[Thread Ufficiale] DLink DSL-2740B Modem router 802.11n Wireless ADSL2/2+

[awemo]

Quote:

Originariamente inviato da MarkoRussinuovo

4° una curiosità:
ho notato che cliccando su un qualsiasi punto della zona arancione del menù del router, una volta loggato, si naviga in internet nel sito della D-Link restando sempre nella pagina http://192.168.1.1/login.cgi. E' normale questo !?
Per spazio arancione intendo questo:

A me e' azzurro e non arancione e non navigo da nessuna parte...

DSL-2740B C2 firm EU 3.03

[MarkoRussinuovo]

Quote:

Originariamente inviato da awemo

A me e' azzurro e non arancione e non navigo da nessuna parte...
DSL-2740B C2 firm EU 3.03

va be' abbiamo capito e a questo punto è chiaro a chiunque che DSL-2740B C2 e DSL-2740B E1 sono macchine completamente diverse sia come caratteristiche hardware che di gestione e firmware

Purtroppo alla D-Link non hanno avuto molta fantasia nei nomi, non si sono sprecati e non so per quale motivo hanno cambiato solo il suffisso finale lasciando invariato il nome principale DSL-2740B

A tal proposito forse sarebbe meglio, ai fini del forum ed una maggiore aderenza alla realtà ed evitare confusione che il moderatore di sezione valutasse il caso di splittare il Thread differenziandolo per i due modelli che hanno storie e caratteristiche diverse.
Un thread dedicato al DSL-2740B C2
Ed un thread dedicato al DSL-2740B E1
..che ripeto sono macchine diverse, anche se condividono il nome principale.

[MarkoRussinuovo]

cmq raga' dopo varie prove e test ho capito 'na cosa: il router meno lo si tocca e meglio è.
Se lo si smanetta, il firmware non è proprio un fulmine di guerra, rimane memorizzata qualche impostazione ed hai poi difficoltà ad eseguire tutte le modifiche che vengono effettuate via interfaccia web. Almeno questo è quello che ho constatato finora. Insomma il firmware mi pare molto imperfetto.

Volevo segnalare, almeno per il modello DSL-2740B E1 che se si vuole mandare il router in recovery mode via hardware bisogna tenere pigiato il pulsante reset da router spento e, tenendo premuto il pulsate, accendere il router o con il pulsante di accendi/spegni o inserendo l'alimentazione.
Il metodo di tenere premuto il pulsante "reset" serve solo per ripristinare il router alle impostazioni di default (a prescindere la tempo che lo si tiene premuto) e non a mandare il router in modalità recovery come invece specificato il qualche post precedente.

La modalità recovery è segnalata dal fatto che le lucine di accensione sono di colore rosso invece che verde e che la lucina laterale (a dx del router) di colore blu fosforescente del WPS è accesa ed è fissa (non ad intermittenza).

Tra i vari problemi, continuo a nutrire forti dubbi sulla veridicità e l'efficacia dei rilevamenti del system log.

Inoltre volevo segnalare che il limite della lungazza della password di accesso al router è 12 caratteri alfanumerici e che, putroppo NON è accettato nessun carattere speciale. Questo sicuramente indebolisce la sicurezza del router nei confronti di eventuali attacchi esterni. E' sufficiente conoscere l'indirizzo IP (tutti i siti che si visitano conoscono l'idirizzo IP del router) che con un semplice programmino di hack è possibile risalire e scoprire la password ed entrare nella propria rete.
Questo per chi ha gli indirizzi IP dinamici, ancora peggio per chi ha l'IP fisso.
Insomma non mi pare che tale router abbia tutti i requistiti di sicurezza, anche se c'è la funzione CAPTCHA.

Sempre per motivi di sicurezza, gli sviluppatori potrebbero quanto meno dalla schermata di accesso togliere il riferimento al firmware installato ed al modello di router , almeno così i malintenzionati hanno elementi in meno su cui fare affidamento.

