firewall software e router

[rbianco]

Ciao a tutti.

Ho un Netgear DG814 che mi fa da router.
Ho Internet Security installato sui PC.

La domanda è: SERVE un firewall software se già sono dietro la "barriera" del router?

Pls evitate le classiche risposte tipo "il Norton di certo non ti serve, installa ZA" e cose del genere: ci terrei ad una risposta di più ampio respiro.

[CH1CC0]

Direi un bel "sì".

Un router non è una barriera, è come una stradina più lunga, ma non blocca nulla (a meno che non implementi delle Access-lists e quindi torniamo al firewall).

Un sig. "malintenzionato" può raggiungere il tuo router e da lì avere pieno accesso alla tua rete e magari fare un mucchio di danni.

Con un firewall non ti puoi sentire "a prova di bomba" (si sa che l'unico pc sicuro è il pc sconnesso o addirittura spento ), però crea una complicazione in più.

CiAO

[rbianco]

Quote:

Originariamente inviato da CH1CC0
Direi un bel "sì".
[...]

Speravo di alleggerire un po' Windows, ma a 'sto p.to lascio tutto com'è.

Quote:

Originariamente inviato da CH1CC0
Un router non è una barriera, è come una stradina più lunga, ma non blocca nulla (a meno che non implementi delle Access-lists e quindi torniamo al firewall).

Hmm... mi metti la pulce nell'orecchio!
Sto aspettando un DG834 che dovrebbe arrivarmi in sostituzione del mio DG814 (per i noti problemi con eMule/Overnet), e su sito Netgear leggo tra le caratteristiche:

Codice:

Firewall: Stateful Packet Inspection, registrazione e Reporting delle intrusioni, protezione da attacchi Denial of Service

Con un router+firewall tipo il DG834, mi consigli di conservare cmq anche i firewall software?

[gohan]

Quote:

Originariamente inviato da CH1CC0
Direi un bel "sì".

Un router non è una barriera, è come una stradina più lunga, ma non blocca nulla (a meno che non implementi delle Access-lists e quindi torniamo al firewall).

Un sig. "malintenzionato" può raggiungere il tuo router e da lì avere pieno accesso alla tua rete e magari fare un mucchio di danni.

scusa, ma questo è terrorismo gratuito!
Se c'è qualcuno in grado di bucare il NAT del router deve essere molto bravo (ma dico MOLTO) e non credo di certo che si metta a perdere tempo a forzare la rete di un utente domestico.
Inoltre la frase "non blocca nulla" mi sembra fuori luogo, visto che il nat del router se riceve una richiesta e non sa a chi inoltrarla la ignora.

[CH1CC0]

gohan, un router con nat è apribilissimo...
es: ti connetti al router sull'ip pubblico e da lì hai pieno accesso a tutto quello che c'è sull'ethernet, senza alcun blocco...

Oltre al fatto che bucare un NAT non è difficilissimo.
Basta tenere d'occhio l'utilizzo.
Un NAT di solito, viene creato in maniera univoca (le richieste per stabilire il NAT vengono accettate solo dall'interno verso l'esterno), ma una volta creato, questo è bidirezionale.
Intercettato il traffico in uscita, si può intervenire per infiltrarsi senza troppe difficoltà.

[ilpik]

Quote:

Originariamente inviato da rbianco
Sto aspettando un DG834 che dovrebbe arrivarmi in sostituzione del mio DG814 (per i noti problemi con eMule/Overnet), e su sito Netgear leggo tra le caratteristiche:
etc. etc. ....
Con un router+firewall tipo il DG834, mi consigli di conservare cmq anche i firewall software?

Non tacciatemi di terrorismo, ma io penso di si.
Il fw hardware dei router SOHO fa un gran lavoro, non lo vorrei mai perdere ! Da quando l'ho installato, riesco ad utilizzare al meglio il fw software, che é l'unico che può eseguire il controllo per applicazione : p.es. lascia uscire su Internet il browser e segnala che Word vuole mandare un messaggio a papà Bill - Lascio passare o Blocco ?)
Col fw software posso sapere velocemente che porte vuol aprire un nuovo software che esca su internet, se non le trovo sui manuali ...

Ciao

[gohan]

Quote:

Originariamente inviato da CH1CC0
gohan, un router con nat è apribilissimo...
es: ti connetti al router sull'ip pubblico e da lì hai pieno accesso a tutto quello che c'è sull'ethernet, senza alcun blocco...

Oltre al fatto che bucare un NAT non è difficilissimo.
Basta tenere d'occhio l'utilizzo.
Un NAT di solito, viene creato in maniera univoca (le richieste per stabilire il NAT vengono accettate solo dall'interno verso l'esterno), ma una volta creato, questo è bidirezionale.
Intercettato il traffico in uscita, si può intervenire per infiltrarsi senza troppe difficoltà.

spero tu non voglia insegnare a me come funziona un nat visto che, evidentemente, non hai chiaro di come funziona.
Se vuoi ti do il mio ip pubblico e voglio vedere cosa riesci a vedere della mia lan: al massimo vedi le porte aperte nattate che uso per determinati servizi, ma di certo non accedi ai miei pc.
Inoltre per intercettare il traffico come dici tu, devi essere su un nodo internet, non lo può fare uno da casa (ribadisco il discorso: se uno ha la possibilità di sniffare il traffico di certo non viene a sniffare il nostro) e se poi anche riuscisse a stabilirsi sulla connessione che può fare? nulla... visto che l'unica cosa che potrebbe fare è mandare dati alla porta aperta dall'applicazione che è andata su internet (tipo IE): se tu sei a conoscenza di un modo per prendere il controllo di un pc in questo modo, spiegacelo perchè ad oggi non ho mai letto di nulla di simile.

x ilpik
ovviamente il discorso firewall sw va preso in considerazione in base alle esigenze di sicurezza che uno ha: cmq già avere un NAT e una protezione DDoS ed eventualmente SPI ti mette al riparo dal 80-85% dei possibili attacchi-problemi di sicurezza.

[mitsuagi]

Confermo che il Firewall interno del Netgear DG834 è validissimo e molto facile da configurare.

Un firewall software non fa altro che replicare ciò che fa il firewall sul router, quindi io non sento assolutamente la necessità di configurare 2 volte la stessa cosa...

...è inutile appesantire il sistema inutilmente, altrimenti prendevo un router senza firewall...

[ilpik]

Quote:

Originariamente inviato da gohan
ovviamente il discorso firewall sw va preso in considerazione in base alle esigenze di sicurezza che uno ha: cmq già avere un NAT e una protezione DDoS ed eventualmente SPI ti mette al riparo dal 80-85% dei possibili attacchi-problemi di sicurezza.

Ovviamente concordo al 110 %

Quello che voglio esprimere é che, attivato il NAT del router ed il fw hardware (A02-RA3) ho apprezzato un mucchio di raffinatezze possibili col fw software, i cui log sono ora leggibili, nel senso che si limitano a poche decine di righe al giono, e permettono di ritagliare gli accessi alla / dalla rete allo stretto indispensabile.
Un buon esempio é la possibilità di bloccare ad OE le porte 80 e 8080, evitando di scaricare pesanti mail policrome (99% é spam)
Altro esempio é l'immediata e dettagliata notifica di tentativi di accesso al web da parte di worms che si fossero comunque intrufolati nel sistema ...

Sembra un pò paranoico, ma essendo all'oscuro delle reali possibilità di chi ama creare fastidi ai normali navigatori, la sensazione di avere un buon controllo sul traffico mi rasserena ...

Ciao

[rbianco]

Finora credo di essermi fatto un'idea corretta grazie ai vostri interventi.

In pratica, avendo un firewall hardware potrei già essere "abbastanza" tranquillo. Diciamo che non mi interessa se un software vuole accedere ad Internet: in tal caso posso proprio essere tranquillo del tutto, se ho capito bene.

In particolare penso ad un PC con 1 o 2 software p2p sempre attivi: non rischio che qualcuno vada a prelevare/rovinare file in quel computer, insomma?

[gohan]

bhe... per il problema OE, io uso outlook2003 e non ha quel problema!

