ciao,
avrei la necessità di settare una VPN ma ho i seguenti dubbi:
- gli apparati (router/firewall) sono gestiti da una società esterna e se chiedo a questa di settare la VPN poi è a conoscenza della password giusto?
- una volta creata la vpn, al PC che si collega che indirizzo gli viene assegnato e da chi? (DHCP del firewall o DHCP della LAN)?
- se sulla LAN è presente uno scanner di rete, riesce ancora a vedere chi si connette via VPN?

Per il momento i miei dubbi sono questi, grazie 1000

lascio perdere nel senso che, chiudo tutte le porte e mi butto su TeamViewer dato che RDP non è sicuro?

Grazie

ciao,
avrei la necessità di settare una VPN ma ho i seguenti dubbi:
- gli apparati (router/firewall) sono gestiti da una società esterna e se chiedo a questa di settare la VPN poi è a conoscenza della password giusto?

se ti fidi a dargli in mano la gestione della rete, che problema hai se "per forza di cose" arrivano ad avere anche le credenziali per la vpn?

- una volta creata la vpn, al PC che si collega che indirizzo gli viene assegnato e da chi? (DHCP del firewall o DHCP della LAN)?

se te lo configura la società esterna digli come lo vuoi e loro te lo devono fare.

- se sulla LAN è presente uno scanner di rete, riesce ancora a vedere chi si connette via VPN?

dipende da come è configurato il tutto.
Tipicamente se gli accessi vpn sono routati e c'è un minimo di criterio nella configurazione del firewall sono altrettanto sicuri dell'accesso lan.

mi butto su TeamViewer dato che RDP non è sicuro

prima ti fai problemi se la società esterna, di cui presumibilmente conosci di persona i tecnici, hanno l'accesso alle chiavi vpn, e poi vuoi esternalizzare tutto su teamviewer - che ha già avuto i suoi buchi di sicurezza?

rdp se usato da solo non è abbastanza sicuro.
Ma se lo metti dietro ad una vpn o lo incapsuli su https a mutua autenticazione (es: rds gateway, accessnow ed equivalenti) allora è sicura quanto basta.

sinceramente non mi fido per nulla e non conosco quei tecnici ecco perché chiedo.
Se loro implementano la VPN credo che poi possono entrare sulla mia rete giusto?

sinceramente non mi fido per nulla e non conosco quei tecnici ecco perché chiedo.
Se loro implementano la VPN credo che poi possono entrare sulla mia rete giusto?

Come ogni amministratore di rete, possono fare quello che vogliono.
Se non ti fidi di loro e li paghi tu cambiali con altre persone di fiducia.
Se non li paghi tu chiedi a chi li paga come minimo i criteri di scelta, policy di sicurezza/privacy, ecc ecc

Un amministratore di rete deve poter fare di tutto. Altrimenti in caso di problemi non ti può aiutare - e quindi risulterebbe potenzialmente inutile.
Più ha facilità ad avere accesso a qualsiasi cosa, più è autonomo a risolvere problemi. Più deve agire "in ristrettezza" e più rischia di pregiudicare l'efficacia.

Su per giù vale come per il medico di fiducia.

Come ogni amministratore di rete, possono fare quello che vogliono.
Se non ti fidi di loro e li paghi tu cambiali con altre persone di fiducia.
Se non li paghi tu chiedi a chi li paga come minimo i criteri di scelta, policy di sicurezza/privacy, ecc ecc

Un amministratore di rete deve poter fare di tutto. Altrimenti in caso di problemi non ti può aiutare - e quindi risulterebbe potenzialmente inutile.
Più ha facilità ad avere accesso a qualsiasi cosa, più è autonomo a risolvere problemi. Più deve agire "in ristrettezza" e più rischia di pregiudicare l'efficacia.

Su per giù vale come per il medico di fiducia.

no aspetta, scusa, forse non si è capito: loro non sono aministratori di nulla, l'amministratore nella mia azienda sono io, gestisco tutto io e nessun altro (rete interna, server, proxy etc..). L'unica cosa che gestisce questa società è il router ed firewall e tra le altre cose, di quest'ultimo ho anch'io l'accesso.
Non avendo però conoscenze di settaggi di apparati di questo tipo dovrei lasciare fare a loro. Ecco perchè ho tirato in ballo TeamViewer, per evitare di fornire ad esterni un punto di ingresso.

Per ora mi sono arrangiato settando RDP in modo che se arrivi al PC server e sbagli l'autenticazione dopo 1 solo tentativo aspetti diversi minuti ogni volta, un piccolo deterrente ma non credo sia sufficiente, non mi intendo di sicurezza delle reti.

