Video chiamate libere

In quest’epoca di confinamento a casa alcune persone legate ad un istituto scolastico di Fabriano hanno lanciato l’iniziativa iorestoacasa.work. Si tratta di una rete di server che ospitano due diversi applicativi per le video chiamate. Tutti i server offrono un punto d’accesso centralizzato al quale collegarsi per avviare una video chiamata, la quale viene poi «trasferita» ad uno dei server disponibili. L’iniziativa ha lo scopo di aiutare le scuole a fare lezione senza affollare i server principali. Questo è reso possibile, da una parte, da vari enti, singoli privati e aziende che hanno collegato i loro server a iorestoacasa.work e offrono gratuitamente il servizio sostenendone i costi di hardware, connettivià e gestione; e dall’altra parte dall’esistenza di due prodotti open source per le video conferenze.

I due diversi applicativi sono Jitsi Meet e Multiparty Meeting. Il primo è più vecchio e offre maggiori funzionalità, come ad esempio la possibilità di moderare la chiamata, il secondo è più nuovo. Dal punto di vista tecnico entrambi utilizzano WebRTC per la trasmissione dati e richiedono quindi abbastanza potenza di calcolo sia abbastanza banda. Difficile seguire una video chiamata se si ha un computer più vecchio del 2010-2012 o se si una una ADSL lenta. L’utilizzo delle video chiamate senza connessione ad Internet via cavo è una esperienza poco gradevole. Fatelo da casa, con la connessione via cavo, magari con il Wi-Fi del computer o del tablet, ma collegati al router con l’ADSL o la fibra. Potendo scegliere, non fatelo con la connessione 3g o anche 4g del telefono.

La tecnologia WebRTC non è nuovissima, ma comunque non è implementata da tutti i browser allo stesso modo e quindi ci sono differenze di prestazioni e di usabilità. La migliore implementazione è al momento quella di Google Chrome, seguita da Safari (ma solo su Mac OS Catalina). Firefox è attualmente escluso perché ha parecchi bug che non solo ne sconsigliano l’utilizzo, ma che addirittura peggiorano il funzionamento degli altri partecipanti alla video chiamata, qualsiasi sia il browser che essi utilizzano.

Per l’utilizzo da Android e iOS, se si usa Jitsi, è necessario scaricare l’app Jitsi Meet. Altrimenti è sufficiente il browser.

Utilizzo

L’utilizzo è aperto a tutti: non è necessario registrarsi, non si è tracciati, non si è su server di proprietà di grandi multinazionali straniere. Sul sito iorestoacasa.work c’è anche la clausola di utilizzo che descrive le implicazioni con il GDPR.

A differenza di altri prodotti, non è possibile prenotare una stanza per un certo orario, o stabilire chi debba essere il moderatore.

Chi inizia stabilisce il nome della stanza, possibilmente in modo che sia univoco, ad esempio «kh34jlkzf» oppure «TerzaE_ITIS_Avogadro_20200521» e immette questo nome nell’unica casella di testo della pagina iorestoacasa.work. Poi sceglie se usare Jitsi Meet o Multiparty Meeting, e entra nella stanza. Il sito sceglie a quale server assegnare la video chiamata e vi dirotta su quella macchina. A quel punto aggiungete una password alla stanza, copiate negli appunti l’URL mostrato in cima al browser e mandatelo a tutti gli invitati, con annessa la password.

Durante la chiamata sarà possibile vedersi e parlare, condividere lo schermo di uno qualsiasi dei partecipanti (ma di norma è l’insegnante/moderatore) per mostrare video o documenti, scriversi. In alcuni casi (ma non tutti i server di iorestoacasa.work lo permettono) è presente una lavagna condivisa, sulla quale scrivere.

La stanza creata verrà chiusa quando tutti ne usciranno, ma solo quello che l’ha aperta potrà esserne il moderatore. Moderare significa avere il controllo della stanza, ad esempio si può accendere o spegnere il microfono agli invitati, oppure cacciarli dalla stanza (ma su Jitsi Meet potrebbero riusare l’URL e ricollegarsi, mentre su Multiparty Meeting si può bloccare l’accesso una volta che tutti sono dentro).

