Episodio 125 – Le reti aziendali

Episodio 125 – Le reti aziendali

 
 
00:00 / 19:58
 
1X
 

Arrivo in ufficio, mi siedo al PC, lo accendo, metto il mio utente e la password e inizio a lavorare. Dietro a tutta questa semplicità c’è un mondo fatto di gente che lavora giorno e notte per far funzionare tutto e intervenire in modo tempestivo quando qualcosa si rompe. E capita spesso, più spesso di quello che vi accorgiate.

Pillole di Bit è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay, Patreon e il vecchio IBAN (contattami per chiedermelo).
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram (un gruppo dove discutere degli argomenti del podcast)
Twitter (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio)

Rispondo sempre

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!
Realizzo altri due podcast, provate a dar loro una chance: GeekCookies e A Torino

Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 125 e io sono, come sempre, Francesco.

Molte persone, tutti i giorni, arrivano in ufficio, si siedono alla loro postazione, accendono il computer e iniziano a lavorare.
Fogli di calcolo, mail navigazione Internet, stampa di documenti e tutte queste cose che normalmente vengono fatte al PC, nascondono una complessità di fondo abbastanza elevata. Talmente elevata che ci sono delle persone che lavorano tutti i giorni, tutto il giorno, per far funzionare tutti questi sistemi. Spesso sotto traccia, in modo che nessuno si accorga che c’è qualcuno nella stanza dei bottoni.
I bottoni tecnologici, non quelli delle decisioni aziendali.
Bene io sono una di quelle persone.
Tecnicamente si definiscono sysadmin, cioè amministratori di sistema.
Una volta Andrea Beggi, uno dei primi blogger che ho iniziato a seguire, ha scritto che a lui piace essere “l’amministratore globale termonucleare” dei sistemi. E’ una frase che mi appartiene molto.
In qualità di sysadmin ho la password principale, quella che permette di creare e resettare tutte le altre, insomma, ho accesso a ogni singolo bit di ogni infrastruttura che gestisco.
Ma partiamo dalle cose più basilari.
Ogni rete dati in ogni azienda si basa su alcuni componenti standard in tutto il mondo.
ci sono dei dispositivi chiamati solitamente core switch ai quali sono attaccati decine di cavi di rete.
Questi cavi permettono la comunicazione tra i server e i client.
Ogni cavo è un dispositivo, ogni porta è un dispositivo.
La struttura solitamente è realizzata a stella. I core switch hanno cavi di rete, chiamati dorsali, che raggiungono gli switch periferici. Da questi partono i cavi di rete per ogni dispositivo in azienda.
PC, stampanti, telefoni, centraline di controllo, e così via.
Ogni dispositivo che deve essere in rete va collegato al suo cavo, che è collegato ad una porta di uno switch.
La buona regola e le normative dicono che ogni cavo deve partire dall’armadio di rete con una presa e finire vicino al PC con un’altra presa. Dritto e diretto, senza mai essere giuntato e non deve essere più lungo di 90 metri.
Dalla presa nell’armadio di rete parte un cavetto più corto, chiamato patch, che collega la presa, anzi, più precisamente borchia, allo switch. Dall’altra parte un’altra patch collega la borchia che sta vicino al dispositivo al dispositivo stesso.
Un dettaglio che molti ignorano è che le porte degli switch non sono tutte uguali tra di loro, ogni porta può essere configurata in modo che assolva ad una determinata funzione. Quindi cambiare il cavetto tra una borchia e un’altra potrebbe provocare il mancato funzionamento del proprio dispositivo.
In aziende molto strutturate le reti sono spezzate, se così si può dire, in modo tale che ogni genere di dispositivi abbia la sua dedicata e le sue regole applicate.
Facciamo un esempio facile.
In un supermercato ho diversi dispositivi collegati alla rete.
Le casse
I PC dei dipendenti
I terminali dei magazzinieri
I terminali della spesa automatica dei clienti
La rete wifi dedicata alla navigazione dei clienti
Ognuno di questi dispositivi deve accedere a determinati servizi, ma non deve vedere gli altri.
Ad esempio gli smartphone dei clienti non devono in alcun modo accedere ai server interni ai quali accedono le casse.
La rete viene così segmentata e chi la gestisce sa su quali porte passa quale tipo di traffico. E se chi la gestisce non documenta, andare a trovare eventuali problemi è un vero casino.
Con il tempo e i soldi giusti, le patch di rete vengono scelte di colori diversi a seconda del segmento di rete della porta alla quale sono collegati.
Altra cosa importante è la ridondanza.
Avere una rete sempre funzionante è ormai indispensabile per ogni azienda, anche le più piccole.
Sempre soldi permettendo, si cerca di mettere i dispositivi doppi, in modo che se uno si guasta quello che resta possa assolvere ai compiti del defunto, anche se a prestazioni limitate.
Gli switch sono tutti a coppie e le dorsali sono incrociate, in modo che si possono reggere anche due guasti in contemporanea.
La stessa cosa si fa sui dischi dove stanno i dati, con le configurazioni RAID o con i server, soprattutto con la virtualizzazione. 
I grandi server fisici che contengono tutti i server sono sempre due o, meglio, anche di più.

