Ciao a tutti.

Ho appena terminato (quasi va'.. visto che non si smette mai di imparare) la configurazione del mio nuovo nas/serverino e dunque della rete LAN che ho a casa.
Viste le necessità di poter accedere ai dati da esterno (tramite Webmin su Ubuntu) mi sorge spontanea una domanda: è sicura la mia rete??

Questa in linea di massima la configurazione:

PC HOME
Vista 64bit SP1
connesso via cavo con riserva indirizzo IP;

NAS
Ubuntu 9.04
connessio via cavo con riserva indirizzo IP;

Portatile
Vista 64bit SP2
collegato via wireless al router Netgear DGN2000 con connessione criptata WPA2 e controllo mac-address;

I due pc con Vista hanno entrambi firewall Comodo ed antivirus Avira Personal Ed; il NAS non ha firewall attivo e nemmeno antivirus, visto che salva solo i dati dei due pc.. (sbaglio? per non sovraccaricarlo troppo).

E' attivo il firewall del ruoter e sono aperte fisse le porte per la gestione da remoto di Ubuntu tramite Webmin (protocollo https, username e password). e delle interfacce Torrent e Mule (a cui si accede tramite username e password).
Il NAS è inoltre gestito a volte, dall'interno della rete, da UltraVNC, e configurato per accettare connessioni in ingresso.
Mi chiedevo se tutte queste "esposizioni" verso l'esterno - in particolare il desktop remoto di Ubuntu - potessero crearmi problemi di sicurezza.
In teoria pero' il firewall del router dovrebbe bloccare le connessioni in ingresso al NAS dall'esterno, no?

Cerco aiuto.
Grazie.

Hai pensato ad una DMZ?

Hai pensato ad una DMZ?

Ehm.. mia piccola lacuna.. intanto che mi informo, se non è lungo da spiegare spendimi un due parole :D

Grazie.

Comunque con PCFlank ho rilevato che la rete - dovrebbe - essere sicura.. tutte le porte sono nascoste, meno quelle per l'accesso da remoto alla configurazione del router, gestione Torrent tramite interfaccia web, e gestione Linux tramite interfaccia web (Webmin).. sono comunque tutte protette all'accesso da nome utente e password.. quindi dovrei essere abbastanza sicuro.. credo sia normale che non siano nascoste.. altrimenti dall'ufficio ad esempio come farei per vederle?

L'interfaccia del mio router dice questo a proposito della DMZ:

Server DMZ predefinito

Specificando un server DMZ predefinito, si potrà impostare un computer o un server utilizzabile da qualsiasi utente di Internet per servizi che non sono stati definiti. Questa operazione implica dei rischi per la sicurezza, pertanto deve essere eseguita soltanto se si opta deliberatamente per un accesso libero. Se non si assegna un server DMZ predefinito, il router ignora qualsiasi richiesta in ingresso di servizi non definiti. Trattandosi di un problema di sicurezza, si consiglia di selezionare questa casella esclusivamente per particolari motivi.

Per assegnare un computer o un server che funga da server DMZ:

1. Fare clic sulla casella di controllo Server DMZ predefinito
2. Inserire l'indirizzo IP per il server.
3. Fare clic su Applica.

:mbe: :mbe: :mbe:

il dmz serve ad aprire tt le porte su un determinato ip.. questo permette di fare svariate cose.. come configurare un server.... mah oppure io lo vedo + x un utilizzo del tipo.. collego il mio vecchio router con accesso internet (tale da usarlo solo come modem) ad un nuovo che m fa da firewall.. AP.. e quelle cose.. cosi' che uno sul vecchio router mette un dmz sull'ip del nuovo ed e' sicuro che tutto passa e solo il nuovo gestisce..

del resto se hai un server.. t basta fare il forward delle porte che t servono che d certo nn sn tante e fine

il dmz serve ad aprire tt le porte su un determinato ip.. questo permette di fare svariate cose.. come configurare un server.... mah oppure io lo vedo + x un utilizzo del tipo.. collego il mio vecchio router con accesso internet (tale da usarlo solo come modem) ad un nuovo che m fa da firewall.. AP.. e quelle cose.. cosi' che uno sul vecchio router mette un dmz sull'ip del nuovo ed e' sicuro che tutto passa e solo il nuovo gestisce..

del resto se hai un server.. t basta fare il forward delle porte che t servono che d certo nn sn tante e fine

Concettualmente una DMZ non è questo.
La DMZ costituisce la parte di una lan raggiungibile dall' esterno, in cui collocare appunto i pc che offrono servizio pubblico, isolando da questi gli accessi verso la lan, ovvero se espongo in DMZ un server web questi sarà raggiungibile ovviamente da internet ma anche dalla lan, il percorso inverso invece non deve essere, per mezzo di un firewall, raggiungibile.

Ehm.. mia piccola lacuna.. intanto che mi informo, se non è lungo da spiegare spendimi un due parole :D

Grazie.

Comunque con PCFlank ho rilevato che la rete - dovrebbe - essere sicura.. tutte le porte sono nascoste, meno quelle per l'accesso da remoto alla configurazione del router, gestione Torrent tramite interfaccia web, e gestione Linux tramite interfaccia web (Webmin).. sono comunque tutte protette all'accesso da nome utente e password.. quindi dovrei essere abbastanza sicuro.. credo sia normale che non siano nascoste.. altrimenti dall'ufficio ad esempio come farei per vederle?

Anche se le porte fossere fisicamente raggiungibili, non essendoci software in ascolto, a meno di falle intrinseche nel sistema non ci sarebbero problemi.

L'interfaccia del mio router dice questo a proposito della DMZ:

Server DMZ predefinito

Specificando un server DMZ predefinito, si potrà impostare un computer o un server utilizzabile da qualsiasi utente di Internet per servizi che non sono stati definiti. Questa operazione implica dei rischi per la sicurezza, pertanto deve essere eseguita soltanto se si opta deliberatamente per un accesso libero. Se non si assegna un server DMZ predefinito, il router ignora qualsiasi richiesta in ingresso di servizi non definiti. Trattandosi di un problema di sicurezza, si consiglia di selezionare questa casella esclusivamente per particolari motivi.

Per assegnare un computer o un server che funga da server DMZ:

1. Fare clic sulla casella di controllo Server DMZ predefinito
2. Inserire l'indirizzo IP per il server.
3. Fare clic su Applica.

:mbe: :mbe: :mbe:Questo deriva probabilmente da una traduzione approssimativa che hanno fatto da qualche documento inglese. Il rischio di cui si parla, deriva, ovviamente da esporre un qualsiasi computer ad internet, ma il vantaggio della DMZ è quello di isolarlo dal resto della lan

vorrei approfittare del tuo sapere e gentilezza x farti delle domande sul dmz.. quello che ne so io e' solo derivato dalla scarsa esperienza...

hai detto che se si applica un dmz su un ip quell'ip sara' raggiugibile da internet e lan, ma nn viceversa.. in che senso? il server nn riesce a raggiungere gli altri pc? nel senso io pingo un mio pc dal server e nn arriva a destinazione?

per quanto riguarda le porte? supponiamo che sullo stesso router ho un server e un pc.. il server e' in dmz, il pc invece ha il forward della porta X, qualora una connesione e' in ingresso a chi viene dirottata? Caso di un webserver con DMZ applicato e un pc con apache con forward della 80 sul suo ip.. (dovrebbe favorire il webserver) oppure parallelo per torrent (dovrebbe favorire il pc)

vorrei approfittare del tuo sapere e gentilezza x farti delle domande sul dmz.. quello che ne so io e' solo derivato dalla scarsa esperienza...

hai detto che se si applica un dmz su un ip quell'ip sara' raggiugibile da internet e lan, ma nn viceversa.. in che senso? il server nn riesce a raggiungere gli altri pc? nel senso io pingo un mio pc dal server e nn arriva a destinazione?
esatto. Lo scopo è quello di non consentire ad un attaccante che abbia preso possesso del server di arrivare alla parte protetta della lan.

per quanto riguarda le porte? supponiamo che sullo stesso router ho un server e un pc.. il server e' in dmz, il pc invece ha il forward della porta X, qualora una connesione e' in ingresso a chi viene dirottata? Caso di un webserver con DMZ applicato e un pc con apache con forward della 80 sul suo ip.. (dovrebbe favorire il webserver) oppure parallelo per torrent (dovrebbe favorire il pc)L' utilizzo del port-forwarding è solo un tipo di implementazione per una DMZ. Il problema che ti poni non esiste, perchè il forward deve essere univoco porta-ip.

L' utilizzo del port-forwarding è solo un tipo di implementazione per una DMZ.
interessante... si riesce a implementare un dmz con port-forwarding? come?


Il problema che ti poni non esiste, perchè il forward deve essere univoco porta-ip.
:muro:

interessante... si riesce a implementare un dmz con port-forwarding? come?


:muro:
Non si utilizzano ip pubblici ma privati, ma è in ogni caso indispensabile un firewall che filtri il traffico(almeno fino a livello trasporto).
Un' altra tecnica comune è il "proxy inverso"

Non si utilizzano ip pubblici ma privati, ma è in ogni caso indispensabile un firewall che filtri il traffico(almeno fino a livello trasporto).

nn capisco cosa centrano gli indirizzi pubblici e privati..
cmq grazie hai dato un nome a un concetto che avevo in mente riguardo al reverse proxy

nn capisco cosa centrano gli indirizzi pubblici e privati..
cmq grazie hai dato un nome a un concetto che avevo in mente riguardo al reverse proxy

Tipicamente un servente fa binding su un ip pubblico per questioni di lookup. Se questo non è voluto o possibile è possibile adottare una soluzione basata di DMZ, forwardando sulla macchina demilitarizzata l' ip puntanto da un DNS dinamico(questo è solo un ipotetico scenario). Se vogliamo metterci dentro anche il "reverse proxy" possiamo fare diverse considerazioni.
1)Il "reverse proxy" consente un trasparente bilanciamento di carico di lavori tra eventuali serventi.
2)Attraverso un "reverse proxy" è possibile ad esempio attingere dati da sistemi di legacy senza esporli all' accesso diretto da internet.
3)Se prendiamo come comparazione un webServer, l' interfaccia proxy switcha le richieste (solo attraverso HTTP come qualsiasi altro proxy)ai serventi interni alla lan realizzando oltra al balancing, anche la protezione dei dati che risiedono nella zona sicura.

Ovviamente la presenza di un proxy rende necessario implementare firewall più complessi, in quanto alcune tipolologie di traffico devono essere consentite(questo viola il concetto primordiale di DMZ e non è universalmente riconosciuto). IL proxy introduce inoltre overhead elaborativo.

ok dopo 20 minuti che leggo la tua risposta ho capito qcs.. dunque tu ipotizzi questo...
la richiesta dall'utente passa verso il dns dinamico (ip publico) il quale restituisce l'ip (privato) che tramite un forwarding si immette in un dmz dove incontra un proxy server, che col reverse proxy (e oppurtune regole di firewalling in quanto dato il dmz gli altri host nn sarebero raggiungibili) distribuisce il carico sui vari host....giusto?? se e' cosi' e' una figata!!!

quando pubblichi un libro??? (cosi' poi lo scarico.. :D )

ok dopo 20 minuti che leggo la tua risposta ho capito qcs.. dunque tu ipotizzi questo...
la richiesta dall'utente passa verso il dns dinamico (ip publico) il quale restituisce l'ip (privato) che tramite un forwarding si immette in un dmz dove incontra un proxy server, che col reverse proxy (e oppurtune regole di firewalling in quanto dato il dmz gli altri host nn sarebero raggiungibili) distribuisce il carico sui vari host....giusto?? se e' cosi' e' una figata!!!

quando pubblichi un libro??? (cosi' poi lo scarico.. :D )

Si, a parte gli errori di battitura che ho fatto (dovuti all' orario), il concetto è proprio quello.
Ovviamente le ipotesi sugli ip erano puramente esemplificative e semplificate (non ho parlato di ip statici, vpn ecc, ma ciò non cambia il succo).
Se leggi fra le righe dei post emergono anche le 2 tipologie di strutturazione DMZ piu utilizzate:
-singolo firewall
-doppio firewall
La prima rispecchia i dictat originali segmetando (a livello rete e trasporto) il traffico locale da quello pubblico.
La seconda (ormai piu utilizzata) ha come cardine far corrispondere ad ogni demone pubblico un corrispettivo (laddove necessario) privato raggiungibile sul minor numero di porte e con il minor numero di protocolli.

per demone pub intendi un programma sul firewall che gestisce porte e protocolli e comunica con un demone privato sul server? in questo modo si otterrebbe una comunicazione fatta ad-hoc e le parti sarebbero perfettamente configurabili per ricevere o no connessioni, gestirne eventualmente il flusso su un singolo host (tipo limitazione banda)

L' accezione di demone in questo caso è generica ed indica un qualsiasi processo in ascolto sul server, ancor pià ad altro livello un servizio (ftp,smtp,pop....ecc). In realtà con il termine demone si indicano anche i demoni di rete presenti nel kernel (almeno in Solaris è cosi) responsabili dello stack TCP/IP, ma questa è un' altra storia.

Scusatemi ma io proprio non ho capito niente! ...
Io comunque ho un Netgear DGN2000..

L' accezione di demone in questo caso è generica ed indica un qualsiasi processo in ascolto sul server, ancor pià ad altro livello un servizio (ftp,smtp,pop....ecc). In realtà con il termine demone si indicano anche i demoni di rete presenti nel kernel (almeno in Solaris è cosi) responsabili dello stack TCP/IP, ma questa è un' altra storia.

Per farla breve, un demone è solitamente un programma eseguito in background che si pone in ascolto su una determinata porta (attraverso una socket) oppure svolge altre mansioni, ad esempio del polling su un database.

Per quanto riguarda la DMZ essa ha come scopo quello di "isolare" gli host esposti direttamente su Internet (es. webserver) dagli host della LAN. Ciò però non implica necessariamente che i dispositivi posizionati nella DMZ non possano essere raggiunti dagli host appartenenti alla LAN. In tal caso, infatti, basterebbe utilizzare un firewall da interporre tra LAN e DMZ, magari che effettui anche del NATTING e che consenta le connessioni degli host della LAN posti sull'interfaccia "trusted" e dirette verso il webserver, ma non viceversa.

Ancora meglio se tra lo screened router usato come gateway per l'accesso ad Internet e la stessa DMZ vi sia un ulteriore firewall, che supporti magari le connessioni VPN da remoto (ove necessario).

Per quanto riguarda le porte in ascolto bisognerebbe limitarne il numero il più possibile, soprattutto se esse si riferiscono a degli applicativi che prevedono l'inserimento di opportune credenziali di acesso (soggetti a bruteforce).

Infine, non bisogna trascurare il fatto che gli host direttamente raggiungibili dall'esterno, ovvero da Internet, sono soggetti ad attacchi basati su buffer overflow, ovvero su vulnerabilità intrinseche relative al codice sorgente delle applicazioni in esecuzione. E' fortemente consigliabile, quindi, aggiornare continuamente i sistemi, soprattutto se le patch sono state sviluppate per arginare alcune falle relative alla sicurezza.

Per farla breve, un demone è solitamente un programma eseguito in background che si pone in ascolto su una determinata porta (attraverso una socket) oppure svolge altre mansioni, ad esempio del polling su un database.
mi sembra di averlo già spiegato.


Per quanto riguarda la DMZ essa ha come scopo quello di "isolare" gli host esposti direttamente su Internet (es. webserver) dagli host della LAN. Ciò però non implica necessariamente che i dispositivi posizionati nella DMZ non possano essere raggiunti dagli host appartenenti alla LAN. In tal caso, infatti, basterebbe utilizzare un firewall da interporre tra LAN e DMZ, magari che effettui anche del NATTING e che consenta le connessioni degli host della LAN posti sull'interfaccia "trusted" e dirette verso il webserver, ma non viceversa.
Nessuno ha mai detto che il traffico dalla Lan verso la zona demilitarizzata debba essere negato, quello che è vero è esattamente il contrario. Dagli host (con funzione di server) non deve essere consentito accedere alla parte lan, se non su un numero ridottissimo di porte e attraverso pochi protocolli possibilmente sicuri.


Ancora meglio se tra lo screened router usato come gateway per l'accesso ad Internet e la stessa DMZ vi sia un ulteriore firewall, che supporti magari le connessioni VPN da remoto (ove necessario).

In letterature uno screened router è un router dotato di firewall packet-inspection operante sull' edge ip-trasporto, quindi rientra perfettamente nelle tipologie di cui si parlava nei post precedenti, anche se nella tipologia con doppio firewall è possibile l' utilizzo di firewall bridge.


Per quanto riguarda le porte in ascolto bisognerebbe limitarne il numero il più possibile, soprattutto se esse si riferiscono a degli applicativi che prevedono l'inserimento di opportune credenziali di acesso (soggetti a bruteforce).

già spiegato nei post precedenti


Infine, non bisogna trascurare il fatto che gli host direttamente raggiungibili dall'esterno, ovvero da Internet, sono soggetti ad attacchi basati su buffer overflow, ovvero su vulnerabilità intrinseche relative al codice sorgente delle applicazioni in esecuzione. E' fortemente consigliabile, quindi, aggiornare continuamente i sistemi, soprattutto se le patch sono state sviluppate per arginare alcune falle relative alla sicurezza.
giusto, ma questo è consigliabile su qualsiasi tipologia di rete e per qualunque utilizzo se ne faccia.

Scusate.. ma come divevo capisco abbastanza di reti, ma completamente ignorante in materia DMZ (fino ad ora non ritenuta importante ai mie fini SOHO).

Ora.. ritornando all'origine del topic:
io ho un router DGN2000; il resto è tutto scritto sopra.
Come posso fare per rendere il tutto più sicuro? Per ora ho 3 porte aperte verso l'esterno tramite autenticazione userID e password.
Ho provato tutto i test di PC Flank e non ha rilevato punti deboli, meno chiaramente quelle 3 porte che gli ho detto manualmente di testare.

Scusate.. ma come divevo capisco abbastanza di reti, ma completamente ignorante in materia DMZ (fino ad ora non ritenuta importante ai mie fini SOHO).

Ora.. ritornando all'origine del topic:
io ho un router DGN2000; il resto è tutto scritto sopra.
Come posso fare per rendere il tutto più sicuro? Per ora ho 3 porte aperte verso l'esterno tramite autenticazione userID e password.
Ho provato tutto i test di PC Flank e non ha rilevato punti deboli, meno chiaramente quelle 3 porte che gli ho detto manualmente di testare.

Per prima cosa potresti limitare il numero di tentativi errati di login eseguiti da un determinato indirizzo IP sorgente...

Per prima cosa potresti limitare il numero di tentativi errati di login eseguiti da un determinato indirizzo IP sorgente...

Ottimo consigli, verissimo! Non ci avevo pensato.

Le porte come dicevo aperte sono comunque tre.
Quella di configurazione del router ha comunque una password molto complessa.. il router non permette di fare quello che dici ma non credo ci saranno problemi.
La secondo è quella di gestione del server via Web.. e con quello dovrei poterlo fare; la terza è quella di kTorrent.. ma qui non credo si possa fare.. Dici che da questa possano accedere a qualsiasi cosa lo stesso?

la terza è quella di kTorrent.. ma qui non credo si possa fare.. Dici che da questa possano accedere a qualsiasi cosa lo stesso?

Sotto i sistemi Windows se un servizio è in ascolto su una determinata porta e tale servizio non presenta falle di sicurezza allora si può stare relativamente tranquilli. Su sistemi *nix, invece, si può eseguire il barging, ovvero due o più servizi in ascolto contemporaneamente sulla stessa porta. Ciò potrebbe far si che un eventuale violazione del sistema con conseguente apertura di una backdoor su una porta già utilizzata passi completamente inosservata. In linea di massima però, se ktorrent non presenta security bug puoi stare tranquillo.

Sotto i sistemi Windows se un servizio è in ascolto su una determinata porta e tale servizio non presenta falle di sicurezza allora si può stare relativamente tranquilli. Su sistemi *nix, invece, si può eseguire il barging, ovvero due o più servizi in ascolto contemporaneamente sulla stessa porta. Ciò potrebbe far si che un eventuale violazione del sistema con conseguente apertura di una backdoor su una porta già utilizzata passi completamente inosservata. In linea di massima però, se ktorrent non presenta security bug puoi stare tranquillo.

Ottimo. grazie.. anche perché comunque kTorrent non è sempre attivo..

Sotto i sistemi Windows se un servizio è in ascolto su una determinata porta e tale servizio non presenta falle di sicurezza allora si può stare relativamente tranquilli. Su sistemi *nix, invece, si può eseguire il barging, ovvero due o più servizi in ascolto contemporaneamente sulla stessa porta. Ciò potrebbe far si che un eventuale violazione del sistema con conseguente apertura di una backdoor su una porta già utilizzata passi completamente inosservata. In linea di massima però, se ktorrent non presenta security bug puoi stare tranquillo.

Riguardo al "port barging" lessi qualcosa, tempo fa, di Di Kevin D. Mitnick in cui la tecnica veniva, al contrario, utilizzata sfruttando windows NT 4, IIS e la porta 80 accedendo cosi dalla DMZ alla Lan. Le attuali versioni di windows non dovrebbero più consentire il binding sulla stessa porta (a meno di utilizzare ip differenti, o di ottenere un comportamento randomico attraverso l' opzione SO_REUSEADDR ) ma credo che sia lo stesso anche su UNIX (non ho elementi ufficiali in merito ma neppure sul contrario).

Scusate l'intrusione e per essere sinceri l'ignoranza.... ma potrebbe dipendere dall'attivazione del dmz il fatto che riesco ad accedere al dvr in rete da internet (dall'esterno) solo se è acceso un pc collegato allo stesso router a cui è collegato il dvr????

di seguito la configurazione:

Router Dlink Dsl G804V
- Dynamic DNS Abilitato
- Virtual Server abilitato su ip del DVR
- Firewall disabilitato (a questo proposito mi piacerebbe sapere se attivarlo e come configurarlo per una maggiore protezione)
- Indirizzo IP assegnato per il DVR

C'è una guida specifica per la configurazione dei router per l'accesso dall'esterno ad un DVR?

Grazie