logo_miur_page

Firefox v.34 chiude SSL 3.0 … e il portale SIDI va in tilt

Riceviamo dai nostri tecnici e pubblichiamo!

A seguito della scoperta di una grave vulnerabilità del protocollo SSL 3.0 (per gli amici “POODLE”) che ancora molti siti istituzionali utilizzano, gran parte dei browser comunemente utilizzati stanno provvedendo, con gli ultimi aggiornamenti, a disattivare il supporto SSLv3 in favore di protocolli più sicuri per garantire un minor rischio di attacco ai dati degli utenti.

Come al solito, però, la macchina istituzionale è sempre la più lenta a muoversi e, a far data dal 2 dicembre 2014, moltissimi utenti dell’ambito dell’Istruzione stanno riscontrando problematiche nell’utilizzo delle piattaforme internet, in particolare del portale SIDI del ministero (basato sicuramente sull’utilizzo di protocolli obsoleti) a seguito dell’aggiornamento di Mozilla Firefox alla versione v34.

Riportiamo di seguito l’articolo del blog di Mozilla:

https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

Nell’attesa che il Ministero provveda all’adeguamento delle proprie piattaforme, consigliamo quindi di non procedere all’aggiornamento automatico del browser Mozilla Firefox all’ultima versione, e di farlo in ogni caso manualmente solo quando ci sarà la certezza che i siti torneranno fruibili con i nuovi protocolli di sicurezza.

Siamo ovviamente a disposizione per supporto in merito!

Lo staff tecnico di PF Technology Srl

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Risolvere i problemi del gateway diverso dalla network con pfSense

pfsense

Sempre più spesso, girando i forum del settore, mi è capitato di trovare dei thread di utenti che si son trovati a dover installare e configurare una VM in un server virtualizzato con VMWare, Xenserver, Proxmox VE o altri dovendo impostare un gateway diverso dalla network. Questo accade ad esempio se il vostro server host è ospitato in una server farm che supporta appieno la virtualizzazione. Prime fra tutti in Europa ad esempio OVH ed Online.net.

Il problema nel dettaglio è che magari il vostro IP che volete assegnare alla VM ad esempio è: 123.234.1.99 fornito dal provider e inoltre quest’ultimo vi impone di usare la subnet mask 255.255.255.255 e come gateway a seconda del provider utilizzato dove impostare l’indirizzo IP del server host che ovviamente a livello di indirizzo non fa parte della network dell’IP da assegnare alla vostra VM. Ad esempio facciamo finta che il vostro server host abbia indirizzo IP 99.123.234.50

OVH vi impone di impostare come default gateway della VM, l’indirizzo IP del vostro server host, quindi nel nostro caso 99.123.234.50 mentre Online.net vi impone di usare il .1 finale della rete del server host quindi nel nostro caso 99.123.234.1

Molti sistemi operativi consentono questa impostazione di rete un po’ particolare, primo fra tutti Windows in tutte le sue versioni sia Server che Desktop e non crea problemi.

Mentre al contrario molte distribuzioni Linux o FreeBSD non consentono questa impostazione poichè in alcuni casi vi verrà detto che il gateway non è raggiungibile, in altri casi non verrà detto nulla ma poi nello specifico non funzionerà la connessione di rete della vostra VM.

Con alcune distribuzioni è possibile aggirare questo problema, specificando il gateway tramite i comandi up ip route, post-up ip route e pre-down ip route che ci permettono di specificare un gateway successivamente all’attivazione dell’interfaccia di rete e alla relativa assegnazione dell’indirizzo IP.

Con altre distribuzioni questo non è ammesso e la soluzione a questo problema è un vero incubo spesso senza soluzioni o con soluzioni estremamente difficili a causa delle personalizzazioni fatte nella distribuzione stessa.

Validi esempi di casi assai difficili da risolvere sono ad esempio Zentyal (ottima distribuzione tutto fare per server di rete), Openfiler (ottima distribuzione per realizzare degli storage di rete condivisi come NAS e SAN) e FreeNAS (lo descrive il nome stesso).

