none
Firewall di win2k3 R2 e la sua logica applicativa RRS feed

  • Domanda

  • Da prima ho semplicemente lasciato il flag sulla voce desktop remoto per permettere l'accesso al mio server. Leggendo i log degli eventi notavo che sembra sia diventato uno sport mondiale parassitare con tentativi cretini (admin / administrator / user / test / ecc.) per entrare ladrescamente sulla macchina ed ho quindi cambiato impostazione.

    Ho tolto il flag e lasciato solo su una delle due porte LAN in impostazioni avanzate il flag sui servizi permessi agli utenti internet. Pensavo di dimezzare il flusso di questi parassiti. Macchè. Imperterriti e continui questi fenomeni insistono con il tentare di collegarsi a sbaffo.

    Sono quindi tornato al permesso generale, rimesso il flag... ma questa volta ho configurato gli ambiti precisi degli IP dai quali mi collego al server. Felice di questa splendida trovata ho pensato: ora sicuramente questi tentativi dovrebbero rimbalzare e la macchina non rispondere più a nessuno. Macchè.... ho fatto dei test e il servizio RDP mi risponde dalla seconda porta LAN dove avevo messo il flag nella seconda impostazione.

    Ma se ho impostato gli ambiti perchè le proprietà avanzate non li rispettano e rispondo agli IP che non sono compresi? LAN1 non risponde effettivamente (infatti non c'è il flag sulle avanzate) ma la LAN1 si.... a tutti!

    Mi piacerebbe proprio capire con quale logica è stato concepito questo firewall.... considerando che i server non li ho qui sotto casa e devo ogni volta organizzarmi per recarmi al IDC per queste impostazioni.

    Adesso non venite a raccontarmi che va rimosso il flag sulle avanzate (se è stato impostato un ambito) perchè (per la legge di Murphy) sono sicuro che se ci provo il server non risponde più a nessuno!


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    venerdì 21 gennaio 2011 17:16

Risposte

  • Ho preso i files di log che mi hai mandato, li ho importati in excel, li ho filtrati ed ho cominciato a ragionare.

    La mia non è la soluzione perchè rimane valida quella proposta da Obi ma, nel mio ragionamento, mi sono detto: se il firewall di windows si comporta così in maniera non logica e ho bisogno di trovare certamente una soluzione perchè non sfruttare la sua "scarsa" logica ed aggirare l'ostacolo ? Quindi se io abilito l'rdp sul firewall anche per la nic in cui attualmente non è abilitato dovrei trovarmi nella situazione in cui l'rdp è permesso su entrambe le schede ma il filtro del range di ip varrà per entrambe le schede quindi il firewall dropperà tutte le richieste provenienti per la porta 3389 provenienti da ip diversi dai tuoi. Essendo tu l'unico che sa di voler entrare dall'ip associato alla scheda 1 tu riuscirari sempre ad entrare e gli altri sia che provino sulla scheda 1 sia che provino sulla scheda 2 verranno respinti.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 10:50
    Moderatore

Tutte le risposte

  • Ma se ho impostato gli ambiti perchè le proprietà avanzate non li rispettano e rispondo agli IP che non sono compresi? LAN1 non risponde effettivamente (infatti non c'è il flag sulle avanzate) ma la LAN1 si.... a tutti!

    immagino che qua ci sia stato un errore di digitazione perchè la seconda volta forse intendevi dire Lan2 comunque, siccome questa storia l'ho sentita già parecchie volte, vorrei darti qualche piccolo consiglio per la poca esperienza che ho.

    1) le macchine esposte su internet erano, sono e saranno sempre attaccate. l'importante è che le nostre difese siano superiori agli attacchi che subiamo.

    2) i firewalls, anche quelli di base come quello compreso nel sistema operativo windows, svolgono semplicemente il loro compito e non possiamo pretendere che facciano miracoli.

    3) i firewalls, anche quelli di base, possono costituire una efficace difesa ma devono essere provati nella loro configurazione su macchine di test e non su macchine in produzione.

    4) i firewalls di base sono, come dice la parola stessa, sistemi di difesa di base e non sistemi proattivi che reagiscono in maniera attiva agli attacchi dall'esterno. se ti serve un tipo di difesa di questo genere devi fare delle scelte diverse andando su prodotti più sofisticati e più costosi.

    5) se i tuoi server sono ospitati presso una server farm prova ad informarti sui sistemi di difesa che offre la farm di cui ti avvali chiedendo anche dei relativi costi.

    6) prova a metterti in piedi un ambiente di test con Forefront UAG davanti ai tuoi server e vedi quali risultati migliori puoi ottenere.

    my two cents.

    edo.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 21 gennaio 2011 19:55
    Moderatore
  • Grazie Edo e considera le mie risposte non come personali ma come libera discussione morale generale. Ogni tanto ci vuove anche questa... ;))

    > 1) le macchine esposte su internet erano, sono e saranno sempre attaccate.

    Come dire quindi che i parassiti c'erano, sono e ci saranno sempre. A me fa piacere rimarcarlo perchè molti di questi personaggi spreca il proprio talento nel parassitare a spese altrui piuttosto che creare qualcosa di nuovo e produttivo in proprio.

    > 2)..[cut].. svolgono semplicemente il loro compito ..[cut]

    Sarei d'accordo se fossero gratuiti. Ma non lo sono e fanno parte di programmi sviluppati da tempo. Quando pago mensilmente un obolo per qualcosa che c'è, è indicato e supportato da interfaccia e guide, ma che non funziona ... come imprenditore mi inca**o.

    > [cut]  provati nella loro configurazione su macchine di test ]cut]..

    Sempre quando si parla di roba a gratisse. Non quando siamo alla N versione di qualcosa che viene venduto. I test comunque li ho fatti. Ho solo impostato maggiori difese, seguendo le possibilità che offre l'interfaccia, e questo lo si fa anche a macchina installata ed in produzione.

    Per i prossimi altri punti le risposte sono analoghe. Se pago un prodotto che ha la caretteristica che cerco ma che in realtà non funziona, ho tutto il diritto di essere deluso e arrabbiarmi. La politica marketing del acquistare qualcosa d'altro per supplire a qualcosa che ho già acquistato e che non funziona sarebbe ora, vista la situazione economica generale, che finisca.

    Tornando a discorsi tecnici....

    Ora proseguirò i test perchè ieri ho notato questa assurdità su un win2k3 SP2. Vedrò come si comporta con dei win2k3 R2. Se anche su queste, l'impostazione gerarchica superiore impostando un ambito di IP permessi in RDP, l'impostazione non viene rispettata chiuderò qui. Diversamente, se dovessero avere un comportamento corretto e rispettoso dell'impostazione, farò la mia segnalazione.

    Buon weekend a tutti!


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    sabato 22 gennaio 2011 07:53
  • Mi intrometto.

    Vediamo se ho capito: tu osservi i log di sicurezza che registrano tentativi di connessione da desktop remoto?

    Come hai impostato l'ambito dal quale è possibile connetersi da remoto?

    Non è possibile fare un test con un fw, anche free, che consenta di loggare l'origine della connesione?

    Sei sicura che non riescano a tentare la connessione da indirizzi all'interno dal range impostato?


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    sabato 22 gennaio 2011 12:58
  • Sei sicura che non riscano a tentare la connessione da indirizzi all'interno dal range impostato?


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it


    Dopo prometto che rispondo a Fritz con calma ma questo

    sei sicurA

    detto a Fritz è IMPERDONABILE!!! ma hai visto la foto ? hai visto i baffi ? SEI SQUALIFICATO PER UNA SETTIMANA DALLA FEDERAZIONE DEI FORUM MONDIALI!!!!(puoi postare solo sui forum linux)

    ROTFL... sto solo scherzando ;)


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 22 gennaio 2011 13:28
    Moderatore
  • mi ritiro in sconsolato silenzio...
    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    sabato 22 gennaio 2011 13:34
  • OT (intromissione non troppo tecnica): apprezzando la mano d’aiuto che provate a dare a Fritz non posso non dare un mio voto di utilità per i vostri interventi. J Ciao a tutti!