Alla fine della chiamata tutto viene perso. Se avete usato la chat non potrete recuperarne il contenuto. Potrebbe essere attiva la possibilità di registrare la video chiamata, ma si tratta di una opzione dell’applicativo Jitsi Meet che non ho ancora visto su nessuno dei server di questa federazione.

Lo stesso URL può essere usato anche per video chiamate successive, ma una volta che tutti escono dalla stanza, si perde traccia di chi ne è il moderatore, quindi al riutilizzo verrà assegnato il diritto di moderare al primo collegato. Per questo motivo è sempre bene, da parte di un insegnante, non usare lo stesso nome, ma uno nuovo ogni volta, comunicandolo agli studenti via email solo qualche minuto prima di iniziare la lezione.

qemu e “Failed to lock byte 100”

QEMU non ha grande simpatia per i file system di rete. Di recente ho provato a creare una nuova macchina virtuale partendo da una immagine ISO depositata su un altro server e accessibile via NFS. non ha funzionato.

L’immagine era usata per il lettore CD, il quale era di tipo SATA. L’errore ricevuto era apparentemente difficile da interpretare, ma una volta riletto più volte è diventato chiaro. Oltre ad essere riportato nella GUI del virt-manager era anche presente nel file di log in /var/log/libvirt/qemu/nomeVM.log. Il messaggio era:

qemu-system-x86_64: -device ide-cd,bus=ide.1,drive=libvirt-2-format,id=sata0-0-1: Failed to lock byte 100

Le parti da capire sono «ide-cd» che vuol dire che l’errore è relativo ad un device virtuale di tipo CD-ROM collegato ad un controller IDE/SATA, «ide.1» che indica che si tratta del primo CDROM (io ne avevo due: uno per il sistema opeartivo e uno con i driver aggiuntivi per VirtIO), e infine il messaggio vero è proprio «Failed to lock byte 100» che indica un problema nell’accesso al file.

Il file in questione, vista la natura del device (CD-ROM) è l’immagine ISO del sistema operativo. L’errore sul lock indica che il file system non permette l’operazione di blocco che qemu vorrebbe fare. E in effetti NFS non permette di fare i lock sui file.

Morale: spostata l’immagine ISO sul disco locale, e riconfigurato QEMU con il nuovo percorso, tutto ha funzionato.

G Suite for Education (parte 1)

Beh, come tutti al mondo ormai sappiamo, quella che era l’emergenza coronavirus si sta rivelando un fenomeno lungo. Le scuole, con tempi di partenza molto diversi una dall’altra e con velocità completamente disomogenee, si sono organizzate per cercare di portare avanti la didattica tramite la rete Internet.

Si sono subito presentati parecchi problemi, come ad esempio: il dover scegliere una soluzione software capace di supportare la didattica a distanza, la formazione degli insegnanti, la fornitura di hardware agli insegnanti e agli studenti che ne sono sprovvisti, la scelta di hardware e software per gli alunni, il problema del supporto alle famiglie che si trovano a dover seguire i figli a casa oltre che a dover lavorare, e altro ancora.

In una scuola con la quale ho a che fare è stato scelto di adottare la soluzione di Google che si chiama «G Suite for Education». È sostanzialmente un agglomerato di servizi già noti principalmente composto da: la posta elettronica di gmail, i documenti di testo e i fogli elettronici di docs, lo spazio disco su drive, il calendario calendar, la rubrica contacts, la lavagna jamboard e, naturalmente, le video chiamate tramite Meet (ex Hangouts). Il tutto con la necessità di operare con un dominio Internet gestito tramite Google, il quale, Google, promette di confinare tutte le comunicazioni (non si può accedere ad una video chiamata o mandare un email o condividere un file se non si ha un account Google con un indirizzo email di quel dominio) e di non spiare per nulla i dati, i quali sono tutti di proprietà della scuola.