Tra le altre cose, con RDP mi collego solo io a scopo di controllo; fortunatamente nessuno mi ha mai chiesto VPN, questa l'ho pensata io per via della sicurezza in più che fornise (per sentito dire, non so se l'hanno mai bucata). Magari, senza scomodare VPN ci sono altri sistemi che io non conosco, sistemi dove non è necessario far settare da altri alcunchè.

non mi è chiaro cosa cambia tra una connessione RDP ed una VPN visto che una qualche porta sul firewall rimane aperta

Grazie

no aspetta, scusa, forse non si è capito: loro non sono aministratori di nulla, l'amministratore nella mia azienda sono io, gestisco tutto io e nessun altro (rete interna, server, proxy etc..). L'unica cosa che gestisce questa società è il router ed firewall e tra le altre cose, di quest'ultimo ho anch'io l'accesso.
Non avendo però conoscenze di settaggi di apparati di questo tipo dovrei lasciare fare a loro. Ecco perchè ho tirato in ballo TeamViewer, per evitare di fornire ad esterni un punto di ingresso.

Per ora mi sono arrangiato settando RDP in modo che se arrivi al PC server e sbagli l'autenticazione dopo 1 solo tentativo aspetti diversi minuti ogni volta, un piccolo deterrente ma non credo sia sufficiente, non mi intendo di sicurezza delle reti.

Tra le altre cose, con RDP mi collego solo io a scopo di controllo; fortunatamente nessuno mi ha mai chiesto VPN, questa l'ho pensata io per via della sicurezza in più che fornise (per sentito dire, non so se l'hanno mai bucata). Magari, senza scomodare VPN ci sono altri sistemi che io non conosco, sistemi dove non è necessario far settare da altri alcunchè.


Ah, scusami.
Allora avevo capito male.
Se è come dici allora basta che dai un controllo sul firewall se ci sono vpn impostate. Ma a naso direi di no.

Per la soluzione che hai adottato va "sostanzialmente" bene.
Ovvero il modello deterrente è abbastana buono. Però immagino che tu vada a loggare gli accessi sbagliati (ovvero guardi l'evento login rdp fallito) e poi fai un ban temporaneo dell'ip da dove arriva la connessione.
Ok. La cosa non è male. Ma non ti protegge da enumerazzioni più raffinate, dove non ci si autentica.



non mi è chiaro cosa cambia tra una connessione RDP ed una VPN visto che una qualche porta sul firewall rimane aperta

rdp come protocollo è molto più debole.

Ah, scusami.
Allora avevo capito male.
Se è come dici allora basta che dai un controllo sul firewall se ci sono vpn impostate. Ma a naso direi di no.

Per la soluzione che hai adottato va "sostanzialmente" bene.
Ovvero il modello deterrente è abbastana buono. Però immagino che tu vada a loggare gli accessi sbagliati (ovvero guardi l'evento login rdp fallito) e poi fai un ban temporaneo dell'ip da dove arriva la connessione.
Ok. La cosa non è male. Ma non ti protegge da enumerazzioni più raffinate, dove non ci si autentica.




rdp come protocollo è molto più debole.



grazie per le informazioni.
Avendo questa società la possibilità di settare router e firewall a loro piacimento, nulla vieterebbe alla medesima di connettersi alla mia lan, è corretto?


Grazie

grazie per le informazioni.
Avendo questa società la possibilità di settare router e firewall a loro piacimento, nulla vieterebbe alla medesima di connettersi alla mia lan, è corretto?


Grazie

Se l'hanno sempre gestito e sono riusciti a fare manutenzione senza richiedere una connessione dall'interno si.
Dal lato pratico nulla glielo vieterebbe. Dal lato legale non è per quello che hanno le credenziali.
Ovvero: gli amministratori hanno tipicamente accesso a tutto. Ma non per questo possono fare i guardoni (si va in penale).

grazie per le ulteriori.
Mi chiedevo però: VPN cripta il traffico (ma ho letto che anche l'RDP recente lo fa) ma in ogni caso, VPN per connettersi usa una porta e poi username + password come RDP. A me sembra di essere allo stesso livello di RDP, se uno continua a provare entra anche in una VPN o sbaglio?
Cosa rende più sicura una VPN rispetto a RDP?

Grazie

grazie per le ulteriori.
Mi chiedevo però: VPN cripta il traffico (ma ho letto che anche l'RDP recente lo fa) ma in ogni caso, VPN per connettersi usa una porta e poi username + password come RDP. A me sembra di essere allo stesso livello di RDP, se uno continua a provare entra anche in una VPN o sbaglio?
Cosa rende più sicura una VPN rispetto a RDP?

Grazie


rdp cripta con algoritmi "deboli".
Se vuoi qualcosa di meglio è il caso di incapsulare su https (con mutua autenticazione client-server).
Con le vpn puoi scegliere tra diverse cifrature, che sono praticamente tutte più robuste. L'autenticazione più essere con chiave condivisa, certificati, password, o quello che vuoi.
Dentro una vpn puoi incapsulare anche altro traffico, "in parallelo" a rdp.

nascono per scopi diversi: vpn per ottenere tunnel sicuri. Rdp per avere operatività in lan.

mi sono convinto per la VPN però vorrei implementarla io direttamente, provo a studiarci sopra sperando di venirne a capo.