In molti sembrano disperarsi senza fine in queste configurazioni, cercando persino di mettere mano agli script automatici di configurazione delle distribuzioni stesse, spesso molto complicati, ma in realtà la soluzione facile, immediata e sicura è dietro l’angolo!

Tutto si risolve in modo molto semplice ed elegante come se foste nella rete del vostro ufficio, si frappone un router con funzionalità di firewall tra l’accesso ad internet e il server stesso. In questo caso abbiamo scelto pfSense ma potreste utilizzare molte altre soluzioni software in grado di svolgere queste funzionalità.

Per fare tutto questo non dovete far altro che creare un’interfaccia di rete virtuale nuova con cui far dialogare le due VM che avrete sul vostro server host. In questo modo creerete una rete locale tra le due VM mentre l’interfaccia di rete in bridge con la connessione ad internet stessa sarà assegnata a pfSense e sarà impostata come connessione WAN su pfSense.

Su Proxmox ad esempio dovrete creare una nuova interfaccia vmbr, ad esempio la vmbr1 che non ha nessuna interfaccia eth in bridge, ma è semplicemente un’interfaccia di rete virtuale. Questa la utilizzerete per assegnare una scheda di rete su entrambe le VM che vorrete far dialogare tra loro come se fosse una rete locale ed assegnerete loro degli indirizzi IP di rete locale come ad esempio 192.168.1.1 all’interfaccia LAN di pfSense e 192.168.1.2 all’interfaccia di rete della vostra VM con ad esempio installato Zentyal.

Per finire dovrete impostare sulle regole del firewall e della NAT un forward delle porte relative ai servizi interessati su Zentyal. In questo modo otterrete anche un’ottima protezione alla vostra VM stessa in grado di bloccare eventuali attacchi a servizi non utilizzati. In alternativa inoltre potrete girare l’intero indirizzo IP alla VM della vostra rete locale impostando un NAT 1:1.

Le prestazioni di questa soluzione, assegnando ovviamente un po’ di risorse alla VM con pfSense (2 core, 4 Gb di ram, 32 Gb di hard disk), sono eccellenti. Abbiamo sperimentato noi stessi prestazioni di almeno 700 Mbps di trasferimento costante dalla VM in rete locale dietro a pfSense e l’accesso di rete esterno.

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Proxmox VE – Un’ottima alternativa al gigante VMWare per la virtualizzazione

Proxmox Logo

Sicuramente molti di voi avranno sentito parlare della famosa virtualizzazione e sicuramente il prodotto che si associa normalmente alla virtualizzazione è la famiglia di prodotti VMWare.

Non tutti sanno però che, per il mondo server, esistono una serie di alternative più o meno valide, per virtualizzare, magari anche gratuite, che offrono la stessa stabilità ed affidabilità di VMWare.

Una delle migliori soluzioni esistenti al momento nel mondo dell’open-source come piattaforma per la virtualizzazione server è Proxmox VE.

Proxmox VE è un sistema di virtualizzazione per server basato sulla tecnologia KVM e Container già diffusa nelle distribuzioni Linux degli ultimi anni. Proxmox VE è basato su una distribuzione Debian arricchita dal sistema di virtualizzazione stesso.

Giunto ormai alla versione 3.2, il sistema oggi fornisce oltre ai normali strumenti di virtualizzazione, anche la possibilità di creare cluster (fin dalle prime versioni), alta disponibilità (HA High Availability) delle VM e recentemente è stata introdotta la funzionalità di CEPH che offre la possibilità di ottenere un cluster HA con file-system ridondato tra più server appartenenti al cluster HA. Il vantaggio di quest’ultima tecnologia è che evita di dover appoggiarsi su delle SAN per poter avere le macchine virtuali (VM) in alta disponibilità e gestire così il fail-over.

Senza addentrarci ulteriormente nella tecnologia, vogliamo illustrarvi la semplicità unita all’affidabilità di Proxmox VE. Partendo fin dall’installazione, che si porta a termine in poche decine di minuti, anche su hardware poco performanti. Successivamente il 70% della configurazione e soprattutto della gestione del sistema lo si effettua direttamente dalla porta 8006 dell’interfaccia web in https. Dall’interfaccia web si possono creare o modificare nuove VM, assegnare loro risorse e caratteristiche hardware, avviarle od arrestarle. Infine viene offerto un sistema di visualizzazione della console delle VM via web attraverso un applet Java e VNC.

