Configurazione ed altri quesiti configurazione whistleblowing anticorruzione 179/2017 e 190/2012


#21

Buongiorno,

dopo diversi mesi sto procedendo alla configurazione della VM dove ho installato globaleaks. La VM si trova in cloud presso una serverfarm esterna alla rete aziendale. In attesa di configurare la connessione in HTTPS, se voglio andare subito in produzione suppongo sia consigliabile abilitare l’accesso alla piattaforma solo su rete TOR. Giusto?

Grazie


#22

Salve @maxroma78,

Si questa e’ una possibilita.

Consideri che HTTPS e’ direttamente abilitabile attraverso il pannello di amminitrazione.
E’ prevista infatti la possibilita di configurazione e rinnovo automatico di HTTPS con certificati Letsencrypt.

Per poterla abilitare, e sufficiente che che esista una configurazione DNS che punti il dominio internet verso l’indirizzo ip pubbico della VM che ospita globaleaks.

cordialmente,

Giovanni Pellerano


#23

Grazie per il riscontro. Credo di ricordarmi vagamente la procedura per l’HTTPS, sulla quale però vi chiedo gentilmente un riscontro

  1. Chiedere la registrazione di un record DNS in maniera tale che venga puntato l’IP pubblico della VM. Per esempio segnalazioni.miodominion.it indirizzoIPVM
  2. Assegnare alla VM il corretto FQDN, che deve corrispondere all’esempio al punto 1. cioè segnalazioni.dominio.it
  3. Configurare il firewall per permettere le connessioni in entrata su protocollo HTTPS
  4. Attivare la procedura automatica presente nel pannello di controllo amministrativo

#24

La procedura è esatta, il punto “2” non è necessario


#25

Buonasera,

scusate ho un problema con il sistema di notifiche email. Ho inserito i parametri nell’apposita sezione “Configurazione delle notifiche”. Salvo. Dopodichè clicco il tasto per il test della configurazione ma non va. Sul log viene scritto quanto segue:

2018-12-20 16:21:43+0100 [-] Starting factory <twisted.mail.smtp.ESMTPSenderFactory object at 0x7fef83df0860>
2018-12-20 16:22:13+0100 [-] [E] [1] SMTP connection failed (Exception: Timeout waiting for SMTP server response)
2018-12-20 16:22:13+0100 [-] [REMOVED_IP_ADDRESS] 1 201 POST /admin/notification/mail 0 30074ms “[REMOVED_USER_AGENT]”
2018-12-20 16:22:13+0100 [-] Stopping factory <twisted.mail.smtp.ESMTPSenderFactory object at 0x7fef83df0860>

Ho tentanto di collegarmi al server di posta tramite telnet e tutto funziona. Compreso anche l’invio di un messaggio digitando i comandi nella finestra di telnet.
Avete dei suggerimenti?
Grazie :slight_smile:


#26

Buonasera @maxroma78,

il server SMTP e’ configurato per accettare connessioni in chiaro, TLS o SSL?
Hai gia’ provveduto a configurare opportunamente questi aspetti e le relative porte?

Ti faccio queste domande dirette giusto per capire lo stato di configurazione del sistema e dove potresti esserti bloccato.

per qualsiasi dubbio chiedi pure,

Giovanni Pellerano


#27

trasmissioni in chiaro con autenticazione (user e password). No SSL o TLS, infatti mi risulta configurata solo la porta 25. Considera che sto configurando globaleaks su un server in cloud. Prima di ciò lo avevo provato qui sulla rete aziendale montato su una macchina virtuale e la configurazione delle notifiche era andata a buon fine. Anche il server di posta non è qui presso la sede aziendale ma in cloud anche quello.
spero di averti dato tutte le indicazioni del caso


#28

Allora le problematiche possono essere due:

  • GlobaLeaks e’ configurato per effettuare connessioni al server SMTP via Tor e il vostro server cloud non le accetta, nel caso disabilita “Anonimize outgoing connections” nella sezione Tor della sezione Network configuration.
  • Qualcosa risulta mal configurato o su globaleaks in relazione al server SMTP.

Vi suggerirei, trattandosi che vi state collegando ad un server SMTP remoto di abilitare o SSL o TLS per evitare intercettazione attiva/passiva delle notifiche.

cordialmente,

Giovanni Pellerano


#29

Grazie per il riscontro ma non riesco a trovare la voce da te indicata “Anonimize outgoing connections”.
Per l’abilitazione di SSL o TLS sul server di posta chiederò a chi ce lo gestisce in maniera da fare abilitare anche questa possibilità che se non erro poi utilizzerà un’altra porta di ascolto e non la standard 25 giusto?


#30

Mi rimane comunque la perplessità del fatto che fintanto ho fatto i test dalla rete locale aziendale tutto funzionava ed ora no. Cioè fintanto che il server di globaleaks era nella rete aziendale tutto andava. Ora che è su una VM in cloud non va. Il fatto che Globaleaks è configurato per effettuare connessioni al server SMTP via Tor mi obbliga a configurare qualcosa sul firewall in cloud? Fermo restando che tutte le connessioni in uscita su tale firewall sono abilitate.