Per il momento tengo buono il sistema RDP con blocco del server dopo un solo tentativo ed attesa per diversi minuti. Ho aggiunto uno script che disconnette il server dalla rete ad orari random che conosco solo io, quindi se fai ping su quella macchina/porta nel momento/orario sbagliato non trovi nessuno che ti risponde.

mi sono convinto per la VPN però vorrei implementarla io direttamente, provo a studiarci sopra sperando di venirne a capo.

Per il momento tengo buono il sistema RDP con blocco del server dopo un solo tentativo ed attesa per diversi minuti. Ho aggiunto uno script che disconnette il server dalla rete ad orari random che conosco solo io, quindi se fai ping su quella macchina/porta nel momento/orario sbagliato non trovi nessuno che ti risponde.


fino ad un certo punto chi se ne frega del ping....
Va bene chiudere l'accesso in orari in cuui sicuramente non ti colleghi (2-5 di notte, per esempio). Ma se lo fai troppo restrittivo ti si ritorce contro.
Se mantieni il discorso che l'accesso rdp viene "segato" dopo un tentativo fallito e pubblichi rdp su una porta non standard risolvi il 99,99% delle rogne.

La vpn ti migliorerà principalmente la crittografia, che è un problema solo se sei nelle condizioni che qualcuno tra l'ufficio e te (principalmente qualche hotspot wifi) possa intercettarti.

fino ad un certo punto chi se ne frega del ping....
Va bene chiudere l'accesso in orari in cuui sicuramente non ti colleghi (2-5 di notte, per esempio). Ma se lo fai troppo restrittivo ti si ritorce contro.
Se mantieni il discorso che l'accesso rdp viene "segato" dopo un tentativo fallito e pubblichi rdp su una porta non standard risolvi il 99,99% delle rogne.

La vpn ti migliorerà principalmente la crittografia, che è un problema solo se sei nelle condizioni che qualcuno tra l'ufficio e te (principalmente qualche hotspot wifi) possa intercettarti.


pensa che avevo settato RDP su una porta non standard ma attraverso una semplice scanner online viene scoperta in un attimo.

Comunque devo migliorare la fase di login che è debole, magari esiste anche una sorta di sistema basato su token per autenticarsi con RDP nel senso che ti viene inviata una mail ad un tale indirizzo con una stringa e se la digiti entri.
Ma forse sto esagerando :) magari già con la porta non standard e il blocco dopo un tentativo è sufficiente.

Grazie 1000

Non sono un esperto, ma... per lo scopo non basta un semplice tunnel via ssh (magari autenticata con certificato, no password)? Cerca "rdp over ssh".

Non sono un esperto, ma... per lo scopo non basta un semplice tunnel via ssh (magari autenticata con certificato, no password)? Cerca "rdp over ssh".

grazie, dopo la tua segnalazione ho trovato questo articolo tradotto in modo strano http://www.bujarra.com/rdp-sobre-ssh-o-conectarse-a-terminal-server-rdp-mediante-conexion-segura/?lang=it

però questa mi sembra nettamente migliore http://www.giacobbe85.altervista.org/down/info/Guida_alle_connessioni_sicure_con_SSH/SSH_tunneling_per_VNC_e_Remote_Desktop.php

pensa che avevo settato RDP su una porta non standard ma attraverso una semplice scanner online viene scoperta in un attimo.

Comunque devo migliorare la fase di login che è debole, magari esiste anche una sorta di sistema basato su token per autenticarsi con RDP nel senso che ti viene inviata una mail ad un tale indirizzo con una stringa e se la digiti entri.
Ma forse sto esagerando :) magari già con la porta non standard e il blocco dopo un tentativo è sufficiente.

Grazie 1000

da quel che ho visto io i portscan su tutte le porte sono molto rari. Ancora di più se non hai roba tipo server di posta, dns, web esposti su internet.
Ci sono tanti di quei servizi esposti su internet che non ti c@g@no nemmeno di striscio se per trovare la prima porta aperta devono scansionarne 20000. Spero di essermi spiegato.
E se proprio vuoi poi sempre prendere contromisure contro i portscan "caciari" alla script kiddies.

La soluzione del 2fa per rdp non ti aiuterebbe di tanto. Ovvero: ammesso che non ti rubino le credenziali, sei sufficientemente protetto dal bruteforcing se hai il ban dopo 1 o pochi tentativi falliti. Imho la fase di login "pulito" è a posto.
Non rimani protetto da eventuali vulnerabilità del protocollo rdp, che si potrebbero verificare prima della fase di login. Per questo incapsularlo su XXXXs è meglio.


