Effettuare l’autenticazione utilizzando password statiche nasconde alcune insidie: può essere dimenticata, violata, persa. Per aumentare il fattore sicurezza, esiste un tipo di autenticazione basata sull’utilizzo di password dinamiche generate da dispositivi chiamati “token” valide per un solo utilizzo: le one time password. Questo sistema è molto usato per accedere, ad esempio, al conto online della propria banca.

Lo stesso concetto è possibile applicarlo per l’autenticazione degli utenti durante, ad esempio, una sessione VPN. Per effettuare l’autenticazione tramite MOTP (Mobile One Time Password), si abbina la procedura nel progetto MOTP al sito http://motp.sourceforge.net.

1. PRE REQUISITI
Per installare il sistema, sono richiesti i seguenti componenti:

• FreeRADIUS 2.x
• otpverify.sh
• dictionary.motp

2. PROCEDURA
Iniziare con l’installazione di FreeRADIUS. Tramite il comando yum, installare i package richiesti per il funzionamento.

# yum install freeradius2 freeradius2-utils freeradius2-ldap

Rendere il servizio radiusd attivo anche al riavvio del sistema tramite il comando chkconfig.

# chkconfig radiusd on

Scaricare dal sito Mobile-OTP il file otpverify.sh, renderlo eseguibile ed assegnare l’ownership all’utente/gruppo radiusd utilizzati da FreeRADIUS.

# cd /usr/local/bin
# wget http://motp.sourceforge.net/otpverify.sh
# chmod +x otpverify.sh
#  chown radiusd:radiusd otpverify.sh

Scaricare dal sito motp il file dictionary.motp nella directory /etc/raddb/.

# wget http://motp.sourceforge.net/dictionary.motp
# chown root:radiusd dictionary.motp

Editare il file /etc/raddb/dictionary ed aggiungere l’INCLUDE per il file appena scaricato.

# vi /etc/raddb/dictionary

Creare le seguenti directory in /var ed assegnare l’ownership a radiusd.

# mkdir /var/motp
# mkdir /var/motp/cache
# mkdir /var/motp/users
# chown -R radiusd:radiusd /var/motp

Editare il file /etc/raddb/radiusd.conf ed aggiungere le seguenti istruzioni nella sezione modules:

exec MOTP {
wait = yes
program = “/usr/local/bin/otpverify.sh %{User-Name} %{User-Password} %{reply:Secret} %{reply:Pin} %{reply:Offset}”
input_pairs = request
output_pairs = reply
}

Creare un file identificativo (nell’esempio radius.nolabnoparty.com) nella directory /etc/raddb/sites-enabled/.

# touch /etc/raddb/sites-enabled/radius.nolabnoparty.com

Editare il file creato inserendo la seguente configurazione:

authorize {
preprocess
chap
suffix
files
expiration
logintime
pap
}

authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type External {
MOTP
}
unix
}

preacct {
preprocess
acct_unique
suffix
files
}

accounting {
detail
unix
radutmp
attr_filter.accounting_response
}

session {
radutmp
}

post-auth {
Post-Auth-Type REJECT {
attr_filter.access_reject
}
}

pre-proxy {
}

post-proxy {
}

Editare il file /etc/raddb/sites-enabled/inner-tunnel ed aggiungere nella sezione authenticate l’istruzione:

       Auth-Type External {
MOTP
        }

Editare il file /etc/raddb/clients.conf ed impostare il valore del parametro secret che sarà utilizzato dal server e dal client per la comunicazione.

# /etc/raddb/clients.conf

3. INSTALLAZIONE DEL CLIENT (TOKEN)
Il dispositivo utilizzato come token può essere un comunissimo Smartphone (iPhone, Android, Nokia) su cui viene installato il software che genera l’OTP.

Qui sono elencati alcuni software utilizzabili:

Android:  DroidOTP, mobile-OTP        (presenti nel Market)
iPhone:    mOTP , iOTP                             (presenti in iTunes)
Nokia:      mobileOTP                                (applicazione Java)

Installato il software sullo Smartphone, generare il valore del parametro Secret* ed annotarlo. Editare il file /etc/raddb/users ed inserire la seguente configurazione:

DEFAULT Auth-Type = External
Exec-Program-Wait = “/etc/raddb/otpverify.sh ‘%{User-Name}’ ‘%{User-Password}’ ‘%{reply:Secret}’ ‘%{reply:Pin}’ ‘%{reply:Offset}’”,
Fall-Through = Yes

user_nolabnoparty                                                (username)
Secret = 7176f617a1a6ae52,           (*prelevato dal dispositivo token)
PIN = 1234,                                            (pin utilizzato per generare l’OTP)
Offset = 0                                               (differenza “Epoch-Time” tra client e server )

4. VERIFICA DELLA CONFIGURAZIONE
Per testare lo script otpverify.sh, generare una password tramite il token ed eseguire l’istruzione:

otpverify.sh username token Init-Secret PIN Offset

# /usr/local/bin/otpverify.sh user_nolabnoparty 536d46 7176f617a1a6ae52 1111 0

Lo script dovrebbe riportare ACCEPT.  Rilanciando il comando lo script dovrebbe rispondere con FAIL.