#31

Purtroppo non avendo visibilita sulla configurazione specifica non so dirti meglio.

Intanto potresti provare a ripristinare la configurazione di default che includiamo nel software e vedere se con quella ti funziona. La trovi qui che l’ho fornita oggi ad un altro utente: Configure E-mail notification not working


#32

Ripristinato i valori di default. non va neanche con quelli. stesso medesimo messaggio. A questo punto credo sia un problema di rete sulla VM dove ho installato globaleaks. Sai darmi suggerimenti su cosa eventualmente vedere sul firewall che ho in cloud?


#33

Suppongo che il firewall non stia lasciando passare connessioni in uscita da quella macchina.

Dicevi pero’ che via telnet il server ti rispondeva? Confermi che vedevi una risposta o ti trovava solo la porta aperta? perche se trovava la porta aperta potrebbe essere il firewall a fartela sembrare aperta mentre in realta’ sta bloccando la connessione


#34

Via telnet la macchina si connette al server SMTP sulla porta 25 e questo risponde. Prende anche i comandi dati da linea di comando. Tant’è che sono riuscito ad inviarmi un messaggio di posta. Però forse questo percorso non è confrontabile con quello fatto da globaleaka dato che mi dicevi che le richieste verso il server SMTP vengo inviate su rete TOR. A questo punto quello che pensavo di provare, sperando di riuscirci, è di configurare un client di posta elettronica sul server dove gira globlaleaks, vedere se riesco a configurare tale client all’utilizzo della rete TOR e provare così la connessione. Cioè replicare in una qualche maniera quello che dovrebbe fare globlaleaks ma attraverso un’altro programma e vedere se riesco o meno. Ovviamente sono accettati altri sugggerimenti e/o consigli. L’ulteriore verifica che ho fatto ieri è installare sulla macchina dove gira Globaleaks il browser TOR e provare a navigare sul web, giusto per verificare che non ci fossero limitazioni di accesso alla rete. Non ho trovato restrizioni, sono riuscito a navigare sul web ed anche a raggiungere il nodo TOR dove è attestato il servizio di globlaleaks da me installato (il .onion che vedo anche nella sezione di configurazione di rete). Grazie


#35

Il nodo e’ gia configurato per accettare connessioni in HTTPS?
Anche questo influenza alcune dinamiche di utilizzo della rete da parte di globaleaks in cui il nodo si riconfigura automaticamente per usare automaticamente Tor per le connessini in uscita.

Se il nodo e’ pubblico potresti fornirmene l’indirizzo cosi che possa fare qualche verifica io stesso?


#36

Al momento abbiamo deciso di non permettere l’accesso al servizio al di fuori della rete TOR. Per una maggiore tutela del segnalante abbiamo optato per tale scelta visto che la piattaforma lo permette. Di conseguenza non mi sono preoccupato di configurare l’accesso in HTTPS. Comunque la piattaforma è ancora in fase di configurazione per cui posso anche fare tutte le prove del caso. Fammi sapere come posso esserti d’aiuto in maniera da permetterti di supportarmi. Grazie :slight_smile:


#37

Chiaro e perfetto, e’ la best practice!

Quindi si ti confermo che nella vostra configurazione il nodo si sta comporando in modo pienamente anonimo anche per se stesso non svelando esternamente il proprio indirizzo IP neanche al server SMTP, caratteristica che ritengo per voi non necessaria. Ed e’ possibile che il vostro server smtp non accetti connessioni Tor (che firewall avete?)

In attesa della patch che sara’ presto rilasciata per consentirvi di modificare da pannello web questa configurazione puoi sostituire questa riga:

invece di “if anonymize:” scrivi “if False:”

il file lo trovi in /usr/lib/python3/dist-packages/globaleaks/…

una volta modificato il file riavvia globaleaks con: /etc/init.d/globaleaks restart


#38

Fatto ora… ma non va ancora. Stesso identico errore. Timeout waiting for SMTP server response.


#39

Rimessa l’opzione “rende la piattaforma raggiungibile senza rete tor” è andata. Riavviato globaleaks sono arrivate le mail di notifiche. Anzi la prima che mi è arrivata è relativa ad un aggiornamento della versione da me installata.
Ho limitato tale accesso solo agli amministratori. Inoltre connessioni in entrata in HTTP le ho messe solo valide dall’indirizzo IP pubblico della sede d’ufficio. Per cui al di fuori dell’ufficio la piattaforma non è raggiungibile in HTTP ed è raggiungibile dalla sede solo per gli admin.


#40

Giusta correzione.

Hai ragione verificando le policy attualmente implmenentate quella configurazione agisce sul firewall e permette connessioni uscenti verso qualsivoglia destinazione. Precedentemente erano consentite solo connessioni Tor.

Per qualsiasi altra problematica segnalala pure.

Se possibile ti invio ad aprire una specifica domanda per ogni specifica questione e laddove tu riscontri un evidente bug dell’applicazione a segnalarlo sul nostro ticketing system: https://github.com/globaleaks/GlobaLeaks

Grazie!

Giovanni Pellerano