Non sono un esperto, ma... per lo scopo non basta un semplice tunnel via ssh (magari autenticata con certificato, no password)? Cerca "rdp over ssh".

;-)

L'unico "problema" è che incapsuli su tcp piuttosto che IP (ipsec) o udp (openvpn). Nella maggior parte dei casi va bene uguale.

riassumendo: SSH o VPN mi proteggerebbe da un attacco "man in the middle" se ho capito bene in quanto il traffico viene tutto criptato.

Quello che non mi è chiaro è se per un caso scoprono l'autenticazione della VPN e hanno una connessione, cosa possono vedere della mia rete, tutti gli apparati che ne fanno parte?
Lo chiedo in quanto, prima di muovere foglia, voglio capire cosa potrebbe vedere la società che gestisce il nostro router e firewall.

Esempio Dane: se ti dessi le credenziali del mio router e del firewall per settare una VPN, cosa vedresti poi della mia rete?

Grazie 1000

Quello che non mi è chiaro è se per un caso scoprono l'autenticazione della VPN e hanno una connessione, cosa possono vedere della mia rete, tutti gli apparati che ne fanno parte?
Lo chiedo in quanto, prima di muovere foglia, voglio capire cosa potrebbe vedere la società che gestisce il nostro router e firewall.

Esempio Dane: se ti dessi le credenziali del mio router e del firewall per settare una VPN, cosa vedresti poi della mia rete?


Sarebbe un po' meglio che avere un pc collegato in lan.
Rispetto all'avere solo il pc in rete potrei anche sfruttare il fatto che controllo direttamente il router/firewall e potrei farti usare un mio dns, dirottare il tuo traffico altrove per ispezionarlo, farti andare su siti di mio controllo per attaccarti il browser, ecc ecc Volendo farlo potrei farti i soliti attacchi.

Sono praticamente le stesse cose che potrebbe farti chiunque ti offra un hotspot wifi. :D

grazie Dane, implemento SSH

ma vah...!?!

ma vah...!?!

scusa non volevo, grazie anche a te :)

mi è rimasto un dubbio: cosa differisce RDP da SSH in termini di autenticazione?
Cosa impedisce ad un hacker di continuare a provare sino a trovare username e password di SSH?

Grazie

A volte ritornano (le domande già fatte)...
Un po' di googling (+"studio") non farebbe male...

Ti può proteggere da un attacco brute-force l'autenticazione a chiavi pubblica/privata.
Prova a leggere questo articolo dove con parole semplici e figure si prova a spiegarne l'utilità:
https://www.jscape.com/blog/what-is-an-sftp-key.
Fa riferimento a SFTP (SSH-based file transfer) ma il concetto è quello.

Non ti protegge però dal furto del portatile su cui è memorizzata la chiave...

A volte ritornano (le domande già fatte)...
Un po' di googling (+"studio") non farebbe male...

Ti può proteggere da un attacco brute-force l'autenticazione a chiavi pubblica/privata.
Prova a leggere questo articolo dove con parole semplici e figure si prova a spiegarne l'utilità:
https://www.jscape.com/blog/what-is-an-sftp-key.
Fa riferimento a SFTP (SSH-based file transfer) ma il concetto è quello.

Non ti protegge però dal furto del portatile su cui è memorizzata la chiave...


preferisco sempre chiedere ai più esperti in quanto si risparmia tempo e non si fanno lavori inutili.

Grazie

ciao,
sto litigando:D con FreeSSHd in quanto dopo averlo installato su una macchina e generate la chiave pubblica e privata con Putty ottengo sempre un messaggio di Accesso negato.
Da questo messaggio mi viene spontanea la domanda: in FreeSSHd ho creato un utente, la password mi è garantita dalle chiavi pubblica/privata, ma l'autenticazione di windows che fine fa?
La domanda nasce dal fatto che ho in mente l'autenticazione che si fa solitamente per rdp: possibile che nomeutente + password riconosciuti da Windows vengano by-passate?

Grazie

Da quanto detto non è chiaro se hai poi inserito la chiave pubblica generata con PuTTY nel folder delle public key di freeSSHd (vedi ad es. una (https://shades-of-orange.com/post/2015/01/14/Setting-up-freeSSHd-to-Connect-to-its-SFTP-Server-Using-SSH-Public-Key-Authentication)delle tante guide).

Con freeSSHd ti sei scelto comunque uno dei sistemi più fragili (buggati?), un software praticamente abbandonato da anni, che ho sempre evitato di usare.

L'autenticazione di Windows, in generale, può essere anche bypassata; dipende dal server: ad es. con Bitvise SSH Server puoi avere account Windows locali e/o account virtuali. Ma la Personal Edition gratuita, oltre ad avere limitazioni sul numero e tipo di account, mal si concilia con gli ambiti aziendali, commerciali, etc...

