mioserver.dnsalias.net
dev tap
proto tcp-client
rport 11900
ifconfig 172.30.1.2 255.255.0.0
route 192.168.2.0 255.255.255.0 172.30.1.1
secret key.txt
verb 3

File: server.ovpn
dev tap
proto tcp-server
lport 11900
ifconfig 172.30.1.1 255.255.0.0
secret key.txt
verb 3

• Sul server avviare il servizio “OpenVPN Server” e impostarne l’avvio automatico.
• Sul client, collegato ad internet con una connessione internet diversa dal server,  eseguire “OpenVPN GUI” in modalità amministratore, cliccare col tasto destro sull’icona nella systray e scegliere “connect”.
• Effettuare dei test di connettività. In caso di problemi, i log di OpenVPN sono molto esplicativi già a verb 3.

Guarnire con quanta più banda possibile e servire con due righe di istruzioni per l’utente.

(*)Le due reti non sono in bridging, configurazione comunque possibile ma leggermente più complicata.

(**)Si può usare anche UPD, che sarebbe il default di OpenVPN, ma su alcuni router SOHO non si possono inoltrare le relative porte.

Nell’ultimo periodo ho seri problemi con la mia pazienza. La mia soglia di tolleranza si sta pericolosamente abbassando, mi inalbero per il minimo inconveniente e mi innervosisco con le persone. Al minimo accenno di scarsa comprensione di semplici frasi in italiano — inconveniente che peraltro affligge almeno metà degli umani che incontro — ho l’istinto di dare in escandescenze e sterminare interi uffici.

La stupidità mi strazia, la mia tolleranza è messa a dura prova da gente qualunque che non mette il minimo interesse nel lavoro che fa; oggi a pranzo sono uscito da un bar senza ordinare perché la cassiera-barista-commessa mi sembrava troppo lenta, non mi ha salutato entrando e non mi ha degnato di uno sguardo per due minuti buoni.

Gli inconvenienti tecnici, che sono sempre stati la normalità nel lavoro che faccio, mi fanno venire voglia di risolvere i problemi con una mazza da 5 kg o un lanciafiamme.

Devo calmarmi, davvero: non è possibile che io voglia far brillare con il tritolo tutti i semafori rossi.

Mi dispiace per Cameron, ma la storia migliore con umanoidi blu fuori taglia rimane sempre “I Puffi”.

Oggi ero a casa di mia madre, e guardavo delle vecchie foto con mia figlia Beatrice, che ha 6 anni. Non aveva mai visto dei negativi e non sapeva cosa fossero.  E’ la prima volta che percepisco così chiaramente il salto tra la mia generazione e la sua.

Il bravo Matteo (*), genovese che sta terminando la Scuola Internazionale di Comics a Torino, mi ha regalato un cameo in un fumetto disegnato da lui.

Ambientato in una “Genova distopica” di un 2013 post-catastrofe, faccio parte di una “rete di ex hacker e tecnici informatici che tentano di ripristinare una sorta di arpanet sul territorio, per contrastare il regime violento e repressivo”. Fantastico.

(*) Formerly known as Etere.

Finalmente l’amico e collega Giuliano si è deciso ad aprire un blog. Ne sa a pacchi, più di una volta mi ha tolto dai guai e scrive di robe uber-geek. Se fate un mestiere che somiglia al nostro vi consiglio caldamente di aggregare il suo feed.

(Bonus track: è anche un ottimo fotografo, date un’occhiata al suo Flickr.)

L’ultima parola che gli ho detto è stata: “grazie”.

(Ciao Pa)

Martedì 26 era il compleanno di papà, che ha compiuto 80 anni. Non è stata una giornata felice, papà è malato da tempo ed è ricoverato in ospedale. Si sta spegnendo lentamente e io soffro nel vederlo così. Sto male e non mi sembra di aver diritto di lamentarmi: è una cosa dalla quale quasi tutti passiamo prima o poi. Non mi sembra di poterla menare più di tanto, ma comunque sto male. Papà combatte con la leucemia acuta da quasi un anno e in tutto questo tempo sono contento di avere imparato ad abbracciarlo, baciarlo e a fargli una carezza, tutte cose impensabili fino a un anno fa. Ecco cosa scrivevo lo scorso marzo:

Ho baciato mio padre. Erano 35 anni che non lo facevo, ma ultimamente sono successe cose che ci hanno cambiato. Siamo sempre stati in buoni rapporti, spesso molto migliori che con mia madre, ma il nostro rapporto è sempre stato improntato ad un sobrio rigore che ci ha precluso gesti troppo affettuosi. Tuttora, il pensiero di abbracciarlo mi provoca imbarazzo, ma ci sto lavorando.

Ho baciato mio padre e vorrei riuscire a dirgli finalmente che è stato un buon padre, che mi ha trasmesso dei valori e che è la persona più onesta che io conosca.

Intanto faccio le prove e lo scrivo qui, una specie di beta test

Il fatto di sentirmi una persona orribile non mi aiuta. Mi sento inadeguato perché quando non sono con lui ci vorrei essere, e quando ci sono vorrei scappare. Vorrei potermi tappare le orecchie per non sentire notizie sulla sua salute che peggiora. Non sono neppure riuscito a passare da lui il giorno del suo compleanno, ma solo la mattina dopo. E ha capito lo stesso, perché è mio padre e mi vuole bene. Quando gli ho dato il biglietto che Bibi gli ha mandato e gli ho fatto sentire la voce di sua nipote che gli cantava “Tanti Auguri” aveva gli occhi umidi, e io con lui.

Vorrei che tutto finisse.
Ecco.
Per questo mi sento una merda: sono egoista e penso solo a me stesso.