    Anca Popa Follow ForumTechNetIt on Twitter

    Exchange 2007/2010: problemi con le cartelle pubbliche: “The Active Directory user wasn’t found” 

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    sabato 22 gennaio 2011 14:23
  • Grazie Edo e considera le mie risposte non come personali ma come libera discussione morale generale. Ogni tanto ci vuove anche questa... ;))

    > 1) le macchine esposte su internet erano, sono e saranno sempre attaccate.

    Come dire quindi che i parassiti c'erano, sono e ci saranno sempre. A me fa piacere rimarcarlo perchè molti di questi personaggi spreca il proprio talento nel parassitare a spese altrui piuttosto che creare qualcosa di nuovo e produttivo in proprio.

    ritengo che l'interesse di queste persone non sia quello di "parassitare" (nel senso di trarre profitto dal lavoro altrui) quanto quello di "devastare gratuitamente e senza alcun guadagno personale" il lavoro realizzato da altri per il puro spirito di vandalismo e/o bullismo.

    > 2)..[cut].. svolgono semplicemente il loro compito ..[cut]

    Sarei d'accordo se fossero gratuiti. Ma non lo sono e fanno parte di programmi sviluppati da tempo. Quando pago mensilmente un obolo per qualcosa che c'è, è indicato e supportato da interfaccia e guide, ma che non funziona ... come imprenditore mi inca**o.

    io mi riferivo al firewall compreso nei sistemi operativi windows che, pur non essendo gratuito perchè il sistema operativo lo paghi, risulta essere "compreso nel prezzo" del s.o. che hai comprato e non qualcosa che sei costretto a pagare in più.

    > [cut]  provati nella loro configurazione su macchine di test ]cut]..

    Sempre quando si parla di roba a gratisse. Non quando siamo alla N versione di qualcosa che viene venduto. I test comunque li ho fatti. Ho solo impostato maggiori difese, seguendo le possibilità che offre l'interfaccia, e questo lo si fa anche a macchina installata ed in produzione.

    spiacente ma non sono d'accordo.


    se ho comprato un chilo di cipolle di tropea per fare la frittata e contempraneamente compro un sistema d'allarme non mi stresso più di tanto se il sistema d'allarme non funziona e mi rubano le cipolle ma,

    se ho comprato un Picasso originale e compro il sistema d'allarme, stresso l'anima fino all'inverosimile a chi mi ha fornito l'impianto d'allarme affinchè protegga il bene che ho acquistato.

    Per i prossimi altri punti le risposte sono analoghe. Se pago un prodotto che ha la caretteristica che cerco ma che in realtà non funziona, ho tutto il diritto di essere deluso e arrabbiarmi. La politica marketing del acquistare qualcosa d'altro per supplire a qualcosa che ho già acquistato e che non funziona sarebbe ora, vista la situazione economica generale, che finisca.

    concordo solo se le "contromisure" che ho acquistato sono razionalmente "proporzionate" al rischio da cui voglio difendermi

    Tornando a discorsi tecnici....

    Ora proseguirò i test perchè ieri ho notato questa assurdità su un win2k3 SP2. Vedrò come si comporta con dei win2k3 R2. Se anche su queste, l'impostazione gerarchica superiore impostando un ambito di IP permessi in RDP, l'impostazione non viene rispettata chiuderò qui. Diversamente, se dovessero avere un comportamento corretto e rispettoso dell'impostazione, farò la mia segnalazione.

    ...e saremo sempre qui a supportarti nel trovare la soluzione più consona ai mezzi che vuoi impiegare, anzi, se preferisci mi metto in piedi un ambiente di test che possa simulare la funzionalità di ciò che ritieni non funzionare in modo corretto.
    un abbraccio, buon week end anche a te
    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 22 gennaio 2011 16:12
    Moderatore
  • > [Adriana] ;))
    > Sei sicura che non riscano a tentare la connessione da indirizzi all'interno dal range impostato?

    Certo; solo 2: quelli statici miei. Ho verificato ccon un mio collaboratore esterno che ha testato l'accesso RDP con un IP estraneo (non inserito in ambito) che sulla prima lan (IP in cui non è inserito il flag nelle avanzate) non ha ricevuto risposta mentre sulla seconda lan ha ricevuto la risposta con finestrella di login del RDP.
    Sto aspettando che il mio tecnico sia disponibile per testare le altre macchine (win2k3 R2) da un IP estraneo e vedere se il comportamento è diverso che sulla prima (win2k3 SP2).

    Riguardo i tentativi di login sto al momento analizzando il servzio RDP e porta 3389. A questo riguardo ho semmai qualche dubbio sulla sintassi di inserimento dei IP che il firewall mi ha scritto in questo modo:
    ###.###.###.###/255.255.255.255,###.###.###.###/255.255.255.255 in cui i due IP sono quelli statici dei mie due accessi. Li ho inseriti inizialmente separandoli con la vorgola senza indicazione della subnet mask. E' stata la funzionalità che li ha iscritti poi in questo modo correggendo la mia valorizzazione iniziale.

    Non vorrei che fosse questo.... visto che l'esempio sull'interfaccia FW è diverso.

    > [Edoardo]

    Il concetto della funzionalità firewall compresa nel prezzo non lo capisco in quanto ritengo che faccia parte delle caratteristiche del prodotto. Anzi, direi che si tratta di una funzionalità indispensabile che ritengo debba ormai essere presente in qualsiasi prodotto analogo. Sopratutto seguendo anche il tuo ragionamento sui vandali informatici. Se poi penso che questa funzionalità è presente e sviluppata fin dai primi s.o., sono quanto meno deluso di questa limitazione. Mi aspetterei al contrario un implementazione di questa caratteristica.


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    sabato 22 gennaio 2011 17:16
  • Ciao, io ho parecchie implementazioni di w2003  con il windows firewall per rdp e ti dico che nessuno mi ha dato problemi con gli scope. fa ESATTAMENTE quello che gli dico.

     

    direi che:

    a) hai un'altra regola che permette la 3389 o l'eseguibile svchost e su cui non hai impostato lo scope.

    b) hai impostato lo scope nel profilo di dominio e il server usa il profilo standard (è un problema che ho visto ancora: quando modifichi dall'interfaccia grafica modifichi uno , ma è l'altro che in quel caso vince).

     

    prova a postarmi un bel:

    netsh firewall show config

    e

    netsh firewall show opmode

     

    ... POI ...

     

    prova a configurare il firewall con il potentissimo netsh:

    1. ATTIVA UN SECONDO PROGRAMMA DI ACCESSO REMOTO (tipo teamviewer) INSTALLATO e AD AVVIO AUTOMATICO e CON PASSWORD STABILITA COMPLESSA. TESTALO. POI :
    2. disattiva tutte le regole per la REMOTEDESKTOP e sulla porta 3389 dall'interfaccia grafica E dalla riga di comando, con:
      netsh firewall set service REMOTEDESKTOP DISABLED ALL
    3. Configura UNA sola regola per il remote desktop:
      netsh firewall set service REMOTEDESKTOP ENABLE CUSTOM 1.2.3.4 ALL *
      dove 1.2.3.4 è l'ip da cui ti vuoi connettere (puoi usare valori separati da virgola).
    4. se tutto funziona come deve, puoi disattivare il teamviewer e poi, al momento opportuno, disinstallarlo.

     

    * ALL finale dichiara che la regola deve essere effettiva per tutti i profili.