[CH1CC0]

Quote:

Originariamente inviato da gohan
spero tu non voglia insegnare a me come funziona un nat visto che, evidentemente, non hai chiaro di come funziona.
Se vuoi ti do il mio ip pubblico e voglio vedere cosa riesci a vedere della mia lan: al massimo vedi le porte aperte nattate che uso per determinati servizi, ma di certo non accedi ai miei pc.
Inoltre per intercettare il traffico come dici tu, devi essere su un nodo internet, non lo può fare uno da casa (ribadisco il discorso: se uno ha la possibilità di sniffare il traffico di certo non viene a sniffare il nostro) e se poi anche riuscisse a stabilirsi sulla connessione che può fare? nulla... visto che l'unica cosa che potrebbe fare è mandare dati alla porta aperta dall'applicazione che è andata su internet (tipo IE): se tu sei a conoscenza di un modo per prendere il controllo di un pc in questo modo, spiegacelo perchè ad oggi non ho mai letto di nulla di simile.

gohan, sicuramente la mia non era né una sfida, né un modo per insegnare a qualcuno qualcosa. Ti prego, inoltre, visto che non ho mai detto di volerti insegnare niente (non mi permetterei mai) di fare insinuazioni su argomenti di cui non hai alcuna certezza (ad esempio quello che so e quello che non so).

Punto 1: non ho detto di essere in grado di aprire il mondo, né tantomeno mi interessa andare a guardare il tuo traffico.
Punto 2: hodetto che si può intercettare il traffico, ed infatti tu stesso confermi che si può fare. Bisogna avere la possibilità di usare un nodo su internet, certo non è poco, ma non è impossibile.
Punto 3: per favore, siccome non ho alcuna intenzione di fare polemica con te, ti prego di evitare certi toni paternalistici e atteggiamenti da superiore.

Se ho inteso male il tuo post (cosa non impossibile, visto che i caratteri non esprimono sensazioni ben chiare), ti prego di spiegarmelo meglio.
In qualsiasi caso, ho concluso.

[gohan]

non voglio essere polemico, ma semplicemente cerco rimanere nell'ambito realista di quanto si sta dicendo: partendo dal presupposto che neanche un pc spento sia un pc sicuro, si tratta solo di analizzare i casi che possano effettivamente minacciare un pc domestico se no ogni persona dovrebbe dotarsi di un sistema di sicurezza tipo NSA (cosa non molto plausibile).
Io ho un pc sempre collegato con anche servizi di ftp, web, TS, ecc pubblici ma in tanti mesi non è mai stato intaccato.
All'atto pratico il nat mette al riparo da possibili attacchi da internet se nn hai il pc aggiornato, ma è chiaro che se poi non usi un antivirus e ti prendi un trojan un firewall SW è sicuramente più efficace.
Cerchiamo di rimanere nel lato più pratico che teorico.

[CH1CC0]

Quote:

Originariamente inviato da gohan
non voglio essere polemico, ma semplicemente cerco rimanere nell'ambito realista di quanto si sta dicendo: partendo dal presupposto che neanche un pc spento sia un pc sicuro, si tratta solo di analizzare i casi che possano effettivamente minacciare un pc domestico se no ogni persona dovrebbe dotarsi di un sistema di sicurezza tipo NSA (cosa non molto plausibile).
Io ho un pc sempre collegato con anche servizi di ftp, web, TS, ecc pubblici ma in tanti mesi non è mai stato intaccato.
All'atto pratico il nat mette al riparo da possibili attacchi da internet se nn hai il pc aggiornato, ma è chiaro che se poi non usi un antivirus e ti prendi un trojan un firewall SW è sicuramente più efficace.
Cerchiamo di rimanere nel lato più pratico che teorico.

Ok, daccordissimo con te.

Anch'io ho un semplice PC connesso in rete, non ho un sistema di protezione stile "bunker" e (ma lo dico pianissimo) non ho mai subito attacchi ed intrusioni.
Restando nel normale utilizzo end-user, può essere più che sufficiente un router con NAT OPPURE un firewall per le connessioni via modem.