Per verificare che la configurazione di FreeRADIUS sia corretta, lanciare il daemon radiusd in modalità debug.

# radiusd -X

Se la configurazione non presenta errori, il sistema visualizza il messaggio Ready to process requests.

4. TESTARE L’AUTENTICAZIONE TRAMITE MOTP
L’installazione e configurazione del sistema è terminata. Non rimane che testare la funzionalità del sistema.

Lanciare FreeRADIUS in modalità debug.

# radiusd -X

Dal token generare una password. Aprire un’altra sessione di FreeRADIUS e digitare il comando:

radtest username token IP_FreeRADIUS Offset FreeRADIUS_Secret

# radtest user_nolabnoparty 127.0.0.1 0 secret1234

Visualizzando il messaggio Access-Accept, il sistema ha autenticato l’utente con la password OTP generata dallo Smartphone. Il sistema è adesso pronto per essere utilizzato.

TROUBLESHOOTING
Nel caso l’autenticazione fallisse sistematicamente con il messaggio Access-Rejected, verificare che la configurazione sia corretta.

1. Verificare che i permessi e l’ownershipsia corretta nei seguenti file/directory:
   • otpverify.sh
   • /var/motp
   • /var/motp/cache
   • /var/motp/users
2. Verificare che l’Epoch-Time sia in sync tra server e client seguendo la procedura nel sito Mobile-OTP.
3. Verificare che il parametro Secret del token sia correttamente riportato nella configurazione dell’utente nel file /etc/raddb/users.

Hai già letto questi articoli?

• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Integrare VMware ESXi 4.1 in Active Directory
• Accedere alla rete aziendale tramite VPN SSL
• Monitorare macchine Linux remote con nagios-nrpe

Il servizio di Remote Assistance è un ottima soluzione a costo zero per fornire il supporto IT remoto agli utenti della rete restando comodamente seduti davanti al proprio computer.

Il servizio è presente in Windows già da tempo ma con l’avvento di Windows Server 2008 R2 / Windows 7 qualcosa è cambiato nella configurazione creando un po’ di confusione.

Per la configurazione di Remote Assistance in un ambiente di Active Directory, ci si avvale delle GPO che permettono di processare i client di rete in modo efficiente.

1. PROCEDURA
Come prima cosa bisogna definire quali account/group devono avere i diritti sui client per fornire il servizio di help desk. Creare un nuovo Security Group in Active Directory.

Assegnare al gruppo creato gli account che hanno l’incarico di fornire il supporto di Remote Assistance.

2. ABILITARE REMOTE ASSISTANCE
Operando in un ambiente di rete Active Directory, per configurare i client ci si affida alle GPO. Aprire la console Group Policy Management e creare una nuova GPO.

Specificare il nome della Policy e cliccare su OK.

Editare la nuova GPO per procedere con la configurazione dei parametri. Dal Group Policy Management, selezionare Computer Configuration –> Policies –> Administrative Templates –> System –> Remote Assistance.

Editare la prima opzione Allow only Vista or later connection. Abilitare o meno questo parametro a seconda dei client presenti nella rete. Click su Next Setting.

Impostare Turn on session logging come Enabled. Click su Next Setting.

Impostare Turn on bandwidth optimization come Enabled selezionando il valore Full optimization nel campo Optimize settings for reduced bandwidth. Click su Next Setting.

Customize Warning Messages visualizza dei messaggi custom sovrascrivendo quelli di default.  Click su Next Setting.

Impostare Solicited Remote Assistance come Disabled. Click su Next Setting.

Impostare Offer Remote Assistance come Enabled. Selezionare nel campo Permit remote control of this computer il valore Allow helpers to remotely control the computer. Cliccare sul bottone Show per indicare gli account da abilitati.

Specificare nel formato DOMAIN\Group il gruppo precedentemente creato e cliccare su OK.

Cliccare su Apply per salvare le impostazioni.