La rete serve a veicolare dati, per essere efficiente è necessario che questi dati sappiano dove andare.
E chi dà le indicazioni ai pacchetti che circolano continuamente sui cavi?
Ci sono i router, che letteralmente, ruotano il traffico tra reti diverse. Tutti a casa abbiamo il router del nostro gestore di connettività. Questo permette ai pacchetti destinati ad uscire dalla rete, di essere inviati nel posto giusto. 
Nelle grandi infrastrutture i router sono grossi quanto gli switch e hanno molte più porte, per gestire tutte le reti, interne ed esterne e sapere come veicolare i singoli pacchetti.
La funzione principale di un router è proprio quella di inviare all’esterno della rete i pacchetti che non hanno richiesto un indirizzo della rete locale. Ad esempio chiedono di accedere a internet o a un segmento differente.
Nel caso del grande supermercato di prima, un router di centro stella potrebbe gestire il traffico che arriva dalla rete dei server di backup in modo che possa raggiungere le reti delle casse e anche quelle dei pc dei dipendenti.
Qui si aggiunge una nuova figura: il firewall. E’ il sistema, sovente integrato nel router, che decide i diritti di passaggio dei pacchetti tra una rete e l’altra e anche su quale protocollo.
A casa vostra il firewall è integrato nel router del gestore di connettività. La regola standard che applica è che tutto il traffico dall’interno verso l’esterno passa e tutto quello che origina dall’esterno e cerca di entrare viene bloccato.
In azienda un firewall ha decine di regole, che permettono ai pacchetti di accedere solo a un determinato servizio o a un determinato server.

Ok, basta reti. Passiamo ai server.

Ogni rete di ogni azienda ha uno o più server che assolvono a varie funzioni, detti servizi. Avete scoperto perché si chiamano server. Erogano servizi.
Il server che c’è sempre, o almeno a partire da 4 o 5 PC, è quello che gestisce l’autenticazione.
Da qui in poi parlerò di ambiente Microsoft, quello che c’è nel 90% delle aziende.
Il server che gestisce l’autenticazione si chiama controller di dominio e, solitamente, è anche quello che assegna gli indirizzi ai PC quando si accendono e fa sì che all’interno della rete si possano risolvere i nomi dei singoli dispositivi, quello che è chiamato servizio DNS, domain name system. Di questo ne abbiamo parlato nella puntata 63. Il DNS serve per risolvere i nomi dei siti in giro per il mondo, ma anche per risolvere i nomi dei dispositivi interni alla rete.
Nel server che controlla l’autenticazione, chiamato Domain Controller, sono registrati tutti gli utenti, le password e i gruppi di autorizzazione di appartenenza, oltre a una serie di regole che si applicano a utenti e computer di cui non parleremo in questa sede per evitare di farla diventare un corso di certificazione.

Il dipendente quindi entra in ufficio, accende il PC e, in sequenza, succede più o meno questo
il pc si accende
attiva la scheda di rete e chiede “chi mi dà un indirizzo di rete?”
Il server DHCP gli risponde “io! ecco il tuo indirizzo”
Il server DHCP dice al server DNS “guarda che il PC che si chiama PIPPO adesso ha indirizzo 192.168.1.12”
Il PC termina il processo di avvio e chiede utente e password
il dipendente inserisce il suo utente e la password
il PC chiede al domain controller “senti, esiste un utente mario.rossi con password paperino? L’utente è attivo?”
Il domain controller guarda nel suo DB e se la coppia di credenziali è valida e attiva risponde al PC “sì, esiste, la password è valida e non è bloccato, fallo accedere”
L’utente accede al PC e può lavorare

Il controller di dominio può anche rispondere che c’è qualcosa che non va e quindi l’accesso viene inibito.
A seconda delle regole impostate, dopo una serie di tentativi di accesso falliti l’utente viene bloccato.
Se la password è scaduta, il controller di dominio impone al PC di imporre all’utente il cambio della password.
Una piccola nota sulle password: queste sono memorizzate nel server in maniera crittografata. Quindi l’amministratore non può vederle, ma solo farne reset se l’utente se la dimentica.
Se il PC è un portatile, l’accesso può avvenire anche fuori dalla rete aziendale, viene memorizzata una copia temporanea della password all’interno del PC in modo da non bloccare l’operatività al di fuori dell’azienda.

