Un post tecnico a metà tra il promemoria e la divulgazione di un workaround, dedicato a chi utilizza Dropbox e lavora nelle reti che usano proxy con autenticazione NTLM. La risoluzione di un problema dovuto ad una momentanea mancanza del noto applicativo di sincronizzazione / backup dei propri dati personali tra le postazioni possedute e il server centrale che conserva le copie per il versioning.

In sintesi, di cosa si tratta:

Windows Challenge/Response (NTLM) is the authentication protocol used on networks that include systems running the Windows operating system and on stand-alone systems.

The Microsoft Kerberos security package adds greater security than NTLM to systems on a network. Although Microsoft Kerberos is the protocol of choice, NTLM is still supported. NTLM must also be used for logon authentication on stand-alone systems. For more information about Kerberos, see Microsoft Kerberos.

NTLM credentials are based on data obtained during the interactive logon process and consist of a domain name, a user name, and a one-way hash of the user’s password. NTLM uses an encrypted challenge/response protocol to authenticate a user without sending the user’s password over the wire. Instead, the system requesting authentication must perform a calculation that proves it has access to the secured NTLM credentials.

Interactive NTLM authentication over a network typically involves two systems: a client system, where the user is requesting authentication, and a domain controller, where information related to the user’s password is kept. Noninteractive authentication, which may be required to permit an already logged-on user to access a resource such as a server application, typically involves three systems: a client, a server, and a domain controller that does the authentication calculations on behalf of the server.

msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx

Per capirci: l’autenticazione NTLM è alla base degli appliance Sophos (serie WS), evidentemente non troppo permissiva per coloro che vogliono utilizzare Dropbox e possono accedere alla rete internet solo attraverso le proprie credenziali di dominio.

Oltre ad attendere che il team di sviluppo faccia lo sporco lavoro di rendere compatibile il protocollo con il passaggio delle credenziali impostate manualmente nelle preferenze (tanto per azzardare un’ipotesi) esiste un workaround dichiarato anche nelle FAQ pubblicate nel sito ufficiale del prodotto:

dropbox.com/help/22

La parola magica è “Cntlm” e permette di far combaciare le richieste dell’applicativo e dell’autenticazione NTLM mettendosi in mezzo tra i due (come a creare un nuovo proxy da far sfruttare a Dropbox). Configurarlo e utilizzarlo è semplicissimo, scaricarlo è completamente gratuito, il progetto risiede su SourceForge:

cntlm.sourceforge.net

Potete scaricare l’applicativo per Windows, Linux o MacOS. Io baserò il mio documento sul primo sistema (quello che uso sul portatile aziendale). Basterà scaricare CNTLM cliccando qui (qui per tutti gli altri sistemi), scompattarlo in una qualsiasi cartella del vostro HD e avviare il file “setup.bat“. Questo copierà alcuni file nel sistema e creerà il servizio “Cntlm Authentication Proxy“, che sarà visibile semplicemente aprendo la finestra dei servizi della macchina (Start / Esegui / services.msc), come in figura:

Cntlm Authentication Proxy - Services.msc

Prima di poter avviare il servizio sarà però necessario configurare le proprie credenziali in un file INI contenuto nella cartella del programma. Lo trovate in C:\Programmi\Cntlm, file cntlm.ini. Basterà inserire lo username, la password ed il dominio, specificare l’indirizzo IP (o il nome) del proxy aziendale, scegliere una porta del sistema locale dove far puntare poi Dropbox e salvare. Uscire quindi dal file per concludere l’operazione:

CNTLM - Configurazione parametri utenza sul proxy

Fatto ciò si potrà avviare CNTLM per poter lavorare con Dropbox. Basterà aprire un prompt di MS-DOS e lanciare la stringa “net start cntlm“, come in figura:

CNTLM - Avviare il servizio - net start cntlm

Fatto questo basterà far passare la comunicazione Dropbox (client / server) dal PC locale che sarà utilizzato come proxy. Andare nelle impostazioni del client (tasto destro sull’icona nella tray, Preferences) ed inserire manualmente le informazioni, come in figura (occhio alla porta se l’avete modificata nel file di configurazione di CNTLM):

Dropbox - Configurazione tramite CNTLM

Così facendo spunterà fuori l’icona attività di Dropbox e i vostri documenti ricominceranno a sincronizzarsi con il server e con le altre postazioni che sfruttano lo stesso account! Va da se che per poter bloccare il servizio basterà lanciare la stringa “net stop cntlm“, sempre utilizzando il prompt dei comandi:

CNTLM - Fermare il servizio - net stop cntlm

Mi pare non manchi proprio nulla a questo punto. Per dubbi e perplessità -come sempre- c’è l’area commenti.