3. CONFIGURAZIONE DEL FIREWALL
Mentre per Windows 7 in un ambiente basato su Active Directory l’opzione Remote Assistance exception è abilitata di default, in Windows XP è necessario configurare alcuni parametri del firewall per il corretto funzionamento.

Dal Group Policy Management, selezionare Computer Configuration –> Policies –> Administrative Templates –> Network –> Network Connections –> Windows Firewall –> Domain Profile.

Editare l’opzione Define Inbound port exceptions impostandola come Enabled. Impostare il campo Define port exceptions cliccando sul bottone Show.

Inserire come Value la stringa:

135:TCP:*:enabled:RemoteAssistance

Editare l’opzione Define Inbound program exceptions impostandola come Enabled. Impostare il campo Define program exceptions cliccando sul bottone Show.

Inserire come Value le stringhe:

%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:*:enabled:HelpSupport
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:*:enabled:HelpCenter
%WINDIR%\System32\Sessmgr.exe:*:enabled:SessionManager

4. TESTARE REMOTE ASSISTANCE
Una volta configurata la GPO e processata dai client di rete, testare se la procedura appena effettuata funziona come dovrebbe. Dalla command line digitare i seguenti comandi:

WINDOWS 7
%windir%\system32\msra.exe /offerRA

WINDOWS XP
hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/unsolicitedrcui.htm

Si apre la finestra Windows Remote Assistance. Digitare l’indirizzo IP o il computer name e cliccare su Next.

Il sistema effettua la connessione con il client specificato.

L’utente che ha richiesta assistenza vede comparire nel proprio Desktop la finestra di avviso con il nome dell’helpdesker che sta effettuando la connessione. Cliccando su Si viene data da parte dell’utente l’autorizzazione ad accedere al proprio computer.

Viene stabilita la connessione con il client ma in modalità di solo visualizzazione. Per poter operare sul client bisogna effettuare una richiesta di controllo all’utente tramite il bottone Request control.

L’utente deve cliccare sul bottone Si per dare il controllo del proprio computer all’helpdesker.

Lo stato della connessione della finestra Assistenza remota diventa Connesso/In controllo. Il supporto IT può ora operare sul client fornendo l’assistenza richiesta.

Tramite GPO è quindi possibile configurare il servizio di Remote Assistance in modo veloce e funzionale facilitando il supporto IT nel fornire l’assistenza agli utenti della rete.

TROUBLESHOOTING
Può verificarsi che la connessione con il client non venga stabilita e il sistema visualizza una finestra di warning.

Per capire il motivo del problema, la consultazione dell’Event Viewer può dare delle indicazioni significative. Dal client con il quale è stata tentata la connessione, accedere all’Event Viewer. Si presenta una segnalazione di errore relativa a Remote Assistance.

Facendo doppio click sull’errore, viene visualizzata dal sistema la descrizione della possibile causa del problema che si è verificato. Un esempio può essere il seguente:

Origine: Remote Assistance
ID Evento: 5251
Descrizione: L’account HelpAssistant è disabilitato o mancante oppure non è stato possibile verificare la password.

Questo problema si verifica in genere se viene cambiato il SID del computer utilizzando prodotti come newSID, GhostWalker, etc. Come suggerito nella Descrizione, la soluzione al problema si ottiene avviando Windows in safe mode e lanciando da console il comando:

sessmgr.exe -service

Poichè questa operazione potrebbe richiedere tempo per l’esecuzione in safe mode, è possibile lanciare il comando tramite GPO o tramite script.

GPO
Dal client cliccare su Start –> Run e digitare il comando gpedit.msc. Aggiungere i parametri nella sezione Computer Configuration –> Policies –> Windows Settings –> Scripts –> Startup.

Dalla finestra Startup Properties, cliccare sul bottone Add ed impostare i campi della finestra Add a Script con i seguenti valori:

Script Name:                   sessmgr.exe
Script Parameters:        -service

SCRIPT
Creare un file batch contenente le seguenti istruzioni:

net stop rdsessmgr
%systemroot%\system32\sessmgr.exe -service
net start rdsessmgr

Lo script viene eseguito cliccando sul file .bat creato.

Dopo aver eseguito il comando tramite GPO o script, effettuare il reboot del client e provare ad effettuare nuovamente una connessione in Remote Assistance. Il problema relativo all’errore 5251 dovrebbe essersi risolto.

Hai già letto questi articoli?

