Un tunnel SSH per accedere alla posta aziendale
by admin on Apr.20, 2009, under Hacking, Linux, Networking, Sicurezza, Società, Tools
In alcune condizioni, mi riferisco ad esempio alla rete locale di uno studio professionale o di una piccola azienda, non vi sarebbe normalmente bisogno di adottare meccanismi forti di autenticazione o crittazione a carico del sistema di posta elettronica sui server interni.
Il discorso cambia totalmente quando ai medesimi servizi si voglia accedere da remoto, situazione che pone pesanti problemi di sicurezza riguardanti accesso, possibili abusi, privacy, e vulnerabilità del software che implementa i servizi.
Una soluzione molto efficace e rapida da realizzare consiste nell’utilizzare un tunnel SSH e continuare a non permettere alcun accesso ai servizi locali tipo POP, IMAP o SMTP da remoto.
In tal modo non diventa più necessario aggiornare urgentemente il software dei servizi ogni volta che venga resa nota qualche grave nuova vulnerabilità.
Tutto quello che serve avere è l’accesso ad un server SSH aziendale, meglio ancora se disciplinato da chiavi e non da password.
Dal client è possibile ad esempio impartire qualcosa come:
# ssh -L 2143:localhost:143 server.my_office.net
per richiedere al server di stabilire un tunnel criptato il cui traffico viene rediretto verso la porta 143 dell’indirizzo di loopback dal punto di vista del server SSH (ovviamente in questo esempio il server SSH è anche il server IMAP).
Il riscontro è semplice da ottenere se (in un’altra finestra) si da, per esempio:
# nc -v localhost 2143
localhost [127.0.0.1] 2143 (?) open
* OK Dovecot ready.
[...]
A questo punto è possibile impostare un account su Evolution (o sul client preferito) che, in modo analogo, utilizzi per la ricezione della posta la porta 2143 dell’indirizzo di loopback, per poter accedere alla posta aziendale in modo assolutamente sicuro.