Buon lavoro! :-)

Ufficio, il vostro PC portatile costantemente sballottato tra svariate reti differenti (clienti, casa, amici) smette di aggiornarsi tramite Microsoft Update in modo automatico (proprio come avete impostato da Pannello di Controllo), tutto però funziona se si punta Internet Explorer verso il sito web degli aggiornamenti (update.microsoft.com). Volete una spiegazione razionale di tutto questo?

Con buona probabilità c’è un server proxy di mezzo che -se non correttamente riconosciuto dal sistema- può creare scompigli e bloccare gli aggiornamenti automatici di Windows. Lo stesso vale in forma contraria ovviamente: se avete precedentemente avuto la necessità di lavorare dietro proxy e tornare per poi tornare a casa vostra dove sfruttate una connessione diretta alla rete, il risultato potrebbe essere il medesimo.

Generalmente l’errore viene riportato nel Visualizzatore Eventi di sistema, il messaggio potrebbe essere simile al seguente:

Tipo evento:    Errore
Origine evento:    Windows Update Agent
Categoria evento:    Sincronizzazione software
ID evento:    16
Data:        10/03/2010
Ora:        10.14.39
Utente:        N/D
Computer:    URANUS
Descrizione:
Impossibile stabilire la connessione. Impossibile connettersi al servizio Aggiornamenti automatici e quindi scaricare e installare gli aggiornamenti in base alla pianificazione impostata. Verranno effettuati altri tentativi di stabilire una connessione.

Risolvere questo problema richiede due semplici passaggi.

Prima di procedere bisogna capire se allo stato attuale il sistema operativo pensa (o meno) e cerca di sfruttare un server proxy. Si può effettuare un primo controllo da Pannello di Controllo, Opzioni Internet, scheda Connessioni, pulsante Impostazioni LAN, come in figura:

Connessione ad internet tramite server proxy

Se ciò che compare nel box è valido, occorrerà fare un ulteriore passaggio per essere sicuri che il sistema si stia basando su ciò che gli abbiamo indicato in quel box. Da Start, Esegui, digitare cmd e premere invio, quindi lanciare la stringa proxycfg, come in figura:

CMD-proxycfg: nessun proxy riconosciuto dal sistema

# far riconoscere il proxy

Ciò che vedete era la condizione del mio sistema fino a qualche minuto fa. Nonostante l’indicazione (corretta) di un server proxy nell’apposito box in Opzioni Internet, Windows non ha salvato quei dati all’interno del registro, motivo per il quale Windows Update non funzionava correttamente. Talvolta (molto più raramente) capita che anche altri software (Skype, Last.fm, per citarne un paio) si basino sullo stesso dato per potersi connettere all’esterno.

A questo punto basterà indicare un semplice parametro dopo il comando proxycfg per far ereditare le giuste informazioni al registro: proxycfg -u (come in figura):

CMD-proxycfg: impostare il proxy corretto anche nel registro di sistema

Dopo qualche minuto noterete lo scudo del Windows Update comparire nella tray di sistema, basterà cliccarci sopra per poter procedere con l’installazione degli aggiornamenti :-)

# eliminare il proxy

Come detto due paragrafi fa, il tutto potrebbe capitare anche in maniera inversa. Tornati a casa probabilmente sfrutterete una connessione diretta ad internet, motivo per il quale non c’è bisogno di mantenere le informazioni del proxy all’interno del registro di sistema. Per poterle rimuovere basterà semplicemente lanciare dalla finestra di dos il comando proxycfg -d (come in figura):

CMD-proxycfg: rimuovere le informazioni relative al proxy dal registro di sistema

A questo punto il risultato dovrebbe essere sempre lo stesso: la capacità di tornare a fare aggiornamenti automatici senza muovere un dito :-)

Nel caso in cui riscontrare problemi potete lasciare un commento.

Buon lavoro!

Lavoro quotidianamente dietro un server Proxy. La mia azienda utilizza Squid su una macchina Linux che tutto sommato svolge egregiamente il suo lavoro.

Non ho mai avuto alcun problema navigando con Firefox (o qualsiasi altro browser) ma -poco tempo fa- ho dato una occhiata a delle lamentele sul forum di Mozilla Italia riguardo una richiesta di credenziali parecchio insistente per coloro che utilizzano il software Mozilla dietro server proxy:

forum.mozillaitalia.org/index.php?topic=43294

Apparentemente un bug (come confermato da Mak), fastidioso aggiungerei, soprattutto calcolando che l’ho potuto riscontrare anche io presso gli uffici di un mio cliente che non utilizza la stessa accoppiata per concedere la navigazione ai suoi utenti.

C’è però un metodo semplice per bloccarlo fino alla sua risoluzione, basta andare a ritoccare due valori nella configurazione di Firefox. Come al solito, includo il disclaimer, male non fa:

ATTENZIONE: Prima di eseguire qualsiasi modifica ai vostri file e/o dispositivi siete pregati di effettuare un backup di questi. Solo così sarete capaci di tornare indietro riparando ad eventuali errori di distrazione. L’articolo e l’autore non possono essere ritenuti responsabili di alcun danno subito dalla vostra strumentazione. Buon lavoro.