L’utente adesso è collegato alla rete e ha una serie di autorizzazioni che gli permettono di accedere o meno a determinate risorse.
Un altro tipo di server comunemente usato in azienda è il fileserver. Nel fileserver si depositano i dati aziendali in apposite cartelle condivise.
L’accesso a queste cartelle è regolato dalle autorizzazioni, quindi ogni utente potrebbe poter entrare e scrivere, solo leggere o non entrare affatto.
Genericamente quello che viene fatto dall’utente è sottoposto a LOG, quindi cosa apre, quando, quando lo salva e quando lo cancella. 
Queste impostazioni potrebbero cambiare da un’azienda all’altra.
Genericamente quello che gli utenti fanno sui PC aziendali e sui server è controllato in maniera molto stretta, spesso ai limiti del paranoico. In altri casi non c’è alcun controllo,dipende tutto dalle decisioni aziendali. Tutti vi faranno firmare un documento dove vi informano che è tutto controllatissimo, ovviamente.

Quando vi dicevo che l’amministratore ha un grande potere non esageravo. L’amministratore può normalmente accedere a tutti i file sui server e anche a tutti i file sui singoli PC.
Non lo fa perché non ha il tempo né la voglia di mettersi a scartabellare su tutti i PC aziendali e anche perché firma documenti legali che limitano le sue attività a quelle amministrative della rete.
Insomma, potrebbe accedere alla cartella con nome “privata” sul desktop di un PC per vedere i documenti che un dipendente ha scritto per la scuola o per altri suoi motivi personali. Non lo fa perché se lo beccano, e lui ha molti più log degli utenti normali, e non ha la giusta motivazione, potrebbe perdere il posto o finire davanti al giudice.

Fidatevi, tenere i propri documenti personali sui dispositivi aziendali non è mai una buona idea. Spesso, in caso di controversia con il datore di lavoro, i file personali trovati nei dispositivi aziendali potrebbero essere usati contro il lavoratore stesso.

In generale, tutto quello che viene fatto in una rete aziendale da un determinato PC viene fatto a nome dell’utente che in quel momento è connesso al PC, quindi se vi hanno dato delle credenziali e voi le passate a un collega, tutto quello che lui fa può essere imputato a voi, in qualunque sede. Lo chiede la legge e lo dice il buonsenso: le proprie credenziali devono essere segrete e non devono essere date a nessuno. Colleghi, figli e assistenza dell’ufficio IT. 
Quindi, davvero, neanche a quello del computer che viene a darvi assistenza.

Le stampanti. Amiamo tutti stampare e avere roba di carta. Per fare questo servono le stampanti e queste vanno gestite, perché se no ognuno potrebbe stampare quel che vuole con ingenti costi per l’azienda.
Sì stampare costa caro, molto caro. E se si stampa a colori costa circa 10 volte di più.
Le stampanti sono normalmente collegate in rete, la configurazione è fatta su un server specifico, detto server di stampa, i PC puntano al server per poter stampare.
Da qualche tempo a questa parte ci sono dei sistemi che rendono ancora più controllato il servizio di stampa.
L’utente stampa, il server trattiene le stampe e quando si va davanti alla stampante si passa il badge si può procedere con la stampa fisica dei file.
inutile dire che il sistema tiene un corposo log di tutto quello che viene stampato.

