Sull’accesso da internet ai file aziendali.

Il tema è molto importante e delicato.

E’ facile dire “cloud”, ma bisogna assumersi il rischio di sguardi indiscreti.

E’ possibile riprendere il vecchio FTP, protocollo per trasferimento file.

Le persone che hanno maturato la sopportazione a piccole vessazioni (quali: prima scaricare il file, poi modificarlo, poi ricaricarlo) si sentono a loro agio.

Purtroppo FTP è robusto, storico, ma insicuro, infatti non cifra i contenuti.

Ma esiste SFTP ovvero sicuro, cioè cifrato.

Tale protocollo, se realizzato in ambito Linux con OpenSSH, è veramente eccellente, al di sopra dei cedimenti.

Segnaliamo l’estensione di Nautilus, ovvero l’esplora risorse di Gnome, che permette di usare in modo usuale e grafico i file in cartelle remote. Veramente da provare.

Un server SFTP si attiva semplicemente utilizzando un computer, installando una distribuzione Linux, per esempio l’eccellente Ubuntu Server, e, in quest’ultimo caso, selezionando l’opzione di installare il server SSH.

Poi il computer va connesso ad internet ed il router utilizzato, supponendo che gestisca una rete interna di IP privati ( i soliti, per esempio,  192.168.1.x ), deve contenere una regola, che in modo sbrigativo, definiamo NAT, ma meglio DNAT, che permetta di accedere dall’esterno al servizio SFTP.

Ovvero si può, semplificando, immaginare il router dotato di due interfacce di rete, una connessa ad internet con un IP statico pubblico ed una alla rete privata interna. Quindi dall’esterno la prima interfaccia del router è raggiungibile. Se il router trasferisce una porta della sua interfaccia connessa ad internet ad una di un computer interno, si realizza la situazione di rendere accessibile dall’esterno il servizo legato alla data porta del computer interno.

Di solito aprendo l’IP del router mediante un browser web sarà possibile trovare la pagina dove inserire il DNAT in questione. Si tenga conto che il servizio SSH usa la porta 22, che non è conveniente esporre direttamente.

Chi realizza una tale configurazione, soprattutto se impone ad SSHD delle stringenti regolamentazioni, realizza sicuramente il migliore sistema di accesso dei file aziendali dall’esterno, migliore in termini di prestazioni, sicurezza ed efficienza,

Ben più complicato è l’utilizzo di VPN soprattutto per tutte le implicazioni sulla rete remota riportata in locale.

Infatti la configurazione di un sistema VPN è difficile, quindi si viene spinti ad utilizzare delle micro soluzioni pronte all’uso, dette in genere appliance. Il problema è ampio: costano molto e hanno CPU scarse. Anche se in termini di buon allestimento il samba non dovrebbe coabitare con il sistema che ospita SFTP, la potenza richiesta per avere una risposta ottimale dai servizi in questione è, in genere, molto maggiore delle CPU offerte dalle comuni appliance.

Non da ultimo, in termini di efficienza sistemistica, il realizzare l’accesso dall’esterno di file è migliore se coinvolge una filiera corta e sicura. Perciò la soluzione VPN, estendendo la rete interna attraverso internet a macchine non sempre sicure o stabili, per vari motivi è molto  meno efficiente e molto più rischiosa di un tunnel SFTP attivato all’occorrenza.

I detrattori mostrano l’interfaccia utente che realizza la vecchia e non gradevole situazione FTP. Ma, ripeto, non è più così: si veda per esempio Nautilus …

Concludiamo mettendo in guardia sull’utilizzo disinvolto di fusessh.