Terendo

Il template è tratto signori, ed è subito sera.

I critici hanno subito rilanciato un paragone con la famosa opera °Quadrato bianco su fondo bianco° di Kazimir Malevic, anche se i più concordano che un degno paragone si possa fare solo con la più nota opera di Piero Manzoni. Personalmente mi sento come un Woody Allen con la papalina e, per chi si sente già furente ch’io usi la mia mente, mi permesso umilmente di citare un autore non normale:

Il poeta si diverte,
pazzamente,
smisuratamente.
Non lo state a insolentire,
lasciatelo divertire
poveretto,
queste piccole corbellerie
sono il suo diletto.  

Cucù  rurù.
Rurù cucù,
cuccuccurucù!  

Cosa sono queste indecenze?
Queste strofe bisbetiche?
Licenze, licenze,
licenze politiche.
Sono la mia passione.

Farafarafarafa,
tarataratarata
paraparaparapa
laralaralarala!  

Sapete come sono ?
Sono robe avanzate,
non sono grullerie,
sono la… spazzatura
delle altre poesie.  

Bubububu,
fufufufu,
friù!
Friù!  

Se d’ un qualunque nesso
Sono prive,
perchè le scrive
quel fesso?  

Bilobilobilobilobilo
Bum!
Filofilofilofilofilo
Flum!
Bilolù. Filolù.

non è vero che non voglion dire,
vogliono dire qualcosa.
Voglion dire…
come quando uno si mette a cantare
senza saper le parole
una cosa molto volgare.
Ebbene, così mi piace di fare

Aaaaa!
Eeeee!
Iiiii!
Ooooo!
Uuuuu!
A! E! I! O! U!  

Ma giovinotto,
diteci un poco una cosa,
non è la vostra una posa, di voler con così poco
tener alimentato un si gran foco?

Huisc… Huisc…
Huisc… sciu sciu
Sciukoku… Koku Koku,
Sciu
Ko
Ku.

Come si deve fare a capire?
Avete delle belle pretese.
sembra ormai che scriviate in giapponese.

Abì, alì, alarrì.
Riririrì!
Rì.

Lasciate pure che si sbizzarrisca.
anzi è bene che non la finisca.
il divertimento gli costerà caro:
gli daranno del somaro.

Labala
falala
falala…
eppoi la la…
e lalala lalalalala lalala.

Certo è un azzardo un po’ forte
scrivere delle cose così,
che ci sono professori oggidì,
a tutte le porte.

Ahahahahahahah!
Ahahahahahahah!
Ahahahahahahah!

Infine.
io ho pienamente ragione,
i tempi sono cambiati,
gli uomini non domandano più nulla
dai poeti:
e lasciatemi divertire!

Il poeta si diverte, Aldo Palazzeschi

A tutti gli MCP, attuali e futuri, un consiglio per la lettura:

http://www.microsoftkit.com/83-640-will-gradually-replace-70-640%ef%bc%9f%ef%bc%9f/

Francamente io trovo molto più semplice l’approccio pratico del nuovo 83-640 che non il classico esame da scimmia mnemonica.

Ho sempre saputo di avere amicizie influenti, ma non pensavo così tanto

Scrivo mentre assisto in diretta alla roundtable di Domande e Risposte dell’evento Security, gli speakers stanno rispondondendo a numerose domande, non c’è battaglia: i vincitori assoluti per numero di domande, interesse e quasi accanimento sono UAG e TMG. La cosa mi rende immensamente felice, anche perché sono stati, colpevolmente o meno, terribilmente sottovalutati e ignorati dalla casa madre. Gli utenti hanno mandato, e mandano tuttora, un chiaro messaggio d’interesse e necessità che spero sia stato finalmente recepito da Microsoft.

Grandiosi tutti gli speaker per la meravigliosa sessione Q&A, grazie. Purtroppo non è stata registrata, peggior per voi

Qualcuno vicino a casa vostra?

http://www.microsoft.com/virtualization/en/us/virtualization-summit.aspx

E se la Apple facesse Paint? Semplicemente grandioso

Come sappiamo TMG supporta tre modalità di accesso client:

• Secure NAT
• Proxy Client
• Firewall Client

Da un punto di vista pratico le varie modalità di accesso differiscono per compatibilità, requisiti minimi e granularità di autenticazione.