Ultima cosa di oggi è la navigazione Internet dall’azienda.
Questa cosa è sempre fonte di discussioni perché l’accesso ad Internet dai PC dei dipendenti, spesso può essere filtrato e questo genera malumori del tipo “ma neanche un controllo sui siti di news mi fanno fare!”
Filtrare l’accesso a Internet una volta poteva essere un modo per bloccare le fonti di distrazione in ufficio al PC, adesso, che tutti hanno lo smartphone con mille giga al mese, questo blocco è diventato inutile. Se il dipendente vuole perdere tempo su un qualunque canale può farlo dal telefono che a questo punto non è bloccabile.
Quindi a che serve mettere un sistema che filtra la navigazione Internet?
Il motivo principale è per la sicurezza. Filtrare l’accesso a determinati siti abbatte drammaticamente il rischio di trovare il PC infetto da qualche schifezza che l’utente ha scaricato con un click errato su un sito. Inoltre tutto il traffico che passa, oltre ad essere loggato e usato in sede giudiziaria se necessario, viene analizzato per vedere che non passino pacchetti contenenti dati malevoli o pericolosi.
Queste macchine, che analizzano ogni singolo pacchetto che passa, sono particolarmente potenti, in questo modo non impattano sulla velocità di navigazione.
Come già detto nelle vecchie puntate, il filtro di navigazione è in grado di prendere il traffico crittografato in https, decrittarlo, analizzarlo e ricodificarlo per mandarlo al PC del destinatario, al quale è stato inviato un certificato sempre attendibile per il traffico che arriva dal sistema aziendale.
Tutto questo non vuol dire che l’amministratore di sistema vede tutto il traffico che fate, né ha accesso al log. Ma, fossi in voi, non farei attività personali di un certo impatto dal PC aziendale, come ad esempio attività sul sito della vostra banca.

Il riassunto è comunque sempre solo uno. State attenti a quel che fate in azienda, soprattutto se va al di fuori del vostro scopo lavorativo. Nello stesso tempo sappiate che chi lavora nell’ambito dell’infrastruttura informatica, quello che viene comunemente detto “l’omino del computer”, fa in modo che voi possiate lavorare senza troppi problemi e senza interruzioni.


I contatti
Tutti i contatti, i link e le informazioni su questo podcast li trovate sul sito www.pilloledib.it 
Potete contattarmi in un sacco di modi diversi:
l’account twitter @pilloledibit
la mail pilloledibit@gmail.com
il gruppo telegram www.pilloledib.it/telegram    
il canale discord www.pilloledib.it/discord 
Il form sul sito

Rispondo a tutti e sono attivo nei due gruppi di discussione

Se volete partecipare attivamente al podcast, trovate sul sito i link per le donazioni, ci sono molte piattaforme e modalità, scegliete quella che vi piace di più. Se donate almeno 5€ compilate il form con i vostri dati e vi spedisco gli adesivi a casa.

Ringrazio tantissimo chi sta partecipando, chi ha partecipato e chi sta pensando di farlo.

Le live domenicali per il momento sono sospese per difficoltà logistiche, vi avviso se e quando riprenderanno, sicuramente non prima del prossimo anno solare.

Registro altri due podcast, Geekcookies e A Torino, se vi va potete fare un salto anche lì, trovate tutte le informazioni partendo dal mio sito personale www.iltucci.com

Il tip
Volete usare il computer aziendale anche per cose vostre, senza il rischio di fare danni e mantenendo i vostri dati in un posto sicuro al riparo da sguardi indiscreti? Questo, con un po’ di impegno, è il tip che fa per voi.
Comprate una chiavetta USB sufficientemente capiente
Andate sul sito di VeraCrypt, i link come al solito sono nelle note dell’episodio, e scaricate il programma in versione portable.
Seguite la breve guida e create un disco crittografato sulla chiavetta USB, avendo cura di usare una password lunga, di non dimenticarla e di non scriverla nella chiavetta in un file password.txt
Sempre con il programma VeraCrypt aprite il disco crittografato, se avete Windows vi compare una nuova lettera tra le unità disco.
Adesso andate sul to www.portableapps.com/it e scaricate il programma.
Eseguitelo e installatelo dentro il disco crittografato.
Mi raccomando nel disco crittografato, non nella chiavetta USB. Nella chiavetta USB ci deve solo essere la cartella di VeraCrypt e il file che contiene il disco crittografato.
Adesso avete una chiavetta protetta da crittografia, con un sacco di software al suo interno che possono essere usati senza sporcare il PC aziendale.
Alcune note:
prima di renderla la vostra chiavetta personale con molti dati dentro, prendete un po’ di dimestichezza nell’usarla
non dimenticate la password, senza di quella avete perso tutti i dati all’interno del disco crittografato
Fate sempre un backup del file crittografato perché delle chiavette USB fidarsi è bene, ma non fidarsi è meglio.

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata.

Ciao!