Il sistema migliore sarebbe avere una macchina linux addizionale che possa forwardare il traffico RDP alla macchina Windows (qui una (https://serverfault.com/questions/200249/how-to-tunnel-windows-remote-desktop-through-ssh-using-a-linux-box) concisa guida) usando il server OpenSSH nativo di linux.

Altrimenti, se sei vincolato ad un unico server Windows, puoi usare un port del server OpenSSH e hai diverse alternative:

PC con Win10 - il server è built-in ma da installare come componente opzionale: https://blog.netnerds.net/2017/12/updated-ssh-tunneling-for-windows-people-protecting-remote-desktop/
installare un sistema Cygwin di base, comprendente SSH daemon (una miriade di guide in rete, ad es. https://docs.oracle.com/cd/E24628_01/install.121/e22624/preinstall_req_cygwin_ssh.htm#EMBSC150)
installare un pacchetto semplificato comprendente già il minimo necessario di Cygwin e server OpenSSH: http://www.mls-software.com/opensshd.html

Da quanto detto non è chiaro se hai poi inserito la chiave pubblica generata con PuTTY nel folder delle public key di freeSSHd (vedi ad es. una (https://shades-of-orange.com/post/2015/01/14/Setting-up-freeSSHd-to-Connect-to-its-SFTP-Server-Using-SSH-Public-Key-Authentication)delle tante guide).

Con freeSSHd ti sei scelto comunque uno dei sistemi più fragili (buggati?), un software praticamente abbandonato da anni, che ho sempre evitato di usare.

L'autenticazione di Windows, in generale, può essere anche bypassata; dipende dal server: ad es. con Bitvise SSH Server puoi avere account Windows locali e/o account virtuali. Ma la Personal Edition gratuita, oltre ad avere limitazioni sul numero e tipo di account, mal si concilia con gli ambiti aziendali, commerciali, etc...

Il sistema migliore sarebbe avere una macchina linux addizionale che possa forwardare il traffico RDP alla macchina Windows (qui una (https://serverfault.com/questions/200249/how-to-tunnel-windows-remote-desktop-through-ssh-using-a-linux-box) concisa guida) usando il server OpenSSH nativo di linux.

Altrimenti, se sei vincolato ad un unico server Windows, puoi usare un port del server OpenSSH e hai diverse alternative:

PC con Win10 - il server è built-in ma da installare come componente opzionale: https://blog.netnerds.net/2017/12/updated-ssh-tunneling-for-windows-people-protecting-remote-desktop/
installare un sistema Cygwin di base, comprendente SSH daemon (una miriade di guide in rete, ad es. https://docs.oracle.com/cd/E24628_01/install.121/e22624/preinstall_req_cygwin_ssh.htm#EMBSC150)
installare un pacchetto semplificato comprendente già il minimo necessario di Cygwin e server OpenSSH: http://www.mls-software.com/opensshd.html


pardon,
ho usato proprio l'esempio del link da te postato seguendo fedelmente ogni passo ma non c'è verso.
Ho trovato anche questo esercizio di IBM (https://wthwdik.wordpress.com/2011/03/28/how-to-get-freesshd-public-key-authentication-to-work/) ma da quanto ho capito si direbbe un metodo obsoleto in quanto usata la chiave privata generata come spiegato in quell'esercizio, Putty genera il messaggio "Unable to use key file "PrivateKey.ppk" (OpenSSH SSH-2 private key (old PEM format))": non sono un esperto quindi non aggiungo altro.

Dicendo buggato intendi dire che FreeSShd non è sicuro?


p.s.
ora sto approfondendo su questo (http://www.mcclellandlegge.com/2017-02-24-installsshd/)

ho usato proprio l'esempio del link da te postato seguendo fedelmente ogni passo ma non c'è verso.Mah... la prima guida (questa (https://shades-of-orange.com/post/2015/01/14/Setting-up-freeSSHd-to-Connect-to-its-SFTP-Server-Using-SSH-Public-Key-Authentication)) ti fa vedere come copiare (copia/incolla) la chiave pubblica in un file di testo di nome uguale (senza estensione) a quello di login dell'utente di freeSShd; il file va proprio messo nel folder delle chiavi di freeSShd. La chiave privata invece deve essere salvata in un file .ppk per PuTTY utilizzando il bottone "Save private key".
Ho trovato anche questo esercizio di IBM (https://wthwdik.wordpress.com/2011/03/28/how-to-get-freesshd-public-key-authentication-to-work/) ma da quanto ho capito si direbbe un metodo obsoleto in quanto usata la chiave privata generata come spiegato in quell'esercizio, Putty genera il messaggio "Unable to use key file "PrivateKey.ppk" (OpenSSH SSH-2 private key (old PEM format))"Qui sei andato fuori strada... La guida IBM non è obsoleta, ma fa vedere come salvare la chiave privata esportandola in formato OpenSSH per il loro client SFTP (di IBM) che supporta quel formato e non il .ppk supportato solo da PuTTY e derivati (come WinSCP). Se vuoi saperne di più sul funzionamento di PuTTYgen puoi fare riferimento QUI (https://winscp.net/eng/docs/ui_puttygen). Morale: come già detto, usa il bottone "Save private key" e non il menù "Conversions", "Export..."
Dicendo buggato intendi dire che FreeSShd non è sicuro?Come minimo sì, eventuali falle di sicurezza non sono state corrette (è fermo da 5-6 anni...) inoltre leggo di conflitti tra la modalità utente e il service mode (che sarebbe indispensabile in questi casi...). Mi sembra infatti di averlo anche provato, anni fa, e buttato dopo mezzora... :asd:

Mah... la prima guida (questa (https://shades-of-orange.com/post/2015/01/14/Setting-up-freeSSHd-to-Connect-to-its-SFTP-Server-Using-SSH-Public-Key-Authentication)) ti fa vedere come copiare (copia/incolla) la chiave pubblica in un file di testo di nome uguale (senza estensione) a quello di login dell'utente di freeSShd; il file va proprio messo nel folder delle chiavi di freeSShd. La chiave privata invece deve essere salvata in un file .ppk per PuTTY utilizzando il bottone "Save private key".


infatti ho fatto come tu descrivi ma non funziona, sembra quasi che intervengano le policy di Windows.
Di sicuro non mi è ancora ben chiaro quale sarà il risultato finale: pensavo, una volta eseguito putty ed essermi autenticato, di ritrovarmi il prompt di MS-DOS e da li impartire comandi ed avere come folder di partenza quello di FreeSSHd in quanto ho settato questo di default.

Comunque grazie 1000

Ho trovato anche questo esercizio di IBM (https://wthwdik.wordpress.com/2011/03/28/how-to-get-freesshd-public-key-authentication-to-work/)Ti consiglio di leggere attentamente, fino al fondo di quella pagina, anche tutti i consigli e tentativi... fatti da vari utenti per provare ad aggirare i problemi di freeSShd (administrator, passphrase nella private key, permessi delle cartelle, setting al primo run sennò ciccia...) ... ti daranno comunque la sensazione che è meglio cercare un'altra strada, con software più solidi.

P.S. Guarderei con sospetto anche l'ultimo che hai citato... PowerShell’s OpenSSH: "pre-release (non-production ready)", poi comunque è più indietro della versione corrente (7.8). La strada maestra IMHO passa da linux o suoi look-alike (Cygwin, che ti posso assicurare funziona bene).

Ti consiglio di leggere attentamente, fino al fondo di quella pagina, anche tutti i consigli e tentativi... fatti da vari utenti per provare ad aggirare i problemi di freeSShd (administrator, passphrase nella private key, permessi delle cartelle, setting al primo run sennò ciccia...) ... ti daranno comunque la sensazione che è meglio cercare un'altra strada, con software più solidi.

P.S. Guarderei con sospetto anche l'ultimo che hai citato... PowerShell’s OpenSSH: "pre-release (non-production ready)", poi comunque è più indietro della versione corrente (7.8). La strada maestra IMHO passa da linux o suoi look-alike (Cygwin, che ti posso assicurare funziona bene).

pensa che avevo già provato ad eseguire FreeSSHd come amministratore ma non funzionava lo stesso, ora funziona lato shell.
Devo capire ora lato tunnel come farlo funzionare e settare Putty nel modo corretto per navigare con RDP.

Parlando di Linux, visto che lo hai menzionato più volte, esiste una live già pronta dove è sufficiente fare qualche settaggio di porte e poco altro?

Grazie 1000

Devo capire ora lato tunnel come farlo funzionare e settare Putty nel modo corretto per navigare con RDP.https://www.saotn.org/tunnel-rdp-through-ssh/
https://blog.devolutions.net/2017/4/how-to-configure-an-ssh-tunnel-on-putty
...etc.... (ne trovi quante ne vuoi)

Tieni presente che se il server SSH è sullo stesso PC del server RDP, nel forwarding puoi specificare semplicemente "localhost" al posto dell'IP locale del server RDP:
http://c-nergy.be/blog/wp-content/gallery/xrdp_ssh/ssh_xrdp_5.png

https://www.saotn.org/tunnel-rdp-through-ssh/
https://blog.devolutions.net/2017/4/how-to-configure-an-ssh-tunnel-on-putty
...etc.... (ne trovi quante ne vuoi)

