Consulenze tecnologiche e informatiche
Per ogni necessità esiste una soluzione
Per ogni necessità esiste una soluzione

Per anni ho tenuto in hosting i servizi web, basati sulla piattaforma CMS WordPress, pertanto vulnerabile a molti attacchi, quindi per sua protezione ho acquistato un abbonamento WAF (Web Application Firewall).

Il server in Hosting era un linux, con caratteristiche di fascia alta e gli aggiornamenti a mio carico, che usavo anche per altre attività estemporanee, vista la flessibilità della piattaforma.

Con il passare degli anni l’utilità della piattaforma è calata e il rapporto costi ha iniziato ad essere svantaggioso, di fondo il mantenimento della piattaforma web mi pesava per circa 2.000 euro + IVA all’anno, altre alternative con le caratteristiche a me necessarie portavano ad un aumento dei costi.

In tutto questo avevo anche un sistema di test e simulazione con MDaemon e MailStore, posizionato in ufficio in una soluzione miniaturizzata.

Considerando che senza sperimentazione non c’è crescita, ecco arrivata l’idea di smantellare tutto e focalizzare il sistema in ufficio, senza perdere in sicurezza. È stata una di quelle idee che una volta iniziate ti riprometti di non ripetere e la prossima volta che ti vengono è meglio rimandarle al prossimo anno.

Comunque sia la migrazione è stata fatta ed è attiva da qualche mese, con la bellezza di avere il tutto sottomano e se serve di poterlo mettere in tasca e spostarlo da un’altra parte.

Il supporto hardware

Intel NUC - il piccolo computer dalle grandi capacità
Intel NUC – il piccolo computer dalle grandi capacità

 

Come macchina fisica volevo qualcosa di diverso, non il classico server rumoroso e ingombrante, ma qualcosa di piccolo e silenzioso, ma allo stesso tempo con potenza di calcolo e memoria.

Ecco quindi la scelta di un sistema Intel NUC, con 32 giga byte di memoria; processore quadcore I3 e disco SSD da 1 tera byte.

Il dispositivo è una scatola di 10x10x5 cm, con alimentatore esterno di piccole dimensioni e quattro porte USB; una HDMI; una VGA e una USB C.

La mancanza di ventole lo rendono silenzioso e date le piccole dimensioni può essere posizionato ovunque. Con una temperatura ambientale di picco a 32 gradi celsius il package del processore oscilla tra 47 e 52 gradi celsius, il core è più basso di due gradi.

La scelta del sistema operativo

La struttura del sistema e i sistemi operativi
La struttura del sistema e i sistemi operativi

L’idea originale era di caricare un sistema operativo Linux e migrare i contenuti dell’hosting, tuttavia i passaggi dell’installazione non mi davano soddisfazione, quando un lavoro svolto non soddisfa significa che è fatto male, infatti l’idea presentava molte criticità, la conservazione dei dati e il monitoraggio avrebbero rappresentato un tassello da risolvere con altre soluzioni esterne.

Ecco quindi l’evoluzione dell’idea, il sistema operativo core sarebbe stato un semplice Microsoft Windows 10, con due macchine virtuali Hyper-V, una con linux per i servizi web e una di nuovo con Windows 10 per il sistema di test con MDaemon e MailStore.

L’accesso ai servizi da internet

Preparate le macchine il passaggio successivo e fondamentale è che i servizi offerti siano raggiungibili e nel contempo i “server” siano protetti.

Prima di tutto la definizione dei NAT sul router del provider, che essendo da me gestito si risolve in pochi minuti senza il coinvolgimento di soggetti esterni, medesima situazione per i DNS, anche i domini sono sotto il mio controllo.

Ovviamente i NAT non puntano i server, ma puntano un firewall SonicWall UTM già in mio possesso, che filtra tutto il traffico in entrata e in uscita dalla sottorete, che potremmo definire come una DMZ. Il firewall gestisce i NAT verso le macchine virtuali, rendendo completamente invisibile la macchina fisica, oltre a limitare il traffico ad un insieme ristretto di nazioni.

I certificati SSL

Avere un sito oggi rende necessario implementare i certificati SSL, per una questione di reputation e per evitare che ad ogni accesso i browser sollevino obiezioni di qualche tipo, a tal fine i certifica SSL non possono essere auto firmati.

La soluzione è a portata di mano e si chiama Let’s Encrypt, che con i suoi tool di setup rende la procedura di registrazione e installazione dei certificati molto semplice e praticamente automatica, grazie alla procedura script Certbot.

I certificati rispondo ai requisiti e sono gratuiti, unica pecca devono essere rinnovati ogni tre mesi, ma non è un problema.

Black-out energetico

La gestione dei blackout energetici
La gestione dei blackout energetici

Uno dei problemi di un sistema attivo in modo continuo sono le interruzioni elettriche, soprattutto quando il sistema non ha la solidità di un server e il sistema operativo non è di tipo server, ogni caduta energetica potrebbe causare danni dei contenuti.

