[Thread Ufficiale] AVM FRITZ!Box 7590

[hot_blaster]

Lo preferisco in inglese, spesso mi facilità la lettura di guide o ricerche online.

In System->Language Settings ho selezionato inglese
In System->Regional Option il paese selezionato è Italia

[Tennic]

Quote:

Originariamente inviato da wrad3n

beh, no, come ho scritto sopra, sul router ho un packet inspection/intrusion detection che controlla i pacchetti in transito (Snort).

Configurato sulle singole porte immagino.
E allora stai barando
Pareva che disattivare UPNP fosse la panacea di tutti i mali, ed io rispondevo in tal senso... Ora invece saltano fuori altre misure protettive...
In tale ottica concordo pienamente, disattivare UPNP deve essere uno dei vari passaggi se si cerca massima sicurezza, non l'unico, quindi stiamo dicendo la stessa cosa
Disattivare UPNP e dire "ora sono al sicuro", mi trova non concorde, perchè ho citato come al malware non interessa del tuo UPNP, della tua VPN, etc
Ma se hai fatto tante altre cose, allora ovviamente hai esigenze avanzate di massima sicurezza e disattivare UPNP è un passo necessario (insieme ad altri 10 ) per raggiungere lo scopo

Ovviamente a casa ognuno ha le proprie esigenze, personalmente non mi sarebbe utile replicare a casa la mia configurazione lavorativa (router Cisco 2800, 3 server Linux, controller AP e relativi AP, e tutti i sistemi di controllo e filtraggio), semplicemente perchè il mio computer casalingo non è esposto, i server a lavoro (server web e non solo, con migliaia di utenti) sono invece esposti su internet.

Ma nel tuo caso, se a casa hai tali configurazioni, sicuramente avrai le tue ragioni, e nel contesto protettivo da te citato, mi trovi d'accordo sul disattivare UPNP.

Ma concorderai che per un comune utente domestico che si collega ad internet, non fa niente di speciale, non invia file classificati alla azienda, ed altri utilizzi particolari, quindi l'utente al quale il 7590 è rivolto, non avrebbe alcun beneficio in termini di sicurezza nel disattivare solo UPNP, in quanto l'eventuale malware (*) non si farebbe alcun problema, con o senza UPNP.

*ma a casa, quanto è probabile prendere un malware così avanzato che sfugge ad un buon antimalware, ed è in grado di stabilire connessioni remote anche aprendo porte ad hoc o attraverso una VPN?

Quote:

Originariamente inviato da Yrbaf

Bah per quanto possa concordare che soprattutto come è fatto sul Fritz (ossia device per device) sia molto meglio ed abbastanza sicuro, non direi che non introduce nessuna criticità.

Se io un sistema violato nel modo come preferite, magari un malware che riesce a prendere i diritti di root e poi a fare una sessione di amministrazione remota che attraversa il Nat (quindi uPNP off non sarebbe servito) e dà la gestione a qualcun altro.
Ora se quest'ultimo volesse usare il mio sistema per esporre servizi in internet (facilmente accessibili) deve poter mappare delle porte.
Quindi o ora viola anche il mio router per farlo o si trova la porta aperta perché io ho già attivato uPNP su quel device (per magari non perdere tempo a mappare io 4 o 5 porte ed ora lasciano a tutti la possibilità di mappare tutto quello che vogliono in modo silente).

Non sarà da fasciarsi la testa e può essere usato in modo relativamente sicuro soprattutto se ogni tanto si monitorizza cosa risulta attivo per scovare utilizzi strani e non voluti, ma di certo uPNP è solo una comodità e come tutte le comodità abbassa il livello di sicurezza senza se e senza ma.

Parli di malware che assume i diritti di root sul tuo computer?
E che quindi può attivare servizi aprendo porte aggiuntive? Affermativo, col UPNP può, mentre senza UPNP utilizzerebbe porte lecite e già aperte (80, etc).
Ma se apre qualche porta, lo vedi dal router

Riguardo l'ultima frase, pienamente d'accordo, è una comodità, e può essere sfruttata da malware, ma, ripeto, gli stessi malware non pendono dalle labbra del UPNP, e se non riescono a mappare una porta, utilizzano quelle già presenti, senza farsi problemi nel bypassare anche eventuali firewall scadenti sul computer, attraverso tecniche di Dll injection ed altre tecniche che sono OT in questo topic.