Comunque ti spiego subito il motivo di quello che ho scritto:
lavoro in un ISP ed oltre a fornire connettività, gestiamo i servers di diverse società. A questi livelli, un attacco hacker/cracker non è assolutamente escluso.
Un semplice NAT non ci basta ed infatti i firewalls si sprecano in sala housing.
Non è difficile che qualcuno "con i contropifferi" si voglia fare un giro nella nostra rete ed a quel punto, il qualcuno, sicuramente ha un nodo su internet (legalmente ma soprattutto illegalmente), altrettanto sicuramente non ha problemi ad ottenere il privileged mode da un router...
Ammetto che questi livelli di sicurezza sono ESAGERATI per un semplice end-user, tuttavia ho visto fare magie ad esperti di sicurezza...

Giusto per conlcudere (sempre senza polemica alcuna ed analizzando un caso più unico che raro), se qualche male intenzionato volesse prendere di mira un pover end-user che ha un router con un NAT (e che magari è anche un pochino sprovveduto), non è proprio difficilissimo ottenere i privilegi su un router (per molti routers, si trovano in rete delle procedure già pronte da compilare, oppure quando vengono resi noti alcuni bug degli OS). Una volta ottenuti tali privilegi, il gioco è fatto ed il malintenzionato ha pieno accesso alla rete privata.
Ribadisco: il male intenzionato ha sempre un obiettivo ben chiaro in testa e di solito non è interessato a quello che c'è sull'hd del citato "povero end-user". (sul mio, ad es, troverebbe quasi esclusivamente film e musica... quindi gli basterebbe installare winmx ).

Il finale è questo: un NAT o un firewall sono più che sufficienti, ma tenerli aggiornati (naturlmente bisogna aggiornare anche il pc) è un'operazione necessaria (oltre al fatto che richiede 0euri e poco tempo )

[rbianco]

Quote:

Originariamente inviato da CH1CC0
Il finale è questo: un NAT o un firewall sono più che sufficienti, ma tenerli aggiornati (naturlmente bisogna aggiornare anche il pc) è un'operazione necessaria (oltre al fatto che richiede 0euri e poco tempo )

Ottimo, allora già rispetto queste condizioni (tra l'altro mi è arrivato da mezz'ora il nuovo DG834 con firewall integrato ).
Se non ci sono aggiunte, mi ritengo soddisfatto.
Grazie 1k per il vostro intervento.

[gohan]

è normale che che un ISP che abbia vari server abbia una dotazione di sicurezza più sofisticata di un NAT.
E poi, dai.... mica tutti i router hanno bug così seri (oltre al fatto che chi proprio non avesse nulla da fare che provare a forzare il mio router deve sapere che modello è e che firmware ha) e poi se le porte usare per il managment dall'esterno sono chiuse, la vedo dura riuscire a prendere il controllo del router.

[CH1CC0]

Quote:

Originariamente inviato da gohan
è normale che che un ISP che abbia vari server abbia una dotazione di sicurezza più sofisticata di un NAT.
E poi, dai.... mica tutti i router hanno bug così seri (oltre al fatto che chi proprio non avesse nulla da fare che provare a forzare il mio router deve sapere che modello è e che firmware ha) e poi se le porte usare per il managment dall'esterno sono chiuse, la vedo dura riuscire a prendere il controllo del router.

Sì, ma premettiamo che non sei il famoso "utente sprovveduto"

Inoltre, anche quello di chiudere le porte di mgmt dall'esterno è una sorta di FW (semplice ma è sempre un FW).

[Coyote74]

Scusate l'intromissione, ma sono stato colto da un dubbio. Io possiedo un router Zyzel 645R, che se non sbaglio non gestisce il NAT. Questo vuol dire che se non usassi un FW software sarei completamente indifeso dalla rete web?

[CH1CC0]

Se non gestisce il NAT, come fai ad andare in internet?
Il tuo router girerebbe i tuoi indirizzi privati su internet (cosa moooooolto rischiosa ed anche passibile di denuncia).

[gohan]

Quote:

Originariamente inviato da CH1CC0
Sì, ma premettiamo che non sei il famoso "utente sprovveduto"

Inoltre, anche quello di chiudere le porte di mgmt dall'esterno è una sorta di FW (semplice ma è sempre un FW).

bhe... il mio router le chiude già di suo come di solito fanno già la stragrande maggioranza dei router in commercio.