Questa mi pare proprio una leggerezza da parte degli sviluppatori sotto il profilo della sicurezza che invece è di fondamentale importanza.
La mascera di log alla quale mi riferisco è questa:


..insomma qualche esperto mi dia qualche conforto perchè in effetti c'è il rischio che tale bel routerino alla fine lo butto nel cestino. La cosa dispiacerebbe perchè tale aggeggio anche se non è proprio di carattere professione oggi costa intorno ai 100 euro ed anche oltre e, per tale cifra, ci si aspetterebbe maggiore attenzione e professionalità da parte di chi sviluppa tale routerino.
Accettasi suggerimenti su qualcosa di migliore anche se più costoso, perchè sulla sicurezza non si transige e non si guardano i 40 euro in più che sono ben spesi se poi uno deve stare a rischio ogni volta che si collega ad internet (cioè praticamente sempre).

[edit:]
inoltre c'è da dire che le combinazioni dei caratteri CAPTCHA sono 5 e solo in lettere maiuscole, non contemplano nè numeri, nè lettere minuscole e nè caratteri speciali.

[Carciofone]

Quote:

Originariamente inviato da MarkoRussinuovo

cmq raga' dopo varie prove e test ho capito 'na cosa: il router meno lo si tocca e meglio è.
Se lo si smanetta, il firmware non è proprio un fulmine di guerra, rimane memorizzata qualche impostazione ed hai poi difficoltà ad eseguire tutte le modifiche che vengono effettuate via interfaccia web. Almeno questo è quello che ho constatato finora. Insomma il firmware mi pare molto imperfetto.

Volevo segnalare, almeno per il modello DSL-2740B E1 che se si vuole mandare il router in recovery mode via hardware bisogna tenere pigiato il pulsante reset da router spento e, tenendo premuto il pulsate, accendere il router o con il pulsante di accendi/spegni o inserendo l'alimentazione.
Il metodo di tenere premuto il pulsante "reset" serve solo per ripristinare il router alle impostazioni di default (a prescindere la tempo che lo si tiene premuto) e non a mandare il router in modalità recovery come invece specificato il qualche post precedente.

La modalità recovery è segnalata dal fatto che le lucine di accensione sono di colore rosso invece che verde e che la lucina laterale (a dx del router) di colore blu fosforescente del WPS è accesa ed è fissa (non ad intermittenza).

Tra i vari problemi, continuo a nutrire forti dubbi sulla veridicità e l'efficacia dei rilevamenti del system log.

Inoltre volevo segnalare che il limite della lungazza della password di accesso al router è 12 caratteri alfanumerici e che, putroppo NON è accettato nessun carattere speciale. Questo sicuramente indebolisce la sicurezza del router nei confronti di eventuali attacchi esterni. E' sufficiente conoscere l'indirizzo IP (tutti i siti che si visitano conoscono l'idirizzo IP del router) che con un semplice programmino di hack è possibile risalire e scoprire la password ed entrare nella propria rete.
Questo per chi ha gli indirizzi IP dinamici, ancora peggio per chi ha l'IP fisso.
Insomma non mi pare che tale router abbia tutti i requistiti di sicurezza, anche se c'è la funzione CAPTCHA.

Sempre per motivi di sicurezza, gli sviluppatori potrebbero quanto meno dalla schermata di accesso togliere il riferimento al firmware installato ed al modello di router , almeno così i malintenzionati hanno elementi in meno su cui fare affidamento.

Questa mi pare proprio una leggerezza da parte degli sviluppatori sotto il profilo della sicurezza che invece è di fondamentale importanza.
La mascera di log alla quale mi riferisco è questa:


..insomma qualche esperto mi dia qualche conforto perchè in effetti c'è il rischio che tale bel routerino alla fine lo butto nel cestino. La cosa dispiacerebbe perchè tale aggeggio anche se non è proprio di carattere professione oggi costa intorno ai 100 euro ed anche oltre e, per tale cifra, ci si aspetterebbe maggiore attenzione e professionalità da parte di chi sviluppa tale routerino.
Accettasi suggerimenti su qualcosa di migliore anche se più costoso, perchè sulla sicurezza non si transige e non si guardano i 40 euro in più che sono ben spesi se poi uno deve stare a rischio ogni volta che si collega ad internet (cioè praticamente sempre).