Tuttavia, come scritto sopra, se la disattivazione del UPNP è parte di un percorso costituito anche da altre misure, allora ci sta, ma dire che la semplice disattivazione come unica misura porta dei benefici, è errato
Se non associ altre misure protettive, l'unica conseguenza del disattivare UPNP è che devi creare manualmente i port forwarding a TE necessari, mentre un malware riesce tranquillamente ad arrangiarsi anche senza la collaborazione del UPNP, come hanno sempre fatto

Ricordiamo che parliamo di UPNP perchè è una funzione di ausilio domestico, in un prodotto domestico, quale è il Fritzbox 7590 (e tutti gli altri).

Se si ricercano protezioni elevate, perchè il nostro computer è esposto ad attacchi anche dedicati (per qualunque ragione che non sta a noi conoscere), dobbiamo quindi rimboccarci le maniche e fare più o meno quello che ha fatto wrad3n, dove la disattivazione del UPNP è una delle tante cose, perchè se fosse stata l'unica non sarebbe servita a nulla (contro il malware, intendo)

Se parliamo del 7590 e delle sue funzioni, tutto va correlato all'ambito nel quale il 7590 viene utilizzato, dire che non è sicuro perchè... e citiamo esempi spesso improbabili in ambito domestico (a meno che non lavoriamo da casa nell'ambito della sicurezza informatica e testiamo configurazioni e malware), è in contrasto col concetto stesso del prodotto
Ma se ricerchiamo sicurezza a prova di bomba (relativamente parlando ), probabilmente il 7590 non è il dispositivo che ci serve, è un apparato domestico con prestazioni domestiche, seppur di buona qualità in tale ambito. Quello che ci serve è un router enterprise, dei server, e tanta buona volontà per configurarli

[wrad3n]

edit

[ebeb]

Quote:

Originariamente inviato da hot_blaster

Lo preferisco in inglese, spesso mi facilità la lettura di guide o ricerche online.

In System->Language Settings ho selezionato inglese
In System->Regional Option il paese selezionato è Italia

OK

[wrad3n]

Quote:

Originariamente inviato da Tennic

Configurato sulle singole porte immagino.
E allora stai barando
Pareva che disattivare UPNP fosse la panacea di tutti i mali, ed io rispondevo in tal senso... Ora invece saltano fuori altre misure protettive...

ah, no, il discorso era in generale e per rispondere all'utente che ne ha fatto richiesta, dopo tutte queste pagine non ricordo chi era perché voleva usarlo per giocare su PC, io rimango dell'idea che è meglio pensarci due volte prima di dare certe libertà ad un PC, concordo invece che per come è pensato sul Fritz può essere usato senza problemi con una console xbox o ps...

[Tennic]

Quote:

Originariamente inviato da ebeb

E poi come raccomandavo sempre ai nuovi arrivati in ufficio il migliore antivirus che esista è quello che si pone tra sedia e tastiera...

Attenzione che se non specifichi meglio qualcuno prende ed ha preso per oro colato questo assioma, ma scollegandolo dal contesto e ritenendolo requisito necessario e sufficiente, infatti si trovano thread dove, riassumendo, "l'antivirus non serve perchè ci sono io, e sono il miglior antivirus perchè sono tra sedia e tastiera, e solo con le dita posso contrastare minacce che hanno messo in ginocchio enti governativi"

Quando tengo dei seminari per la cyber defence spesso mostro il miglior firewall, vale anche sul 7590, nel caso si voglia abilitare la modalità "massima sicurezza"



Ogni altra modalità, non è universalmente o inconfutabilmente sicura

Ricordiamoci che stiamo parlando di un Fritz Box domestico, non del router del Pentagono

[Yrbaf]

Quote:

Originariamente inviato da Tennic

Parli di malware che assume i diritti di root sul tuo computer?
E che quindi può attivare servizi aprendo porte aggiuntive? Affermativo, col UPNP può, mentre senza UPNP utilizzerebbe porte lecite e già aperte (80, etc).

No non necessariamente malware, ho lasciato malware per comodità dei vs discorsi e non pensavo ad un PC ma più a sistemi vari.
Toh per esempio prendiamo un bel NAS di cui io ho esposto l'interfaccia Web (e solo quella, magari su HTTPS) su internet per mia comodità. Tanto convinto della sicurezza della mia password o del tutto sprovveduto e con fiducia nel prossimo.

Ora qualcuno in qualche modo l'ha notato ed è riuscito a prendere i diritti di admin del NAS (nel modo che tu preferisci, bug noto sulla pagina di admin, mia password debole, ...ecc)
Ora lui oltre a sbirciare nel mio NAS decide di usarlo per esporre dei servizi (che magari rivende), tipo container Linux (se il mio Nas lo fa), servizi Web (su più porte non solo 80), server FTP e tutto quello che vuoi.

Naturalmente causa Nat dovrebbe pure violare il mio router per esporre tutte le porte (salvo fare una vpn verso un altro host di sua proprietà e mappare le porte lì con poi inoltro lan to lan su vpn, ma in quel caso sarebbe più tracciabile se lo facesse a meno che anche il secondo host non sia rubato a qualcun altro).

Se io per magari non mappare la porta HTTP/HTTPS ho usato uPNP (facciamo finta che il Nas usi uPNP per quello se gli dici di esporre interfaccia web sul pubblico), gli ho servito un nuovo server online per tutti i suoi usi e di quelli a cui lui li rivende/concede in uso.
Altrimenti l'ho obbligato ora a violare anche il router (o ad usare altri mezzi più scomodi).
Poi certo se ho trovato il mega hacker magari viola anche quello ma non direi che il livello di sicurezza sia uguale e uPNP non abbia dato nessun contributo.
Ne ha dato uno bello grande!

Quote:

Ma se apre qualche porta, lo vedi dal router

Si magari però 9 mesi dopo
Parliamoci chiaro chi è esperto e guarda certe cose 8 (sono stato buono) volte su 10 di uPNP può fare a meno.
E chi lo usa spesso (ma non sempre) è perché non è pratico e vuole un pulsante magico del tipo "schiaccia qua e fai tutto tu"
E quello i log o non li guarda mai in vita sua, o li guarda random x volte all'anno se non è qualche evento traumatico a fargli notare qualcosa prima.

Non dico che sia insicuro a prescendire e che NON usarlo ci mette al sicuro da tutto, ma solo che il suo uso abbassa la sicurezza ma basta esserne consapevoli e gestire la cosa (o fregarsene ed avere fiducia che non deve sempre andare male come dice la legge di ...).

E di certo non direi che cambia poco tra l'avere la porta chiusa a chiave con ogni volta la chiave da usare e l'aver messo un pulsante in esterno per aprire la porta con serratura a sblocco elettrico, solo per non fare la fatica di usare ogni volta la chiave, giustificando il tutto che tanto un ladro se vuole entrare lo fa anche con la porta chiusa

[Tennic]

Quote:

Originariamente inviato da wrad3n

ah, no, il discorso era in generale e per rispondere all'utente che ne ha fatto richiesta, dopo tutte queste pagine non ricordo chi era perché voleva usarlo per giocare su PC, io rimango dell'idea che è meglio pensarci due volte prima di dare certe libertà ad un PC, concordo invece che per come è pensato sul Fritz può essere usato senza problemi con una console xbox o ps...

Si ok, ora tutto chiaro, come dicevo nel precedente intervento, ora mi trovo d'accordo, se sono richieste certe policy di sicurezza, ovvio che la disattivazione di UPNP è requisito fondamentale ma NON sufficiente, come tu stesso hai confermato... io infatti dicevo quello da ieri, che disattivare UPNP da solo non ci da alcun beneficio nella lotta contro malware e simili, ma insieme ad altri strumenti il discorso cambia ovviamente

Quote:

Originariamente inviato da Yrbaf

No non necessariamente malware, ho lasciato malware per comodità dei vs discorsi e non pensavo ad un PC ma più a sistemi vari.
....

Concordo, ma infatti tu hai già spiegato un utilizzo più particolare

Come detto nei miei precedenti interventi, per l'utente domestico "normale" (ossia la media), che attacca il router, va su internet, scarica la posta (quando non usa solo webmail), e magari talvolta apre le porte per usare quei programmi che necessitano di porte aperte , col UPNP non ha alcun decremento di sicurezza, ma anzi ha solo vantaggi (es. porte dinamiche casuali)

Ma ovvio che in scenari più particolari, che vanno valutati nel dettaglio, ogni funzione ha implicazioni, in bene o in male, su questo non ci piove

Io non ho mai detto che in qualunque scenario UPNP è indifferente, ho sempre scritto che nello scenario malware, quello che era emerso, ossia il malware che prende il controllo del mio computer ed apre le porte per parlare col mondo intero, ho detto che in quello specifico caso, UPNP ON o UPNP OFF è indifferente, se usato come unico strumento di difesa

Quindi non c'è una soluzione universalmente buona o un "è cattivo" a prescindere, bisogna valutare pro e contro sul singolo caso... Ma ricordiamoci che è un prodotto domestico, quindi statisticamente sono più quelli del "navigo e scarico" che quelli col server NAS raggiungibile dall'esterno o altre applicazioni particolari... Questi ultimi utenti sono abbastanza abili da capire cosa e come fare per cercare di mettersi al riparo da minacce probabili (non quelle improbabili)

[ebeb]

Quote:

Originariamente inviato da Tennic

Attenzione che se non specifichi meglio qualcuno prende ed ha preso per oro colato questo assioma, ma scollegandolo dal contesto e ritenendolo requisito necessario e sufficiente, infatti si trovano thread dove, riassumendo, "l'antivirus non serve perchè ci sono io, e sono il miglior antivirus perchè sono tra sedia e tastiera, e solo con le dita posso contrastare minacce che hanno messo in ginocchio enti governativi"

Quando tengo dei seminari per la cyber defence spesso mostro il miglior firewall, vale anche sul 7590, nel caso si voglia abilitare la modalità "massima sicurezza"



Ogni altra modalità, non è universalmente o inconfutabilmente sicura

Ricordiamoci che stiamo parlando di un Fritz Box domestico, non del router del Pentagono

No!! quelli sono coloro che ne sanno sempre una pagina oltre il libro! Era il concetto che si potrebbe sintetizzare con due parole "PENSACI SU !"

Il fondamento rimane sempre l'altro concetto...

La sicurezza assoluta esiste al pari e con identiche modalità che indicava un famoso luminare in ordine alla pillola anticoncezionale.. l'unica sicura è quella che non si prende ne prima ne dopo, è quella che si prende invece..!!

[Falcoblu]

Uscita la nuova Labor 07.19-78393

[ebeb]

Quote:

Originariamente inviato da Falcoblu

Uscita la nuova Labor 07.19-78393

FRITZ!OS è il sistema operativo del FRITZ!Box. Attualmente, sul FRITZ!Box è installata la seguente versione di FRITZ!OS:
FRITZ!OS: 07.19-78189 Inhaus
Questo FRITZ!OS è una versione Labor. Tornare al FRITZ!OS ufficiale
Installato il: 08.05.2020 1:16
L'ultima ricerca automatica di un nuovo FRITZ!OS ha avuto luogo il: 12.05.2020 10:39
Nota:
Potete eseguire gli aggiornamenti online per i prodotti FRITZ! collegati anche in "Rete locale > Mesh".
Il vostro FRITZ!OS è aggiornato.
Terminato




Non me la vede ancora...

[Trotto@81]

Io attendo con ansia al 7.19 per i repeater perché ho comperato una cosa che funziona parzialmente bene.

[ruinsofalcatraz]

Quote:

Originariamente inviato da Trotto@81

Io attendo con ansia al 7.19 per i repeater perché ho comperato una cosa che funziona parzialmente bene.

Cioè?
Io sto pensando di prendere un FRITZ!Repeater 2400.

[Trotto@81]

Se non devi usare l'accesso guest non avrai problemi, perché attualmente non funziona sul repeater.

[Falcoblu]

Quote:

Originariamente inviato da ebeb

FRITZ!OS è il sistema operativo del FRITZ!Box. Attualmente, sul FRITZ!Box è installata la seguente versione di FRITZ!OS:
FRITZ!OS: 07.19-78189 Inhaus
Questo FRITZ!OS è una versione Labor. Tornare al FRITZ!OS ufficiale
Installato il: 08.05.2020 1:16
L'ultima ricerca automatica di un nuovo FRITZ!OS ha avuto luogo il: 12.05.2020 10:39
Nota:
Potete eseguire gli aggiornamenti online per i prodotti FRITZ! collegati anche in "Rete locale > Mesh".
Il vostro FRITZ!OS è aggiornato.
Terminato




Non me la vede ancora...

Questo il link per il download: FRITZ.Box_7590-07.19-78393-LabBETA.image

[ruinsofalcatraz]

Quote:

Originariamente inviato da Trotto@81

Se non devi usare l'accesso guest non avrai problemi, perché attualmente non funziona sul repeater.

Ah ok.
Come segnale quanto spreme in 5 GHz?
Diciamo collegandolo in LAN.

[Trotto@81]

Ho la versione base da 600 Mbps che non ha la LAN e sono soddisfatto, non vedo perché posizionando bene il tuo debba andare diversamente.

[ruinsofalcatraz]

Quote:

Originariamente inviato da Trotto@81

Ho la versione base da 600 Mbps che non ha la LAN e sono soddisfatto, non vedo perché posizionando bene il tuo debba andare diversamente.

Eh?

[Totix92]

Quote:

Originariamente inviato da Trotto@81

Se non devi usare l'accesso guest non avrai problemi, perché attualmente non funziona sul repeater.

In che senso che la Guest non funziona sul repeater? Io ho il 1750E e funziona perfettamente.

[Trotto@81]

Da me funziona, ma se mi connetto il dispositivo si blocca all'acquisizione dell'IP. Succede su due dispositivi distinti. Intendo il 600 con 7.12. La inahus non è disponibile per questo mdoello.