Continua a leggere→

Connessione fai da te in fibra ottica

I provider, da un po’ di tempo, offrono connessioni in fibra ottica. In questa pagina cerco di descrivere brevemente come funziona e come configurare il router (o un semplice PC).

La connessione in fibra è costituita da un fascio luminoso che viene trasmesso dentro un cavo. Alla centrale del provider c’è un apparato «server» chiamato OLT che comunica con parecchi apparati «client» chiamati ONT. Il fascio di luce parte dall’OLT e attraversa una serie di splitter per arrivare a tutti gli ONT ad esso collegati. Si tratta di una specie di «broadcasting» nel quale l’OLT non può comunicare con un solo client, ma manda tutto a tutti. Nella direzione contraria, i vari ONT si mettono d’accordo e usano il fascio di luce in «timesharing» vale a dire uno alla volta, secondo una divisione temporale statica. In pratica, se l’OLT è connesso a 100 ONT, allora ogni ONT ha 1/100 della banda.

La velocità di upload è quindi statica: 1/100 della banda riservato ad ogni ONT permette di avere una velocità costante. Invece la velocità in download è variabile: se ad esempio, due persone collegate a due diversi ONT richiedono due pagine web in contemporanea, poiché l’OLT trasmette tutto a tutti, le pagine verranno trasmesse dall’OLT una alla volta: la prima pagina avrà come destinatario l’ONT della prima persona, ma il fascio di luce arriverà anche alla seconda, che dovrà ignorarlo, mentre la seconda pagina avrà come destinatario il secondo ONT ma andrà anche al primo, che dovrà ignorarlo. In questo senso, se a scaricare dati da Internet sono in pochi, allora la velocità sarà maggiore, mentre se sono in tanti, la veclocità sarà minore.

Oltre al traffico Internet, nelle connessioni in fibra ci sono il traffico televisivo e quello voce della fonia. Il primo e il terzo sono bidirezionali, il secondo funziona solo nella direzione dall’OLT all’ONT.

In casa, quando viene tirato il cavo della fibra, vengono messi una borchia e poi l’ONT. Il primo è una scatoletta non alimentata dalla corrente, il secondo richiede invece l’alimentazione e ha anche una porta RJ45 per la connessione Ethernet.

Questi terminali ONT sono in genere dei piccoli apparati con Linux o altri semplice sistemi embedded. Spesso hanno un indirizzo IP fisso sulla porta RJ45 e rispondono al telnet oppure via HTTP. A volte, ci si può collegare a rilevare i dati sulla qualità del segnale ottico.

All’ONT, dicono i vari provider, va collegato un router, di quelli da comprare in negozio, specifico per le connessioni in fibra. Ma vediamo a cosa serve esattamente il router.

Il router va collegato all’ONT con un cavo ethernet e ha di norma anche una serie di porte RJ45 per potervi collegare i computer, oppure le antenne per la connessione Wi-Fi. Se + un computer per la fibra allora ha anche una o due porte per i telefoni PSTN, cioè quelli normali, non quelli VoIP. Non ci sono attacchi speciali per la televisione.

Il router va configurato in modo che si colleghi al provider attraverso l’ONT. Di norma la connessione avviene con il protocollo PPPoE, cioè la classica connessione PPP che anziché usare un segnale seriale (tipico dei tempi del modem PSTN o anche delle linee ADSL), utilizza una connessione a pacchetti ethernet. La connessione richiedere quindi di inserire delle credebziali (login e password) e di norma anche un codice VLAN. Il codice VLAN si usa per fare passare via ethernet varie informazioni, nel nostro caso voce, tv e Internet, semplificandone la separazione. Il router deve accedere ad Internet, quindi deve usare la VLAN di Internet, altrimenti l’ONT lo ignorerà. TIM usa la VLAN 835, altri provider usano altre VLAN per Internet.

