[Thread Ufficiale] AVM FRITZ!Box 7590

[dlp]

Quote:

Originariamente inviato da Venturer

Perché dici questo?

Qui siamo OT ma trovi molto materiale in rete. In generale perchè il drop di una richiesta è molto più rapido di un timeout di conseguenza è come dire ad un vero hacker che li c'è qualcosa.
E qui mi taccio prima che intervanga Bovirus a segnalare l'OT

[Venturer]

Allora non é un baco!

Probabilmente hanno ritenuto che non é un dettaglio determinante in caso di attacco infatti un malitenzionato usa ben altri sistemi!

Peró non capisco la questione che perfino le Vodafone Stations e i TIM Hubs hanno il flag per evitare il ping all'interfaccia Wan e funziona correttamente.....boh scelta davvero strana!

Quote:

Originariamente inviato da dlp

Qui siamo OT ma trovi molto materiale in rete. In generale perchè il drop di una richiesta è molto più rapido di un timeout di conseguenza è come dire ad un vero hacker che li c'è qualcosa.
E qui mi taccio prima che intervanga Bovirus a segnalare l'OT

Ok grazie!

[s12a]

Dal manuale del 7590 c'è qualche informazione utile a riguardo:

https://service.avm.de/help/en/FRITZ..._filter_listen

Quote:

Firewall in stealth mode
Enable this setting if you want to make it more difficult to identify your FRITZ!Box through port scans.

When the firewall of the FRITZ!Box is in stealth mode, the FRITZ!Box operates as follows:

• All queries from the internet to ports that have not been opened for sharing are discarded without response (DROP)
• The FRITZ!Box continues to respond to PINGS (ICMP echo requests)
• The FRITZ!Box continues to respond to ident queries to port 113 with "TCP closed"

Stealth mode makes it more difficult for attackers to collect information about the system

Come è descritta dall'interfaccia del 7590:

Quote:

Firewall in stealth mode

In stealth mode the FRITZ!Box firewall rejects unsolicited queries from the internet instead of replying with ICMP control messages. It continues to reply to queries frequently required by programs. Enable this option if you want to make it more difficult to identify your FRITZ!Box through port scans.

[Venturer]

Quote:

Originariamente inviato da s12a

Dal manuale del 7590 c'è qualche informazione utile a riguardo:

https://service.avm.de/help/en/FRITZ..._filter_listen


Come è descritta dall'interfaccia del 7590:

Si avevo letto! In pratica dice che continua a rispondere alle richieste di certi programmi quindi non é un mascheramento totale alle richieste di ping.

Come detto dal "dlp" poco fa ad ogni modo il mascheramento totale alle richieste di ping non é garanzia di invisibilitá!

Mi auguro che il firewall del Fritzbox, per quanto ben distante da periferiche Firewall dedicate ad ambito business e professionali che si usano in ambito aziendale, permetta una sicurezza sufficiente per l'utente privato medio...

[GB ego sum]

Quote:

Originariamente inviato da bystronic

appena ho del tempo assegnerò un IP statico al Nas e al MediaPlayer, in quanto dalle ultime versioni di win 10 per poterci accedere, bisogna per forza digitare l'IP del dispositivo.

Scusa, ma non è vero!
Immagino che il 7590 svolga anche la funzione di DNS della tua rete locale: il nome del NAS Synology te lo risolve lui tranquillamente.
Poi che il NAS abbia un IP sempre uguale è comodo per altri motivi, ma basta impostare la prenotazione dell'IP nel DHCP del 7590

[Venturer]

Quote:

Originariamente inviato da GB ego sum

Scusa, ma non è vero!
Immagino che il 7590 svolga anche la funzione di DNS della tua rete locale: il nome del NAS Synology te lo risolve lui tranquillamente.
Poi che il NAS abbia un IP sempre uguale è comodo per altri motivi, ma basta impostare la prenotazione dell'IP nel DHCP del 7590

Corretto!

La forza dei Fritzbox é che sono in grado di convertire automaticamente l'ip di un dispositivo in nometestuale.dominio!

Tutti i dispositivi sulla tua rete locale, se viene associato un nome testuale al dispositivo (di solito lo fa in automatico con quello definito dal produttore, altrimenti lo puoi cambiare tu) assumono l'indirizzo: nomedispositivo.fritz.box

Come é stato detto é ottimale (ma non necessario) assegnare il DHCP reservation in modo che acquisiscano sempre il medesimo indirizzo ip per servizi particolari se i dispositivi devono dialogare tra loro...

[baron]

Quote:

Originariamente inviato da Venturer

Mi auguro che il firewall del Fritzbox, per quanto ben distante da periferiche Firewall dedicate ad ambito business e professionali che si usano in ambito aziendale, permetta una sicurezza sufficiente per l'utente privato medio...

Credo che il firewall abbia una sicurezza sufficiente per l'utente privato medio.
Il problema è che poi l'utente privato medio abilita l'accesso da internet alla GUI del Fritzbox o via FTP/FTPS, o peggio abilita le periferiche come le webcam ad essere raggiungibili da internet...