     

    HTH Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    sabato 22 gennaio 2011 17:23
  • Grazie Diego del tuo intervento! Ti posso postare i risultati dei due comandi ma per il resto non mi metto a lavorare in RDP il sabato sera su una macchina in produzione che sta altrove ed è quindi fisicamente irragiungibile. Per la legge di murphy sono sicuro che, se ci provo, mi chiude fuori come è già accaduto. Dovrò seguire la configurazione manuale via netsh solo quando sarò sul posto. Al momento posso solo intervenire in modo *delicato* via RDP.

    Ecco la risposta di netsh firewall show config:

    Configurazione profilo Domain:
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable
    Modalit… eccezioni                       = Enable
    Modalit… di risposta multicast/broadcast = Enable
    Modalit… notifiche                       = Enable

    Configurazione profilo Standard (corrente):
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable
    Modalit… eccezioni                       = Enable
    Modalit… di risposta multicast/broadcast = Enable
    Modalit… notifiche                       = Enable

    Configurazione servizio per il profilo Standard:
    Modalit… Personaliz. Nome
    -------------------------------------------------------------------
    Enable   No          Framework UPnP
    Enable   No          Desktop remoto

    Configurazione programmi consentiti Standard:
    Modalit… Nome / Programma
    -------------------------------------------------------------------
    [cut...]

    Configurazione porte per il profilo Standard:
    Porta  Prot.     Modalit… Nome
    -------------------------------------------------------------------
    ####   TCP       Enable   SUPERO DOCTOR (non nel range RDP)
    ####   TCP       Enable   MySQL Server  (non nel range RDP)

    ####   TCP       Enable   FTPPort####
    [cut]... altre porte FTP (non nel range RDP)

    1900   UDP       Enable   Componente SSDP del Framework UPnP
    2869   TCP       Enable   Framework UPnP su TCP
    3389   TCP       Enable   Desktop remoto

    Configurazione registro:
    -------------------------------------------------------------------
    Percorso file       = C:\WINDOWS\pfirewall.log
    Dim. massima file   = 4096 KB
    Pacchetti ignorati  = Enable
    Connessioni         = Enable

    Configurazione firewall Connessione alla rete locale (LAN) 3:
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable

    Configurazione porte per Connessione alla rete locale (LAN) 3:
    Porta  Prot.     Modalit… Nome
    -------------------------------------------------------------------
    80     TCP       Enable   Server Web (HTTP)
    3389   TCP       Enable   Desktop remoto
    21     TCP       Enable   Server FTP
    443    TCP       Enable   Server Web protetto (HTTPS)

    Configurazione firewall Connessione alla rete locale (LAN) 4:
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable

    Configurazione porte per Connessione alla rete locale (LAN) 4:
    Porta  Prot.     Modalit… Nome
    -------------------------------------------------------------------
    80     TCP       Enable   Server Web (HTTP)
    21     TCP       Enable   Server FTP
    443    TCP       Enable   Server Web protetto (HTTPS)

    ************************************************************

    Ecco la risposta di netsh firewall show opmode:

    Configurazione profilo Domain:
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable
    Modalit… eccezioni                       = Enable

    Configurazione profilo Standard (corrente):
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable
    Modalit… eccezioni                       = Enable

    Configurazione firewall Connessione alla rete locale (LAN) 3:
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable

    Configurazione firewall Connessione alla rete locale (LAN) 4:
    -------------------------------------------------------------------
    Modalit… operativa                       = Enable


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    sabato 22 gennaio 2011 17:59
  • Grazie Fritz,

    all'interno dei programmi consentiti c'è svchost.exe, per caso? se si, per che cosa viene permesso? svchost è usato per il servizio terminal, ma anche per altri servizi...

    Rimangono validi i punti sull'eliminare le regole firewall PORTOPENING e usare la regola specifica di SERVICE su tutti i profili attivi, comunque si può ignorare il punto netsh firewall set service REMOTEDESKTOP DISABLED ALL  perchè è già disattivata...

    Per essere sicuro di rimuovere le regole portopening da tutti i profili potresti usare un

    netsh firewall delete portopening TCP 3389 ALL

     

     

    .... Concordo con te sulla legge di Murphy. MAI lavorare sui server remoti di produzione di sabato sera. :-)

     

     

     

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    sabato 22 gennaio 2011 23:41
  • >  nei programmi consentiti c'è svchost.exe, per caso?

    Negativo. Non c'è.

    Sull'uso di netsh dovrò purtroppo procastinare tutto a data da definirsi. Spero che questo risolva e posterò i test sulle altre 2 win2k3 R2 perchè, se il comportamento fosse il medesimo, si tratterebbe comunque di un disservizio (secondo me grave). Dover ricorrere ad una sintassi via netsh sul posto (essendo l'interfaccia desktop inaffidabile) è quanto meno vincolante per un s.o. nato per essere gestito da remoto.
    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    domenica 23 gennaio 2011 07:31
  • vorrei capire bene.

    tu dici che, seguendo il risultato riportato del comando netsh firewall show config:

    hai il firewall abilitato sulla nic chiamata LAN3 con un eccezione per l'rdp, hai il firewall abilitato sulla nic chiamata LAN4 senza alcuna eccezione per l'rdp

    e sostieni che da LAN3 entrano tutti nonostante tu abbia impostato un vincolo che permette l'accesso solo a due indirizzi ip bene definiti che sono i tuoi ?

    ovviamente i due ip che sopra hai indicato come "###.###.###.###/255.255.255.255,###.###.###.###/255.255.255.255 "

    sono gli ip pubblici statici da cui ti colleghi (casa tua o ufficio tuo) e non quelli statici pubblici assegnati al server nella server farm, vero ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 23 gennaio 2011 10:27
    Moderatore
  • >  nonostante tu abbia impostato un vincolo che permette l'accesso solo a due indirizzi ip bene definiti che sono i tuoi ?

    Confermo; ho fatto un test apposito (aiutato dal mio tecnico esterno) come ho scritto.

    > sono gli ip pubblici statici da cui ti colleghi (casa tua o ufficio tuo)

    Esattamente; confermo. Sono quelli con cui esco in rete dalle mie sedi e con i quali accedo al server.


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    domenica 23 gennaio 2011 13:19
  • mi puoi mandare alla casella mail le immagini del "Change scope" del Remote Desktop del firewall di entrambe le nics e le corrispondenti immagini della tab "Advanced".
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 23 gennaio 2011 14:34
    Moderatore
  • > [Edoardo] ti ho inviato le screen shot delle diverse finestre ai tuoi indirizzi.

    Ho concluso i test sulle altre 2 macchine (win2k3 R2) che hanno identiche impostzioni.
    Sullaprima porta il servizio RDP non risponde mentre invece sulla seconda porta appare la finestra del login di RDP. I test sono stati effettuati dal 79.30.221.214 che, come vedi sulle immagini che ti ho inviato, NON sarebbe inserito nel ambito dei IP autorizzati a connettersi.

    In conclusione questo comportamento è indubbiamente by design; il flag attivato sulla finestra precedente delle eccezioni (in teoria di livello superiore) e che circoscrive un determinato ambito NON viene rispettato.
    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    lunedì 24 gennaio 2011 16:27
  • adesso provo a fare un test perchè sta cosa mi incuriosisce.

    nel frattempo mi togli una curiosità ?

    le due schede LAN3 e LAN4 sono entrambe raggiungibili da un unico ip pubblico o da ip pubblici diversi ? ossia è un solo ip pubblico nattato verso quelle due schede ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 25 gennaio 2011 08:21
    Moderatore
  • ed aggiungo:

    1) hai riavviato il server dopo aver introdotto le eccezioni e lo scope ?

    2) puoi flaggare i due flag nell'immagine

    e mandarmi via mail dopo un po' il file di pfirewall.log ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 25 gennaio 2011 09:54
    Moderatore
  • > le due schede LAN3 e LAN4 sono entrambe raggiungibili da un unico ip pubblico o da ip pubblici diversi ? 

    Ogni scheda ha un proprio IP (sono diversi); una serve il lato pubblico (dove ho tolto il flag del RDP nelle avanzate), mentre l'altra è usata solo per i miei accessi in RDP.

