www.MegaLab.it

Nei mesi scorsi, abbiamo visto che, disponendo di un server SSH opportunamente configurato, è possibile eseguire una serie di operazioni in tutta libertà: trasferire file al riparo da occhi indiscreti, superare i blocchi imposti dal firewall e addirittura accedere ai siti bloccati dall'amministratore di rete.

È naturale quindi che molti responsabili IT cerchino di inibire l'accesso ai server SSH remoti dalle proprie reti. In alcuni casi comunque, anche tale blocco può essere facilmente aggirato.

Come funziona

Il nostro server SSH è configurato, per impostazione predefinita, per rimanere in attesa di connessioni sulla porta 22. Ecco quindi che, bloccando preventivamente la connessione a questa specifica porta, l'amministratore può inibire l'accesso al servizio da remoto.

L'idea è quindi quella di cambiare la porta su cui SSH accetta connessioni, indicandone una liberamente raggiungibile dall'interno della rete.

Quale porta scegliere

Il principio base nella scelta della porta alternativa è: qualsiasi numero va bene, purchè sia raggiungibile.

Ad esempio: se riuscite ad accedere al web, la 80 sarà un buon candidato. In tal caso però, il responsabile IT potrebbe insospettirsi in caso analizzasse il traffico di rete: vedrebbe infatti traffico dati criptato in transito su un canale destinato abitualmente alle connessioni in chiaro.

Possiamo affinare la procedura scegliendo la porta 443: è abitualmente quella legata alle connessioni HTTP sicure, e viene quindi lasciata aperta per consentire alle postazioni di collegarsi ai siti che utilizzano il protocollo HTTPS: in questo caso quindi, un supervisore che stesse osservando la rete, vedrebbe solamente un flusso di dati criptati in transito, e potrebbe facilmente scambiarli per una connessione HTTP sicura vera e propria.

Come modificare la porta (con OpenSSH e Cygwin)

Aprite Cygwin sul vostro server SSH e digitate chown Zane /etc/sshd_config (facendo le opportune modifiche, in caso il vostro utente non si chiami Zane). Questo vi consentirà di modificare a piacimento il file di configurazione di OpenSSH.

Arrestate quindi il servizio con il comando net stop sshd.

Aprite ora Windows Explorer, localizzate la cartella di installazione di Cygwin, ed al suo interno la sottocartella etc: aprite il file sshd_config ivi contenuto con il vostro editor di testo semplice preferito. Attenzione a non confonderlo con il file ssh_config! Il file di nostro interesse presenta una d dopo la parola ssh).

Vi ricordo che, in caso il testo apparisse confuso e senza Interruzioni di linea, state probabilmente utilizzando un programma inadatto allo scopo: ne ho parlato nell'articolo Cosa fare quando un file di testo sembra illeggibile.

Utilizzate le funzioni di ricerca per individuare la riga che recita Port 22 (dovrebbe essere fra le prime)

Modificare ora il valore 22 nel numero di porta scelto in precedenza (quindi 80 oppure 443).

Salvate e chiudete il file, quindi riavviate il servizio impartendo il comando net start sshd in Cygwin.

Complimenti! La configurazione lato server è terminata.

Come modificare la porta (con freeSSHd)

(grazie a Brenza per il suggerimento)

Se invece state utilizzando freeSSHd come server SSH, l'operazione è ancora più semplice.

Aprite la finestra di configurazione del programma (doppio click sulla relativa icona nell'area delle notifiche) quindi portatevi alla scheda SSH e modificate il valore di Port

Premete quindi il pulsante Ok, rispondete positivamente alla conferma successiva ed il server verrà riavviato e posto in attesa di connessioni sulla nuova porta.

Configurare la rete

Come sempre, sarà necessario sincerarsi che la porta scelta sia effettivamente raggiungibile.

In particolare, dobbiamo aprire la nuova porta sul firewall: per quanto riguarda lo strumento di sicurezza in dotazione a Windows, abbiamo dettagliato la procedura in "Come aprire determinate porte su Windows Firewall". Per qualsiasi altro software invece, fate riferimento alla relativa guida in linea.

Se per il collegamento ad Internet utilizzate un router, è necessario configurare anche l'inoltro della stessa porta (port forwarding) verso il PC su cui è in esecuzione il server SSH.

La procedura purtroppo varia da modello a modello. Per quanto riguarda il diffusissimo Alice Gate fornito in comodato da Telecom Italia, è disponibile l'articolo "Aprire porte TCP/UDP su modem-router Alice gate 2 Plus e 2 Plus Wi-Fi" mentre per tutti gli altri, dovrete fare riferimento al libretto di istruzioni.

In linea di massima comunque, dovreste avere già piena padronanza di questi passaggi: sono infatti gli stessi che avete già ultimato contestualmente all'installazione del server SSH. L'unica differenza è che, questa volta, dovrete ripetere la configurazione specificando la nuova porta scelta (443, se avete seguito il mio suggerimento d'apertura).

Come collegarsi

La procedura per collegarsi ad un server SSH in esecuzione su una porta differente è del tutto simile a quella tradizionale. Come unica accortezza, dovrete indicare esplicitamente al client la porta remota con cui stabilire la connessione.

In caso il client in uso fosse Cygwin, dovrete aggiungere il parametro -p numeroporta: quindi, per utilizzare il servizio disponibile alla porta 443 del PC chiamato srv-rettore, dovrete impartire il comando ssh srv-rettore -p 443

Se invece utilizzate PuTTY, la porta dovrà essere immessa nell'apposito campo presente in alto a destra

Fate attenzione a Skype!

(grazie a Franco Gianquitto per il suggerimento)

In caso aveste problemi con il collegamento, il colpevole potrebbe essere Skype. Il programma infatti, per impostazione predefinita, può occupare la porta 80 o 443 per i propri scopi.

Portatevi quindi sul PC incaricato di fare da server SSH, aprite Skype e selezionate Strumenti -> Opzioni -> Avanzate -> Collegamento e da qui togliete la spunta alla voce Usa le porte 80 e 443 come alternative per le connessioni in ingresso

Confermate e, infine, chiudete e avviate nuovamente Skype per essere sicuri che le modifiche siano state effettivamente recepite.

Sul client invece la modifica non è necessaria.