[edit:]
inoltre c'è da dire che le combinazioni dei caratteri CAPTCHA sono 5 e solo in lettere maiuscole, non contemplano nè numeri, nè lettere minuscole e nè caratteri speciali.

Col firmware 5.17 ho fatto 10 login consecutivi e le password di 5 lettere non erano mai uguali e compaiono lettere maiuscole e alcune che sembrano minuscole, ma la stringa non è case sensitive.
La sicurezza assoluta in mancanza di un'utilità ad avere l'amministrazione remota sta nel disabilitarla e lasciarla solo da lan (di default è così), oppure ammetterla solo per ip specifici. Quindi il router non è in attesa di contatti da internet sulla sua interfaccia web (Advanced\Remote management).

Quanto agli alert del firewall, ripeto, i log riportano gli inteventi bloccati perchè gli attacchi
a) sono arrivati su porte chiuse o stealth dal firewall (prima linea di difesa),
b) sono stati intercettati dal firewall SPI (seconda linea cui si riferiscono le strategie di protezione contro i vari attacchi).
Se le connessioni rispettano tutte le regole di "ingaggio" perchè sono regolari o mascherate, il firewall non le logga e quindi non le vedi.

[morpheus.bn]

Ciao a tutti,
possiedo il 2740B aggiornato alla versione 2.93 e ho alcune domande:

1- il firmware 3.03 è stabile? Migliora in qualche modo l'apparato trattandosi di una Major release? Insomma, conviene aggiornare?

2- Sulla mia WLAN sono collegati diverse postazioni e tutte condividono ovviamente la connessione ad Internet; è possibile impostare delle regole che consentano di ripartire la banda disponibile per ciascun pc e qual'è la procedura da seguire?

Se non sbaglio è stato già trattato l'argomento ma pur cercando nel thread non sono riuscito a trovare la pagina di riferimento..

Grazie

[hermes21]

Ciao bagai

possiedo il 2740B aggiornato alla versione 2.93...

però ho qualche problemino...

durante i download la velocità di scaricamento è veramente discontinua...prima 1,5mbs, dopo un secondo 200kbs, successivamente 20kbs...poi ritorna ai massimi livelli e così via....

da cosa può dipendere?

ho alice 20 mega...

ho una richiesta da farvi...potreste darmi tutte le impostazioni migliori per la mia connessione?

grazie

[MarkoRussinuovo]

Quote:

Originariamente inviato da Carciofone

Col firmware 5.17 ho fatto 10 login consecutivi e le password di 5 lettere non erano mai uguali e compaiono lettere maiuscole e alcune che sembrano minuscole, ma la stringa non è case sensitive.

Si, hai ragione, vista l'ora tarda e "cotto" dalle varie prove mi sono espresso proprio male.
Per il CAPTCHA volevo in effetti dire che le caselle delle lettere sono solo 5 e compaiono solo le 26 lettere dell'alfabeto inglese, rappresentate in carattere maiuscolo, ma che si possono digitare anche in minuscolo non essendo appunto come dicevi tu "case sensitive". Quindi nessuna differenza tra maiuscole e minuscole. In tale sistema non vi sono i numeri e i caratteri speciali.

Mentre per la password di accesso confermo che può essere lunga massimo 12 caratteri e che è consentito inserire solo lettere dell'alfabeto inglese (quindi 26) in maiuscolo ed in minuscolo più i numeri da 0 a 9, ma non è consentito inserire alcun tipo di carattere speciale e lettere accentate (èéòàù) o particolari ç.

Ciao

[Carciofone]

Bisogna tener presente che la funzione del CAPTCHA è di sicurezza in senso relativo, cioè serve a limitare gli attacchi brute force di robot automatici. Quante siano le lettere non è determinante, quanto piuttosto se le fotografie in cui sono composte siano interpretabili o meno da sistemi OCR automatici. In realtà potrebbero bastarne anche 3 o 4.

[MarkoRussinuovo]

Grazie Carciofone per le puntuali, precise e competenti risposte/interventi.
Desideravo solo chiederti se abilitando il "Remote Managment" sulla porta 80 (HTTP) per poter accedere alla mia rete interna dall'esterno, posso stare abbastanza tranquillo con una password alfanumerica di 12 caratteri e l'abilitazione CAPTCHA. Cioè se sono protetto o mi devo preoccupare o devo adottare altre accorgimenti di sicurezza.
Insomma la mia esigenza sarebbe quella di poter accedere da postazioni esterne alla mia rete interna, ma conservando un grado di sicurezza più che accettabile. Che suggerimenti daresti. Grazie.
Inoltre se potresti gentilmente darmi una diritta o un chiarimento sui due quesiti precedentemente posti.

Quote:

2° quesito:
Nel menù ADVANCED/Firewall&DMZ vi è il sottomenù ALG (Application Level Gateway) Configuration, contenente le seguenti voci che sono tutte spuntate di default:
1] PPTP :
2] IPSec (VPN Passthrough) :
3] RTSP (Online Video Streaming) :
4] Windows/MSN Messenger :
5] FTP :
6] H.323 (Video Conferencing) :
7] SIP :
8] Wake-On-LAN :
9] MMS :
Non ho capito esattamente che cosa sono tali voci. Se sono riferite ad eccezioni per il Firewall e quindi porte aperte per tali servizi oppure se tali voci si riferiscono al menù soprastante nel caso si attivi la DMZ ??
Tali voci devono essere spuntate oppure no? Significano porte aperte?

3° questito:
Ho Alice 7mega. Nel Menù internet setup manuale, nell'opzione PPPoE/PPPoA, il router mi dà 4 modalità di scelta:
1] PPPoE LLC/Snap-Bridging (di default e pare vada bene)
2] PPPoE VC-Mux (?)
3] PPPoA LLC/Encapsulation (?)
4] PPPoA VC-Mux (?)
che differenza c'è tra queste 4 modalità e quale dovrebbe essere la migliore per Alice 7mega?
Il MTU di default è 1492, ma in giro leggo (e non so se è vero) che si dovrebbe inserire il valore 1500. E' vera 'sta storia? Perchè ho provato ma mi sembra che le cose peggiorano.
(Per completezza gli altri paramentri di default sono VPI:8, VCI:35, enable NAT, enable FIREWALL).

Grazie.

[pasky5]

Quote:

Originariamente inviato da MarkoRussinuovo

Si, hai ragione, vista l'ora tarda e "cotto" dalle varie prove mi sono espresso proprio male.
Per il CAPTCHA volevo in effetti dire che le caselle delle lettere sono solo 5 e compaiono solo le 26 lettere dell'alfabeto inglese, rappresentate in carattere maiuscolo, ma che si possono digitare anche in minuscolo non essendo appunto come dicevi tu "case sensitive". Quindi nessuna differenza tra maiuscole e minuscole. In tale sistema non vi sono i numeri e i caratteri speciali.

Mentre per la password di accesso confermo che può essere lunga massimo 12 caratteri e che è consentito inserire solo lettere dell'alfabeto inglese (quindi 26) in maiuscolo ed in minuscolo più i numeri da 0 a 9, ma non è consentito inserire alcun tipo di carattere speciale e lettere accentate (èéòàù) o particolari ç.

Ciao

Non sono forte in Crypto, ma ci provo lo stesso, che a quanto pare non hai neanche pensato lontanamente in realtà a quanti milioni di combinazioni si può arrivare gia solo usando 6 caratteri alfanumerici:

Alfabeto Inglese di 26 caratteri usando solo maiuscolo:

Lettera A = 1 prova di accesso con una sola lettera
Lettera B = 1 prova di accesso con lettera B

sommando A+B = 2 prove

Moltiplica i 2 x 26 x 2 = 104 combinazioni

(Devi tenere conto che il contatore inizia con tutti i caratteri e non con caratteri a caso altrimenti non seguirebbe la procedura corretta! l'Hacker intendo.)