Nome	Compatibilità	Autenticazione	Requisiti
Secure NAT	Tutti i sistemi con supporto TCP/IP	Nessuna	Server TMG come gateway
Proxy Client	Standard CERN	Solo se richiesta	Server TMG come proxy server
Firewall Client	Sistemi operativi Windows	Invia sempre le credenziali	Installazione client TMG

 

Il Secure NAT si ha quando il client ha come default gateway il server TMG; per il Proxy client è sufficiente impostare il server TMG come proxy server nel relativo client.

Il Firewall Client prevere, appunto,  l’installazione di un piccolo software client che si preoccuperà di autenticarsi presso il server TMG e permetterà di gestire in modo granulare i filtri applicativi.

Le modalità supportate per il deployment del client sono, oltre all’installazione manuale o unattended, le seguenti:

• Logon Script
• Group Policy
• System Center Configuration Manager

I file d’installazione si trovano nella cartella client all’interno del DVD di TMG.

Ho provato a installare la stampante ma il computer non vede la periferica; ho provato a girare lo schermo verso la stampante ma continua a non vederla.

Una volta installato il Firewall Client sarà necessario fornirgli il server TMG di appartenenza; è possibile impostarlo a mano o utilizzare la funzione di Auto Discovery.

La novità più interessante è la possibilità di memorizzare l’indirizzo del server TMG in Active Directory, per farlo si utilizza l’Auto Discovery Configuration Tool liberamente scaricabile dal sito Microsoft a questo indirizzo: http://www.microsoft.com/downloads/details.aspx?FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607&DisplayLang=en

Una volta installato sarà possibile creare il relativo marker in Active Directory, nel caso seguente per il server tmg.contoso.com

TmgAdConfig.exe add -default -type winsock -url http://tmg.contoso.com:8080/wspad.dat

Forefront TMG Auto-Discovery Configuration Tool
New Winsock default marker successfully registered.

Il parametro list consentirà di verificare l’esito del comando.

TmgAdConfig.exe list

Forefront TMG Auto-Discovery Configuration Tool

+++ Default markers:
====================
Type URL
====================
Winsock Proxy http://tmg.contoso.com:8080/wspad.dat

+++ Site markers:
=================
No markers found

 

Approfondimenti

About firewall client computers:
http://technet.microsoft.com/en-us/library/dd897009.aspx
Installing Forefront TMG Client software:
http://technet.microsoft.com/en-us/library/cc441520.aspx
Configuring application settings for Forefront TMG Clients:
http://technet.microsoft.com/en-us/library/ee658144.aspx

Devo ammetterlo: ho un debole per la funzionalità di HTTPS Inspection di TMG 2010. E’ forse il tipo di inspection più controverso, sia dal punto di vista tecnico (e vederemo il perché) sia dal punto di vista etico/morale/legale. Per quanto riguarda quest’ultimo, che riguarda per la maggior parte il controllo sul traffico di computer aziendali all’interno di rete aziendali, ci sono dei compromessi che possono mitigare il livello d’invasione della privacy ma che richiedono comunque un livello di fiducia da parte dell’utente.

Ma veniamo a noi, perché mi piace così tanto l’HTTPS Inspection? Negli ultimi tempi stiamo assistendo a un incredibile proliferare di connessioni che utilizzano il protocollo HTTP come sistema principale di comunicazione, anche per sistemi che non sembrerebbero portati per viaggiare su un sistema che, ricordiamolo, usa una connessione TCP. Moltissimi sistemi di VPN utilizzano SSL come protocollo (tra cui Microsoft IAG e il suo successore UAG), Exchange consente la lettura della posta servendosi di un RPC over HTTPS, alcuni noti serizi di telefonia usano il VoIP over HTTPS, e così via discorrendo. Il montivo è molto semplice: le connessioni HTTP e HTTPS in uscita sono consentite dalla stragrande maggioranza dei firewall; in aggiunta il contenuto del traffico HTTPS non è ispezionabile.

Per chi di voi non avesse familiarità col funzionamento di HTTPS posso dire in due parole che è un sistema, basato sulla combinazione di HTTP e SSL/TLS che utilizza la crittografia assimetrica per scambiare una chiave simmetrica; il tutto per evitare che un eventuale man-in-the-middle (qualcuno che intercetta la comunicazione) possa avere accesso alle informazioni scambiate tra client e server.