    >  hai riavviato il server dopo aver introdotto le eccezioni e lo scope ?

    Certamente. Le impostazioni sono state testate sia abanco (qui in ufficio) che poi in installazione all' IDC con innumerevoli riavii e test da remoto. Mancava solo il test da un IP estraneo che ho poi fatto successivamente come ho scritto.

    > puoi flaggare i due flag nell'immagine

    I log Firewall sono già attivi. Ti invierò il log attuali per penso che vengano riscritti giornalmente.... ora verifico e te li spedisco.

    Scusa del ritardo ma ieri il figlio ha demolito la macchina in tangenziale (senza farsi male per fortuna) e puoi immaginarti i casini....


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    mercoledì 26 gennaio 2011 08:08
  • Allora... auguri per la guarigione del figlio

    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    mercoledì 26 gennaio 2011 08:40
  • [brevissio OT]

    Grazie Adriano! Per foruna solo una distorsione muscolare; straordinariamente non è scoppiato l'airbag evitando le note botte al viso.


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    mercoledì 26 gennaio 2011 09:00
  • mi associo agli auguri di Adriano per tuo figlio, ti ho scritto una mail per dirti di mandarmi di nuovo i files di log del firewall.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 27 gennaio 2011 07:23
    Moderatore
  • Da prima ho semplicemente lasciato il flag sulla voce desktop
    remoto per permettere l'accesso al mio server. Leggendo i log
    degli eventi notavo che sembra sia diventato uno sport mondiale
    parassitare con tentativi cretini (admin / administrator / user / test
    / ecc.) per entrare ladrescamente sulla macchina ed ho quindi
    cambiato impostazione.

    Ho tolto il flag e lasciato solo su una delle due porte LAN in
    impostazioni avanzate il flag sui servizi permessi agli utenti
    internet. Pensavo di dimezzare il flusso di questi parassiti. Macchè.
    Imperterriti e continui questi fenomeni insistono con il tentare di
    collegarsi a sbaffo.

    Non si tratta di "gente" che tenta di forzare RDP ma semplicemente
    di bots che effettuano scansioni continue di blocchi di IP cercando
    determinate porte e, se le trovano, tentando di "penetrare" le stesse
    ad esempio, nel caso di RDP, usando un bruteforce come quello
    da te rilevato

    Detto questo, pubblicare la 3389 "nuda e cruda" su internet non è,
    a mio parere, un'idea molto salutare; se però devi proprio farlo,
    ecco alcune cosette che potresti fare

    * Proteggere RDP usando IPsec in modo che soltanto gli hosts
       remoti in possesso della corretta configurazione abbiano la
       possibilità di connettersi a tale porta

    * Filtrare sul firewall la porta in modo da permetterne l'accesso
       solo da ben determinati indirizzi IP e non da "tutto il mondo"

    * Cambiare la porta RDP da 3389 a qualcosa di diverso

    vediamo i vantaggi e gli svantaggi dei vari steps di cui sopra

    * IPSec - estremamente sicuro (se ben implementato), permette
       l'accesso da qualsiasi indirizzo IP a patto che si sia in possesso
        delle corrette credenziali / certificato; di contro, è relativamente
        complesso da implementare e potrebbe non funzionare nel caso
        in cui tra l'host remoto ed il client vi siano meccanismi di
    filtraggio
        che non lasciano transitare IPsec, NAT ed altro

    * Firewall - abbastanza sicuro, permette l'accesso solo da indirizzi
       IP ben definiti, evita che gli "scanners" rilevino la porta RDP, di
       contro, dato che tale configurazione è basata su ben determinati
       IP remoti, l'accesso RDP sarà limitato alle connessioni provenienti
       da tali indirizzi e quindi non sarà possibile accedere ad RDP da
       una qualunque connessione; ad esempio, trovandosi fuori sede,
        non sarà possibile connettersi ad RDP, inoltre la configurazione
        non è possibile nel caso in cui il client non abbia un IP statico

    * Porta di ascolto - evita che un normale "scan" possa rilevare RDP
       dato che in tal caso la porta usata da RDP è diversa - non aggiunge
       nulla in termini di sicurezza dato che comunque RDP sarà pubblicato
       ed accessibile a chiunque conosca la porta; potrebbe creare problemi
       nel caso in cui tra l'host ed il client vi sia un firewall che non
    permette
       la connessione verso la porta alternativa usata per RDP

    * IPsec
    http://support.microsoft.com/kb/816521

    * Porta alternativa
    http://www.petri.co.il/change_terminal_server_listening_port.htm
    http://support.microsoft.com/kb/555031

    giovedì 27 gennaio 2011 09:55
  • ritengo che l'interesse di queste persone non sia quello di
    "parassitare" (nel senso di trarre profitto dal lavoro altrui) quanto
    quello di "devastare gratuitamente e senza alcun guadagno personale"
    il lavoro realizzato da altri per il puro spirito di vandalismo e/o
    bullismo.

    Dissento; nella stragrande maggioranza dei casi l'ottenere accesso
    ad un dato host serve semplicemente a "far soldi" vuoi con phishing,
    vuoi con spamming, vuoi distribuendo malware allo scopo di aumentare
    le fila di una data botnet (ed allo stesso tempo "rubare" dati dalle
    vittime) ... e per altri scopi ancora; e, a parte il "defacing dei siti"
    e
    pratiche simili che rappresentano una percentuale limitata, il grosso
    di tali "operazioni" è semplicemente volta a far soldi

    spiacente ma non sono d'accordo.

    *
    se ho comprato un chilo di cipolle di tropea per fare la frittata e
    contempraneamente compro un sistema d'allarme non mi stresso più di
    tanto se il sistema d'allarme non funziona e mi rubano le cipolle ma,*

    *se ho comprato un Picasso originale e compro il sistema d'allarme,
    stresso l'anima fino all'inverosimile a chi mi ha fornito l'impianto
    d'allarme affinchè protegga il bene che ho acquistato.*

    vero, ma se compri un Kg di cipolle ed un sistema di allarme da 200 euro
    la cosa può ancora starmi bene, se invece compri un Picasso e continui
    a prendere lo stesso sistema di allarme da 200 euro poi non credo che
    potrai lamentarti se ti hanno fregato il Picasso; quando si tratta di
    investire
    in sicurezza è necessario prima di tutto valutare quale sia il *VALORE*
    (intrinseco o estrinseco) di ciò che si vuole proteggere... invece di
    fare
    come molti che pensano di poter risparmiare ed ottenere lo stesso
    livello
    di sicurezza :)

    giovedì 27 gennaio 2011 10:02
  • Grazie Obi del tuo intervento che però esula dal topic che sarebbe improntato sul fatto specifico che sto benedetto Firewall integrato di win2k3 funziona con una logica non gerarchica (o come rappresentata nella sua interfaccia); ... e lo stiamo quindi testando. Per il momento devo tenere questo tipo di collegamento RDP e mi basterebbe semplicemente arrivare a far rispettare gli ambiti degli IP entranti. Cosa che evidentemente non riesce a fare assieme all'attivazione del ptotocollo nelle avanzate.

    Sottoscrivo tutti i tuoi suggerimenti e, appena riuscirò a clonarmi e a portare le giornate a 48 ore dormendone solo 1, forse riuscirò a farmi una competenza tale da poter installare ed impostare tutto quello che andrebbe fatto per blindare totalmente un server. Basterebbe anche una bella vincita al super-enalotto per delegare qualche esperto da inserire nella mia piccola azienda.
    Riguardo i bot entranti, intendevo che c'è sempre qualcuno che li ha lanciati (e scritti!) ed è questa la mentatlità di cui ho scritto nel post principale. Chi campa in questo modo, o semplicemente si diverte a danneggiare il prossimo in modo gratuito, andrebbe appeso per le pa**e o impalato come faceva il vecchio Vlad III di Valacchia.