Pensa con 6 numeri o magari 12 di solo alfabeto a caratteri maiuscoli, se invece aggiungiamo anche i caratteri numerici, le lettere minuscole e i caratteri speciali, le combinazioni da provare diventano vari miliardi di miliardi, se sulla tua rete non hai i bottoni per il lancio di missili nucleari, direi che al momento si può anche stare tranquilli. O pensi non sia sufficiente?

[pasky5]

Quote:

Originariamente inviato da MarkoRussinuovo

Ragazzi ho tre quesiti ed una curiosità.

1° quesito:
Gentilmente qualcuno mi potrebbe decifrare e spiegare esattamente il significato di questo messaggio del system Log?
"May 7 21:20:38
user emerg kernel: idslog syn_floodIN=br0 OUT=ppp0_1 PHYSIN=wl0
SRC=192.168.1.5
DST=151.1.201.162
LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=3171 DF PROTO=TCP SPT=49708
DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0"
Cosa significano e come si traducono in comune linguaggio tutte quelle sigle e numeri? Come va letto correttamente? Ma siamo sicuri che il system log funziona correttamente e non crea falsi allarmi?
Se c'è qualche anima pia che ha voglia di spiegare, La ringranzio in anticipo.

2° quesito:
Nel menù ADVANCED/Firewall&DMZ vi è il sottomenù ALG (Application Level Gateway) Configuration, contenente le seguenti voci che sono tutte spuntate di default:
1] PPTP :
2] IPSec (VPN Passthrough) :
3] RTSP (Online Video Streaming) :
4] Windows/MSN Messenger :
5] FTP :
6] H.323 (Video Conferencing) :
7] SIP :
8] Wake-On-LAN :
9] MMS :
Non ho capito esattamente che cosa sono tali voci. Se sono riferite ad eccezioni per il Firewall e quindi porte aperte per tali servizi oppure se tali voci si riferiscono al menù soprastante nel caso si attivi la DMZ ??
Tali voci devono essere spuntate oppure no? Significano porte aperte?

3° questito:
Ho Alice 7mega. Nel Menù internet setup manuale, nell'opzione PPPoE/PPPoA, il router mi dà 4 modalità di scelta:
1] PPPoE LLC/Snap-Bridging (di default e pare vada bene)
2] PPPoE VC-Mux (?)
3] PPPoA LLC/Encapsulation (?)
4] PPPoA VC-Mux (?)
che differenza c'è tra queste 4 modalità e quale dovrebbe essere la migliore per Alice 7mega?
Il MTU di default è 1492, ma in giro leggo (e non so se è vero) che si dovrebbe inserire il valore 1500. E' vera 'sta storia? Perchè ho provato ma mi sembra che le cose peggiorano.
(Per completezza gli altri paramentri di default sono VPI:8, VCI:35, enable NAT, enable FIREWALL).

4° una curiosità:
ho notato che cliccando su un qualsiasi punto della zona arancione del menù del router, una volta loggato, si naviga in internet nel sito della D-Link restando sempre nella pagina http://192.168.1.1/login.cgi. E' normale questo !?
Per spazio arancione intendo questo:

Per saperne di più: http://it.wikipedia.org/wiki/DoS

[cionci]

Comunque quella prima rilevazione proviene dall'interno della rete, verso sicuramente quello che era l'ip pubblico. La motivazione la ignoro, ma non credo che sia preoccupante.

[Octane]

Quote:

Originariamente inviato da MarkoRussinuovo

Grazie Carciofone per le puntuali, precise e competenti risposte/interventi.
Desideravo solo chiederti se abilitando il "Remote Managment" sulla porta 80 (HTTP) per poter accedere alla mia rete interna dall'esterno, posso stare abbastanza tranquillo con una password alfanumerica di 12 caratteri e l'abilitazione CAPTCHA. Cioè se sono protetto o mi devo preoccupare o devo adottare altre accorgimenti di sicurezza.
Insomma la mia esigenza sarebbe quella di poter accedere da postazioni esterne alla mia rete interna, ma conservando un grado di sicurezza più che accettabile. Che suggerimenti daresti. Grazie.
Inoltre se potresti gentilmente darmi una diritta o un chiarimento sui due quesiti precedentemente posti.
Grazie.

