IMPORTANTE: Guida per rendere visibile da internet il proprio server

[frank8085]

in questa guida parlerò di come rendere visibile da internet il proprio server,
sono aperto ad eventuali modifiche sopratutto quelle riguardanti il livelli di approfondimento di alcune cose per utenti che possono non conoscere alcune cose che ho citato.
-----------------------------------------------------
PASSO 1 – IL SERVER
-

• Assegnare al server un IP fisso all’interno della rete locale, accertarsi che solo il server possa usarlo.
• Accertarsi che il firewall possa accettare le connessioni in ingresso sulle porte associate ai servizi che vogliamo rendere disponibili online.
• - Per questioni di disponibilità: il server deve rimanere attivo e online 24/7, per questo motivo esso deve poter disporre di sistemi
  di protezione in modo da garantire la continuità del servizio. È quindi consigliabile che i dischi su cui girano il s.o e su cui sono presenti
  i dati siano in configurazioni RAID (quindi deve esserci ridondanza dei dati e dei dischi in modo da prevenire perdite in caso di guasto).
  Per ulteriore sicurezza può esserci ridondanza anche sull’alimentazione, quindi si utilizzano UPS che prevengano lo spegnimento di HW di rete
  fondamentali per la comunicazione e il server stesso. Inoltre è possibile usare un alimentatore ausiliario che possa intervenire non appena
  cessasse di funzionare quello principale.
  Ricollegandomi alla apposita guida, un’ulteriore sicurezza è data da una buona programmazione dei backup.

PASSO 2 – RETE LOCALE
-

• È d’obbligo fare uso di connessioni LAN affidabili possibilmente ethernet o fibra ottica (SFP, infiniband….).
• Configurare in router in modo che: le porte associate ai servizi da rendere disponibili sul server siano aperte in forwarding
  ed associate all’indirizzo IP locale della macchina. Se la rete su cui è presente il server include altre macchine che non devono essere
  visibili dall’esterno, è consigliabile confinare il server in una DMZ (impostazioni sul router).

PASSO 3 – PROVIDER
In accordo con quanto detto prima, è necessario contattare l’ISP per poter ottenere l’apertura delle porte desiderate. È inoltre necessario rendere
identificabile in modo univoco il server dall’esterno, quindi esistono due scelte in ambito DNS:

a) Chiedere al provider un IP pubblico statico associato alla connessione internet in modo che gli utenti finali digitandolo
sul browser possano connettersi. In seguito per maggiore praticità lato utente è necessario acquistare un dominio che verrà associato
a livello di DNS con l’IP appena fissato. (rossi.giovanni.net >> 195.42.73.112, giovanni.net è il dominio, rossi l’host name)

b) Se non si dispone di questa scelta, è possibile appellarsi a servizi DDNS, alcuni sono anche gratuiti, anche se il piano tariffario del provider prevede
l’utilizzo di un indirizzo IP pubblico dinamico della connessione, sarà possibile adattarsi dinamicamente al cambio di tale IP.
In tal caso è necessario precisare che nella configurazione del router deve essere presente un’opzione che permetta all’avvio di collegarsi
all’account del fornitore DDNS all'avvio. Esempi di fornitori DDNS: noip, dyndns…)

[mmiat]

aggiungo: assicurarsi che l'indirizzo (o gli indirizzi) ip statico configurato non si sovrapponga al range di indirizzi DHCP

sembra banale, ma mi è successo diverse volte che qualcuno mi chiamasse perché non funzionava nulla, e poi scoprivo che il server aveva lo stesso ip del telefono...

[pac0]

Se posso aggiungere un'opinione pesonale:
nel 2015 (ormai 2016) esporre un servizio in internet senza le dovute precauzioni lato sicurezza informatica equivale a tirarsi una grossa zappa sui piedi.
Così su due piedi mi vengono in mente questi consigli:
- occhio a cosa forwardate dal router, specialmente ai servizi con porte standard tipo ssh, rdp, ecc
- utilizzate possibilmente un firewall a protezione della LAN/Server (il firewall di windows non basta)
- utilizzate politiche di limitazione delle connessioni in entrata in base all'IP sorgente (se possibile)
- usate connessioni VPN crittografate piuttosto che esporre direttamente servizi con pagine web di login del tipo admin:admin o servizi di desktop remoto
- fate SPESSO patching delle macchine e dei software che pubblicate
- utilizzate certificati SSL pubblici validi quando possibile
- ogni tanto guardate i log degli accessi (o in generale dei tentativi di accesso) per capire se ci sono movimenti sospetti

In generale non prendete sottogamba la security e non lanciatevi troppo in configurazioni affrettate e di cui non siete sicuri, piuttosto chiedete un aiuto a qualcuno più esperto di voi perchè si fa molto presto a rimanere scottati.

[frank8085]

qualcuno sa dirmi come evitare di far scomparire questo thread, segnarlo come importante in modo che resti insieme alle prime due guide?

[antenore]

Quote:

Originariamente inviato da frank8085

qualcuno sa dirmi come evitare di far scomparire questo thread, segnarlo come importante in modo che resti insieme alle prime due guide?

Mah più che una guida è un insieme di consigli più o meno validi, e poi dai per scontanto che "il proprio server" sia a casa/ufficio e collegato ad internet tramite adsl.
Uno il server può prenderlo anche a noleggio in hosting, e facendo qualche conto della serva vedi che probabilmente ti costa anche meno che lasciare il pc di casa acceso 24h.

[pac0]

*** scusate, post errato ***