Per avviare una sessione SSL/TLS il server manda al client la sua chiave pubblica, il client genera una chiave di sessione simmetrica e la cripta con la chiave pubblica del server, il server riceve e decripta la chiave simmetrica con la sua chiave privata; una volta scambiata la chiave simmetrica il Client e il Server usano questa per criptare e decriptare i messaggi. Poich é solo il Client e il Server conoscono la chiave simmetrica TMG non potrà ispezionare il traffico ed al suo interno potrebbe essere incapsulato qualsiasi tipo di informazione, da download P2P a virus ad attacchi verso il sistema.

Per fare l’Inspection di una sessione HTTPS Microsoft TMG 2010 spezza di fatto la comunicazione in due sessioni: la prima viene stabilita tra TMG e il Web Server utilizzando la chiave pubblica del Web Server per criptare e scambiare la chiave simmetrica generata da TMG; a questo punto TMG rilascia, tramite la HTTPS Inspection Trusted Root CA Certificate Deployment, un certificato digitale con gli attributi di quello inviatogli dal Web Server, invia la sua chiave pubblica al Client che la userà per criptare e inviare a TMG la chiave simmetrica da lui generata. In questo modo TMG può ispezionare il traffico come una normale sessione HTTP, applicando content filters, scansione antimalware, Intrusion Prevention System, ecc.

 

 

Quanto TMG inizia la sessione HTTPS verso il Web Server per prima cosa controlla che il certificato del server sia rilasciato da una Trusted Certification Authority, che il certificato non sia scaduto o non ancora valido, che sia per il sito indicato e che non sia all’interno di una Revocation List; è possibile configurare quali controlli escludere e il livello di tolleranza per i certificati scaduti. In caso uno solo di questi controlli dovesse fallire la sessione non verrà stabilita. Per questi motivi non è possibile accedere a siti che utilizzano un certificato Self’-Signed quando HTTPS Inspection è abilitata, per ovviare al problema è possibile inserire questi siti tra le Destination Exceptions.

Tuttavia, perché il processo funzioni in modo trasparente, è necessario che tutti i computer client abbiano installata la HTTPS Inspection Trusted Root CA tra le Trusted Certification Authorities; in caso di TMG all’intendo di Active Directory questo è estremamente semplice grazie all’apposita funzione nel pannello di gestione di HTTPS Inspection.

 

In caso di TMG fuori dominio sarà necessario esportare il certificato della CA e distribuirlo nella Trusted Root CA con, ad esempio, una Grop Policy adeguata o, più semplicemente, inserire manualmente il certificato.

E’ possibile e auspicabile notificare l’utente dell’ispezione, questa opzione è configurabile dal Tab Client Notification e per poter essere visualizzata è necessario che il computer abbia installato il client di TMG.

Sempre nella configurazione della HTTPS Inspection è possibile selezionare quali gruppi di utenti o quali siti siano esclusi dal controllo.

E’ importante notare che tra le Destination Exceptions sia possibile inserire delle categorie di siti, sarebbe ad esempio adeguato escludere dalla HTTPS Inspection le categorie Finantial e Health in modo che le sessioni destinate a siti con dati sicuramente sensibili come quelli di istituti bancari o di servizi ospedalieri non vengano presi in considerazione per l’Inspection.

 

Vi ho chiamato per dirvi che fuori nevica. Sì, nevica. Come una volta. Siate felici per questa neve, perché domani sarà di nuovo tutto fango. Buon Natale a tutti!

A est di Bucarest

Generalmente si ha la tendenza a credere che, quando un uomo è al massimo della propria degradazione… sì, quando il dolore… non ti risponde più, e non sei neanche più capace di piangere… dicevo, si ha la tendenza a credere che solo una grossa rivoluzione, un cambiamento totale… sì, ‘il grande rimedio’, sia l’unica possibilità di uscire dalla crisi. In realtà la natura umana forse è meno esigente. A volte basta un piccolo segnale, un suono, un odore, un presagio… a ridarti un barlume di vita.

da Il grigio, Giorgio Gaber e Sandro Luporini