Tunnel http

Vantaggi e funzionalità di un tunnel http

Per le reti domestiche ma soprattutto per quelle aziendali, è fondamentale difendere i propri dati e i propri dispositivi. Un attacco malevolo dall’esterno, che provoca la sospensione dei servizi o addirittura la cancellazione dei dati, rappresenta per privati ed aziende un problema molto grave. Proprio per questo il livello di sicurezza dei nostri PC è quasi sempre impostato al massimo livello, in pratica si tende sempre a chiudere tutte le porte del firewall tranne quella necessaria a svolgere il lavoro, tipo la porta 80 dedicata al traffico web http. 

Tunnel http: vantaggi e funzioni

Ma se da una parte gli attacchi esterni potrebbero provocare ingenti danni, che richiederebbero l’intervento di un esperto per poter continuare a svolgere il proprio lavoro, dall’altra un elevato grado di sicurezza potrebbe impedire l’utilizzo di altri servizi (come file sharing e voip) a causa della chiusura delle relative porte dedicate.

Un metodo per aggirare il problema, senza dover mettere mano alla policy sicurezza del firewall, è utilizzare un tunnel http. Un metodo attraverso il quale il traffico viene veicolato attraverso l’unica porta aperta. Questo vuol dire che possiamo utilizzare quei servizi che solitamente vengono bloccati, passando ad esempio per la porta 80 del traffico http. Ovviamente il firewall controlla tutti i dati che passano, per cui è necessario “mascherare” questo traffico non consentito.

Per realizzare un tunnel http si possono trovare in rete diversi software che permettono di gestire queste operazioni. Tra i più utilizzati c’è BoutDuTunnel che supporta le password NTLM richieste dai server Microsoft e gestisce: HTTP binary, HTTP Soap, TCP binary, IPC.

Configurazione del server

Nella cartella principale del software, che è BdtServer, è posizionato il file di configurazione del server BdtServerCfg.xml. Per definire alcuni parametri è necessario aprirlo e modificare dei termini:

<service name=”BdtServer” protocol=”Bdt.Shared.Protocol.HttpBinaryRemoting” port=”180″ />

  • name: il nome da attribuire che deve essere uguale per client e server;
  • protocol: il formato dei pacchetti che saranno inviati attraverso il tunnel;
  • port: la porta di ascolto del server che deve essere uguale a quella del proxy che limita il traffico

In questo file è possibile aggiungere anche un nuovo utente, basta inserire all’interno del tag users, un tag figlio:

<users>

….

<name enabled=”false” password=”1234″ admin=”false” stimeout=”12″ ctimeout=”1″  />

….

</users>

  • name: il nome dell’utente;
  • enable: ovvero se l’utente è abilitato;
  • password: la password dell’utente;
  • admin: i permessi dell’utente;
  • stimeout: il tempo prima di chiudere la connessione (valore in ore);
  • ctimeout: il tempo prima di chiudere una sessione occupata (valore in ore).

I valori stimeout e ctimeout se impostati con -1 vengono disabilitati.

A questo punto avviate il server.

Configurazione del client

Per configurare il client invece, è necessario modificare il file BdtClientCfg.xml. Per prima cosa bisogna creare il tag service che contiene l’IP del server da utilizzare:

<service name=”BdtServer” protocol=”Bdt.Shared.Protocol.HttpBinaryRemoting” address=”server.address” port=”180″ username=”gabriele” password=”1234″ />

I parametri service devono essere uguali a quelli impostate nel file del server, nel dettaglio:

  • service name: il nome del server;
  • protocol: lo stesso impostato nel file server;
  • address:  ovvero l’indirizzo Ip o DNS del server remoto;
  • port: qui va indicata la porta di ascolto del server;
  • username: il nome dell’utente abilitato nella configurazione;
  • password: relativa all’utente selezionato.

Ora bisogna abilitare il port forwarding per consentire a veicolazione del traffico bloccato. Per attivare il traffico ssh:

<forward>

….

<port22 shared=”false” enabled=”true” address=”ssh.server.com” port=”22″ />

….

</forward>

Avviando il client, dovresti edere un messaggio di log che conferma la connessione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *