[Thread Ufficiale] AVM FRITZ!Box 7590

[Joe 69]

Io sono entrato da poco qui in mezzo a voi e forse per questo sono l'unico a non potermi permettere di parlare però, non so se per antipatie regresse o altro, forse ci si sta puntando antenne (bhe lo dico per sdrammatizzare) un po' troppo l'un l'altro e pure per così tanto poco così come esce di tanto in tanto quel qualcuno di turno (un moderatore?) a bacchettare chi (non parlo di me) si affaccia la prima volta qui e chiede qualcosa che non ha trovato in ricerca e che non avrebbe senso a perdere tempo a sbucciare 1000 pagine in anni di post .... consentitimi di dire che spesso i forum sono seguiti a livello mondiale quindi ricordatevi che una cosa 'e andare OT di argomento e un'altra è andare OT su altro... alla fine ci perdiamo la faccia tutti oltre al senso di stare in un forum... Scusatemi, ma non era certo per fare il moralizzatore visto che non li sono...

[Trotto@81]

Nessuna morale. Si è fatto notare gentilmente un errore, la reazione dell'interessato è stata scomposta. Non c'è motivo di continuare a parlarne. Ognuno è libero di perseverare nel proprio comportamento.

[Yrbaf]

Quote:

Originariamente inviato da loris100

Qualcuno sa come fare il port forwarding totale?

Nel senso senza stare li ad aggiungere le porte una ad una ma aprirle tutte per volta

Exposed Host: https://it.avm.de/assistenza/fritzbo...nel-FRITZ-Box/

Tra l'altro quando le porte da aprire sono consecutive e con lo stesso protocollo, alcuni router hanno pure la modalità di apertura per intervallo.
Quindi per esempio per aprire 20 porte dalla 12000 al 12019 su molti router (non ho verificato sul 7590) basta una sola regola e non 20 distinte.

[Danizz]

In alternativa per aprire tutte le porte si potrebbe abilitare l'upnp se si tratta di giocare su una console, su un PC onestamente non lo farei.

[loris100]

Quote:

Originariamente inviato da Yrbaf

Exposed Host: https://it.avm.de/assistenza/fritzbo...nel-FRITZ-Box/

Tra l'altro quando le porte da aprire sono consecutive e con lo stesso protocollo, alcuni router hanno pure la modalità di apertura per intervallo.
Quindi per esempio per aprire 20 porte dalla 12000 al 12019 su molti router (non ho verificato sul 7590) basta una sola regola e non 20 distinte.

Ho provato a fare questo host exposed, mi dice che cosi facendo disattivo il firewall, pero le porte rimangono chiuse

[ebeb]

Quote:

Originariamente inviato da loris100

Ho provato a fare questo host exposed, mi dice che cosi facendo disattivo il firewall, pero le porte rimangono chiuse

Rimangono chiuse per la globalità della rete FRITZ!Box con l'unica eccezione di quel dispositivo che viene scelto..

[loris100]

Quote:

Originariamente inviato da ebeb

Rimangono chiuse per la globalità della rete FRITZ!Box con l'unica eccezione di quel dispositivo che viene scelto..

Quindi se non ho capito male le porte sono aperte ma solo per il dispositivo che ho scelto cioe il mio PC fisso?

[Yrbaf]

Una porta può essere inoltrata ad un solo dispositivo per volta.

Se attivi una funzione del tipo "tutte le porte verso x" allora è scontato che eventuali altre regole singole che avevi messo (magari tipo "porta 10000 e 10050 verso y e porta 22 verso z") vengano sospese e non più eseguite finché non ridisattivi il "tutte le porte verso x".

Questo dovrebbe o potrebbe pure disattivare altre funzioni sul fritzbox stesso.
Ossia non so se avendo l'host exposed attivo si possa ancora avere la vpn sul fritzbox o l'accesso esterno al sip server (ossia accedere al voip del Fritzbox da esterno e senza usare una vpn, funzione magari non sicurissima ma permessa dal Fritzbox su richiesta)

O in alternativa le altre porte già mappate rimarranno come sono ma allora NON tutte le porte saranno inoltrate ad x, ma sarà più un "tutte le porte, tranne quelle già assegnate ad altri usi, verso x"

[Tennic]

Quote:

Originariamente inviato da loris100

Quindi se non ho capito male le porte sono aperte ma solo per il dispositivo che ho scelto cioe il mio PC fisso?

