Frammentare una rete.

[N@pster792]

ciao a tutti. ho un rpoblema assai grosso.

sto facendo una rete aziendale in cui i dati sono altamente importanti e segreti. quindi tutta la rete viaggia su cavo gigabit.

il problema nasce dal fatto che l'ufficio e sottocasa, quindi il cliente voleva usare l'adsl anche x la casa, pero la casa e in wireless.

Se io metto router-->firewall-->wireless, il problema è che devo aprire la 80 per poter far navigare in wireless, ne consegue che l'interfaccia della nas e del router sono scoperte. (tutto questo se uno butta giu una wpa2 e un mac filter).

quindi sono arrivato a 2 conslusioni, o cambio l'interfaccia di rete del router e della nas, o faccio due abbonamenti dsl, uno per la casa, e uno per la rete aziendale.

Qualcuno ha alternative??

[wizard1993]

la butto la,proxy?

[N@pster792]

Quote:

Originariamente inviato da wizard1993

la butto la,proxy?

non male, ma sinceramente eviterei pc, poi proxy sinceramente non li conosco, cerco una cosa funzionale e semplice...

[N@pster792]

Dal momento che il router non mi da la possibilita di cambiare la porta (non posso cambiare il router perche e un vdsl) dovrei reindirizzare il traffico web sulla porta 90 x dire, in maniera da chiudere la 80 sul firewall, che ne dite?

Poi stavo pensando che cmq in una rete aziendale, il router non si puo mai vedere, questo come è possibile? cioe a me serve poter filtrare la porta 80 in maniera da consentire l'accesso solo a interent e non alle interfaccie.

Se io installo un router quindi l'access point lo porto su 192.168.2.xxx posso dirgli di negare l'accesso a tutti gli ip 192.168.1.xxx?

[slowped]

Quote:

Originariamente inviato da N@pster792

Dal momento che il router non mi da la possibilita di cambiare la porta (non posso cambiare il router perche e un vdsl) dovrei reindirizzare il traffico web sulla porta 90 x dire, in maniera da chiudere la 80 sul firewall, che ne dite?

Molto più semplicemente, perché non impostare il firewall in modo da negare l'accesso alla porta 80 del router?

Quote:

Originariamente inviato da N@pster792

a me serve poter filtrare la porta 80 in maniera da consentire l'accesso solo a interent e non alle interfaccie.

Devi impostare una regola del firewall simile a questa:

deny source_ip: any source_port: any destination_ip: ip.del.router destination_port: 80

Quote:

Originariamente inviato da N@pster792

Se io installo un router quindi l'access point lo porto su 192.168.2.xxx posso dirgli di negare l'accesso a tutti gli ip 192.168.1.xxx?

Sì, è sufficiente disabilitare il routing tra la 192.168.2.0/24 e 192.168.1.0/24 (attenzione: il router della rete con l'access point deve poter accedere comunque al router vdsl, altrimenti la prima rete non naviga).

[N@pster792]

Quote:

Originariamente inviato da slowped

Molto più semplicemente, perché non impostare il firewall in modo da negare l'accesso alla porta 80 del router?



Devi impostare una regola del firewall simile a questa:

deny source_ip: any source_port: any destination_ip: ip.del.router destination_port: 80



Sì, è sufficiente disabilitare il routing tra la 192.168.2.0/24 e 192.168.1.0/24 (attenzione: il router della rete con l'access point deve poter accedere comunque al router vdsl, altrimenti la prima rete non naviga).

Grande!! Non uso firewall professionali perche non ho mai avuto l'occassione, ma mi piaccono parecchio sai

Dal router alla rete aziendale non ce problema, non dovrebbero eserci attacchi da internet(sarebbe meglio cmq un firewall), invece per quanto riguarda dopo dovrei installare un firewall tra il router vdsl e l'access point, quindi chiudere tutte le porte, lasciare aperta la 80 e bloccare la 80 sull'ip del router e sull'ip della nas.

Come firewall avrei scelto uno zyxel ZyWall 2 plus, mi costa circa 180 euro, ma deve essere una cosa affidabile.

http://www.zyxel.it/web/product_fami...7-4660CF8649C8

che mi dici? e tutto fattibile?

Domanda: Dal momento che il firewall incorpora uno switch, posso usarlo come doppio switch su due porte distinte?

Ovvero lo uso come firewall per la rete aziendale per le instrusione da internet, e poi lo blocco del tutto sulla porta 2 lasciando aperta la 80 e lo collego all'access point? sta in piedi o e una mia fantasia?

Dal firewall stesso è sempre possibile bloccare la porta 80 su di lui, quindi sull'ip del firewall se no trovata quella pwd e a pezzzi tutto?giusto?

grazie mille

[slowped]

Quote:

Originariamente inviato da N@pster792

Dal router alla rete aziendale non ce problema, non dovrebbero eserci attacchi da internet(sarebbe meglio cmq un firewall), invece per quanto riguarda dopo dovrei installare un firewall tra il router vdsl e l'access point, quindi chiudere tutte le porte, lasciare aperta la 80 e bloccare la 80 sull'ip del router e sull'ip della nas.

Secondo me stai perdendo di vista le priorità. Hai una rete aziendale che deve essere protetta in quanto, come tu stesso ha scritto, i dati sono altamente importanti e segreti. Se questo è l'obiettivo prioritario, io adotterei una soluzione cosi

Codice:

       _____ rete domestica
vdsl__/
      \_____firewall_____rete aziendale

In questo modo hai il firewall che protegge la rete aziendale da tutto, inclusi eventuali attacchi provenienti dagli host della rete casalinga.