    Se non mi ricordo male, avevo già seguito la strada del ipsec / creazione di regole nei criteri di protezione ma ho dovuto concludere:
    http://www.iishacks.com/2009/11/10/block-ip-addresses-using-ip-security-policy-in-windows-server-2003/
    come indicato nel messaggio di attenzione del wizard, la creazione del blocco IP inserendo un nuovo criterio, non funziona se non si ha un server di dominio. Un server webfarm come i miei non possono quindi adottare questa soluzione. Peccato.
    vedi thread:
    http://social.microsoft.com/Forums/it-IT/windowsserverit/thread/3818d813-f871-4fa8-bd47-fe2426e9f7df


    P.S: (semi-OT) Sono contento di rileggerti. Dopo la tua uscita dal gruppo ho protestato e ho cercato di scriverti e di telefonarti (lasciando anche un messaggio nella tua azienda evidentemente non arrivato). Chissà che non ci reincontriamo dalle mie parti!


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    giovedì 27 gennaio 2011 15:30
  • Grazie Obi del tuo intervento che però esula dal topic che sarebbe
    improntato sul fatto specifico che sto benedetto Firewall integrato di
    win2k3 funziona con una logica non gerarchica

    No, scusami ma HA una logica gerarchica, per dettagli vedi

    http://technet.microsoft.com/en-us/library/dd421709%28WS.10%29.aspx

    http://technet.microsoft.com/en-us/library/cc753558.aspx

    il vero "problema" se vogliamo è che la sequenza nella quale le
    regole vengono applicate non è immediatamente chiara guardando
    l'interfaccia :)

    Per il momento devo tenere questo tipo di collegamento RDP e
    mi basterebbe semplicemente arrivare a far rispettare gli ambiti
    degli IP entranti. Cosa che evidentemente non riesce a fare
    assieme all'attivazione del ptotocollo nelle avanzate.

    Prova quanto segue:

    aggiungi una "listen port" a terminal services seguendo le
    indicazioni presenti http://support.microsoft.com/kb/555031
    imposta la nuova porta al valore 5B5D hex (ossia 23389)

    crea una nuova regola nel firewall che permetta l'accesso
    alla porta 23389 TCP dagli IP desiderati ed attivala

    avvia il client RDP (mstsc) e prova a connetterti utilizzando
    la porta alternativa immettendo nomehost:23389 e verifica
    che la connessione funzioni

    a questo punto, disabilita nel firewall l'eccezione di default
    relativa alla porta 3389 e verifica che tale porta non sia più
    raggiungibile dall'esterno (la 23389 continuerà a funzionare)

    il fatto è che l'exception di default del firewall è "di manica
    larga" per cui, invece di usarla, conviene crearsi una propria
    regola; nel tuo caso ti ho fatto anche aggiungere una porta
    alternativa e creare una nuova regola semplicemente per
    evitare che tu ti possa "tagliar fuori" da solo modificando le
    regole del firewall :)

    appena riuscirò a clonarmi e  a portare le giornate a 48 ore

    credo che quanto sopra possa essere fatto in circa 10 minuti
    al massimo, senza troppe menate e... senza troppi rischi :D

    P.S: (semi-OT) Sono contento di rileggerti. Dopo la tua uscita dal
    gruppo ho protestato e ho cercato di scriverti e di telefonarti
    (lasciando anche un messaggio nella tua azienda evidentemente
    non arrivato). Chissà che non ci reincontriamo dalle mie parti!

    qui non è arrivato nulla :( ma... hai provato a contattarmi al mio
    indirizzo gmx o a quello mvps ?

    giovedì 27 gennaio 2011 15:52

  • dimenticavo...

    qualche esperto da inserire nella mia piccola azienda. Riguardo i
    bot entranti, intendevo che c'è sempre qualcuno che li ha lanciati
    (e scritti!) ed è questa la mentatlità di cui ho scritto nel post
    principale.

    La maggior parte del malware oggi in circolazione (leggi virus,
    worms e bestiacce di vario genere) tra le altre cose trasforma le
    proprie vittime in "bots" quindi non è che ci sia "uno che li lancia"
    sono in circolazione ormai da anni :)

    Chi campa in questo modo, o semplicemente si diverte a
    danneggiare il  prossimo in modo gratuito, andrebbe

    lo so, ma devi considerare che questa è solo la punta di un grosso
    anzi enorme icerberg; dietro al malware ed a tutto l'ambaradàn ci
    sono delle vere e proprie GANG di DELINQUENTI e no, non sto
    esagerando e non è uno scherzo che, tra le varie "attività" hanno
    anche questa e che in qualsiasi caso fanno tutto ciò semplicemente
    perchè è "economicamente remunerativo" :P

    giovedì 27 gennaio 2011 15:55
  • Ciao Fritz, ma poi hai provato a fare quello che ti avevo consigliato? non si capisce.

    spesso la config da GUI del firewall di 2003 è fallace, in quei casi uso netsh e tutto si risolve...

     

    @ObiWan, OTTIMO consiglio quello di cambiare porta e impostare una portopening apposita. mi hai battuto sul tempo...  :-) +1

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    venerdì 28 gennaio 2011 09:15
  • @ObiWan, OTTIMO consiglio quello di cambiare porta e impostare una
    portopening apposita. mi hai battuto sul tempo...  :-) +1

    Grazie Diego, torno però a ripetere che il semplice trucco di cambiare
    porta NON aggiunge nulla alla sicurezza, serve semplicemente ad evitare
    che un qualsiasi scanner "normale" che cerca ben determinate porte non
    veda la 3389 come aperta; inoltre, dato che il sistema sul quale "Fritz"
    sta lavorando potrebbe essere "remoto", l'aggiunta di una seconda
    porta RDP permette di "smanettare" con il sistema e con il firewall
    riducendo per quanto possibile i rischi di "tagliarsi fuori" :) - in
    relazione
    invece alla regola del firewall, come ho scritto, quella "standard" non
    prevede limitazioni IP e sinceramente preferisco creare una regola
    ad hoc e disabilitare la standard piuttosto che smanettare con la
    regola di default :)

    Per il resto, sconsiglio la pubblicazione di RDP "nudo e crudo"
    anche per... esperienza diretta, ho visto una MAREA di servers
    sfondati ed utilizzati per ospitare phishing/malware o per inviare
    emails (sempre phish/spam/malware) proprio a causa del fatto
    che i proprietari degli stessi avevano pubblicato la porta RDP
    su internet (basta cercare "TSgrinder" su un qualsiasi motore
    di ricerca per capire come sia relativamente facile bucare un
    RDP - e quello è solo UNO dei tools e neanche il più "furbo")

    venerdì 28 gennaio 2011 10:58
  • @ObiWan: ottima idea perchè esclude a priori sovrapposizioni con le eccezioni servizi default di windows firewall, ponendo come unico centro del problema la regola di portopening, più semplice da diagnosticare...
    Penso che sia CHIARO E LAMPANTE a tutti che non aggiungi sicurezza...

    :-)


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    venerdì 28 gennaio 2011 15:26
  • Penso che sia CHIARO E LAMPANTE a tutti che non
    aggiungi sicurezza...

    su questo avrei dei dubbi :(

    ciao :) !

    venerdì 28 gennaio 2011 15:43
  • [ObiWan]

    > qui non è arrivato nulla :( ma... hai provato a contattarmi al mio
    > indirizzo gmx o a quello mvps ?

    Riguardo la posta non ricordo la casella; immagino abbia usato quella dell'epoca di messenger. Ricordo di aver scritto a diversi tuoi indirizzi noti. Ho quindi provato a cercarti in azienda lasciando l'ambasciata ad un tuo collaboratore. Mi è dispiaciuta molta la situazione e avrei voluto salutarti personalmente.