Tieni presente che se il server SSH è sullo stesso PC del server RDP, nel forwarding puoi specificare semplicemente "localhost" al posto dell'IP locale del server RDP:
http://c-nergy.be/blog/wp-content/gallery/xrdp_ssh/ssh_xrdp_5.png


grazie ancora

Quello che non mi è chiarissimo è: ho una connessione SSH stabile e creo un tunnel con Putty con a disposizione 3 IP:
IP pubblico
IP server LAN
IP client remoto

per la connessione SSH uso IP pubblico e porta 9678 in quanto è stata modificata

Una volta connesso SSH creo tunnel per RDP con:
Source port: 6789
Destination: IP server LAN:3389

Connettendomi con RDP scrivo: 127.0.0.1:6789

il risultato è che non si collega ed inizio ad avere il dubbio che un qualche firewall, locale o remoto, blocchi il traffico sulla porta 6789; che caos

Una volta connesso SSH creo tunnel per RDPProverei invece a configurare stabilmente le proprietà del tunnel nella schermata di PuTTY, PRIMA di aprire la sessione.

Inoltre:

local e remote port forwarding sono stati abilitati nella schermata Tunneling nei settings di freeSSHd?
il Tunneling è stato anche abilitato nelle "User properties" dell'utente nella schermata Users?
hai riavviato freeSSHd dopo averne cambiato i settings?
la schermata di alert del firewall di Windows dovrebbe comunque uscire con le richieste di consenso per freeSSHd su reti private e pubbliche...


EDIT
Ho letto che il client RDP di Windows blocca le connessioni a localhost (127.0.0.1) per cui molti usano un altro IP del pool di loopback, ad es. 127.0.0.2, sempre su porta non standard.

Proverei invece a configurare stabilmente le proprietà del tunnel nella schermata di PuTTY, PRIMA di aprire la sessione.

Inoltre:

local e remote port forwarding sono stati abilitati nella schermata Tunneling nei settings di freeSSHd?
il Tunneling è stato anche abilitato nelle "User properties" dell'utente nella schermata Users?
hai riavviato freeSSHd dopo averne cambiato i settings?
la schermata di alert del firewall di Windows dovrebbe comunque uscire con le richieste di consenso per freeSSHd su reti private e pubbliche...


EDIT
Ho letto che il client RDP di Windows blocca le connessioni a localhost (127.0.0.1) per cui molti usano un altro IP del pool di loopback, ad es. 127.0.0.2, sempre su porta non standard.

caspita, era colpa del punto 1 che avevo saltato completamente


grazie per il tuo preziosissimo aiuto

l'ultimo ostacolo è lo schermo nero in RDP, problema che hanno sperimentato in tanti e addirittura con diversi server SSH. Si direbbe un problema di RDP e non di una qualche versione di SSH, se qualcuno ha già risolto il problema, grazie

Su questo mi arrendo... mai usato RDP, sempre solo VNC.
Prova a vedere questo kilometrico thread, 7 anni... ultimo post una settimana fa...:

https://social.technet.microsoft.com/Forums/en-US/31b681c5-3658-45a5-8158-a0a0f967c4a2/rdp-screen-goes-black-after-successful-remote-login
(workaround: CTRL-ALT-END e riavvio di RDP)

Auguri...!! :D

Su questo mi arrendo... mai usato RDP, sempre solo VNC.
Prova a vedere questo kilometrico thread, 7 anni... ultimo post una settimana fa...:

https://social.technet.microsoft.com/Forums/en-US/31b681c5-3658-45a5-8158-a0a0f967c4a2/rdp-screen-goes-black-after-successful-remote-login
(workaround: CTRL-ALT-END e riavvio di RDP)

Auguri...!! :D


già provate tutte, grazie comunque.
Quello che non mi spiego è ad esempio che, una volta creato il tunnel dovrei poter usare di tutto, ad esempio WindSPC o quant'altro ma non funziona, funziona solo la shell creata da Putty

Quello che non mi spiego è ad esempio che, una volta creato il tunnel dovrei poter usare di tutto, ad esempio WindSPCIntendi WinSCP (il client SFTP)? SFTP va abilitato per l'utente in freeSSHd.
Poi comunque non usi il tunnel già aperto, WinSCP crea una nuova connessione SSH sula porta specificata......

Intendi WinSCP (il client SFTP)? SFTP va abilitato per l'utente in freeSSHd.
Poi comunque non usi il tunnel già aperto, WinSCP crea una nuova connessione SSH sula porta specificata......

pensavo che il tunnel lo potesse usare qualsiasi programma usando lo stesso principio di RDP regolando il numero di porta: 3389 se uso RDP e 22 nel caso di WinSCP. Questo espediente nel caso in cui sul firewall remoto sia chiusa la porta 22 ma non funziona.

