Olimpo Informatico

[caponord]

Ciao a tutti, il recente intervento sulla sicurezza aziendale, che obiettivamente ha limitato a mio modestissimo avviso ben più del dovuto (ok bloccare i social network, ma "bannare" anche i siti di email private secondo me sarà una grossa arma a doppio taglio...), mi ha invogliato a tornare a documentarmi su come funzionano queste cose.
Ho però necessità di mettere insieme qualche tassello Parto cmq fornendo alcuni ragguagli su come è strutturata la sicurezza aziendale, che si appoggia ad un servizio esterno che, sulla base del tipo di sito e della "classificazione" in essere, filtra appunto i siti, lasciando passare quelli consentivi e bloccando tutti quelli ritenuti inaccessibili.
Ovviamente è impensabile installare programmi particolari che garantiscano una navigazione anonima verso quei lidi ormai non + accessibili. Nello specifico, essendo privi di diritti di amministratore, la maggior parte degli applicativi non risulta installabile (mi riferisco a particolari versioni di Opera e di Firefox predisposte all'uopo).
Ciò premesso, ho fatto un check delle porte, risulta che le uniche due aperte sono la 80 (http) e la 8080 (https).
Il browser è impostato dall'amministratore di rete in modo che sia diretto verso il proxy che filtra (impostazione IP e porta 8080).
Il primo, banale, tentativo è stato quello di provare a sostituire quel proxy con uno di quelli anonimi che si trovano in rete, ma la connessione fallisce inesorabilmente.
Chiedo ai più esperti, è giusto pensare che la connessione internet avviene SOLO attraverso quel proxy aziendale e che quindi è impossibile trovare valide alternative? Ergo qualsiasi altra connessione che cerca di stabilire il browser attraverso la porta 80 o 8080 senza che si passi da quel PROXY ... è normale che fallisca!?
Ovviamente è impensabile aprire altre porte o utilizzare altri sistemi, per i motivi anzidetti.
Ovviamente il proxy non lascia aprire nessuno dei siti web che consentono la navigazione anonima e che nella logica dovrebbero consentire di aprire anche i siti "vietati".
Che prove si potrebbero fare? Tenendo acceso il pc di casa sarebbe secondo voi possibile ricorrere al "tunneling" ? che se ho ben capito farebbe si che dall'ufficio mi collego a quello di casa ed è quello di casa che apre i siti?!!? Se fosse possibile si aggiungerebbe un ulteriore problema dato che ha casa ho FASTWEB e sono dietro il NAT! (quindi con IP non visibile esternamente alla rete FASTWEB).
Grazie mille in anticipo, sono disponibile a fare altre prove.
Grazie ancora.
ciaoooo

[SverX]

Lungo e complesso. In breve direi che: se al traffico locale non è consentito di raggiungere Internet ma solo al proxy, è inutile cercare di settare nel browser un altro proxy esterno alla rete, questo è irraggiungibile per definizione.
Quindi o si usa un altro proxy interno alla rete, o si usa quello fornito già, e si fa quel che è permesso da questo. Normalmente i proxy sono basati su blacklist che funzionano in un modo molto semplice: se il sito web che vuoi aprire si trova sulla lista non avrai nessun accesso, altrimenti tutto ok. Quindi spesso si tratta semplicemente di localizzare dei server che non sono ancora blacklistati e che forniscano i servizi che desideri. A patto che esistano, ovviamente.

[caponord]

[SverX]

Ciao hai accesso al sito logmein.com ? Conosci "log me in"? Conosco gente che lo usa proprio per accedere al PC di casa, vedi se può andare per le tue necessità...

[caponord]

[SverX]

Ah, pensavo funzionasse via browser (magari una java applet o simile...)

no, aspetta, ho guardato, la cosa che devi installare è solo sul tuo PC a casa, sul client invece niente, almeno stando a quanto scritto qui non sono necessari diritti amministrativi.

[caponord]

[SverX]

ho provato poco fa con un amico, funziona! sul client non ho installato niente, ho avuto l'accesso usando il browser e basta

[caponord]

[caponord]

Per adesso ho solo potuto provare a connettermi al mio stesso pc
Vediamo però se ho capito:

occorre sempre mandare invito email alle persone che si vogliono invitare? (scegliendo quanto lungo debba durare l'invito in ore e giorni) oppure c'è altro sistema?

vedo che il programma è suddiviso in condivione del desktop e condivisone dei file, ed anche in PANORAMICA è posisbile inviare un invito... ne basta uno che poi riguarda tutto oppure DUE ?

forse sono un po di coccio io hihi

ciao e grazie.

[caponord]

aggiornamento...
provato a testare la condivisione tramite LogMeIn, ed appreso che la si può fare solo se il programma è attivo su account con diritti di amministratore, dico questo perchè in primis non si collega e, inoltre, notavo ieri sera che, provando ad avviare il software su account con diritti LIMITATI, la cosa non funziona.
Quando invece avvio il programma sull'account con diritti di ADMIN e poi entro anche nell'altro, lancio l'applicazione e risulta ATTIVATO (e teoricamente pronto a ricevere inviti da remoto), noto però che le due "linguiette" sulla sinistra del programma, ossia CONDIVIZIONE FILE e (se non erro) PANORAMICA, NON CI SONO. Prova evidente che non funziona su ACCOUNT con diritti limitati. Inoltre da questo account NON è possibile "fermare" il software.
Ergo nel mio caso è preferibile utilizzare il software che dicevo ieri, perchè per mia sicurezza preferisco non lasciare acceso il PC ore ed ore con un account con libero accesso a tutte le cartelle di sistema etc etc.
Certo, mi manca una prova, ossia AVVIARE il software su account con diritti di ADMIN, bloccare lo schermo, e provare da remoto se così funziona (se stamattina mi fossi mandato l'invito email dall'account con diritti di ADMIN, avrei già potuto provare
L'altro software, però, non funzione se blocco il desktop, credo che anche per questo sia la stessa cosa
SverX che ne dici? Mi sfugge qualosa?
Ciao e grazie.

[SverX]

boh, non saprei proprio che dirti... l'unica cosa che ho visto io è che un collega lo aveva installato (già prima) sul suo PC (non mi chiedere come fosse configurato) e poi dal mio PC, attraverso il mio browser, senza scaricare ed installare NIENTE ha fatto login al sito logmein, ha scelto il suo computer dalla lista di computer che può amministrare, e si è loggato su quello con un utente amministrativo.

Certo, i dubbi sulla sicurezza non sono infondati. Dovresti informarti su come viene assicurato che uno sconosciuto non acceda al tuo PC... conta che comunque semplicemente carpendo la tua user e password del sito avrebbero già accesso... però non saprei se altri sistemi sono implicitamente più sicuri, magari invece proprio no...

[caponord]

[SverX]

Non saprei dirti cosa ha fatto esattamente il mio collega prima della prova che abbiamo fatto... presumibilmente:
- si è iscritto al sito
- ha scaricato e installato il software sul suo PC, confermando poi che voleva poter controllare quel PC da remoto

dopo di che ha semplicemente fatto log in dal mio browser, scelto il suo PC dalla lista dei PC controllabili, et voilà!

[caponord]

[SverX]

no, la lista, intendevo, dei PC sui quali hai installato il software e che puoi amministrare da remoto... ovvio che non vedi i PC degli altri!

[caponord]