    > è "economicamente remunerativo"

    Beh; qui ho diverse esperienze di IP che ho potuto tracciare e che mi hanno messo in contatto con istituti universitari dai quali partivano questi attacchi. Per certo ho un esempio di un gruppetto di studenti che facenvano eserimenti online tanto per divertirsi.
    Che ci siano organizzazioni parassite delinquenti lo posso certamente immaginare. Mi meraviglio sempre e comuqnue che l'intelligenza umana, magari cresciuta tra le aule di università prestigiose, venga poi usata in questo modo opportunistico e non invece in modo creativo e positivo.

    > il vero "problema" se vogliamo è che la sequenza nella quale le
    > regole vengono applicate non è immediatamente chiara guardando
    > l'interfaccia :)

    Ed è quello che volevo sottolienare con questo mio thread dedicato. Come molte altre cose, spesso mi chiedo come ragionino gli sviluppatori e se perseguono ancora la logica dell'intuibilità nelle interfacce. Negli ultimi anni, e sopratutto nelle ultime versioni di tutto il software prodotto da ms, ho la netta impressione che spesso abbiano volutamente complicato i comandi e reso comprensibile solo dietro *apposita istruzione* l'uso di queste nuove interfacce. Spero di sbagliarmi.....

    > aggiungi una "listen port" a terminal services seguendo le
    > indicazioni presenti http://support.microsoft.com/kb/555031
    > imposta la nuova porta al valore 5B5D hex (ossia 23389)

    Ho compreso la locica del tuo suggerimento e la condivido pienamente e vorrei adottarla subito; ma leggendo l'articolo che mi hai indicato non mi trovo. La chiave sul registro del mio win2k3 R2 che trovo usando regedit è diversa:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\...

    e la procedura per modificarla assolutamente incomprensibile. Almeno per me abituato a ritoccare i valori direttamente da regedit; mai usato una procedura esporta/importa.

    Esiste una spiegazione più chiara sugli step da seguire?

    [Diego]

    > hai provato a fare quello che ti avevo consigliato? non si capisce.

    Non sono ancora stato all' IDC e vorrei vedere se riesco a trovare una soluzione da remoto.

    > Penso che sia CHIARO E LAMPANTE a tutti che non aggiungi sicurezza...

    Considerando che sono aperte SOLO le porte necessarie (obbligatorie), spostare l'unica porta/funzionalità che permette l'interattività amm.va con le mie macchine su un range diverso, possa diminuire gli attacchi brute force. Che poi ci arrivino via scanning di tutte le porte è sempre possibile. Come è possibile che uno dei miei passi da basista l'informazione all'esterno. Ma certamente le probabilità diminuiscono notevolmente.

    E per un newbie come me, tuttologo informatico, penso possa essere già una cosa valida.


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    sabato 29 gennaio 2011 09:10
  • > aggiungi una "listen port" a terminal services seguendo le
    > indicazioni presenti http://support.microsoft.com/kb/555031
    > imposta la nuova porta al valore 5B5D hex (ossia 23389)

    Ho compreso la locica del tuo suggerimento e la condivido pienamente e vorrei adottarla subito; ma leggendo l'articolo che mi hai indicato non mi trovo. La chiave sul registro del mio win2k3 R2 che trovo usando regedit è diversa:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\...

    e la procedura per modificarla assolutamente incomprensibile. Almeno per me abituato a ritoccare i valori direttamente da regedit; mai usato una procedura esporta/importa.

    Esiste una spiegazione più chiara sugli step da seguire?

    scusa Fritz ma a me sembra che l'indicazione della KB sia perfetta, prova a vederla in inglese

    http://support.microsoft.com/kb/555031/en-us

    e riporta esattamente cosa trovi diverso sul tuo win2k3 r2


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 29 gennaio 2011 12:43
    Moderatore
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
    Server\...

    scusa Fritz ma a me sembra che l'indicazione della KB sia perfetta,
    prova a vederla in inglese

    http://support.microsoft.com/kb/555031/en-us

    in effetti mi sembra strano che quella entry non esista nel registry :(

    lunedì 31 gennaio 2011 08:24
  • Ho preso i files di log che mi hai mandato, li ho importati in excel, li ho filtrati ed ho cominciato a ragionare.

    La mia non è la soluzione perchè rimane valida quella proposta da Obi ma, nel mio ragionamento, mi sono detto: se il firewall di windows si comporta così in maniera non logica e ho bisogno di trovare certamente una soluzione perchè non sfruttare la sua "scarsa" logica ed aggirare l'ostacolo ? Quindi se io abilito l'rdp sul firewall anche per la nic in cui attualmente non è abilitato dovrei trovarmi nella situazione in cui l'rdp è permesso su entrambe le schede ma il filtro del range di ip varrà per entrambe le schede quindi il firewall dropperà tutte le richieste provenienti per la porta 3389 provenienti da ip diversi dai tuoi. Essendo tu l'unico che sa di voler entrare dall'ip associato alla scheda 1 tu riuscirari sempre ad entrare e gli altri sia che provino sulla scheda 1 sia che provino sulla scheda 2 verranno respinti.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 10:50
    Moderatore
  • Ho preso i files di log che mi hai mandato, li ho importati in excel,
    li ho filtrati ed ho cominciato a ragionare.

    Ahem... un'idea sul contenuto (no, non un dump ...) potresti anche
    fornirla, sisammai, magari qualcuno potrebbe farsi venire qualche
    idea geniale :) ... anyhow ...

    La mia non è la soluzione perchè rimane valida quella proposta da Obi

    Che due maroni ! Con questa storia dei "punti" anche se uno dice una
    cosa giusta DOPO che è stata trovata la soluzione, sembra che non
    serva a nulla scriverla, visto che "tanto ormai i punti li ha presi X" -
    NON
    scrivo qui per "i punti" o per guadagnare qualcosa, lo faccio soltanto
    perchè mi va di farlo e quando posso farlo (non è per te Edo, non mi
    fraintendere !) e tutta questa storia delle "stelline" mi sembra proprio
    una stupidaggine... quasi fossimo all'asilo :P - ad ogni modo ....

    se il firewall di windows si comporta così in maniera non logica

    e no, Edo, il fw HA una logica, e neanche tanto astrusa, si tratta solo
    di leggersi la documentazione e tenere presente la priorità secondo
    la quale vengono valutate le varie regole allow/deny; ammetto che
    la GUI sia fatta MALE da questo punto di vista (anche perchè ci
    sarebbe voluto veramente POCO per aggiungere alla GUI una
    colonna "priorità" e rendere l'ordine delle regole CHIARO) però
    ESISTE una logica per la priorità delle regole di filtraggio !

    la sua "scarsa" logica ed aggirare l'ostacolo ? Quindi se io abilito
    l'rdp sul firewall anche per la nic in cui attualmente non è abilitato
    dovrei trovarmi nella situazione in cui l'rdp è permesso su entrambe

    Si ok... ma i problemi sono più di uno; posso anche fare come dici,
    o stravolgere completamente le "default exceptions", non che sia
    un problema ma... perchè ? Dai pochi giorni di esperienza che ho,
    ho imparato che l'approccio basato sulla "traiettoria della goccia
    d'acqua" è sempre (o almeno fino ad ora) il migliore; analizza la
    situazione (avendo conoscenza approfondita dei vari elementi
    in gioco) e poi, trova una soluzione che permetta, modificando il
    MINIMO INDISPENSABILE, di ottenere il risultato voluto :) e, se
    mi permetti l'immodestia, credo che la mia idea di aggiungere
    una seconda "listen port" e di creare una regola ad hoc relativa
    alla stessa... segua esattamente tale "filosofia"

    ciao

    lunedì 31 gennaio 2011 15:28
  • e tutta questa storia delle "stelline" mi sembra proprio
    una stupidaggine... quasi fossimo all'asilo :P - ad ogni modo ....

