LAN protetta con Fastweb

flavioeffe · 04-09-2018, 11:53

Ciao a tutti e complimenti per la vostra preparazione.
Vi va di darmi un consiglio su come proteggere la mia rete?

Ho l’ultimo Hug di Fastweb, quello dell’ultrafibra, e vorrei attaccare direttamente ad una delle sue porte la mia LAN per accedere sia ad internet che alla LAN direttamente da Wi-Fi. Però vorrei proteggere la LAN.

Avevo pensato a questa soluzione:
- creare una rete guest per lasciare il wi-fi accessibile a chiunque conosca la pass, quindi a me e agli amici.
- nella rete che invece accede alla LAN, quella per me e pochi altri, vorrei aggiungere uno switch managed (ad es. Linksys LGS308-EU), che mi dovrebbe aiutare un minimo grazie al MAC binding e filtering.

In questo modo, se qualcuno vuole entrare nella mia LAN deve bucare la chiave wireless, uscire dalla rete guest, trovare l’ulteriore pass dello switch managed, accedere alla MAC table e spooffare il MAC address. Non è il massimo ma è meglio di niente

Voi conoscete altre soluzioni che non siano costosissime o device migliori?

Grazie, ciao.

Dumah Brazorf · 04-09-2018, 13:19

La rete guest per definizione è separata dal resto della LAN. Non c'è possibilità che qualcuno possa accedere alla LAN nè alla pagina di configurazione dell'hag. I client sono anche isolati tra loro.

flavioeffe · 04-09-2018, 13:47

Quote:

Originariamente inviato da Dumah Brazorf

La rete guest per definizione è separata dal resto della LAN. Non c'è possibilità che qualcuno possa accedere alla LAN nè alla pagina di configurazione dell'hag. I client sono anche isolati tra loro.

Grazie mille per la spiegazione utilissima: primo problema eliminato!
Ora rimane solo da capire se si può evitare il rischio che qualcuno riesca ad accedere tramite il Wi-Fi standard (quella che uso io per accedere a internet e LAN) o tramite internet, e a quel punto arrivi alla LAN e quindi al NAS.
Lo switch managed con filtro sui Mac address può funzionare in questo senso? Esistono soluzioni migliori? Anni fa ho provato alcuni firewall HW ma era necessario usarli come gateway e collegare tutti i device alla sua ulteriore LAN, peggiorando così le prestazioni di rete.
Oggi sono migliorati?

Dumah Brazorf · 04-09-2018, 15:32

Secondo me sei ipocondriaco.
Usa wpa2/aes e password a lettere e numeri casuali, cambiala ogni anno e non impazzire su problemi inesistenti.

flavioeffe · 04-09-2018, 18:01

Quote:

Originariamente inviato da Dumah Brazorf

Secondo me sei ipocondriaco.
Usa wpa2/aes e password a lettere e numeri casuali, cambiala ogni anno e non impazzire su problemi inesistenti.

Sulla password sicura sfondi una porta aperta, mentre non sono molto convinto sui problemi inesistenti...

In ogni caso, il firewall (per lo meno quelli vecchi che usavo io) mi costringerebbe ad avere tutti i device nella sua LAN, e quindi di avere sempre un passaggio tra LAN e device in più, inoltre il suo intervento sui pacchetti sarebbe invasivo (salvo regole dedicate); il tutto peggiorando le performance (ad esempio nel gaming).

Lo switch managed potrebbe essere molto più snello visto che funziona sulla stessa rete del router Fastweb, che processa meno e che potrebbe essere installato anche solo a monte degli apparecchi da proteggere (vedi NAS) e quindi incidere solo su quelli. Ma il MAC binding e filtering possono essere considerati strumenti rilevanti in termini di sicurezza (ovviamente abbinati ad accesso sotto credenziali)? Ho dei dubbi, mentre non ho dubbi sulla loro utilità in termini gestionali.