• Comprendere le Group Policy di Active Directory
• Installare FreeRADIUS + MOTP per l’autenticazione in CentOS 5.x
• Verificare le GPO processate tramite la console rsop.msc
• Customizzare Acrobat Reader X e deploy tramite GPO

La possibilità di connettersi alla propria azienda in remoto viene fornita dal servizio VPN ormai largamente usato da molte realtà.

Può capitare, soprattutto agli amministratori di rete, di doversi connettere alla rete aziendale per risolvere un problema improvviso o per effettuare una qualche modifica. Senza il fido portatile a portata di mano con i tool necessari, la cosa risulta decisamente complicata.

Per poter accedere alla rete aziendale in remoto da qualsiasi computer sfruttando unicamente il browser, si può utilizzare una soluzione VPN SSL che non richiede nessun software aggiuntivo (clientless).

Il mercato offre varie soluzioni che rispondono alle varie esigenze ma il fattore costo a volte può non facilitare il compito. Dando un’occhiata al mondo open-source, spicca un prodotto chiamato Adito (ribattezzato OpenVPN ALS) che risponde perfettamente all’esigenza di connettersi in remoto e in modo sicuro all’azienda tramite browser per effettuare i lavori di amministrazione della rete.

1. REQUISITI
L’installazione di questa applicazione ha come requisiti due package specifici:

• JRE
• ANT

Il comando yum viene in soccorso per questa fase e permette di installare questi package con tutte le necessarie dependencies.

# yum install jre

# yum install ant

2. INSTALLAZIONE APPLICAZIONE
L’installazione consiste nell’effettuare innanzitutto il download dell’ultima versione di Adito  (attualmente la 0.9.1) tramite il comando wget.

# wget http://sourceforge.net/projects/openvpn-als/files/adito/adito-0.9.1/adito-0.9.1-bin.tar.gz/download

Una volta terminato il download, scompattare il file con il comando tar.

# tar –zxvf adito-0.9.1-bin.tar.gz

Per eseguire l’installazione, viene utilizzato il comando ant dalla directory di Adito creata durante la scompattazione.

# cd adito-0.9.1
# ant install

La procedura di installazione richiede a questo punto l’apertura del browser di Internet e digitare l’indirizzo http://IP_Address:28080 per configurare Adito.

La prima fase consiste nella definizione del certificato da utilizzare.

Seguendo passo passo quanto richiesto dalle varie schermate, il tutto richiede la definizione di 6 impostazioni:

• • Step 1 – Configure Certificate
  • Step 1 – Set Keystore Passphrase
  • Step 1 – Create New Certificate
  • Step 2 – Configure User Database
  • Step 3 – Configure Super User
  • Step 4 – Configure Web Server
  • Step 5 – Configure Proxies
  • Step 6 – Summary

Specificati i parametri richiesti, cliccare su Finish per terminare.

Il programma viene installato nel sistema con i parametri impostati.

Terminata l’installazione, la finestra di riepilogo riassume i parametri impostati.

Cliccando su Exit Install termina l’operazione da browser. La finestra visualizzata rimanda alla procedura di installazione dalla console SSH.

Dalla sessione SSH, l’installazione viene conclusa con il messaggio di conferma BUILD SUCCESSFULL.

Dalla console avviare l’applicazione tramite il comando ant.

# ant start

Dal browser digitando l’indirizzo IP del sistema configurato è ora possibile accedere all’interfaccia grafica del programma.

Per installare Adito come servizio Linux in modo da attivarlo automaticamente ad ogni riavvio del sistema, digitare il comando:

# ant install-service

3. ACCESSO AL SISTEMA
Per poter accedere al sistema Adito è necessario configurare il firewall in modo da permettere la connessione remota dall’esterno. In caso di problemi di connessione, verificare che il firewall abbia la porta https e il NAT impostati correttamente.

Per accedere al sistema digitare da browser l’indirizzo https://IP_address_Adito. Viene visualizzata la schermata di login.

Effettuato il login come super user, si accede alla lista delle applicazioni disponibili e alla configurazione globale del sistema. Poichè Adito è un’applicazione Java, il browser da cui si opera necessita la presenza dell’add-on Java.

Per effettuare una connessione VPN SSL per amministrare la rete, ad esempio, effettuare il login come user definito nella fase di configurazione e lanciare il tool desiderato. Il sistema esegue il comando avviando l’agent di Adito.

Con Adito siamo quindi in grado di accedere alla rete aziendale da qualsiasi PC senza la necessità di installare software aggiuntivo semplicemente sfruttando il browser. Per rafforzare la sicurezza del sistema è consigliato l’utilizzo di un certificato rilasciato da una CA ufficiale.