    ... se al posto delle "stelline" venissero distribuiti arrosticini credo che la competizione aumenterebbe in maniera esponenziale ;-)

    e, se
    mi permetti l'immodestia, credo che la mia idea di aggiungere
    una seconda "listen port" e di creare una regola ad hoc relativa
    alla stessa... segua esattamente tale "filosofia"

    ciao

    ... ed ecco il motivo per cui ho detto che la tua soluzione era la migliore :D

    ciao



    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 16:19
    Moderatore
  • e tutta questa storia delle "stelline" mi sembra proprio
    una stupidaggine... quasi fossimo all'asilo :P - ad ogni modo ....

    ... se al posto delle "stelline" venissero distribuiti arrosticini
    credo che la competizione aumenterebbe in maniera
    esponenziale ;-)

    Mi è IMPROVVISAMENTE venuta fame :D !!!

    mi permetti l'immodestia, credo che la mia idea di aggiungere
    una seconda "listen port" e di creare una regola ad hoc relativa
    alla stessa... segua esattamente tale "filosofia"

    ... ed ecco il motivo per cui ho detto che la tua soluzione era la
    migliore :D

    si ok... non era questo il senso... vabbè, per lo meno TU hai
    capito quel che stavo dicendo <<sigh>>

    lunedì 31 gennaio 2011 16:32
  • [OT] sii, arrosticini...

    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    martedì 1 febbraio 2011 15:33
  • tutto il software prodotto da ms, ho la netta impressione che spesso
    abbiano volutamente complicato i comandi e reso comprensibile solo
    dietro apposita istruzione l'uso di queste nuove interfacce. Spero
    di sbagliarmi.....

    Se consideri che esiste ABBONDANTE documentazione (ed anche
    facilmente reperibile) GRATUITA e che esistono anche vari libri sui
    vari argomenti (ok, questi non sono gratuiti ma la documentazione
    online lo è); NON credo che quanto sopra stia in piedi; semmai c'è
    stato un "taglio netto" per certi aspetti e, sinceramente lo reputo una
    BUONA cosa :) vedi... in passato c'erano i famosi "sysadmin" (sic)
    del "click - avanti avanti avanti - fatto" ... test, non funziona ...
    ok,
    disabilitiamo il firewall e diamo permessi completi ad "everyone"
    ovviamente, come (spero) sia facile capire, quanto sopra spesso
    (praticamente quasi sempre) ha come risultato disastri di vario
    genere e proporzione

    La "soluzione" in questo caso è stata ... banale, ossia, dopo aver
    pubblicato estesa documentazione, è stata modificata la GUI;
    a questo punto, l'utente "normale" non ha avuto problemi, dato
    che di norma neanche sa cosa sia "quella roba"; gli admins che
    hanno fatto i propri "compiti a casa" non hanno avuto problemi
    dato che hanno letto e compreso la documentazione... mentre
    i "wannabe admin" (quelli del click-avanti-avanti) ossia quelli
    che prima fanno delle BOIATE colossali e poi se la prendono
    con Microsoft, si son trovati "in mutande" e, se permetti, credo
    che la cosa sia TOTALMENTE corretta; è ORA che chi gestisce
    dei servers abbia conoscenza approfondita di ciò che gestisce
    e sappia dove mettere le mani; è troppo facile prendersela con
    Microsoft perchè "una data cosa è insicura" ... solo perchè NON
    avendo capito come funziona si "apre tutto a tutti"

    martedì 1 febbraio 2011 15:57
  • > [Edo] a me sembra che l'indicazione della KB sia perfetta, prova a vederla in inglese

    Assolutamente; se leggi in italiano il percorso è incompleto: Terminal < EM / > non esiste. Ma tant'è la solita scarsa cosiderazione alla lingua italiana - che sopratutto nella KB dovrebbe essere affidabile.
    In inglese cambia totalmente la storia e il punto lo ho subito trovato.

    Il perchè suggeriscano di esportare la chiave (Export the following key:..) devo ancora comprenderlo. Io, di solito, edito/modifico direttamente da regedit. Cosa che farò certamente appena sarò sul posto. Cambiero anche la porta x dare maggior difficoltà ai geni che tenteranno l'accesso rdp.

    >  [Edo] ... quindi il firewall dropperà tutte le richieste provenienti per la porta 3389 provenienti da ip diversi dai tuoi.

    Perfetto. Ho settato ho fatto i test con il mio collaboratore esterno sui 3 win2k3 e funziona.

    verificherò i log per un po per vedere se in questo modo calano i tentativi brute force e il cambio porta lo imposterò se necessario. Questo anche perchè alcuni software che ho sono seguiti in assistenza dalle aziende produttrici cui mi rivolgo se qualche loro servizio si impianta. Creargli un'ambito è certamente più semplice che fargli impostare anche il loro client rdp su una porta diversa.

    Questa di Obi è sicuramente una ottima soluzione ma forse meno semplice e più invasiva per più client rdp di accesso.

    > [Obi] Con questa storia dei "punti"...

    Ragazzi, ... io non l'ho ancora capita. E francamente parlando, quando mi sento il fiato sul collo o gli sguardi puntati addosso, fare dell' evangelizzazione informatica volontaria e grauita mi riesce difficile - se non impossibile. E me ne frego molto altamente se qualcuno non riesce a gestire e valutare diversamente l'assegnazione dei riconoscimenti.

    > [Edo]...  la competizione aumenterebbe...

    E' proprio quello che mi da fastidio: la competizione applicata nel volontariato. Ho già dato in agonismo sportivo (e parecchio!) e non approvo invece questa filosofia applicata nell'ambiente di lavoro e nel passatempo/volontariato (magari da chi - sportivamente parlando - è un bradipo senza alcuna capcità fisica. Siccome non sono un dipendente ms ne tanto meno mi attrae un'azienda che si rapporta con il proprio team in questo modo, rispondo quando mi pare e come mi pare. Secondo il mio metro e non certo seguendo le briglie di chi mi vorrebbe in pista a correre dietro ad un coniglio! Anzi; secondo la mia natura, quando mi obbligano a tale comportamento, faccio esattamente il contrario. In queste cose sono mooolto rebeghino.

    [Obi] > Se consideri che esiste ABBONDANTE documentazione ...[cut]
          > NON credo che quanto sopra stia in piedi...[cut]...

    Il mio è un parere di imprenditore *tuttologo informatico*. Sono nato molti anni fa come server x siti di frontpage ed ho semplicemente approfondito l'argomento. Per ovvie ragioni di budget ho scelto una piattaforma server con interfaccia di gestione che utilizzo da anni (anche dopo e grazie il vostro aiuto istruttivo parallelo). Come imprenditore non posso superare determinati costi di gestione e, quando acqusito un prodotto, mi aspetto che faccia quello che c'è scritto che fa. Tutto qui.

    Se al di la di questo, per risolvere problemi inaspettati e straordinari, devo interpellare un intervento tecnico a spot, OK. Pago e risolvo. Ma se poi, questo sistema di spesa saltuaria diventa invece di ordinaria amministrazione, allora non ci sto.

    Quello che voglio dire è che la mia impressione è che in questo momento si vende del software (e NON parlo di ms ma in generale) che spesso è limitato *appositamente* per creare un indotto di lavoro e vendite conseguenti ed indirette. Per un imprenditore la cosa diventa ingestibile. Parti con una spesa deteminata, assunta in base ad un protocollo e servizi precisi che hai scelto perchè corrispondevano alle tue aspettative, per poi ritrovarti con una valanga di spese accessorie e conseguenti che sono inaspetatte (e spesso ti fanno uscire dal range del *commercialmente e fiscalmente accettabile*. Per risolvere questo devi sturiarti quell'altro (magari un tomo in inglese), per far funzionare quest'altro devi acquistare quell'altro ancora. E sentire ogni volta che è così e che quindi ci si deve adattare è una cosa che non sopporto più. E non solo io; parlo per esperienza di moltissimi medi e piccoli imprenditori. Questo sistema non mi pare più sopportabile dall'attuale situazione economica.