Le credenziali permettono al provider di riconoscere chi si collega e applicare le varie configurazioni. Ad esempio, TIM mette sulla sua pagina web le informazioni per la configurazione standard, che offre la connessione con IP dinamico, ma si possono richiedere le credenziali corrette, ad esempio, per avere l’IP statico legato al proprio contratto.

Il router, se ha la porta RJ41 per il telefono, dovrà essere configurato per il VoIP. I parametri sono forniti dal provider e, sostanzialmente, permettono al router di collegarsi, tramite una diversa VLAN, al provider e ottenere la linea telefonica VoIP. Il VoIP, su linea in fibra, ha la priorità sul traffico Internet e quindi funziona bene. Personalmente ho collegato un FAX PSTN alla porta RJ41 del router e ha funzionato bene anche con trasmissioni alla massima velocità.

Il router, per permette alla televisione di ricevere le trasmissioni, fa da proxy IGMP. Quando si accende la TV, collegata alla rete LAN del router, questa cerca un proxy IGMP e si registra tra quelli interessati a ricevere le trasmissioni. Le tramissioni sono inviate dall’OLT a tutti gli ONT secondo la modalità «multicast», il router le riceve e le inotra a quei dispositivi che ne hanno fatto richiesta.

Se si prende un computer qualsiasi e vi si installa GNU/Linux, è facile poi configurarlo come router. Si dovrebbe avere un computer con due schede di rete moderne, che vadano alla velocità della connessione in fibra, quindi in genere gigabit. Ad un interfaccia di rete si attacca il cavo che lo collega all’ONT, all’altra interfaccia si collega lo switch.

Sul computer vanno installati i pacchetti per la connessione pppoe e per il proxy igmp. La parte delle VLAN si configura con il pacchetto iproute2, che normalmente è già installato.

La configurazione può essere fatta a mano, oppure si possono utilizzare progetti come il debian-v9-router che si trova qui.

Combattere lo SPAM con exim

Affrontare lo SPAM è una guerra continua, con regole e situazioni che cambiano di frequente. Riporto qui di seguito alcune considerazioni legate alla configurazione di exim4, in particolare su Debian.

Non elencherò qui le soluzioni più diffuse, come utilizzare spamassassin per la verifica della posta in ingresso, oppure utilizzare le varie blacklist per negare l’accesso a server poco accreditati. Invece, scriverò solo metodi aggiuntivi, per rafforzare ulteriormente il server.

Nome account diverso dal nome della casella di posta elettronica

Molto spesso, chi raccoglie indirizzi di posta elettronica tramite ricerceh su web o tramite la lettura delle rubriche private, tenta poi l’accesso al server di posta utilizzando come nome utente l’indirizzo di posta, con o senza il dominio.

Per esempio, se sulla macchina «macchina.tld» esiste un utente Francesco Rossi con una utenza «francesco», molto probabilmente esistena la casella di posta «francesco@macchina.tld». Se si fa un server di posta, dedicato alla parte SMTP e/o IMAP, vanno definite le utenze e le caselle di posta. Il suggerimento è di usare utenze diverse dalle caselle di posta. Ad esempio, si può dare a Francesco l’utenza «kl2482gg@macchina.tld» che corrisponda alla casella di posta «francesco@macchina.tld».

In questo modo, chi conoscerà la casella di posta «francesco@macchina.tld» tenterà di accedere usando l’utenza «francesco» oppure «francesco@macchina.tld», che non esistono.

Geolocalizzazione

Altra cosa importante è che le credenziali vengono comunque rubate, in un modo o nell’altro, magari tramite virus. Una volta che queste sono in mano agli spammer, verranno effettuate migliaia di connessioni correttamente autenticate verso il server SMTP, che accetterà i messaggi SPAM e cercherà di inviarli.