E’ possibile infine apportare alcune modifiche avanzate, tipiche dell’ambiene Linux in generale, direttamente dalla console del server o via SSH.

I server di PF Technology s.r.l. si basano sulla tecnologia offerta da Proxmox VE da alcuni anni ormai, con ottimo successo. I tempi di uptime raggiunti sono da record, in alcuni casi son stati superati i 365 gg. di uptime continuativo dei server host Proxmox e le VM ospitate all’interno di essi offrono ottime prestazioni unite ad un’affidabilità leggendaria.

Suggeriamo a chiunque sia in cerca di una buona soluzione per virtualizzazione lato server, semplice, affidabile ed estremamente economica di prendere in seria considerazione la piattaforma Proxmox VE.

 

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Fatturazione Elettronica alle P.A. – Una strada tortuosa

fattura-elettronica

Mancano appena  3 giorni all’entrata in vigore dell’obbligo, per gli operatori economici, di emettere fattura in formato elettronico alle Pubbliche Amministrazioni Centrali (Ministeri, Agenzie Fiscali, Enti di Previdenza e, a quanto pare, Istituzioni Scolastiche del Ministero dell’Istruzione) e il sentore di molti è quello di essere non ad un passo da un importante processo di semplificazione e dematerializzazione dei processi, ma dal caos operativo nemmeno troppo preannunciato.

Parliamo di un obbligo concepito per legge nel lontano 2008, più volte integrato e perfezionato con decreti attuativi e regolamenti comunitari, che entra nel vivo della sua operatività proprio in un momento in cui, a farne le spese per la poca chiarezza delle informazioni, sarà tutto un indotto di piccole e medie imprese, artigiani e liberi professionisti operanti principalmente con le istituzioni scolastiche, che prenderemo in considerazione in questo articolo.

Già, perchè se è vero che nei mesi estivi le attività di approvvigionamento degli Istituti Scolastici sono ridotte al minimo per via della pausa formativa, è altrettanto corretto affermare che è proprio in questo periodo che si concentrano le attività di manutenzione effettuate da quegli operatori che, con molta probabilità, si troveranno maggiormente in difficoltà a recepire le direttive di una fatturazione elettronica obbligatoria senza aggravi di costi.

Ricordiamo a tal proposito che per fattura elettronica non si intende quel documento, memorizzato in formato elettronico e spedito via email al destinatario…

La fattura elettronica, così concepita dall’Agenzia per l’Italia Digitale e il Ministero, è un documento emesso in formato XML (eXtensible Markup Language) e inviato al destinatario unicamente mediante il Sistema di Interscambio SDI. Il file deve presentare i caratteri distintivi di autenticità dell’origine e di integrità del contenuto, possibili solamente grazie all’apposizione della firma elettronica di una persona qualificata. Tra i dati obbligatoriamente da indicare nell’intestazione e nel corpo della fattura, inoltre, ricordiamo il codice univoco dell’ufficio ricevente la fattura e il codice CIG assegnato alla fornitura.

Tali documenti devono poi essere conservati secondo le regole stabilite per la “conservazione sostitutiva”  dei documenti elettronici, e cioè per tali documenti deve essere prodotta ed inviata all’Agenzia delle Entrate la relativa Marca Temporale e Impronta Digitale dei Documenti (HASH) secondo i tempi prestabiliti, per garantire la corretta gestione fiscale e tributaria nel tempo.

E’ facile rendersi conto che tutta la procedura, messa a disposizione gratuitamente per le imprese iscritte al Me.Pa. sul portale acquistinretepa.it, non sarà altrettanto alla portata di chi non può usufruire di tale agevolazione e dovrà rivolgersi a intermediari esterni o software house per l’acquisto di pacchetti all’uopo progettati per la creazione dei file xml e la gestione della conservazione dei documenti.