Hai già letto questi articoli?

• Monitorare i sistemi con Nagios tramite check_mk in CentOS
• Monitorare AS/400 con Nagios in CentOS
• Monitorare server ESX(i) con Nagios tramite plugin check_esx su CentOS
• Installare l’addon NagVis per Nagios su CentOS

Come visto nei precedenti post, Nagios è un ottimo sistema per il monitoraggio della rete. Se abbiamo delle macchine in Linux e vogliamo tenere sotto controllo lo stato globale del sistema, dobbiamo installare nei computer nagios-nrpe, un agent di Nagios che permette al sistema di effettuare controlli remoti.

Vediamo i vari passi da effettuare per configurare le nostre macchine remote utilizzando Linux CentOS.

1. INSTALLAZIONE PLUG-IN SULLA MACCHINA REMOTA
Per effettuare l’installazione tramite yum è necessario aver installato il repository RPMforge.

# yum install nagios-nrpe
# chkconfig nrpe on

I plug-in vengono installati nella directory /usr/lib/nagios/plugins/.

Per monitorare le eventuali partizioni presenti nei sistemi Linux della rete, dobbiamo conoscere quante sono le partizioni presenti nelle varie macchine. Tramite il comando df è possibile visualizzare le partizioni di un sistema.

# df –h

In questo caso abbiamo cinque partizioni. Questa informazione ci serve per aggiungere i parametri mancanti nel file di configurazione di NRPE.

2. CONFIGURAZIONE DEL PLUG-IN
Per poter monitorare i nostri sistemi (partizioni, swap, processi, etc.), bisogna editare il file di configurazione nrpe.conf. Va specificato l’IP del server Nagios per permettere la corretta comunicazione tra i sistemi e definire i comandi addizionali richiesti non presenti per default nel file di configurazione.

# vi /etc/nagios/nrpe.conf

log_facility=daemon
pid_file=/var/run/nrpe.pid
server_port=5666
#server_address=127.0.0.1

nrpe_user=nagios
nrpe_group=nagios
allowed_hosts=127.0.0.1,IP_Nagios

dont_blame_nrpe=0
# command_prefix=/usr/bin/sudo
debug=0
command_timeout=60
connection_timeout=300
#allow_weak_random_seed=1

#include=<somefile.cfg>
#include_dir=<somedirectory>
#include_dir=<someotherdirectory>

# The following examples use hardcoded command arguments…
command[check_users]=/usr/lib/nagios/plugins/check_users -w 5 -c 10
command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20
command[check_hda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/hda1

# Aggiungere i comandi in base alle partizioni da monitorare
command[check_hdax]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/hdax
command[check_sdax]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sdax

command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z
command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200
command[check_swap]=/usr/lib/nagios/plugins/check_swap -w 20% -c 10%

Avviamo quindi il servizio:

# service nrpe start

Se tra la macchina remota e il server Nagios c’è un firewall, bisogna aprire la porta TCP 5666 necessaria a Nagios per comunicare con la macchina da monitorare.

3. TESTARE LA COMUNICAZIONE
Per verificare che Nagios riesca a comunicare con il daemon NRPE nella macchina remota, da Nagios lanciamo il comando:

# /usr/lib/nagios/plugins/check_nrpe -H IP_MacchinaRemota

Per verificare manualmente che il sistema funzioni, proviamo a controllare lo stato della partizione di ROOT della macchina remota:

# /usr/lib/nagios/plugins/check_nrpe -H IP_MacchinaRemota -c check_hda3

Verificato che il plug-in funziona correttamente, andiamo a definire il comando in Nagios.

4. CONFIGURARE NAGIOS
Una volta configurati i parametri nel file di configurazione di NRPE, non ci resta che editare il file /etc/nagios/commands.cfg per definire il comando per l’utilizzo del plug-in da parte di Nagios:

define command {
command_name     check_nrpe
command_line        $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$
}

Impostando ad esempio il comando per la verifica dello stato della partizione di ROOT della macchina remota, Nagios è adesso in grado di visualizzare lo stato corrente ed eventualmente generare un alert al presentarsi di un problema.

Adesso siamo in grado di monitorare i parametri che più ci interessano delle macchine remote Linux presenti nella rete.

Hai già letto questi articoli?

• Monitorare i log di Windows con Nagios tramite check_logfiles
• Configurare Nagios per monitorare sistemi in subnet diverse
• Monitorare i sistemi con Nagios tramite check_mk in CentOS
• Monitorare i security updates per CentOS 5.x tramite Nagios