Anzi, eliminerei del tutto l'accesso della rete domestica alla rete aziendale: 20 euri al mese di alice e ognuno sta sulla sua propria rete.

[N@pster792]

Quote:

Originariamente inviato da slowped

Secondo me stai perdendo di vista le priorità. Hai una rete aziendale che deve essere protetta in quanto, come tu stesso ha scritto, i dati sono altamente importanti e segreti. Se questo è l'obiettivo prioritario, io adotterei una soluzione cosi

Codice:

       _____ rete domestica
vdsl__/
      \_____firewall_____rete aziendale

In questo modo hai il firewall che protegge la rete aziendale da tutto, inclusi eventuali attacchi provenienti dagli host della rete casalinga.

Anzi, eliminerei del tutto l'accesso della rete domestica alla rete aziendale: 20 euri al mese di alice e ognuno sta sulla sua propria rete.

COme avevo già scritto, la mia idea era quella di fare 2 collegamenti dsl distinti cosi è sicura al 100%. Per quanto riguada la tua solizione sono d'accordo, pero bloccando tutte le porte tranne la 25 la 110 e la 80 (piu altre porte dei programmi), mi resterebbe scoperto il router dalla casalinga, ma non eun problema. il più è come evitare che qualcuno si collegi alla 80 dalla casalinga alla aziendale. devo tolgiere i permessi a quella fascai di ip destinati all'wireless.

Praticamente devo inserire una regola che l'idirizzo ip 192.168.1.xxx quello della nas non sia accessibile da dietro al firewall, quindi accessibile sulla 80 solo dalla rete aziendale cablata.

correggimi se sbaglio.

per quanto riguarda il modello cosa ne dici?

grazie mille

[slowped]

Quote:

Originariamente inviato da N@pster792

Per quanto riguada la tua solizione sono d'accordo, pero bloccando tutte le porte tranne la 25 la 110 e la 80 (piu altre porte dei programmi),

Stai parlando di traffico ingresso o in uscita? Se la rete aziendale non espone servizi all'esterno, configura il firewall con un bel "deny all" e risolvi il problema alla radice.

Quote:

Originariamente inviato da N@pster792

mi resterebbe scoperto il router dalla casalinga, ma non eun problema. il più è come evitare che qualcuno si collegi alla 80 dalla casalinga alla aziendale. devo tolgiere i permessi a quella fascai di ip destinati all'wireless.

Io ribalterei il poblema: se il router lo consente, configuralo in modo da eccettare connessioni all'interfaccia amministrativa solo da alcuni IP.

Quote:

Originariamente inviato da N@pster792

Praticamente devo inserire una regola che l'idirizzo ip 192.168.1.xxx quello della nas non sia accessibile da dietro al firewall, quindi accessibile sulla 80 solo dalla rete aziendale cablata.

L'ho scritto poco sopra: se non hai esigenze particolari che te lo impediscono, è molto meglio chiudere la rete aziendale a tutto il traffico entrante.

Quote:

Originariamente inviato da N@pster792

per quanto riguarda il modello cosa ne dici?

Non lo conosco. A mio giudizio, ti andrebbe bene anche un firewall di fascia bassa.

[N@pster792]

OKay sono in chiaro. No il router è una baracca (pero essendo vdsl devo usare i router prorietari) addirittura dall'interfaccia web non puoi piu modificare niente perche e tutto bloccato, ti devi collegare al sito del provider e modificarle da li...no comment, da tlenet puoi fare tutto.

Cmq se uno riesce a buttarmi giu una wpa2 da 40 caratteri alfanumerica cambiata ogni mese, un filtro mac e a trovarmi la pwd del router vado a fargli i complimenti personalmente. apparte che trovata la pwd del router fa poco niente, anzi nulla.

Mentre per il firewall direi ok. Ho in giro un router della d-link che integra firewall, se metto quello come firewall fascai bassa dici che e suffi?

grazie mille di tutto

[N@pster792]

SO good!!

MI sono messo a provar il d-link d601.

Ho bloccato tutto, adesso sulla rete 192.168.1.xxx non vedo niente, se provo a pingare l'ip del router (dlink) me lo rileva ma non ci accede ne da web ne da telnet. quinid la rete 192.168.2.xx resta completamente tagliata fuori.

In pratica dalla 192.168.2.xxx faccio quello che volgio nel senso che vedo anche la 192.168.1.xxx pero dalla 192.168.1.xxx non vedo la 192.168.1.xxx e direi che è il top.

Dovrei essere aposto cosi? più tutta la protezione del wireless...?!

[slowped]

Quote:

Originariamente inviato da N@pster792

Mentre per il firewall direi ok. Ho in giro un router della d-link che integra firewall, se metto quello come firewall fascai bassa dici che e suffi?

Dipende, puoi usarlo se l'interfaccia WAN è ethernet.

[N@pster792]

Quote:

Originariamente inviato da slowped

Dipende, puoi usarlo se l'interfaccia WAN è ethernet.

certo certo. interfaccia wan rete e 4 porte lan (poi esco con uno per entrare in gigabit) pero direi che cosi e tutto bloccato.

grazie mille, trovarne di gente come te sui forum