Una via per limitare questo attacco, è quella di bloccare email inviate da IP stranieri. Per farlo conviene mettere un log per tracciare le nazioni dalle quali si riceve la posta autenticata e capire quali siano le nazioni valide. Su Debian c’è un pacchetto chiamato «geoip-database» che contiene l’elenco degli IP con l’indicazione della nazione di appartenenza. Per exim esiste una libreria dinamica (disponibile qui) che permette di interrogare quel database. Una volta compilata e installata seguendo le istruzioni sul sito della libreria, si devono aggiungere alcuni file di configurazione a exim. Il primo crea una variabile con la nazione dell’IP, chiamiamolo «/etc/exim4/conf.d/acl/exim4-config_check_geoip_parte1»:

#imposta la variabile acl_c_geoip_country_code warn set acl_c_geoip_country_code = \ ${dlfunc{/usr/local/lib/exim4/exim-geoipv6-dlfunc.so}\ {geoip_country_code}{$sender_host_address}}

Il secondo usa la variabile per bloccare l’accesso, chiamiamolo «/etc/exim4/conf.d/acl/exim4-config_check_geoip_parte2»:

# # Controllo dell'IP origine della connessione. # Utilizza una libreria e il database degli IP # la libreria è https://github.com/snabb/exim-geoipv6-dlfunc # il database e' nel pacchetto geoip-database # # nella fase di test, aggiungo una intestazione per controllare la # variabile #warn # condition = ${if def:acl_c_geoip_country_code} # authenticated = * # log_message = Accesso autenticato dalla nazione $acl_c_geoip_country_code # nella fase di test, aggiungo una intestazione per controllare # l'indirizzo se non è nel database warn !condition = ${if def:acl_c_geoip_country_code} authenticated = * !hosts = 10.0.0.0/24 log_message = Accesso autenticato da un IP sconosciuto e non della LAN # accetta email che arrivano da IP della LAN a condizione che # sia stata fatta l'autenticazione accept authenticated = * hosts = 10.0.0.0/24 log_message = Accesso autenticato da computer in LAN # accetta email che arrivano da IP di nazioni conosciute, ma mancanti dal database, # a condizione che sia stata fatta l'autenticazione accept authenticated = * # 88.209.103.0 - 88.209.103.255, Monaco-Telecom, MC hosts = 88.209.103.0/24 log_message = Accesso autenticato da computer in LAN # accetta email che arrivano da IP in Francia e Monaco a condizione # che sia stata fatta l'autenticazione accept authenticated = * condition = ${if def:acl_c_geoip_country_code} condition = ${if inlist{$acl_c_geoip_country_code}{FR:IT:MC}} log_message = Accesso autenticato da IP della nazione $acl_c_geoip_country_code # blocca i messaggi per i quali è stata fatta l'autenticazione SMTP, # cioè si conosce la password, ma vengono da una naziona conosciuta # e straniera # nota: in alcuni casi, acl_c_geoip_country_code non viene inizializzata # perché l'IP non è nel database. In quel caso, non si entra in questa # regola deny authenticated = * condition = ${if def:acl_c_geoip_country_code} !condition = ${if inlist{$acl_c_geoip_country_code}{FR:IT:MC}} message = Authenticated access from foreign country denied. log_message = Accesso autenticato da nazione non autorizzata. Rifiutato.

Infine, per fare usare questi due file ad exim, è necessario modificare il file con le opzioni locali, come ad esempio, «/etc/exim4/conf.d/main/000_local_options» aggiungendovi quest righe:

# controllo accessi tramite verifica geografica CHECK_RCPT_LOCAL_ACL_FILE = /etc/exim4/conf.d/acl/exim4-config_check_geoip_parte1 CHECK_DATA_LOCAL_ACL_FILE = /etc/exim4/conf.d/acl/exim4-config_check_geoip_parte2

Con la geolocalizzazione si bloccano le richieste dall’estero, ma questo potrebbe essere un problema se uno si spostasse all’estero, magari in vacanza. Va quindi usata con attenzione.

Una seconda possibilità, più onerosa dal punto di vista computazionale, è quella di fare il controllo antispam, con spamassassin o altro, anche ai messaggi che arrivano da connessioni autenticate.

L	M	M	G	V	S	D
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Una vita tragicomica

Tracce di vita su questo piccolo pianeta