
Carissimi Eroi Digitali,
siamo lieti di annunciare l’aggiornamento di tutti i nostri prodotti: NethSecurity 7.8 – NethService 7.8 (Corona Edition), grazie al rilascio di NethServer Enterprise 7.8, base di tutti i prodotti Nethesis.
NethServer Enterprise 7.8 è un altro grande passo avanti nel percorso di continua innovazione, godendo della solidità e delle novità introdotte da NethServer 7.8 e dalla recente CentOS 7.8.2003.
Tutta la documentazione è disponibile qui

Panoramica
Sono stati rilasciati centinaia di aggiornamenti nelle ultime settimane, ecco di seguito le novità principali suddivise per singolo prodotto.
Cockpit: l’interfaccia di amministrazione potente e moderna
Introdotta già nelle versioni 7.6 e 7.7, la nuova interfaccia è nella versione 7.8 ancora più stabile e completa. Ne consigliamo fortemente l’utilizzo per accedere alle nuove funzionalità che introduce.
Nuovo pannello utente per cambio password e preferenze
È ora possibile autenticarsi su Cockpit con un utente non-amministratore per cambiare la propria password e altre preferenze personali.

Nel nuovo pannello sono presenti, se abilitate, anche altre opzioni come l’autenticazione a due fattori e l’accesso SSH.
Autenticazione a due fattori per il nuovo Server Manager e l’accesso SSH
L’opzione è disponibile unicamente sul nuovo Server Manager dal menu “Sistema” > “Impostazioni” > sezione “Autenticazione a due fattori”

Una volta attivata la feature sarà necessario fornire un codice di verifica temporaneo generato da un’applicazione – tra quelle supportate – in esecuzione sul proprio smartphone.
Il sistema consente di attivare singolarmente, per ciascun utente la OTP (One Time Password) sia per l’accesso al nuovo Server Manager che per quello via SSH e prevede anche tutti i meccanismi di recovery per gestire potenziali problemi di accesso.
Ovviamente l’attivazione della funzionalità non avrà alcun impatto sulla “vecchia” interfaccia Server Manager basata sulla NethGUI.
Maggiori info nella documentazione.
Disaster recovery con configurazione di rete differente
Nella precedente versione importando il backup veniva ripristinata anche la configurazione di rete con il rischio di non riuscire più a raggiungere la macchina in determinati scenari.
Ora è possibile eseguire restore di NethServer senza importare la configurazione di rete.
La funzionalità diventa molto comoda quando è necessario spostare un’installazioneda bare-metal a cloud o da un provider vps ad un altro.

È bene rammentare che questo tipo di restore è soggetto ad alcune importanti limitazioni.
Fare riferimento al manuale di prodotto per tutti i dettagli.
NethSecurity 7.8
Numerose migliorie introdotte:
- topologia subnet su OpenVPN RW
- gestione traffico Inter-VPN centralizzata
- autenticazione OpenVPN RoadWarrior con OTP
- account RW con scadenza certificato personalizzaibile
- export del log delle connessioni per tutti gli utenti
Topologia subnet su OpenVPN RW
Con questa nuova opzione è possibile utilizzare tutti gli ip della subnet senza limitazioni rimuovendo il vincolo di dover scegliere gli ip da assegnare ai client di 4 in 4.
Fin’ora questa possibilità non era stata introdotta per mantenere compatibilità con vecchie versioni di OpenVPN e dei driver tun-tap utilizzati, ma dopo aver condotto dei test estensivi su moltissime situazioni reali siamo sicuri che si possa applicare sulla maggior parte delle installazioni senza causare problemi ai client.
Per abilitare questa opzione selezionarla dalle proprietà avanzate:

Non è necessario apportare modifiche sui client,in caso di client molto datati e problematici (Versione OpenVPN <= 2.0.9) sarà possibile ripristinare il comportamento precedente selezionando la modalità net30.
Gestione Traffico Inter-VPN Centralizzata
Sono sempre più frequenti i casi in cui un utente Roadwarrior una volta collegato debba poi transitare su un altro tunnel (OpenVPN o IPsec) e per farlo deve svolgere diverse operazioni tra cui consentire il traffico nel firewall.
Abbiamo aggiunto nelle configurazioni del firewall uno switch apposito per permettere tale traffico indifferentemente dal tipo di tunnel utilizzato.

una volta abilitato il flag tutto il traffico tra le vpn è permesso, rimane possibile limitarlo tramite le regole di firewall.
Autenticazione OpenVPN RoadWarrior con OTP
È ora presente una nuova modalità di autenticazione per OpenPVP RoadWarrior tramite OTP, in modo da aumentare la sicurezza di uno strumento che ormai è diventato sempre più diffuso.
Con questa modalità il codice OTP viene utilizzato al posto della password dell’utente.

Le configurazioni sono integrate con la gestione degli accessi OTP su NethServer

Account RW con scadenza certificato personalizzabile
È possibile creare degli account VPN con scadenza certificato personalizzabile, molto utili per dare un accesso ad un collaboratore temporaneo che scadrà automaticamente ad una data prefissata (thanks to @Giordy)

Export del log delle connessioni per tutti gli utenti
È possibile esportare in CSV tutto il log di connessione degli utenti vpn per consultazioni e analisi.


Migliorata gestione parametri DHCP via VPN RW
È ora possibile non passare i parametri DHCP in automatico e visualizzare più chiaramente i parametri che il sistema passa di default.

NethService 7.8
Ecco le novità introdotte nella nuova versione di NethService:
Webtop 5.8.4
Tantissime le migliorie in questa versione e segnalati dalla nostra community.
Novità del Mail server
- Abilitato di default il logging di tutte le operazioni IMAP
Ora è possibile visualizzare nei log tutte le singole azioni quali cancellazione, spostamento, lettura, etc. - Condivisione dello stato di lettura su cartelle condivise
Questa opzione è ora abilitata di default, quindi se un utente legge una email, gli altri vedranno che è stata letta. - Migliorato il supporto delle cartelle mail con tantissimi messaggi
Aumentato il limite di connessioni massime per server IMAP. - Autorizzazioni per SSH e SFTP
È ora possibile concedere l’accesso a SSH e SFTP in base ai gruppi a cui l’utente appartiene.
Modifiche minori
- In fase di configurazione di un nuovo connettore POP3, il filtro viene disabilitato di default
- Rimosso il supporto a PHP 7.1
- Ejabberd aggiornato alla versione 20.03
- Aumentato a 512 MB il maximum PHP memory size
- Nextcloud usa ora PHP 7.3 per aumentare prestazioni e stabilità
Aggiornamento Mattermost e Nextcloud
NethService utilizza sempre l’ultima versione disponibile dei progetti Mattermost 5.22 e Nextcloud 18.0.4.
Altre funzionalità
La versone 7.8 avrà già a bordo le novità dell’ultimo periodo come:
Domain redirection per il server DNS 7
Una nuova feature per facilitare l’override di interi domini nel server DNS di NethServer.
Spesso accade di avere la necessità di far si che un dato spazio dei nomi DNS venga gestito da un server DNS differente da quello usato di default, uno scenario di utilizzo tipico è l’impostazione del server Active Directory come resolver per le query sul dominio interno.
Nuovo Modulo Threat Shield
Questo modulo consente di gestire blacklist (open o commerciali) bloccando tutto il traffico da/verso gli indirizzi IP presenti contribuendo a migliorare la sicurezza della rete.
Threat Shield è attivabile su qualsiasi NethServer Enterprise, sia esso NethService, NethVoice o NethSecurity.
- Se attivato su NethService/NethVoice Threat Shield proteggerà lo specifico server (quindi è usabile anche in ambiti cloud in assenza di firewall perimetrale)
- Se attivato su NethSecurity proteggerà tutta la rete
L’efficacia di questo modulo è direttamente legata alla qualità delle blacklist per questo Nethesis ne consiglia l’uso con le blacklist fornite da YOROI, tipicamente disponibili solo in ambiti enterprise e da oggi a disposizione anche dei partner Nethesis.
Le blacklist YOROI sono caratterizzate da:
- Elevata qualità delle liste ricavate da fonti eterogenee e soggette a continue analisi di specialisti
- Efficacia massima su campagne malware indirizzate verso la zona geografica Italia/Europa
- Livello di confidenza molto elevato -> bassissima percentuale di falsi positivi
Il rilascio di Threat Shield è solo il primo passo della collaborazione tra Nethesis e YOROI volto ad aumentare sempre di più la sicurezza dei prodotti Nethesis e delle reti da essi protette.

Assegnare un indirizzo IP a tutte le schede di rete
Il comando network-recovery è disponibile da tempo, ma ora disponibile nella ISO della 7.8. Consente di assegnare un indirizzo IP temporaneo a tutte le schede di rete ed è eseguibile dalla console fisica:
# network-recovery
Utilissimo se il server non è più raggiungibile e non si vogliono ricordare i comandi per ripristinare a mano la rete o se semplicemente si è fatta l’installazione unattended.
Alcune note di rilascio
- Maggiori info sono reperibili nelle Release Notes 5
- Il nome della edizione è ovviamente un omaggio al nostro ingrediente segreto (oltre all’Open Source): la birra