Esatto, stai inoltrando tutte le porte ad un unico dispositivo

[ebeb]

Quote:

Originariamente inviato da loris100

Quindi se non ho capito male le porte sono aperte ma solo per il dispositivo che ho scelto cioe il mio PC fisso?

Esatto... anche se io di aprire TUTTE le porte su di un PC... Windows.. mi guarderei bene..

[ebeb]

Quote:

Originariamente inviato da Tennic

Esatto, stai inoltrando tutte le porte ad un unico dispositivo

No. Il dispositivo "Host Exposed" ha TUTTE le porte aperte.
Ma unicamente quello che viene così definito.
Per tutti gli altri dispositivi vale in tutto e per tutto il funzionamento del firewall del FRITZ!Box e per ognuno di essi unicamente le abilitazioni definite per il singolo dispositivo.

[Tennic]

Quote:

Originariamente inviato da ebeb

No. Il dispositivo "Host Exposed" ha TUTTE le porte aperte.
Ma unicamente quello che viene così definito.
Per tutti gli altri dispositivi vale in tutto e per tutto il funzionamento del firewall del FRITZ!Box e per ognuno di essi unicamente le abilitazioni definite per il singolo dispositivo.

Scusami, mi sono spiegato male, per inoltrare tutte le porte intendevo infatti "aprire", in inglese il termine è "forward", inoltrare appunto.
"ad un unico dispositivo" intendevo "a favore di un (unico) dispostivo".
Magari mi sono spiegato male ma stiamo dicendo la stessa cosa.

Comunque, se non erro, se inoltri una porta ad uno degli altri dispositivi, questa viene "sottratta" all'Host exposed, che quindi avrà tutte le porte meno quelle inoltrate ad altri dispositivi...

E concordo che un "host DMZ" (per usare un termine improprio ma famoso presso molti produttori), senza opportune protezioni (firewall), è da prendere con le molle... Se l'obiettivo è "aprire" 2-3-5 porte, solitamente si inoltrano solo quelle porte, non tutte

[ebeb]

Quote:

Originariamente inviato da Tennic

Scusami, mi sono spiegato male, per inoltrare tutte le porte intendevo infatti "aprire", in inglese il termine è "forward", inoltrare appunto.
"ad un unico dispositivo" intendevo "a favore di un (unico) dispostivo".
Magari mi sono spiegato male ma stiamo dicendo la stessa cosa.

Comunque, se non erro, se inoltri una porta ad uno degli altri dispositivi, questa viene "sottratta" all'Host exposed, che quindi avrà tutte le porte meno quelle inoltrate ad altri dispositivi...

E concordo che un "host DMZ" (per usare un termine improprio ma famoso presso molti produttori), senza opportune protezioni (firewall), è da prendere con le molle... Se l'obiettivo è "aprire" 2-3-5 porte, solitamente si inoltrano solo quelle porte, non tutte

Ma ci mancherebbe.. nessun problema. Era unicamente per evitare dubbi o non corrette comprensioni al collega che aveva chiesto lumi. Poi forse in più di uno riusciamo a fare che si renda conto dei rischi di una tale soluzione non su di un dispositivo quale potrebbe essere una console per videogiochi ma su di un computer oltretutto (mi pare di capire ) con Windows che già di suo in quanto a porte (anzi portoni) aperte non scherza..

[AndreaS54]

Quote:

Originariamente inviato da Falcoblu

Io dico che sarebbe meglio ritornare a parlare del 7590, e relativo wifi, di serie piuttosto che non riempire pagine con soluzioni empiriche, mod e quant'altro che appunto poco c'entrano con il 7590 di serie e la cui validità peraltro è ancora tutta da vedere, quindi apritevi eventualmente un thread dedicato così potete parlare liberamente di fenomeni russi, antenne miracolose piuttosto che da posizionare sul tetto e compagnia bella....

Io come altri per ampliare il range di copertura non ho fatto altro che acquistare un ripetitore di segnale sempre AVM che appunto amplia quanto sopra risolvendo il problema senza sbattimenti, modifiche e consigli di qualche sedicente guru russo piuttosto che nostrano....

Grazie.

