Descrizione del componente
Il componente in oggetto permette di implementare un sistema di file transfer sicuro direttamente sul firewall.
La soluzione prevede l’utilizzo di un disco aggiuntivo collegato al sistema IPFire, destinato esclusivamente allo storage dei file condivisi.
Il sistema consente agli utenti autorizzati di caricare e scaricare file tramite protocollo sicuro SFTP (SSH File Transfer Protocol). L’utilizzo di questo protocollo garantisce:
- cifratura del traffico dati
- autenticazione degli utenti
- maggiore sicurezza rispetto ai protocolli di trasferimento tradizionali
Per permettere l’accesso dall’esterno, è necessario esporre su Internet la porta del servizio SFTP sul firewall, adottando comunque le opportune misure di sicurezza (limitazioni IP, autenticazione robusta, monitoraggio accessi).
Interfaccia di gestione
Il componente include una interfaccia web di amministrazione, che consente di gestire in modo centralizzato:
- la creazione e la gestione degli utenti
- la definizione delle società o gruppi di appartenenza
- l’assegnazione delle directory di accesso
- il monitoraggio delle attività di trasferimento file
Questa interfaccia semplifica le operazioni di configurazione e manutenzione, rendendo il sistema utilizzabile anche senza interventi diretti sulla linea di comando.
Download del componente
Il componente è disponibile per il download al seguente indirizzo:
https://www.forum.ipfireitalia.it/index.php?topic=112.0
Procedura di installazione
Una volta scaricato il pacchetto, è necessario procedere con i seguenti passaggi:
- Scaricare il file sul sistema IPFire
- Scompattare l’archivio
- Copiare la directory risultante nel percorso:
/opt/pakfire/tmp
- Accedere alla directory del pacchetto ed eseguire lo script di installazione:
./install.sh
Attivazione del servizio
Al termine dell’installazione, il sistema risulterà già operativo a livello di servizio.
A questo punto sarà necessario procedere con la fase di configurazione, che comprende:
- definizione delle società o gruppi
- creazione degli utenti
- configurazione delle directory di storage
- verifica delle impostazioni di accesso SFTP
- eventuale configurazione delle regole firewall per l’accesso dall’esterno
Considerazioni operative
L’adozione di questo componente può rappresentare una soluzione efficace per:
- centralizzare lo scambio di file con partner o clienti
- evitare l’utilizzo di servizi di file sharing esterni
- mantenere il controllo dei dati all’interno dell’infrastruttura aziendale
- garantire un livello adeguato di sicurezza grazie all’utilizzo del protocollo SFTP
È comunque consigliabile prevedere:
- politiche di backup del disco dedicato
- monitoraggio degli accessi
- aggiornamento periodico del componente e del sistema IPFire
Configurazione e utilizzo del componente SSH Folder
Una volta completata l’installazione del componente, accedendo all’interfaccia web di amministrazione di IPFire compare una nuova voce di configurazione nel menu principale denominata SSH Folder.
Questa sezione permette di gestire un sistema di condivisione file basato su accesso SSH/SFTP, pensato per facilitare lo scambio sicuro di file tra diversi utenti o aziende, mantenendo una struttura organizzata e controllata.
La pagina di configurazione è suddivisa in tre sezioni principali, ciascuna dedicata ad uno specifico ambito di gestione.
1. Configurazione del servizio e directory condivisa
La prima sezione consente di:
- Abilitare o disabilitare il servizio
- Definire la directory principale condivisa, che fungerà da repository centrale per tutte le aziende configurate nel sistema
All’interno della stessa sezione è inoltre possibile definire gli utenti globali del sistema.
Sono previsti due ruoli principali:
- Amministratore
- Ha accesso ad una interfaccia web dedicata per la gestione completa del sistema.
- Può monitorare le configurazioni, gestire aziende e utenti, e controllare la struttura delle directory.
- Supervisore
- Non dispone dell’interfaccia web di amministrazione.
- Può accedere esclusivamente alla directory condivisa tramite protocollo SSH/SFTP per operazioni di caricamento e scaricamento file.
Questa distinzione consente di separare le funzioni di gestione amministrativa dalle attività operative di accesso ai file.
2. Gestione delle aziende
La seconda sezione è dedicata alla creazione e gestione delle aziende.
Ogni azienda configurata nel sistema genera automaticamente una directory dedicata all’interno della struttura condivisa.
Questa directory rappresenta lo spazio di lavoro in cui gli utenti associati all’azienda potranno:
- caricare file
- scaricare documenti
- gestire materiali condivisi
Questo modello consente di mantenere una separazione logica tra le diverse organizzazioni, evitando accessi non autorizzati tra ambienti differenti.
3. Gestione degli utenti aziendali
La terza sezione consente di configurare gli utenti associati a ciascuna azienda.
Per ogni utente è possibile definire specifici permessi di accesso, tra cui:
- Lettura e scrittura – l’utente può caricare, modificare e scaricare file
- Sola lettura – l’utente può esclusivamente visualizzare e scaricare i file disponibili
Questa gestione granulare dei permessi permette di adattare il sistema a diversi scenari operativi, come ad esempio:
- condivisione documentale con clienti
- distribuzione di materiali tecnici
- raccolta di file da parte di fornitori
Nella parte inferiore della pagina sono inoltre riportate le informazioni necessarie per l’accesso tramite SSH/SFTP, utili per configurare i client di connessione.
Interfaccia amministrativa globale
Per completare la panoramica, è disponibile anche una pagina di amministrazione globale, accessibile tramite il seguente indirizzo:
Questa interfaccia ripropone gran parte delle informazioni già disponibili nella console di configurazione di IPFire, offrendo però una vista più orientata alla gestione operativa del sistema.
All’interno del pacchetto sono inoltre inclusi alcuni client SSH, messi a disposizione per facilitare la connessione da parte delle aziende che devono accedere al servizio.
Questo approccio può risultare utile soprattutto in contesti in cui gli utenti finali non dispongono già di strumenti adeguati per l’accesso tramite protocollo SSH/SFTP.
Considerazioni di sicurezza e architettura
Il componente risulta particolarmente interessante per la realizzazione di un sistema di file exchange centralizzato tra più aziende. Tuttavia è opportuno considerare alcuni aspetti legati alla sicurezza.
Per consentire l’accesso da parte di organizzazioni esterne, infatti, sarebbe necessario esporre su Internet la porta SSH del sistema. Questa configurazione può comportare alcuni rischi, tra cui:
- tentativi di accesso non autorizzati
- attacchi di tipo brute force
- aumento della superficie di esposizione del firewall
Per ridurre tali rischi, una soluzione più sicura potrebbe essere quella di limitare l’accesso al servizio tramite VPN.
In questo scenario:
- gli utenti si collegano prima alla rete aziendale tramite VPN
- una volta autenticati possono accedere al servizio SSH Folder come se fossero nella rete interna
Questo approccio permette di migliorare significativamente il livello di sicurezza, mantenendo allo stesso tempo la semplicità operativa del sistema.
Un grazie all'utente che ha realizato questo componente Roberto Peña