Ciao,
se proprio devi accedere al router da remoto allora potresti:

a) Verificare se puoi restringere gli accessi da remoto ad un solo indirizzo IP (non ricordo se c'è questa possibilità). In questo modo solo con lo spoofing riuscirebbero ad accedere alla pagina di login. Importante comunque è usare una password adeguatamente lunga e complessa

b) NON abilitare il remote management e in alternativa accedere ad una delle macchine all'interno della tua lan e poi accedere al router. Ad esempio:
- dall'esterno accedi via SSH alla tua macchina linux e poi via telnet al router;
- dall'esterno accedi via RDP al tuo PC windows e poi apri l'interfaccia web del router;
- dall'esterno accedi via LogmeIn o Teamviewer al pc e poi via browser al router


Spero possa essere d'aiuto

[LacioDrom83]

allora la versione E1 con il firmware 5.17 ha risolto il problema del pppoa?e i problemi sul wifi?

[MarkoRussinuovo]

Quote:

Originariamente inviato da Octane

Ciao,
se proprio devi accedere al router da remoto allora potresti:

a) Verificare se puoi restringere gli accessi da remoto ad un solo indirizzo IP (non ricordo se c'è questa possibilità). In questo modo solo con lo spoofing riuscirebbero ad accedere alla pagina di login. Importante comunque è usare una password adeguatamente lunga e complessa

b) NON abilitare il remote management e in alternativa accedere ad una delle macchine all'interno della tua lan e poi accedere al router. Ad esempio:
- dall'esterno accedi via SSH alla tua macchina linux e poi via telnet al router;
- dall'esterno accedi via RDP al tuo PC windows e poi apri l'interfaccia web del router;
- dall'esterno accedi via LogmeIn o Teamviewer al pc e poi via browser al router

Spero possa essere d'aiuto

Si, grazie delle dritte e cerca di scusami per la mia niubbiaggine.
In effetti non avrebbe molto senso aprire una porta per l'accesso diretto al router.
Seguendo i tuoi preziosi, quanti cortesi e chiari suggerimenti ho effettuato i seguenti passi:

1] in un computer all'interno della LAN (con SO Win7 Pro) ho abilitato la "Connessione da Desktop remoto".
Ho dovuto scegliere di consentire la connessione da computer remoti che eseguono qualsiasi versione di Desktop remoto. E' una opzione meno sicura ma mi consente di collegarmi anche con computer che hanno Windows XP come SO. Mentre l'altra opzione (con Autenticazione di rete) è più sicura ma esclude i computer con Windows XP ed altri ed accetta solo quelli con Vista o Win7;

2] nel menù avanzato del Router, nella scheda "Port Forwarding" ho creato una regola (delle 48 massime consentite) di apertura della porta interna ed esterna 3389, su protocollo TCP, che è quella usata per la connessione da Desktop remoto, indirizzandola verso l'indirizzo IP interno (alla WLAN e LAN) del computer scelto;

3] nel menù scheda "DNS setup" ho abilitato il "Dynamic DNS" sul server dlinkddns.com (gratuito) per avere un "Host name" fisso a cui fare riferimento anche se cambia l'indirizzo IP (che è dinamico) della mia connessione.

Ho già effettuato diverse prove da WAN e tutto, per il momento, funziona come deve, cioè a meraviglia: avendo la possibilità di gestire un computer da remoto collegato alla rete interna, posso fare "laqualunque" compreso modificare i settaggi router.

Non ho toccato alcuna eccezione al firwall del router e nemmeno a quello del computer (quest'ultimo viene settato automanticamnte nel momento in cui si abilita la connessione remota).