Comunque si, su FreeSSh ho abilitato Shell, SFTP, Tunnel

Non vedo dove sia il problema: se non hai limitato ad uno solo il numero massimo di connessioni nella schermata SSH dei settings di freeSSHd, apri una nuova connessione con WinSCP... puoi usare chiave privata anche in questo caso: https://winscp.net/eng/docs/ui_login_authentication

Non vedo dove sia il problema: se non hai limitato ad uno solo il numero massimo di connessioni nella schermata SSH dei settings di freeSSHd, apri una nuova connessione con WinSCP... puoi usare chiave privata anche in questo caso: https://winscp.net/eng/docs/ui_login_authentication

pensavo non servisse una nuova autenticazione essendoci già attivo il tunnel


p.s.
se qualcuno avesse documentazione per FreeSSHd lo ringrazio, non ho capito a cosa serve la chiave RSA se poi ne usa una generata con PuttyGen

finalmente ho risolto, era colpa del servizio che cadeva nel momento in cui mi disconnettevo e dunque mi costringeva a tenere la sessione sempre aperta.
Ovviamente avendo settato FreeSSHd in modo da accettare una sola connessione SSH, faceva il suo dovere e teneva fuori la seconda connessione.
Settato FreeSSHd in modo che rimanga su il servizio quando ci si disconnette ha iniziato a funzionare.
Questa volta i suggerimenti trovati in rete in merito a rdp+black screen mi avevano portato completamente fuori strada. C'è chi dava la colpa alle dimensioni MTU, chi alle policy di Windows, chi alla lentezza della rete etc...

Se vi capita avete un suggerimento in più.

Grazie a tutti quelli che mi hanno dato consigli e dritte.

Ovviamente avendo settato FreeSSHd in modo da accettare una sola connessione SSH, faceva il suo dovere e teneva fuori la seconda connessione.Alle volte dispiace star lì come una spina nel fianco a ripetere "te l'avevo detto!"...: :rolleyes:
se non hai limitato ad uno solo il numero massimo di connessioni nella schermata SSH dei settings di freeSSHd, apri una nuova connessione

non ho capito a cosa serve la chiave RSA se poi ne usa una generata con PuttyGenTi stai riferendo probabilmente alle chiavi DSA/RSA nella stessa schermata SSH dei settings. Quelle non c'entrano con le chiavi generate via PuTTY, sono invece le "host keys" che servono a identificare univocamente il server come previsto dal protocollo. Sono usate ad es. la prima volta che ti connetti ad un server SSH con autenticazione a password. Ad es. su sistemi linux/unix con OpenSSH, la collezione delle host keys note è memorizzata in .ssh/known_hosts nella directory home di ogni utente. Idem con KiTTY in Windows, nella dir SshHostKeys.

Alle volte dispiace star lì come una spina nel fianco a ripetere "te l'avevo detto!"...: :rolleyes:

ad essere sincero, li per li non ti avevo capito, ora si. Lasciando aperta la connessione lato esxi in quanto il tutto è implementato su una macchina virtuale, non avevo considerato che l'accesso dalla consolle valesse una connessione, che testa :D

Grazie ancora

Ti stai riferendo probabilmente alle chiavi DSA/RSA nella stessa schermata SSH dei settings. Quelle non c'entrano con le chiavi generate via PuTTY, sono invece le "host keys" che servono a identificare univocamente il server come previsto dal protocollo. Sono usate ad es. la prima volta che ti connetti ad un server SSH con autenticazione a password. Ad es. su sistemi linux/unix con OpenSSH, la collezione delle host keys note è memorizzata in .ssh/known_hosts nella directory home di ogni utente. Idem con KiTTY in Windows, nella dir SshHostKeys.

ma il fatto che ti consenta di generarne di nuove che significa?

Grazie

Puoi generarne di nuove per svariate esigenze, ad es. per adeguare la chiave RSA a livelli non deprecati (es. 2048 invece di 1024 bit) oppure perché stai replicando il tuo server già configurato su un'altra macchina virtuale e ogni server abbia un fingerprint univoco, etc.

Due letture tra la millemila che puoi trovare...:
https://winscp.net/eng/docs/faq_hostkey
https://superuser.com/questions/421997/what-is-a-ssh-key-fingerprint-and-how-is-it-generated

se ho capito, quella chiave viene scambiate tra client e server come fosse un cookies allo scopo di validare i pacchetti scambiati?

riprendo questa discussione per un problema: se chiudo la connessione Freesshd viene chiuso e di conseguenza, lasciando una connessione aperta non posso connettermi via rdp in quanto la connessione aperta attende la conferma della disconnessione da parte di un utente; come si risolve?

Grazie


p.s.
problema risolto, era colpa del servizio di windows andato su "storto" per ragioni a me ignote

Configurare una VPN non è difficile, ma iscriversi a una VPN giusta non è facile. Quindi se stai affrontando problemi diversi da quello che stai usando Unreliable VPN, ti consiglio di scegliere una VPN affidabile che puoi trovare qui: https://www.allbestvpn.com/