Firewall hardware SPI e porte

[Mene79]

Salve a tutti, ho da poco installato la mia rete wireless domestica.Vado subito al punto: vorrei attivare il firewall sul mio router (visto ke l'ho pagato... ) ma non ho idea di come configurare le porte in entrata ed uscita e su quali protocolli (TPC o UDP).

Potete darmi qualke indicazione su quali porte sarebbe meglio chiudere e quali aprire per avere una buona protezione per una rete "domestica" senza avere problemi con i programmi standard (explorer, ftp, posta, emule).

Aiutatemi.... sono tantissime!!!

Grazie!!!!!!

PS. Ho sbagliato ed ho aperto una discussione identica nel forum "Antivirus e Sicurezza": chiedo perdono per la lamerata...

[pegasolabs]

Per il P2P:
http://www.hwupgrade.it/forum/showthread.php?t=1429103
http://www.hwupgrade.it/forum/showthread.php?t=1420158

[Mene79]

Grazie...

[gohan]

il NAT del router cmq blocca tutte le connessioni in entrata, quindi a meno che tu non voglia limitare esplicitamente certe porte, non c'è una così grossa necessità di impostare il firewall (a meno che uno abbia un rete interna con IP pubblici)

[pegasolabs]

Quote:

Originariamente inviato da gohan

il NAT del router cmq blocca tutte le connessioni in entrata, quindi a meno che tu non voglia limitare esplicitamente certe porte, non c'è una così grossa necessità di impostare il firewall (a meno che uno abbia un rete interna con IP pubblici)

Si, ma non blocca quelle in uscita . Poi anche sulla prima affermazione c'è da discutere:
http://www.hwupgrade.it/forum/showth...&highlight=NAT

[as10640]

Quote:

Originariamente inviato da pegasolabs

Si, ma non blocca quelle in uscita . Poi anche sulla prima affermazione c'è da discutere:
http://www.hwupgrade.it/forum/showth...&highlight=NAT

Quoto.
Un firewall che si rispetti parte, appena installato, dalla configurazione "tutto chiuso", anche l'HTTP..... sia in ingresso che in uscita.... condizione ben diversa da un router....

[gohan]

se vogliamo parlare della teoria ve bene, ma stiamo parlando di una rete domestica non della rete del pentagono.
Ok non blocca le porte in uscita, ma che necessità ci sarebbe di farlo? per un possibile spyware/trojan? basta che si mettano ad usare la porta 80 e lo stesso possono uscire. Non sto dicendo che il NAT da una sicurezza assoluta, però cerchiamo di mantenere una certo grado di fattibilità pratica senza teorizzare troppo.

Ho letto l'articolo, ma alla fine uno come fa a controllare se è veramente affetto da questo tipo di "vulnerabilità"? Se ho capito bene basta che uno abbia un routerino che implementi un firewall SPI e questo attacco non può andare a buon fine, giusto?

[as10640]

Quote:

Originariamente inviato da gohan

se vogliamo parlare della teoria ve bene, ma stiamo parlando di una rete domestica non della rete del pentagono.
Ok non blocca le porte in uscita, ma che necessità ci sarebbe di farlo? per un possibile spyware/trojan? basta che si mettano ad usare la porta 80 e lo stesso possono uscire. Non sto dicendo che il NAT da una sicurezza assoluta, però cerchiamo di mantenere una certo grado di fattibilità pratica senza teorizzare troppo.

Ho letto l'articolo, ma alla fine uno come fa a controllare se è veramente affetto da questo tipo di "vulnerabilità"? Se ho capito bene basta che uno abbia un routerino che implementi un firewall SPI e questo attacco non può andare a buon fine, giusto?

No... non è teoria... è la base di qualsiasi rete aziendale...

[gohan]

mi sono spiegato male: che un firewall aziendale debba partire tutto chiuso va bene ed è giusto così, ma per la teoria intendevo la questione sul NAT.

[as10640]

Quote:

Originariamente inviato da gohan

mi sono spiegato male: che un firewall aziendale debba partire tutto chiuso va bene ed è giusto così, ma per la teoria intendevo la questione sul NAT.

Si... vabbè.... ma non possiamo noi giudicare se è giusto o sbagliata la soluzione che il nostro amico ci chiede... dobbiamo partire dal presupposto che è ciò che vuole ottenere...

[Nockmaar]

UPnP FTW!

P.S.

Ricordo che per Explorer, FTP, Posta e via dicendo non c'e ' bisogna di aprire nessuna porta.

Ovvio che per i programmi di filesharing ( o servizi che si hostano sulla macchina ), si. Ma in questo caso si puo' usare il succitato UPnP, che facilita di molto le cose ( e soprattutto permette di aprire porte a random senza intervenire manualmente sul router ).

[pegasolabs]

Quote:

Originariamente inviato da Nockmaar

UPnP FTW!
P.S.
Ricordo che per Explorer, FTP, Posta e via dicendo non c'e ' bisogna di aprire nessuna porta.
Ovvio che per i programmi di filesharing ( o servizi che si hostano sulla macchina ), si. Ma in questo caso si puo' usare il succitato UPnP, che facilita di molto le cose ( e soprattutto permette di aprire porte a random senza intervenire manualmente sul router ).

Scusa ma stiamo cercando con difficoltà di metterci d'accordo sul significato di "sicurezza": l'UPNP con questa parola non c'entra niente.
Comunque l'UPNP interviene solo sul NAT e non sul Firewall.
Inoltre anche per http, ftp, etc c'è bisogno di aprire le porte del firewall...in uscita.
Se usi solo il NAT non è necessario.

@gohan: convengo che ci sono un sacco di persone che vanno avanti col solo NAT (i vecchi router soho non hanno firewall SPI ad esempio) e forse non hanno mai avuto problemi, ma io ho solo risposto all'amico che chiedeva del Firewall. Poi a riguardo ovviamente ognuno è libero di seguire la propria "filosofia".
Io credo che bisogna sfruttare al massimo ciò che si ha a disposizione in ottica sicurezza, anche se questa strada non è mai la più comoda e sono del partito di quelli che vogliono avere sotto controllo sempre "chi,cosa e dove" entra e esce.