Se c'è qualche altro accorgimento o suggerimento in merito è ben accetto.
L'unico dubbio che mi rimane è sotto il profilo della sicurezza, cioè se con tale abilitazione sono in qualche modo scoperto e vulnerabile.. ecco se qualcuno mi dicesse qualcosa in più in merito.
Anche in merito al passo 3. Usufruire di tale servizio gratuito DDNS espone a qualche rischio?

A titolo esemplificativo, per i niubbi come me, allego 3 screenshots relativi ai tre passi:

1] 2] 3]

[pegasolabs]

Quote:

Originariamente inviato da MarkoRussinuovo

va be' abbiamo capito e a questo punto è chiaro a chiunque che DSL-2740B C2 e DSL-2740B E1 sono macchine completamente diverse sia come caratteristiche hardware che di gestione e firmware

Purtroppo alla D-Link non hanno avuto molta fantasia nei nomi, non si sono sprecati e non so per quale motivo hanno cambiato solo il suffisso finale lasciando invariato il nome principale DSL-2740B

A tal proposito forse sarebbe meglio, ai fini del forum ed una maggiore aderenza alla realtà ed evitare confusione che il moderatore di sezione valutasse il caso di splittare il Thread differenziandolo per i due modelli che hanno storie e caratteristiche diverse.
Un thread dedicato al DSL-2740B C2
Ed un thread dedicato al DSL-2740B E1
..che ripeto sono macchine diverse, anche se condividono il nome principale.

Ciao, qualche possessore di uno di questi due modelli è disposto a curare il rispettivo thread riportandone bug/firmware etc nel primo post in modo da tenerlo aggiornato?
Chi fosse interessato mi contatti in PVT.
Grazie

[pasky5]

Quote:

Originariamente inviato da Octane

Ciao,
se proprio devi accedere al router da remoto allora potresti:

a) Verificare se puoi restringere gli accessi da remoto ad un solo indirizzo IP (non ricordo se c'è questa possibilità). In questo modo solo con lo spoofing riuscirebbero ad accedere alla pagina di login. Importante comunque è usare una password adeguatamente lunga e complessa

b) NON abilitare il remote management e in alternativa accedere ad una delle macchine all'interno della tua lan e poi accedere al router. Ad esempio:
- dall'esterno accedi via SSH alla tua macchina linux e poi via telnet al router;
- dall'esterno accedi via RDP al tuo PC windows e poi apri l'interfaccia web del router;
- dall'esterno accedi via LogmeIn o Teamviewer al pc e poi via browser al router


Spero possa essere d'aiuto

Logmein è a pagamento e la prova gratuita è solo per un mese, l'altro non lo conosco, ma invece di fare tutte queste prove strane e anche costose. (Logmein costa! l'altro ripeto non lo conosco.) perche invece non usare la tenica del tunnelling VPN, L2PT, PPTP ecc. ecc.? usano un algoritmo codificato alla stessa stregua di logmain, sicuro e tranquillo che una volta configurato il tunnel potrai accedere in tutta sicurezza al tuo modem da remoto.

Per gli opportuni approfondimenti:

http://it.wikipedia.org/wiki/Virtual_Private_Network

[pasky5]

Quote:

Originariamente inviato da MarkoRussinuovo

Si, grazie delle dritte e cerca di scusami per la mia niubbiaggine.
In effetti non avrebbe molto senso aprire una porta per l'accesso diretto al router.
Seguendo i tuoi preziosi, quanti cortesi e chiari suggerimenti ho effettuato i seguenti passi:

1] in un computer all'interno della LAN (con SO Win7 Pro) ho abilitato la "Connessione da Desktop remoto".
Ho dovuto scegliere di consentire la connessione da computer remoti che eseguono qualsiasi versione di Desktop remoto. E' una opzione meno sicura ma mi consente di collegarmi anche con computer che hanno Windows XP come SO. Mentre l'altra opzione (con Autenticazione di rete) è più sicura ma esclude i computer con Windows XP ed altri ed accetta solo quelli con Vista o Win7;

2] nel menù avanzato del Router, nella scheda "Port Forwarding" ho creato una regola (delle 48 massime consentite) di apertura della porta interna ed esterna 3389, su protocollo TCP, che è quella usata per la connessione da Desktop remoto, indirizzandola verso l'indirizzo IP interno (alla WLAN e LAN) del computer scelto;

3] nel menù scheda "DNS setup" ho abilitato il "Dynamic DNS" sul server dlinkddns.com (gratuito) per avere un "Host name" fisso a cui fare riferimento anche se cambia l'indirizzo IP (che è dinamico) della mia connessione.