• Nella barra dell’URL richiamare about:config
• Nel campo filtro inserire NTLM e attendere che venga effettuata la ricerca
• Impostare su false la variabile network.automatic-ntlm-auth.allow-proxies
• Nel campo filtro inserire ora NEGOTIATE per cominciare una nuova ricerca
• Impostare su false la variabile network.negotiate-auth.allow-proxies
• Riavviare il browser, specificare giusto stavolta le credenziali che vengono richieste a video

Così facendo non dovrebbe più comparire alcuna richiesta di credenziali per tutta la durata della sessione. Chiaro che alla successiva riapertura del browser comparirà la richiesta, anch’essa dovrebbe essere unica per tutta la navigazione :)

Specifico che questo bug dovrebbe essere risolto con l’arrivo di Firefox 3.6.1. Ricordate quindi di andare a resettare il valore delle chiavi modificate (riportando il tutto a true) quando aggiornerete il vostro browser.

Buon lavoro.

Stamattina vi parlo ancora una volta di sicurezza cambiando però piattaforma: passo dal solito Endpoint all’appliance hardware (e software chiaramente) dedicato al filtraggio dei contenuti web, il WS (Web Security and Control). Innanzi tutto mi sembra doverosa una introduzione basilare sul prodotto:

Web Security and Control blocca al gateway spyware, virus, malware, proxy con anonimato e altre applicazioni indesiderate, consentendo un controllo completo dell’accesso al Web per una navigazione sicura e produttiva.

Con la WS1000 potete controllare in dettaglio il traffico Web e il relativo impatto sulla vostra organizzazione.

sophos.it/products/enterprise/web/security-and-control

Detto questo, per chi già la utilizza, propongo un promemoria che servirà quotidianamente nel caso in cui ci siano una moltitudine di utenti abbastanza limitati sulla rete interna (e generalmente è così, altrimenti non avrebbe troppo senso piazzare un proxy ;)).

Scaricare i file “con delega“

In una tipica situazione aziendale si avrà sempre l’utente limitato ed un amministratore di rete con accesso senza restrizioni particolari. Talvolta capita di dover scaricare un file vietato all’utente ma lecito. La mia casistica? Il sito web di PDFCreator propone il download del proprio prodotto che viene però bloccato dal Sophos per violazione delle policy:

A questo punto si potrà tranquillamente fare accesso in VNC o MSTSC (Connessione Desktop Remoto, ndr) ad una nostra macchina dove andremo a scaricare lo stesso identico file con la differenza che, passando dal WS1000, verrà caricato nei dischi locali dell’appliance con un link diretto per il download “dall’interno“, del tipo:

http://ws1000.vostraazienda.com/cgi-bin/patience.cgi?id=78ed32dd-e214-4d58-9eea-9c8dd7318c52

mostrando a video una finestra identica alla seguente:

Copiando ed incollando quel link sulla macchina dove precedentemente si era verificato il blocco sarà ora possibile prelevare il pacchetto, una sorta di “mirror dei file in LAN“:

Il gioco è fatto. Il programma si scaricherà sulla macchina dell’utente e potrà essere installato. Il tutto senza uscire mai dalla rete LAN, un grosso vantaggio se si pensa alla protezione delle proprie macchine. Sorge spontanea a questo punto la domanda, per quanto tempo vengono conservati quei file sui dischi dell’appliance?

Tempo di vita dei file scaricati

La domanda che avevo rivolto al supporto di Milano è semplice (ma non aveva avuto risposta dall’esperienza di utilizzo quotidiana del prodotto). Data una situazione “utente limitato” e “amministratore illimitato” come sopra descritto, per quanto tempo posso “spacciare link diretti” ai pacchetti scaricati dal WS1000?

Il ragionamento alla base dell’applicativo di gestione è logico, semplice:  il primo ad entrare è l’ultimo ad uscire. Ergo: la cache si pulisce facendo man mano spazio eliminando l’ultimo file “in canna“ (quello scaricato prima di tutti gli altri presenti). Il link sarà quindi valido per molto tempo se l’azienda non scarica molto materiale dal web, per poco se ogni giorno si scaricano mega e mega di dati. Il disco presente nell’appliance ha una capacità di 160 GB (x2), bisogna regolarsi su quest’ultima.

Attenzione: il WS1000 mette a disposizione il file per uno già in cache, non appena un utente invia la richiesta di download ad un sito, purchè il sito al quale punta la richiesta sia rimasto identico alla prima volta che ha servito la richiesta.

Questo è quanto signori, buon lavoro :)