    > è ORA che chi gestisce..[cut]
    > abbia conoscenza approfondita di ciò che gestisce

    Non offenderti ma queste parole me le sento un po *addosso*. E sta cosa mi fa girare i cosidetti non poco. Un modo di dire un po troppo semplicistico che disegna la situazione in modo troppo unilaterale. Hai perfettamente ragione sul puntare sulla professionalità ma quando gli strumenti che si utilizzano hanno bug by design oppure sono, come ne sono convinto, creati apposta per creare vendite ed occupazione conseguenziali, come imprenditore e tecnico (sebbene come sottolinei limitato nel campo server) mi girano.

    Seguendo il tuo ragionamento si arriverebbe a disegnare un mondo composto solo da mega aziende capaci di pagare tecnici specializzati (per ogni settore) mentre i piccoli e medi provider come me, incapaci di sostenere la spesa per pagare tutto questo (oppure gnucchi), dovrebbero chiudere. Oppure, unica alternativa logica, questi strumenti possono essere gestiti solo dai pochi geni e provetti informatici.

    Se non ricordo male, la filosofia iniziale con la quale Windows venne sviluppato nel garage da Bill Gates, era di creare una gestione semplificata del computer capace di essere gestita e compresa anche da chi non fosse un tecnico informatico; un sistema operativo vendibile a tutti. Questa filosofia mi pare sia stata abbandonata ultimamente, in generale (parlo un po per tutti i prodotti ms). E non vorrei che questo sia esattamente il problema che sta portando alla rinascita di prodotti antagonisti.


    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    giovedì 3 febbraio 2011 10:14
  • grazie Fritz per il tuo lungo e dettagliato feedback.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 3 febbraio 2011 11:52
    Moderatore
  • > Grazie Fritz per il tuo lungo e dettagliato feedback.

    ... e finalmente trovo i log di protezione in silenzio!! Grazie a tutti voi come al solito! Ora mi dedicherò al ban IP per chi ci prova da http ed ftp. Ma questa è un'altra storia!
    Fritz [MVP Expression Web]
    and Ms web editors Ms Frontpage Sharpoint Designer 2007
    Ms Expression forum
    Ms Frontpage & Sharepoint Designer 2007 forum
    my MVP profile
    contact at work
    my leisure
    giovedì 3 febbraio 2011 14:36
  • > Grazie Fritz per il tuo lungo e dettagliato feedback.

    ... e finalmente trovo i log di protezione in silenzio!! Grazie a tutti voi come al solito!
    grazie a te di questa ulteriore conferma.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 3 febbraio 2011 14:44
    Moderatore
  • Il perchè suggeriscano di esportare la chiave (Export the following

    key:..)

    devo ancora comprenderlo. Io, di solito, edito/modifico direttamente

    Per il semplice motivo che devi creare un NUOVO "ramo" del registry
    con i valori corretti e, siccome TS "controlla" quel ramo, onde evitare
    problemi ed errori, conviene esportare il ramo, modificarlo e poi una
    volta completata la modifica, ricaricarlo "tutto in una volta"; poi,
    ovvio,
    se preferisci l'approccio "tafazzi" sei libero di fare come vuoi :)

    Questa di Obi è sicuramente una ottima soluzione ma forse meno
    semplice e più invasiva per più client rdp di accesso.

    Non mi sembra granchè invasiva, considerando che NON ti ho
    suggerito di CAMBIARE PORTA, bensì di AGGIUNGERE una
    seconda porta RDP e pubblicare SOLO quest'ultima; ad ogni
    modo, come ho scritto, libero di fare come preferisci, la cosa
    non mi crea certamente alcun problema

    [Obi]
    Se consideri che esiste ABBONDANTE documentazione ...[cut]
    NON credo che quanto sopra stia in piedi...[cut]...

    Il mio è un parere di imprenditore tuttologo informatico. Sono nato
    molti anni fa come server x siti di frontpage ed ho semplicemente

    Aspè... mi stai dicendo che anni addietro eri un pezzo di hardware
    (un server)  e che oggi ti sei trasformato in un essere umano :D ??

    Seriamente, credo che, chi più, chi meno, molti dei frequentatori di
    questi forums (mi veniva da dire "gruppi", sarà perchè continuo ad
    usare un newsreader ed il bridge per l'accesso :D) credo siano
    passati attraverso esperienze simili, non per questo uno deve per
    forza mettersi a piangere ogni volta che cambia lo "scenario"; se
    consideri che "qualche annetto addietro" :D il linguaggio "C" NON
    esisteva e che, di botto, è diventato uno dei linguaggi più diffusi e
    che il sottoscritto lo ha imparato da solo (si ok... il K&R e tutto, ma
    il K&R l'hanno scritto DOPO :P !) credo sia facile capire come, in
    un ambiente come il nostro (l'informatica), il tenersi aggiornati e
    documentati sia un OBBLIGO imprescindibile... a meno di non voler
    vendere "fuffa" continuando a dire "si, forse questo funziona così"
    cosa che, ad oggi, e con tutta la documentazione in circolazione,
    non mi sembra possa stare in piedi nè dare un'idea particolarmente
    professionale :D

    Quello che voglio dire è che la mia impressione è che in questo
    momento si vende del software (e NON parlo di ms ma in generale) che
    spesso è limitato appositamente per creare un indotto di lavoro e

    No, il discorso è che il software si evolve, in certi casi l'evoluzione
    ha un
    impatto "relativamente" minimo, in altri ha un GROSSO impatto (mi viene
    in mente il TIC/TOC di Negroponte) ma in entrambi i casi, le evoluzioni
    NON debbono essere sottovalutate o ignorate ed è necessario avere
    sempre una conoscenza approfondita... sempre che uno voglia o debba
    lavorare con l'informatica, è ovvio che un fruttivendolo potrà ignorare
    certe
    cose... ma non mi sembra stiamo parlando di questo

    uscire dal range del commercialmente e fiscalmente accettabile.
    Per risolvere questo devi sturiarti quell'altro (magari un tomo in

    inglese),

    Di norma, tutta la documentazione che uso (e questo da ANNI) è in
    Inglese,
    tutto sommato, è quella la "lingua franca", per cui, attendere che i
    documenti
    vengano tradotti, non ha alcun senso... anzi, se vogliamo la traduzione
    di
    certi documenti serve solo ai "dirigenti" ma sicuramente MAI a chi deve
    mettere veramente le mani sui sistemi (ammesso che questi ultimi siano
    degli ADMIN degni di tale appellativo)

    Per quanto poi riguarda il "per far funzionare questo devi
    acquistare..."
    tutto dipende da COME imposti la tua personale strategia e, credimi,
    NON è assolutamente vero o per lo meno, NON lo è nella mia personale
    esperienza; il discorso è solo relativo ai TEMPI e, nel caso specifico
    del software a quanto hai già scritto ed al COME lo hai scritto

    Seguendo il tuo ragionamento si arriverebbe a disegnare un mondo
    composto solo da mega aziende capaci di pagare tecnici specializzati

    No, assolutamente no, anche una piccola azienda può avere del s/w
    che, sviluppato correttamente, può "scalare" senza problemi ed essere
    riutilizzato in vari progetti senza la necessità di mettere in piedi
    chissà
    cosa per farlo funzionare :)

    sviluppato nel garage da Bill Gates, era di creare una gestione
    semplificata del computer capace di essere gestita e compresa

    Non voglio entrare in questo tipo di discorso, anche considerando il
    fatto che sono ANCORA sotto NDA, dico solo che Bill Gates non c'è
    più e ci sono altri "gruppi di potere" che comandano a Redmond :-P

    giovedì 3 febbraio 2011 15:54
  • Ciao Fritz! sono contento che tu abbia risolto!

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    giovedì 10 febbraio 2011 09:41