Guarda che nel caso delle radiofrequenze o parli di free field, oppure vai di soluzioni empiriche. In una abitazione tra riflessioni su pareti, onde convogliate da cavi elettrici e di segnale, mobili e suppellettili, non esiste una soluzione ideale. Tutto quello che puoi fare è un'analisi di massima e poi try & see, cercando di ridurre al minimo le varuabili. Neppure i range extender sono soluzioni sicure, tranne che nelle loro immediate vicinanze.

Sent from my SM-N950F using Tapatalk

[AndreaS54]

Quote:

Originariamente inviato da Joe 69

Dovevo usare dbi? Usciva solo un guadagno diverso ma pur sempre c'era.

Tentavo soltanto di spiegare che um'antenna che guadagna è per definizione direttiva. Poi usa poi la declinazione di db che vuoi, cambia soltanto il valore di riferimento.

Sent from my SM-N950F using Tapatalk

[wrad3n]

Quote:

Originariamente inviato da Danizz

In alternativa per aprire tutte le porte si potrebbe abilitare l'upnp se si tratta di giocare su una console, su un PC onestamente non lo farei.

Meglio evitarlo sempre, per la sicurezza l'upnp è una delle cose più pericolose che ci sono su un Router (seguito dal WPS).

[Tennic]

Quote:

Originariamente inviato da Danizz

In alternativa per aprire tutte le porte si potrebbe abilitare l'upnp se si tratta di giocare su una console, su un PC onestamente non lo farei.

Se il router è interessato dalla vulnerabilità sul uPNP, poco importa che dietro hai un PC o una consolle, visto che la vulnerabilità è sul router, non sulla consolle o sul PC, e quindi è il router ad essere (teoricamente, qualora attaccato) manipolato

Quote:

Originariamente inviato da wrad3n

Meglio evitarlo sempre, per la sicurezza l'upnp è una delle cose più pericolose che ci sono su un Router (seguito dal WPS).

Concordo sul fatto che merita opportuna attenzione, ma la vulnerabilità (credo alla base delle tue affermazioni) non è "matematica" su ogni prodotto in commercio, ma al contrario interessa determinati prodotti, che sono esposti lato internet tramite il uPNP e quindi manipolabili. Altri prodotti non hanno tale vulnerabilità
Ad esempio, il 7590 non è interessato da vulnerabilità lato uPNP

[wrad3n]

Quote:

Originariamente inviato da Tennic

Concordo sul fatto che merita opportuna attenzione, ma la vulnerabilità (credo alla base delle tue affermazioni) non è "matematica" su ogni prodotto in commercio, ma al contrario interessa determinati prodotti, che sono esposti lato internet tramite il uPNP e quindi manipolabili. Altri prodotti non hanno tale vulnerabilità
Ad esempio, il 7590 non è interessato da vulnerabilità lato uPNP

È esso stesso una vulnerabilità perché non richiede interazione utente. Se hai l'UPNP attivo (ed è attivo per tutta la rete, non è specifico per console o pc etc.), un software qualsiasi (anche malevolo) può fare richiesta di forward "all'upnp" e questo la esaudisce senza battere ciglio. Quindi puoi avere un malware installato su PC che grazie all'UPNP scambia informazioni via internet senza che nemmeno te ne accorga.
Comunque è un problema riconosciuto da quando è stato introdotto. Poi dipende dai vari produttori di Router scriverlo a chiare lettere, i tizi di OpenWrt ad es. lo specificano subito quando cerchi documentazione per configurarlo:

[Tennic]

Quote:

Originariamente inviato da wrad3n

È esso stesso una vulnerabilità perché non richiede interazione utente. Se hai l'UPNP attivo (ed è attivo per tutta la rete, non è specifico per console o pc etc.), un software qualsiasi (anche malevolo) può fare richiesta di forward "all'upnp" e questo la esaudisce senza battere ciglio. Quindi puoi avere un malware installato su PC che grazie all'UPNP scambia informazioni via internet senza che nemmeno te ne accorga.
Comunque è un problema riconosciuto da quando è stato introdotto. Poi dipende dai vari produttori di Router scriverlo a chiare lettere, i tizi di OpenWrt ad es. lo specificano subito quando cerchi documentazione per configurarlo:

Si, l'ho scritto rispondendo a Danizz, che la vulnerabilità è del router e quindi poco rileva cosa c'è collegato dietro, se un computer o una consolle

Poi ovvio che se hai un software malevolo, questo potrebbe creare una connessione aprendo una porta ad hoc, ma a mio parere se uno ha un malware in grado di instaurare una connessione per invio di dati etc, l'ultimo dei problemi di quell'utente è l'uPNP, il malware è fatto per agire all'insaputa dell'utente, a prescindere dal uPNP, altrimenti che malware sarebbe?