La soluzione è banale, un semplice gruppo di continuità dedicato alla linea di funzionamento, ovvero il router; il firewall e il NUC.

La scelta è caduta su un semplice Tecnoware ERA Plus 750VA,  sembra piccolo, ma le sue batterie garantiscono il funzionamento dei tre dispositivi per un’ora.

Il gruppo non ha interfacce di controllo per spegnere il computer, in questo caso viene in aiuto Datto RMM, che incontreremo ancora in questo progetto.

Lo spegnimento dei sistemi in caso di black-out

Un monitor scritto per Datto RMM controlla ogni minuto, dal sistema operativo del NUC, la raggiungibilità di alcuni sistemi di rete presenti in ufficio e sempre accesi.

In caso di interruzione elettrica questi sistemi si spengono e il monitor crea un file di flag sul NUC, di cui ogni minuto controlla il tempo trascorso dalla sua creazione, se il tempo supera i cinquanta minuti avvia lo spegnimento delle macchine virtuali attraverso Hyper-V e quindi spegne il NUC.

Al ritorno della corrente il NUC si accende automaticamente e avvia le macchine virtuali, se invece la corrente torna prima dello spegnimento, il monitor raggiunge i dispositivi che sono ripartiti e rimuove il file di flag tornando al funzionamento normale.

Salvataggi e automatizzazione

Il rischio di compromissione dei sistemi esposti in internet è comunque elevato e non è possibile escludere un guasto del disco o un’altra situazione che rende inutilizzabile quanto installato, completamente o parzialmente.

Per questa ragione è necessario pensare ad una soluzione di conservazione dei sistemi installati e soprattutto che si aggiorni automaticamente e regolarmente.

Il salvataggio del NUC

Salvare il sistema host è la parte più semplice, il sistema operativo Windows 10 è l’unico elemento installato insieme ad Hyper-V e ovviamente WebRoot e Datto RMM, pertanto per questo elemento è stata creata una copia fisica del disco e due copie disco su immagine.

Nel caso di guasto del dispositivo è sufficiente spostare il disco esistente sul dispositivo di scorta, nel caso di guasto del disco è sufficiente sostituire il disco o ripristinare una delle immagini su un nuovo disco.

Degli aggiornamenti del sistema operativo allo stato recente se ne occupa Datto RMM.

Le macchine virtuali vengono allineate usando i loro salvataggi individuali e possono essere importate temporaneamente nel Hyper-V di un’altra macchina.

La macchina virtuale Windows 10

La piattaforma di virtualizzazione Hyper-V offre degli strumenti di creazione dei checkpoint usabili da powershell e pertanto integrabili in componenti e monitor Datto RMM.

Ogni due ore un componente Datto RMM richiede ad Hyper-V di creare un checkpoint e a seguire di esportarlo in una locazione esterna sicura. Contestualmente rimuove i checkpoint più vecchi di un periodo stabilito.

Nel caso di compromissione del sistema è possibile ripristinare la macchina da uno dei checkpoint salvati, se necessario su un altro sistema dotato di Hyper-V.

La macchina virtuale Linux

Come per la piattaforma Windows anche in quella Linux si utilizza Datto RMM per la generazione e il salvataggio dei checkpoint.

Il sistema ospita tuttavia dei siti web a rischio di hacking, per quanto protetti da firewall e IDS avere a che fare con un CMS espone a rischi.

In questo caso per i percorsi del file system che ospitano i siti è stato generato un file indice con tutti i codici md5 dei file, che deve essere rigenerato dopo ogni modifica dei contenuti. Il sistema Linux controlla a brevissimi intervalli che i percorsi non abbiano subito variazioni, in caso di modifiche non attese lascia un segnale a Datto RMM che invia un allarme e attiva una reazione immediata applicando il checkpoint precedente e salvando quello compromesso per una successiva analisi.

I costi

Ovviamente ci sono dei costi, ricordiamo che il costo annuo della soluzione in hosting mi gravava per 2.000 euro all’anno.

L’implementazione di questa soluzione “domestica” ha dei costi di hardware di licenze, che ammontano a 800 euro one shot.

Il tempo totale per la realizzazione è stato di due giorni.

 

Tu fai esperimenti?

Se sei interessato ad approfondire questi contenuti o ad avere nella tua aziende questi strumenti o i prodotti menzionati, contattaci attraverso la pagina di contatto di questo sito, o se preferisci cercami attraverso la pagina FaceBook o il mio profilo Linkedin.

Categorie
Archivi
Count per Day
  • 82Questo articolo:
  • 244774Totale letture:
  • 76Letture odierne:
  • 176Letture di ieri:
  • 21 Novembre 2016Dal: