Sono senza parole! Vorrei dibattere un po' con voi sulla sicurezza dei dati su PC che utilizzano la rete Fastweb...
Premessa:
Ieri vado da un cliente che dice che il suo access point non "funzionava più".. in realtà ho capito parlando con lui che smanettando aveva provato a cambiare l'indirizzo IP e non sapeva cosa aveva combinato.
Non riuscendo a contattare più l'ap, ho provato a resettarlo tramite il pulsante apposito, ma non succedeva assolutamente nulla (i led non lampeggiavano e non era raggiungibile dall'indirizzo IP di default che doveva essere stato reimpostato).
Allora con l'ap collegato mando in esecuzione sul PC un programma di rilevazione degli ip della rete sulla stessa Subnet (in particolare Look@Lan)... quello che mi è apparso ha dell'assurdo:
mi sono stati elencati una quantità mostruosa di indirizzi IP di PC connessi alla rete fastweb (e finquì è "normale"). Io ero sicuro che fastweb (assegnandoti in DHCP 3 indirizzi IP per ogni contratto) adottasse qualche policy per far in modo che l'accesso via lan fosse limitato a quei soli 3 indirizzi IP, invece non è affatto così!
Qualunque utente fastweb metta in condivisione semplice una cartella su XP (ed è una prassi molto più che comune in una casa dove magari c'è un fisso ed un notebook), praticamente da in pasto i propri dati a mezzo mondo!

Adesso le mie perplessità sono le seguenti:
1. Possibile che Fastweb non possa configurare qualche policy per evitare tutto ciò?
2. Se tecnicamente non fosse possibile (e ne dubito) io credo che gli utenti che sottoscrivono un abbonamento a Fastweb DEBBANO essere a conoscenza di questo e del modo corretto per evitarlo.

Di soluzioni al "problema" ce ne sono tante (più o meno semplici), ma credo che l'utente medio (che normalmente non sa nemmeno cosa significhi NAT) debba essere in qualche modo coadiuvato per sistemare le cose in modo che i propri dati non siano alla mercé di tutti!

Ho capito cosa intendi. All'università in cui vado io hanno cambiato la policy. Da qualche mese ti assegnano un ip tutto tuo (onde evitare problemi per operazioni illegali) e qualcuno ha notato che tutte le cartelle di rete condivise da windows (evviva la sicurezza!!) erano visibili dalla rete.
Una volta non era cosi in quanto quei pacchetti venivano filtrati.

Beh...che gli utenti fastweb fossero visibili tra di loro è cosa risaputa....si tratta di una MAN.

Sono d'accordo sul fatto che dovrebbe essere impedito normalmente l'accesso all'hag/router dall'esterno della linea cliente

È un fatto risaputo, limitato però alla propria sottorete, non a tutta la rete Fastweb.
Tempo fa sono stati posti dei filtri per evitare il propagarsi di virus che durante i primi mesi/anni di vita di Windows XP mietevano moltissime vittime, ma nulla è stato fatto riguardo alle condivisioni di rete.

A prescindere dalla sicurezza della rete Fastweb, è sempre consigliabile avere un firewall o un router fra la propria rete e la rete esterna.

A prescindere dalla sicurezza della rete Fastweb, è sempre consigliabile avere un firewall o un router fra la propria rete e la rete esterna.

tutto qui. :O
anche perchè l'aggeggino fornito da FW non è un router "tradizionale", la velocità del trasferimento dati sarebbe comunque limitata alla banda disponibile.

È un fatto risaputo, limitato però alla propria sottorete, non a tutta la rete Fastweb.
Tempo fa sono stati posti dei filtri per evitare il propagarsi di virus che durante i primi mesi/anni di vita di Windows XP mietevano moltissime vittime, ma nulla è stato fatto riguardo alle condivisioni di rete.

A prescindere dalla sicurezza della rete Fastweb, è sempre consigliabile avere un firewall o un router fra la propria rete e la rete esterna.

Si, limitata alla propria sottorete, quindi a centinaia e centinaia di PC!

tutto qui. :O
anche perchè l'aggeggino fornito da FW non è un router "tradizionale", la velocità del trasferimento dati sarebbe comunque limitata alla banda disponibile.

L'aggeggino fornito da FW è un gateway...

Il problema cmq è che il 90% dei clienti di fastweb NON SA che condividendo una cartella del proprio PC, praticamente la condivide con centinaia e centinaia di sconosciuti..

Oltretutto chi ha un firewall software normalmente consente il traffico tra PC della stessa rete (molti firewall, compreso quello di windows, lo fanno di default)... ma questa cosa, su una rete fastweb, significa permettere il traffico anche con altri PC all'esterno delle proprie mura.

è visibile, ma non mi risulta siano accessibili all'infuori del proprio hag.

è visibile, ma non mi risulta siano accessibili all'infuori del proprio hag.

Quello che pensavo anche io, invece si accede tranquillamente proprio come se fosse una normalissima LAN.
Abbiamo fatto la prova con un mio amico che si trova ad un paio di km da me; accedevo, copiavo, facevo quello che volevo nelle sue cartelle condivise; ho addirittura installato una sua stampante condivisa e stampato.

:eek: :eek: :eek: :eek: :eek: :eek: :eek: :eek: :eek: :eek: :eek: :eek: :eek:

per fortuna me ne sono andato 2 anni or sono.

assurdo :eek:

e se uno condivide cose private tipo la cartella che contiene documenti? Magari un avvocato o un medico :eek:

Sono al corrente di questa "vulnerabilità" lasciata aperta da mamma FW da almeno 2-3 anni. :p In questo tempo ho trovato documenti di tutti i tipi, dati in pasto alla propria sottorete di appartenenza! :sofico:
Giusto per farvi capire vi cito qualche esempio di dati trovati in condivisione. Due centri di fisioterapia con annesse pratiche dei clienti. Un laboratorio di analisi con annesse cartelle cliniche dei pazienti. :mad: Diversi uffici di geometri/ingegneri con relative commesse/fatture/fax. Per non parlare dei numerosissimi utenti privati con i loro documenti/credenziali/file scaricati!!! :sofico:

Meditate gente e proteggetevi! :p

:eek:

e io che ho fatto la fibra tutto contento perché ero coperto :eek:
soluzioni per ovviare a questo problema?

:muro:

Non usare la condivisione di default ma impostare le eccezioni e gli account consentiti.
Oppure usare un firewall
Oppure nattare la propria rete dietro un router

la soluzione più semplice, non sarebbe quella di comprare un Router con porta Wan?

la soluzione più semplice, non sarebbe quella di comprare un Router con porta Wan?

Magari è la più semplice ma non la più economica.. :p

la soluzione più semplice, non sarebbe quella di comprare un Router con porta Wan?

E' assolutamente quella che consiglio!
Il prezzo di un router con firewall integrato (che vi permette pure di abbattere il limite di PC connessi alla rete e di organizzare la lan in modo SERIO - vedi utilizzo di Nas, stampanti ethernet, etc etc) ormai si aggira sui 40 euro, direi che il gioco vale la candela!

La soluzione migliore è quella che meglio si adatta alle proprie esigenze.

Io ad esempio uso un computer che mi fa da firewall, condivisione delle risorse e dal quale posso scaricare via p2p.

La soluzione migliore è quella che meglio si adatta alle proprie esigenze.

Io ad esempio uso un computer che mi fa da firewall, condivisione delle risorse e dal quale posso scaricare via p2p.

Si, Certo! Ma la soluzione che hai adottato tu (che fa quello che ho proposto io ed anche di più), presuppone di avere un PC da dedicare e di avere delle competenze specifiche molto più "alte".. ;)

Sono al corrente di questa "vulnerabilità" lasciata aperta da mamma FW da almeno 2-3 anni. :p In questo tempo ho trovato documenti di tutti i tipi, dati in pasto alla propria sottorete di appartenenza! :sofico:
Giusto per farvi capire vi cito qualche esempio di dati trovati in condivisione. Due centri di fisioterapia con annesse pratiche dei clienti. Un laboratorio di analisi con annesse cartelle cliniche dei pazienti. :mad: Diversi uffici di geometri/ingegneri con relative commesse/fatture/fax. Per non parlare dei numerosissimi utenti privati con i loro documenti/credenziali/file scaricati!!! :sofico:

Meditate gente e proteggetevi! :p
[Piccolo OT]
Questa cosa indica pure che le aziende non si adeguano al dlgs 196/2003 che prevede l'utilizzo obbligatorio di un firewall... se vengono beccati sono davvero ca*zi loro (codice penale), ma tanto i controlli no vengono fatti...

[Piccolo OT]
Questa cosa indica pure che le aziende non si adeguano al dlgs 196/2003 che prevede l'utilizzo obbligatorio di un firewall... se vengono beccati sono davvero ca*zi loro (codice penale), ma tanto i controlli no vengono fatti...

Esatto....e non solo....sicuramente uan azienda o studio professionale, che non adotta questi provvedimenti, scommetto al 99% che non ha criteri di protezione locali dei dati, con accessi differenziati in base al grado di riservatezza e ai privilegi degli utenti.

Alcuni ISP bloccano l'accesso alle share filtrando le porte 139 e 445 ma comunque non e` compito che gli spetterebbe (e` un po' un ossimoro una rete dove non si puo` comunicare...), lo fanno soltanto per bloccare i worm.
E non ho capito perche` si dice che e` una cosa di fastweb, e` solo questione se le porte sono libere o meno. Se e` x quello, anche sulla internet pubblica si trovano le share se ti metti a fare scansioni da un ISP che non filtra.
Il problema e` la sicurezza di Windows che e` sempre stata inesistente. Un utente apre una sharetta innocente che magari usa saltuariamente per passare file a qualcuno, e non sa (perche` e` totalmente ridicolo e comunque non scritto da nessuna parte) che abilitando il protocollo di condivisione si abilita contestualmente anche il sistema delle share amministrative che da` accesso totale da remoto.
Con un aborto del genere nel sistema operativo e` logico che si creino situazioni problematiche come le varie epidemie di worm e i furti di dati.
In Linux per dire se un utente apre una share, pur non sapendo un cazzo, non rischia mica niente all'infuori di cio` che tiene nella share stessa, quindi chiunque con un minimo di attenzione anche senza nozioni tecniche e` al sicuro, come dovrebbe essere.

Non spostiamo la questione sul SO....il punto è un altro.

Tutto quello che hai detto è corretto. MA la differenza tra un ISP che ti da IP pubblico e FW, è questa.

Le ADSL con IP pubblico necessitano di un ROUTER per essere utilizzate con una LAN. Dunque è sempre il router che si cucca l'IP pubblico, mentre i PC della LAN si trovano dietro un NAT.

Questo come sai, già di per se blocca qualsiasi accesso non esplicitato, dall'esterno.

Purtroppo con FW, non si usa un Router, ma un Gateway, ovvero il famigerato Hag.
In tal caso i PC della LAN dell'utente sono SEMPRE visibili dalla LAN del vicino di casa, perchè appunto essedo dietro un gateway che non effettua NAT, sono sempre raggiungibili.

E' questa la sostanziale aggravante di tutte quelle situazioni di pericolo che sono state dette

Non spostiamo la questione sul SO....il punto è un altro.

Tutto quello che hai detto è corretto. MA la differenza tra un ISP che ti da IP pubblico e FW, è questa.

Le ADSL con IP pubblico necessitano di un ROUTER per essere utilizzate con una LAN. Dunque è sempre il router che si cucca l'IP pubblico, mentre i PC della LAN si trovano dietro un NAT.

Questo come sai, già di per se blocca qualsiasi accesso non esplicitato, dall'esterno.

Purtroppo con FW, non si usa un Router, ma un Gateway, ovvero il famigerato Hag.
In tal caso i PC della LAN dell'utente sono SEMPRE visibili dalla LAN del vicino di casa, perchè appunto essedo dietro un gateway che non effettua NAT, sono sempre raggiungibili.

E' questa la sostanziale aggravante di tutte quelle situazioni di pericolo che sono state dette

Mi hai tolto le parole di bocca!