[Thread Ufficiale] AVM FRITZ!Box 7590

[Tennic]

Quote:

Originariamente inviato da wrad3n

Certo che ha colpa se permette certe libertà ai dispositivi. Comunque basta sapere a cosa si va incontro usandolo, perché i vantaggi sono meno (non costa nulla aprirsi le porte che interessano) della possibile falla di sicurezza. Personalmente ho tutta la rete locale sotto VPN (quindi senza possibilità di port forward) e qualche volta anche VPN + Tor e riesco comunque a navigare, giocare online, app di messaggistica, webinar, etc etc. senza aver mai usato l'UPnP. L'unica porta che tengo aperta è quella del server VPN sull'IP pubblico per accedere dall'esterno.

Ok, chiaro che hai impostato la tua rete con determinati criteri di "massima sicurezza" per andare su internet attraverso tunneling... Tuttavia, un piccolo OT, posso dirti con certezza che in caso di malware non c'è assenza di forward o UPNP o VPN che ti salva... Che significa questo? Che hai giustamente espresso il tuo parere riguardo UPNP perchè "qualunque programma malevolo può instaurare connessioni a suo piacere, aprendo porte"... Ed è giusto, hai pienamente ragione
Invece, nella tua specifica situazione, la frase diventa: "qualunque programma malevolo può instaurare connessioni a suo piacere, aprendo porte tramite VPN"
Quindi, togliamo la VPN perchè "qualunque programma malevolo può usarla per fare i suoi comodi senza rischio di essere tracciato"?
Decisamente no, ecco, rimane valida l'affermazione che lo strumento non può essere responsabile di un utilizzo illecito da parte di malware, che poco c'entrano con quello strumento
(ovviamente lungi da me essere sarcastico, faccio solamente notare che attualmente hai la medesima esposizione a qualcosa che temevi solo su UPNP, al fine "mettere la pulce nell'orecchio per eventualmente correre ai ripari" )

Quote:

Originariamente inviato da Totix92

Se uno con i propri PC e dispositivi vari sa quello che fa e tiene tutto sotto controllo, non installando schifezze varie, non entrando mai malware di alcun tipo, l'uPNP non può far danni, il primo antivirus è l'utente
Alla fine come dicevo il bello del Fritz è che puoi attivare selettivamente l'uPNP solo per i dispositivi che vuoi, disattivandolo per altri.

A parte la piccola correzione in grassetto , concordo su tutto, ed aggiungo che di default il Fritzbox NON attiva il UPNP sugli host, ma deve essere l'utente ad impostarlo esplicitamente sui vari host, andando nelle impostazioni dei vari host, e sempre nelle impostazioni dei vari host si possono visionare le porte aperte tramite UPNP
Ergo, se non sto usando programmi di sorta e trovo delle porte aperte, toh, ho preso un malware
Se invece UPNP non è attivo, il malware si collega senza aprire porte particolari, al pari di un qualunque altro programma che "non apre porte"

[nelson1]

Quote:

Originariamente inviato da Tennic

....
Ergo, se non sto usando programmi di sorta e trovo delle porte aperte, toh, ho preso un malware
Se invece UPNP non è attivo, il malware si collega senza aprire porte particolari, al pari di un qualunque altro programma che "non apre porte"

seguo con interesse tutta questa trattazione.
per i neofiti del networking, sul 7590 dove posso verificare se UPnP è attivo e se ci sono delle porte aperte? me lo sono sempre chiesto e questa potrebbe essere l'occasione per sapere come fare per verificare. grazie.

[ebeb]

Quote:

Originariamente inviato da nelson1

seguo con interesse tutta questa trattazione.
per i neofiti del networking, sul 7590 dove posso verificare se UPnP è attivo e se ci sono delle porte aperte? me lo sono sempre chiesto e questa potrebbe essere l'occasione per sapere come fare per verificare. grazie.

Dal menu principale sulla sinistra seleziona

Internet ==> Abilitazioni ==> Abilitazioni porte

e trovi l'elenco di tutti i dispositivi che hanno abilitazioni porte attive.

Poi sempre dal menu seleziona

Diagnosi e trovi Funzioni e Sicurezza.

Con la prima opzione hai un quadro delle funzionalità del 7590.
La seconda ti permette di conoscere tutte le opzioni per la sicurezza, attive o no.
Ed anche un elenco di TUTTE le porte che il FRITZ!Box ha aperte.

Buona giornata

[wrad3n]

Quote:

Originariamente inviato da Tennic

Invece, nella tua specifica situazione, la frase diventa: "qualunque programma malevolo può instaurare connessioni a suo piacere, aprendo porte tramite VPN"
Quindi, togliamo la VPN perchè "qualunque programma malevolo può usarla per fare i suoi comodi senza rischio di essere tracciato"?

Il discorso della VPN era legato all'UPnP, visto che alcuni post fa c'erano dubbi sul funzionamento di app messaggistica etc. con UPnP disabilitato. Se hai la rete locale sotto VPN il portforward stesso (e di conseguenza l'UPnP) non serve a nulla perché il provider VPN ha un suo firewall su cui non puoi mettere mano. E con questa limitazione funziona comunque tutto quello che uso, compresi app di messaggistica, video conferenza tipo zoom o gotomeeting di citrix.

[Tennic]

Quote:

Originariamente inviato da ebeb

Dal menu principale sulla sinistra seleziona

Internet ==> Abilitazioni ==> Abilitazioni porte

e trovi l'elenco di tutti i dispositivi che hanno abilitazioni porte attive.

Poi sempre dal menu seleziona

Diagnosi e trovi Funzioni e Sicurezza.

Con la prima opzione hai un quadro delle funzionalità del 7590.
La seconda ti permette di conoscere tutte le opzioni per la sicurezza, attive o no.
Ed anche un elenco di TUTTE le porte che il FRITZ!Box ha aperte.

Buona giornata

Quoto, e se si vogliono sapere le porte aperte solo da un determinato dispositivo (anzichè l'elenco globale), si possono vedere da "Rete Domestica" - "Rete", cliccando sul dispositivo interessato, e mostrerà le porte aperte con accanto la scritta UPNP, visto che sono state appunto aperte tramite UPNP.

Quote:

Originariamente inviato da wrad3n

Il discorso della VPN era legato all'UPnP, visto che alcuni post fa c'erano dubbi sul funzionamento di app messaggistica etc. con UPnP disabilitato. Se hai la rete locale sotto VPN il portforward stesso (e di conseguenza l'UPnP) non serve a nulla perché il provider VPN ha un suo firewall su cui non puoi mettere mano. E con questa limitazione funziona comunque tutto quello che uso, compresi app di messaggistica, video conferenza tipo zoom o gotomeeting di citrix.

Si, ma rimane sempre valido il concetto da te espresso in precedenza ed attribuito al UPNP, ossia "è una vulnerabilità qualunque malware presente può fare quello che vuole con la connessione", per dimostrare che se un UPNP non può fare nulla contro il malware, non può neanche la VPN ne nessun altro sistema legato alla connessione, ma non per questo questi sistemi che loro malgrado vengono sfruttati dal malware sono da considerarsi "vulnerabilità" perchè "consentono al malware di fare quello che vuole"

[nelson1]

Quote:

Originariamente inviato da ebeb

Dal menu principale sulla sinistra seleziona

Internet ==> Abilitazioni ==> Abilitazioni porte

e trovi l'elenco di tutti i dispositivi che hanno abilitazioni porte attive.

Poi sempre dal menu seleziona

Diagnosi e trovi Funzioni e Sicurezza.

Con la prima opzione hai un quadro delle funzionalità del 7590.
La seconda ti permette di conoscere tutte le opzioni per la sicurezza, attive o no.
Ed anche un elenco di TUTTE le porte che il FRITZ!Box ha aperte.

Buona giornata

La prima ok, la seconda mi preoccupa:

1) Nessuna abilitazione porte disponibile

2) xxxx ....
xxxx-xxxx ....
xxxx .....
xxxxx ....
xxxxx ....

[ebeb]

Quote:

Originariamente inviato da nelson1

La prima ok, la seconda mi preoccupa:

1) Nessuna abilitazione porte disponibile

2) xx60 ....
xx78-xx09 ....
80xx .....
xxx67 ....
xxx01 ....

Ma tieni presente che alcune sono aperte per e funzioni interessate.
Nel caso la prima che hai indicato mi porta a pensare che potrebbe essere questa:

5060 TCP (IPv4/v6), UDP (IPv4/v6) Telefonia (SIP)

che viene usata come trovi indicato per la telefonia Voip..
Parimenti ti informa anche per le altre porte..

[hot_blaster]

Buongiorno,
Scusate ma avrei bisogno del vostro aiuto.
Possiedo un FRITZ!Box 7590 con FRITZ!OS: 07.13, gestore Vodafone.

Sia la telefonia che Internet sono configurati, ma ho un problema con la prima.

Non riesco ad effettuare chiamate ai call center, cioè quando provo a telefonare dal fisso ad esempio al numero 800.577.337 oppure 02 66897580 (servizio clienti leroy merlin), ricevo sempre come risposta numero occupato (quando invece non lo è.

La cosa assurda è che se al secondo numero aggiungo il prefisso 0039, la chiamata ha successo.

Qualcuno può aiutarmi a sistemare questo problema, ho cercato ma non riesco a trovare niente.

[Trotto@81]

Posta la schermata di configurazione del voip oscurando la parte sensibile del numero telefonico.

[hot_blaster]

Questa?

[nelson1]

Quote:

Originariamente inviato da ebeb

Ma tieni presente che alcune sono aperte per e funzioni interessate.
Nel caso la prima che hai indicato mi porta a pensare che potrebbe essere questa:

5060 TCP (IPv4/v6), UDP (IPv4/v6) Telefonia (SIP)

che viene usata come trovi indicato per la telefonia Voip..
Parimenti ti informa anche per le altre porte..

ok, la seconda parte è:

Telefonia (SIP)
Telefonia (RTP)
Servizi provider
Diagnosi e manutenzione
Accesso al FRITZ!Box attraverso Internet

il primo VOIP (?) e l'ultimo (App) sono ok (?), tutti gli altri sono da lasciare attivi?

[wrad3n]

Quote:

Originariamente inviato da Tennic

non può neanche la VPN ne nessun altro sistema legato alla connessione, ma non per questo questi sistemi che loro malgrado vengono sfruttati dal malware sono da considerarsi "vulnerabilità" perchè "consentono al malware di fare quello che vuole"

Con la VPN non volendo hai una sorta di protezione anche contro quel tipo di vulnerabilità perché il firewall del provider è molto restrittivo e non permette alcun traffico in entrata escludendo le porte standard (80,443 e poco altro), poi dipende dal tipo di server a cui sei connesso: double vpn, vpn + onion, vpn p2p (quest'ultimi supportano il traffico bittorrent etc.). Poi installati sul Router ho comunque altre contromisure: antivirus, packet inspection, geoip blocking, adblock etc.

Quote:

Originariamente inviato da nelson1

ok, la seconda parte è:

Telefonia (SIP)
Telefonia (RTP)
Servizi provider
Diagnosi e manutenzione
Accesso al FRITZ!Box attraverso Internet

il primo VOIP (?) e l'ultimo (App) sono ok (?), tutti gli altri sono da lasciare attivi?

Possono esserci porte che non vengono elencate perché aperte comunque, es. quelle riguardanti la VPN (1293 per IPSec, 500 IKE etc.).

[Tennic]

Quote:

Originariamente inviato da nelson1

ok, la seconda parte è:

Telefonia (SIP)
Telefonia (RTP)
Servizi provider
Diagnosi e manutenzione
Accesso al FRITZ!Box attraverso Internet

il primo VOIP (?) e l'ultimo (App) sono ok (?), tutti gli altri sono da lasciare attivi?

Normalissimo, sono servizi del provider, infatti sono sotto la categoria "Servizi FRITZ!Box" (parlando della schermata "Sicurezza"), io ho questi:

xxxx UDP, IPv4, TCP Telefonia (SIP)

xxxx-xxxx UDP, IPv4 Telefonia (RTP)

xxxx TCP, IPv4 Servizi provider (TR069)

xxxx TCP, IPv4 Accesso al FRITZ!Box attraverso Internet (HTTPS)

(ho la versione TIM Edition)

Piuttosto devi stare "attento" al campo
"Abilitazioni porte sui dispositivi di rete - Panoramica dei dispositivi della rete domestica con porte aperte verso Internet"

dove vengono elencate le porte aperte ed in quale dispositivo di quelli collegati alla tua rete.
E qui trovi le porte aperte in manuale e quelle aperte dal UPNP.

Inoltre, nei log "SISTEMA - EVENTI" (poi elenco filtrato su TUTTI, o su SISTEMA, se si vuole essere più selettivi nella visualizzazione), vedi lo storico delle porte aperte e da cosa (quale host). Quindi vedi anche se un host ha utilizzato UPNP per aprire una porta e quale.

A mio personale parere , questa possibilità di controllo semplice e completa (visualizzazione della situazione attuale, e dello storico), unito alla NON vulnerabilità lato UPNP del 7590 (e dei Fritz Box in generale), rendono il sistema UPNP "sicuro", relativamente parlando in termini informatici, ossia, l'utilizzo non è a prova di bomba (come non lo è nulla in informatica) ma sicuramente non introduce criticità che non si avrebbero comunque

Quote:

Originariamente inviato da wrad3n

Con la VPN non volendo hai una sorta di protezione anche contro quel tipo di vulnerabilità perché il firewall del provider è molto restrittivo e non permette alcun traffico in entrata escludendo le porte standard (80,443 e poco altro), poi dipende dal tipo di server a cui sei connesso: double vpn, vpn + onion, vpn p2p (quest'ultimi supportano il traffico bittorrent etc.). Poi installati sul Router ho comunque altre contromisure: antivirus, packet inspection, geoip blocking, adblock etc..

Qui devo correggerti perchè i malware (appositi, visto che parliamo di programmi malevoli che sfruttano le comunicazioni in rete) sono progettati per utilizzare le normali porte, al fine di risultare trasparenti anche al firewall (senza cadere in spiegazioni troppo OT sulla Cyber Defence), quindi utilizzano la porta 80 etc
Ergo, passano il tuo firewall, il firewall del provider, e ringraziano per il noleggio gratuito della tua VPN quale strada digitale
Unica soluzione qual è? Firewall + Antivirus... Soluzione che guardacaso esula da VPN, UPNP, e qualunque altra cosa dove ci sia di mezzo il router, come dicevo ieri
Quindi, si torna sempre al discorso che l'utilizzo di una VPN, o del UPNP, o quello che preferisci sul router, non aggiunge ne toglie nulla ai malware, parliamo di concetti differenti, che necessitano di protezioni differenti

[wrad3n]

Quote:

Originariamente inviato da Tennic

Qui devo correggerti perchè i malware (appositi, visto che parliamo di programmi malevoli che sfruttano le comunicazioni in rete) sono progettati per utilizzare le normali porte, al fine di risultare trasparenti anche al firewall (senza cadere in spiegazioni troppo OT sulla Cyber Defence), quindi utilizzano la porta 80 etc
Ergo, passano il tuo firewall, il firewall del provider, e ringraziano per il noleggio gratuito della tua VPN quale strada digitale

beh, no, come ho scritto sopra, sul router ho un packet inspection/intrusion detection che controlla i pacchetti in transito (Snort).

[Totix92]

Quote:

Originariamente inviato da wrad3n

Possono esserci porte che non vengono elencate perché aperte comunque, es. quelle riguardanti la VPN (1293 per IPSec, 500 IKE etc.).

Se la VPN non è abilitata queste porte il Fritzbox non le apre e non le elenca, io che nel 7490 ho la VPN abilitata per la connessione degli smartphone fuori casa con l'applicazione My Fritz, nella pagina Diagnosi -> Sicurezza, oltre alle porte descritte prima vengono elencate anche la 500 e la 4500 con scritto proprio "VPN (IKE)" e "VPN (IPSec)" rispettivamente, oltre al server FTPS del Fritz stesso che io ho attivato su una porta personalizzata.

[wrad3n]

Quote:

Originariamente inviato da Totix92

Se la VPN non è abilitata queste porte il Fritzbox non le apre e non le elenca, io che nel 7490 ho la VPN abilitata per la connessione degli smartphone fuori casa con l'applicazione My Fritz, nella pagina Diagnosi -> Sicurezza, oltre alle porte descritte prima vengono elencate anche la 500 e la 4500 con scritto proprio "VPN (IKE)" e "VPN (IPSec)" rispettivamente, oltre al server FTPS del Fritz stesso che io ho attivato su una porta personalizzata.

ok, quindi decisamente un passo avanti rispetto ad altri router casalinghi, per curiosità le porte di quei servizi (IPSec) sono modificabili?

[Yrbaf]

Quote:

Originariamente inviato da Tennic

ossia, l'utilizzo non è a prova di bomba (come non lo è nulla in informatica) ma sicuramente non introduce criticità che non si avrebbero comunque

Bah per quanto possa concordare che soprattutto come è fatto sul Fritz (ossia device per device) sia molto meglio ed abbastanza sicuro, non direi che non introduce nessuna criticità.

Se io ho un sistema violato nel modo che preferite, magari un malware che riesce a prendere i diritti di root e poi a fare una sessione di amministrazione remota che attraversa il Nat (quindi uPNP off non sarebbe servito) e dà la gestione a qualcun altro.
Ora se quest'ultimo volesse usare il mio sistema per esporre servizi in internet (facilmente accessibili) deve poter mappare delle porte.
Quindi ora o viola anche il mio router per farlo o si trova la porta aperta perché io ho già attivato uPNP su quel device (per magari non perdere tempo a mappare io 4 o 5 porte ed ora lasciando a tutti la possibilità di mappare tutto quello che vogliono in modo silente).

Non sarà da fasciarsi la testa e può essere usato in modo relativamente sicuro soprattutto se ogni tanto si monitorizza cosa risulta attivo per scovare utilizzi strani e non voluti, ma di certo uPNP è solo una comodità e come tutte le comodità abbassa il livello di sicurezza senza se e senza ma.

[ebeb]

Quote:

Originariamente inviato da wrad3n

Con la VPN non volendo hai una sorta di protezione anche contro quel tipo di vulnerabilità perché il firewall del provider è molto restrittivo e non permette alcun traffico in entrata escludendo le porte standard (80,443 e poco altro), poi dipende dal tipo di server a cui sei connesso: double vpn, vpn + onion, vpn p2p (quest'ultimi supportano il traffico bittorrent etc.). Poi installati sul Router ho comunque altre contromisure: antivirus, packet inspection, geoip blocking, adblock etc.




Possono esserci porte che non vengono elencate perché aperte comunque, es. quelle riguardanti la VPN (1293 per IPSec, 500 IKE etc.).

Nei FRITZ!Box sono elencate TUTTE, suddivise per sezioni.



Per favore, se non lo hai sottomano cerca almeno di evitare informazioni non corrette a chi come @nelson1 stà cercando di venirne a capo...

[ebeb]

Quote:

Originariamente inviato da Tennic

Qui devo correggerti perchè i malware (appositi, visto che parliamo di programmi malevoli che sfruttano le comunicazioni in rete) sono progettati per utilizzare le normali porte, al fine di risultare trasparenti anche al firewall (senza cadere in spiegazioni troppo OT sulla Cyber Defence), quindi utilizzano la porta 80 etc
Ergo, passano il tuo firewall, il firewall del provider, e ringraziano per il noleggio gratuito della tua VPN quale strada digitale
Unica soluzione qual è? Firewall + Antivirus... Soluzione che guardacaso esula da VPN, UPNP, e qualunque altra cosa dove ci sia di mezzo il router, come dicevo ieri
Quindi, si torna sempre al discorso che l'utilizzo di una VPN, o del UPNP, o quello che preferisci sul router, non aggiunge ne toglie nulla ai malware, parliamo di concetti differenti, che necessitano di protezioni differenti

Concordo

Quote:

Originariamente inviato da wrad3n

beh, no, come ho scritto sopra, sul router ho un packet inspection/intrusion detection che controlla i pacchetti in transito (Snort).

Puoi tranquillamente caricare tutto quanto vuoi... chi ha violato i siti della Nasa se ne fa un baffo pure di tutto questo

Quote:

Originariamente inviato da Yrbaf

Bah per quanto possa concordare che soprattutto come è fatto sul Fritz (ossia device per device) sia molto meglio ed abbastanza sicuro, non direi che non introduce nessuna criticità.

Se io un sistema violato nel modo come preferite, magari un malware che riesce a prendere i diritti di root e poi a fare una sessione di amministrazione remota che attraversa il Nat (quindi uPNP off non sarebbe servito) e dà la gestione a qualcun altro.
Ora se quest'ultimo volesse usare il mio sistema per esporre servizi in internet (facilmente accessibili) deve poter mappare delle porte.
Quindi o ora viola anche il mio router per farlo o si trova la porta aperta perché io ho già attivato uPNP su quel device (per magari non perdere tempo a mappare io 4 o 5 porte ed ora lasciando a tutti la possibilità di mappare tutto quello che vogliono in modo silente).

Non sarà da fasciarsi la testa e può essere usato in modo relativamente sicuro soprattutto se ogni tanto si monitorizza cosa risulta attivo per scovare utilizzi strani e non voluti, ma di certo uPNP è solo una comodità e come tutte le comodità abbassa il livello di sicurezza senza se e senza ma.

E concordo pure con queste conclusioni.



In sintesi, in questo ambito dell'informatica la sicurezza assoluta è una chimera.
La sicurezza assoluta esiste al pari e con identiche modalità che indicava un famoso luminare in ordine alla pillola anticoncezionale.. l'unica sicura è quella che non si prende ne prima ne dopo, è quella che si prende invece..!!

Se lasci il computer ed il modem spenti ed i cavi scollegati sei a posto sicuramente.

E poi come raccomandavo sempre ai nuovi arrivati in ufficio il migliore antivirus che esista è quello che si pone tra sedia e tastiera...

[ebeb]

Quote:

Originariamente inviato da hot_blaster

Questa?

Una curiosità.. perché hai il menu in lingua inglese? Il paese è correttamente impostato come Italia??