Ho già effettuato diverse prove da WAN e tutto, per il momento, funziona come deve, cioè a meraviglia: avendo la possibilità di gestire un computer da remoto collegato alla rete interna, posso fare "laqualunque" compreso modificare i settaggi router.

Non ho toccato alcuna eccezione al firwall del router e nemmeno a quello del computer (quest'ultimo viene settato automanticamnte nel momento in cui si abilita la connessione remota).

Se c'è qualche altro accorgimento o suggerimento in merito è ben accetto.
L'unico dubbio che mi rimane è sotto il profilo della sicurezza, cioè se con tale abilitazione sono in qualche modo scoperto e vulnerabile.. ecco se qualcuno mi dicesse qualcosa in più in merito.
Anche in merito al passo 3. Usufruire di tale servizio gratuito DDNS espone a qualche rischio?

A titolo esemplificativo, per i niubbi come me, allego 3 screenshots relativi ai tre passi:

Dopo aver ricevuto una serie di attacchi DDOS da hacker di mezzo globo terracqueo, vuoi ancora aprire le porte anche sotto controllo firewall?
Il firewall fà il suo lavoro in maniera egregia, ma guai se pasticci con le porte se ci tieni tanto alla sicurezza della tua rete chiudi tutte le porte in ingresso e vai di VPN, non ti resta altro se vuoi avere un 100% di sicurezza. (un margine esiste sempre, ma solo per chi è dotato di "cray computer" è anche in tal caso ci metterebbe un po' prima di riuscirci!)

P.S. Ma lavori per i Servizi Segreti per caso?

N.B. Si lo sò, se lo dicessi non sarebbe più un segreto ma era tanto per dire.

[Octane]

Quote:

Originariamente inviato da pasky5

Logmein è a pagamento e la prova gratuita è solo per un mese, l'altro non lo conosco, ma invece di fare tutte queste prove strane e anche costose. (Logmein costa! l'altro ripeto non lo conosco.) perche invece non usare la tenica del tunnelling VPN, L2PT, PPTP ecc. ecc.? usano un algoritmo codificato alla stessa stregua di logmain, sicuro e tranquillo che una volta configurato il tunnel potrai accedere in tutta sicurezza al tuo modem da remoto.

Per gli opportuni approfondimenti:

http://it.wikipedia.org/wiki/Virtual_Private_Network

Certo, so che sono trial o totalmente a pagamento, era solo per fare qualche esempio di software di controllo remoto conosciuto.
Volendo c'è anche VNC (nelle varie versioni) che è gratuito per uso personale, ma l'ho sempre trovato lento nelle connessioni wan.
Una VPN è un pelo più delicata da impostare ma sicuramente una validissima alternativa.

@MarkoRussinuovo
se vuoi usare RDP ti consiglio di tenere presenti un paio di cose:
- la porta all'esterno non deve essere necessariamente la 3389, puoi anche impostare ad es. la "33899" e poi modificare la regola del porforwarding per girare la connessione al tuo host in lan sulla porta di default. In questo modo ti togli dagli attacchi mirati alla porta dell'rdp.
- non salvare la password di accesso al computer remoto nel client che usi per accedere. In questo modo prima si crea la connessione RDP adeguatamente protetta, poi vengono passate le credenziali di accesso. (forse hanno sistemato questo problema di sicurezza in vista e 7, ma non si sa mai..)


"If ain't broke, don't fix it!"
Regola sempre valida che spesso ignoriamo..

[cionci]

Ma Hamachi no ? Per l'uso non commerciale è gratuito...