peg1987 · 05-09-2018, 06:25

Tendenzialmente la rete si protegge da attacchi esterni, non da interni (questo è vero fino ad un certo punto).
Bucare un WPA 2 se metti una password lunghina e non in un dizionario ci vogliono anni per decrittarla.
Quando hai messo un buon AP, sei già a posto. Telo dice uno che ha switch managed ed un utm a gestire la rete.
Mac Binding/filering, è facilmente aggirabile. Se uno ti crakka il wifi, ficuramene non sarà quello a fermarlo.
Ma supponendo anche che qualcuno riesca ad entrare, che cosa vuoi proteggere esattamente? Gli utenti del nas hanno nome e password proprietari, quindi non sono in pericolo.
Poi per carità i mezzi per proteggere gli accessi wifi ci sono, ma richiedono una struttura sotto non semplice. ES: radius, certificati, ecc. Si usano in ambienti aziendali dove bisogna dare dei limiti agli utenti e soprattuto sono collegate alle varie policy aziendali.
Come ti è stato detto, segli una password bella forte per la WPA2 e sei a posto.

P.S. Non uso un firewall perchè ho paura degli attacchi esterni, ma perchè mi piace gestire la mia rete in modo più puntale ed analizzare il traffico in momenti molto intensi.

04-09-2018, 11:53	#1
flavioeffe Junior Member Iscritto dal: Jul 2007 Messaggi: 4	LAN protetta con Fastweb Ciao a tutti e complimenti per la vostra preparazione. Vi va di darmi un consiglio su come proteggere la mia rete? Ho l’ultimo Hug di Fastweb, quello dell’ultrafibra, e vorrei attaccare direttamente ad una delle sue porte la mia LAN per accedere sia ad internet che alla LAN direttamente da Wi-Fi. Però vorrei proteggere la LAN. Avevo pensato a questa soluzione: - creare una rete guest per lasciare il wi-fi accessibile a chiunque conosca la pass, quindi a me e agli amici. - nella rete che invece accede alla LAN, quella per me e pochi altri, vorrei aggiungere uno switch managed (ad es. Linksys LGS308-EU), che mi dovrebbe aiutare un minimo grazie al MAC binding e filtering. In questo modo, se qualcuno vuole entrare nella mia LAN deve bucare la chiave wireless, uscire dalla rete guest, trovare l’ulteriore pass dello switch managed, accedere alla MAC table e spooffare il MAC address. Non è il massimo ma è meglio di niente Voi conoscete altre soluzioni che non siano costosissime o device migliori? Grazie, ciao.

04-09-2018, 13:19	#2
Dumah Brazorf Bannato Iscritto dal: Oct 2002 Messaggi: 29264	La rete guest per definizione è separata dal resto della LAN. Non c'è possibilità che qualcuno possa accedere alla LAN nè alla pagina di configurazione dell'hag. I client sono anche isolati tra loro.

04-09-2018, 15:32	#4
Dumah Brazorf Bannato Iscritto dal: Oct 2002 Messaggi: 29264	Secondo me sei ipocondriaco. Usa wpa2/aes e password a lettere e numeri casuali, cambiala ogni anno e non impazzire su problemi inesistenti.

05-09-2018, 06:25	#6
peg1987 Senior Member Iscritto dal: Jul 2010 Città: Forlì Messaggi: 1850	Tendenzialmente la rete si protegge da attacchi esterni, non da interni (questo è vero fino ad un certo punto). Bucare un WPA 2 se metti una password lunghina e non in un dizionario ci vogliono anni per decrittarla. Quando hai messo un buon AP, sei già a posto. Telo dice uno che ha switch managed ed un utm a gestire la rete. Mac Binding/filering, è facilmente aggirabile. Se uno ti crakka il wifi, ficuramene non sarà quello a fermarlo. Ma supponendo anche che qualcuno riesca ad entrare, che cosa vuoi proteggere esattamente? Gli utenti del nas hanno nome e password proprietari, quindi non sono in pericolo. Poi per carità i mezzi per proteggere gli accessi wifi ci sono, ma richiedono una struttura sotto non semplice. ES: radius, certificati, ecc. Si usano in ambienti aziendali dove bisogna dare dei limiti agli utenti e soprattuto sono collegate alle varie policy aziendali. Come ti è stato detto, segli una password bella forte per la WPA2 e sei a posto. P.S. Non uso un firewall perchè ho paura degli attacchi esterni, ma perchè mi piace gestire la mia rete in modo più puntale ed analizzare il traffico in momenti molto intensi.

Strumenti
Mostra una versione stampabile Invia questa pagina per email