Ci auguriamo quindi che le facilitazioni a titolo gratuito “promesse” dalla normativa e destinate anche al resto dei fornitori della Pubblica Amministrazione (non solo agli iscritti al Me.Pa) vengano presto rese pubbliche. Un ulteriore ritardo rischierebbe di rallentare ulteriormente una macchina (quella scolastica) già fortemente provata dai tagli e dalle ristrettezze di fondi degli ultimi anni trascorsi e di colpire, come anticipato, un fiorente indotto di piccoli operatori economici.

Qualsiasi riferimento procedurale e normativo è disponibile sul sito www.fatturapa.gov.it

 

 

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather
HFW5200C

Telecamere IP – Come ottenere delle snapshot

Alcune volte può capitare di avere l’esigenza di dover scattare delle foto o ricavare dei fotogrammi (snapshots) in tempo reale da una telecamera per svariati motivi.

Con le telecamere IP di ultima generazione, conformi allo standard ONVIF (meglio ancora se nella più recente versione 2.0), è possibile ottenere uno snapshot in tempo reale usando semplicemente una richiesta web HTTP tramite un normale browser web o integrabile direttamente in software gestionali di vario tipo.

Ipotizzando che la nostra telecamera compatibile ONVIF abbia l’indirizzo IP 192.168.1.150, l’URL da utilizzare è il seguente:

http://192.168.1.150:9989/onvif/media_service/snapshot?channel=1&subtype=0

Viene quindi restituita un’immagine in formato JPEG con le dimensioni massime ottenibili dalla telecamera. E’ possibile inoltre, secondo lo standard ONVIF 2.0, modificare alcuni parametri dell’immagine restituita dalla telecamera.

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather
hmailserver top_picture

Ottimo mail server per tutte le tasche!

Il nostro primo articolo lo vogliamo dedicare ad un software che ci permette di offrire servizi di posta elettronica da ormai 5 anni con ottima affidabilità. Si tratta dell’ottimo server di posta hMailServer.

E’ un fantastico software, molto stabile ed affidabile, completamente gratuito, che permette, anche su server poco potenti e con poche risorse a disposizione, di creare degli ottimi sistemi di posta elettronica, affidabili, sicuri e duraturi nel tempo.

Si adatta in modo perfetto anche per soluzioni di server di posta elettronica interno alle aziende, l’abbiamo proposto più volte a quelle aziende che avevano adottato Exchange ma che in realtà non sfruttavano le potenzialità di collaboration suite che il mail server di casa Microsoft fornisce e magari pagavano fior di quattrini per un system administrator che gli gestisse Exchange sul loro server aziendale. hMailServer è innanzitutto gratuito e una volta installato richiede delle conoscenze informatiche davvero minime per saperlo gestire e mantenere nel tempo.

Funziona su sistema operativo Windows, comprese versioni non troppo recenti e non richiede una versione server specifica. Si basa su un database che può essere MySql, PostgreSQL o Microsoft SQL Server (consigliamo MySql o PostgreSQL). Le risorse utilizzate sono minime, anche in presenza di molte caselle di posta elettronica o più domini. Sì avete letto bene, il server di posta in questione è anch multi dominio e non ha apparenti limiti di sorta.

Ottimo anche come sistema di mass mail per l’invio di newsletter massive (in questo caso bisogna però poi configurare in modo approfondito tutti i criteri per aumentare al massimo l’attendibilità delle mail inviate) supporta la recente tecnologia DKIM che permette di rendere attendibile le email bypassando facilmente i sempre più aggressivi filtri antispam dei vari provider (primo fra tutti il colosso gMail).

Fra le numerose funzionalità è bene segnalare il fatto che il software arriva già con un pannello di amministrazione via web basato su PHP, perfettamente funzionante che permette di gestire tutte le impostazioni con un’ottima stratificazione degli utenti. In questo modo il semplice utente può gestire la propria casella email, mentre l’amministratore di sistema può gestire l’intero server di posta direttamente via web.

 

facebooktwittergoogle_plusredditpinterestlinkedinmailby feather