Hai ragione, il problema è conosciuto da tempo, ma non è detto che sia presente su tutti i router ... Esistono vari test online per verificare, senza dubbi, la vulnerabilità o meno del proprio router
In altre parole, se un router del 2006 è vulnerabile, non è detto che lo sia anche il mio del 2021

Se ovviamente parliamo di vulnerabilità uPNP, quindi esposizione all'esterno e possibilità di controllo remoto del router, nonchè listing dei dispositivi lato LAN...
Se invece parliamo del malware presente sul computer, che sfrutterebbe l'uPNP per connettersi alla rete, in quel caso il problema non è nel mezzo di connessione, ma evidentemente è nel malware, che non ci dovrebbe essere, e comunque va contrastato con antimalware e firewall, non "disattivando uPNP" (comunque l'operazione di attivazione o meno può essere fatta selettivamente per alcuni host, e vengono mostrate le porte aperte in quel momento sui singoli host)
Altrimenti, se ho un virus che si collega ad internet, la vulnerabilità è nel fatto che possiedo internet?

uPNP è uno strumento, che può essere usato lecitamente dal mio computer, o illecitamente (dai malware sul mio computer)... Disattivandolo ho tolto al malware la possibilità di aprire autonomamente connessioni su porte particolari verso l'esterno, ma ho sempre un malware sul mio computer ... e che sicuramente è programmato per inviare i dati in altri modi, sfruttando le porte già aperte a prescindere dal uPNP, un programmatore di malware che predispone il suo bimbo per usare un metodo di connessione che potrebbe non funzionare, non è molto furbo

Sia chiaro, non difendo a spada tratta uPNP, non mi pagano per questo , ma ritengo giusto differenziare le casistiche dove uPNP è vulnerabile, e quindi può essere utilizzato per assumere indebitamente il controllo del router, oppure dove uPNP è semplicemente uno strumento (al pari di una connessione alla rete qualunque) utilizzato da un malware per collegarsi ad internet
Il primo caso, trattandosi di vulnerabilità dell'apparato, bisogna quindi distinguere il singolo apparato... Nel secondo caso, disattivando uPNP ho sicuramente bloccato un metodo di connessione al malware, che comunque rimane dove si trova e può collegarsi in altri modi alla rete

[wrad3n]

Quote:

Originariamente inviato da Tennic

Si, l'ho scritto rispondendo a Danizz, che la vulnerabilità è del router e quindi poco rileva cosa c'è collegato dietro, se un computer o una consolle

Usando l'UPnP sei tu stesso a creare una vulnerabilità nel firewall del router perché lo bypassi totalmente.

Quote:

Originariamente inviato da Tennic

Poi ovvio che se hai un software malevolo, questo potrebbe creare una connessione aprendo una porta ad hoc, ma a mio parere se uno ha un malware in grado di instaurare una connessione per invio di dati etc, l'ultimo dei problemi di quell'utente è l'uPNP, il malware è fatto per agire all'insaputa dell'utente, a prescindere dal uPNP, altrimenti che malware sarebbe?

Quello era un'esempio di quello che può succedere tenendo l'UPnP attivo. UPnP che quando si attiva agisce per tutti i dispositivi che siano smartphone/tablet/pc/media player/console/NAS etc.

Quote:

Originariamente inviato da Tennic

Hai ragione, il problema è conosciuto da tempo, ma non è detto che sia presente su tutti i router ... Esistono vari test online per verificare, senza dubbi, la vulnerabilità o meno del proprio router
In altre parole, se un router del 2006 è vulnerabile, non è detto che lo sia anche il mio del 2021

Questi testano le vulnerabilità dell'UPnP stesso, che essendo un software ne ha avute, ne ha e ne avrà in futuro, il problema è la vulnerabilità che crei nel firewall tenendolo attivo.