[baron]

Quote:

Originariamente inviato da dlp

Ciao, io non utilizzo la modalità stealth perchè per assurdo ti rende più visibile ad un attacco; comunque ti confermo che il router risponde al ping. Testato dal sito ShieldUP https://www.grc.com/x/ne.dll?bh0bkyd2

veramente è il contrario, il fatto che il sistema target ti ritorni la risposta "CLOSED" fa sapere al sistema che interroga che la richiesta è stata ricevuta ed è stata respinta, quindi l'attaccante sa che li esiste un servizio e che è chiuso.
Con lo Stealth mode invece non torna indietro nessuna risposta e l'attaccante non può sapere se il sistema sta su o non esiste niente di attivo.

[Joe 69]

Quote:

Originariamente inviato da Venturer

Si avevo letto! In pratica dice che continua a rispondere alle richieste di certi programmi quindi non é un mascheramento totale alle richieste di ping.

Come detto dal "dlp" poco fa ad ogni modo il mascheramento totale alle richieste di ping non é garanzia di invisibilitá!

Mi auguro che il firewall del Fritzbox, per quanto ben distante da periferiche Firewall dedicate ad ambito business e professionali che si usano in ambito aziendale, permetta una sicurezza sufficiente per l'utente privato medio...

Credo che la risposta alla questione viene dalla stessa AVM quindi, stando a loro, se la richiesta di ping parte direttamente da un programma proveniente dal fritz.box, perché mai il fritz.box dovrebbe bloccare la risposta proveniente da internet?
Quindi è normale che ritorni il Ping.
Dovrebbe quindi bloccare ciò che NON viene richiesto oltre che non far identificare il sistema ed il fritz.box.

[Joe 69]

Quote:

Originariamente inviato da baron

Credo che il firewall abbia una sicurezza sufficiente per l'utente privato medio.
Il problema è che poi l'utente privato medio abilita l'accesso da internet alla GUI del Fritzbox o via FTP/FTPS, o peggio abilita le periferiche come le webcam ad essere raggiungibili da internet...

È sarebbe anche normale che gli utenti medi privati lo facciano visto che, a star fuori casa, uno possa controllare casa per cogliere in diretta i ladri in azione... Credo inoltre che gli 'utenti medi privati non si facciano pippe mentali nel temere che sarebbero i ladri stessi a sfruttare sta cosa per entrare in casa visto anche che, statistiche alla mano, il ladro medio sarebbe l' extracomunitario di turno, anche preparato atleticamrnte visto abilità circense che molti dimostrano ad avere, che non va oltre all'avere capacità nell'aprire serrature....

[Joe 69]

Quote:

Originariamente inviato da baron

veramente è il contrario, il fatto che il sistema target ti ritorni la risposta "CLOSED" fa sapere al sistema che interroga che la richiesta è stata ricevuta ed è stata respinta, quindi l'attaccante sa che li esiste un servizio e che è chiuso.
Con lo Stealth mode invece non torna indietro nessuna risposta e l'attaccante non può sapere se il sistema sta su o non esiste niente di attivo.

Non ricordo dove l'avrei letto, però sembra che la mancanza di risposte del sistema target viene equiparato ad una risposta closed visto le capacità dei malintenzionati ... Se in Germania tutti hanno fritz.box e tutti l'abilitano, una mancanza di risposta secondo te cosa dovrebbe significare?
Secondo me era un sistema utile fino a quando erano in pochi ad usufruirlo.

[baron]

Quote:

Originariamente inviato da Joe 69

È sarebbe anche normale che gli utenti medi privati lo facciano visto che, a star fuori casa, uno possa controllare casa per cogliere in diretta i ladri in azione...

L'utente medio privato poi non si lamenti di essere finito sul grande fratello, visto i buchi di sicurezza che certe webcam hanno/possono avere.

[baron]

Quote:

Originariamente inviato da Joe 69

Non ricordo dove l'avrei letto, però sembra che la mancanza di risposte del sistema target viene equiparato ad una risposta closed visto le capacità dei malintenzionati

Resta il fatto che se l'IP che stai interrogando non ti risponde tu non sai se l'host è up o down, se ti risponde sei sicuro che è up.
Facendo uno scan di un range di IP sai subito che quelli che hanno risposto sono up.

[dlp]

Quote:

Originariamente inviato da baron

veramente è il contrario, il fatto che il sistema target ti ritorni la risposta "CLOSED" fa sapere al sistema che interroga che la richiesta è stata ricevuta ed è stata respinta, quindi l'attaccante sa che li esiste un servizio e che è chiuso.
Con lo Stealth mode invece non torna indietro nessuna risposta e l'attaccante non può sapere se il sistema sta su o non esiste niente di attivo.

Ciao, non è cosi semplice purtroppo.
Se vuoi approfondire la mia risposta decisamente troppo coincisa ti posto questo link sull'argomento.
https://www.achab.it/drop-vs-reject-...ioni-tecniche/
ce ne sono di più tecnici ma questo spero chiarisca cosa intendevo.

[baron]

Quote:

Originariamente inviato da dlp

Ciao, non è cosi semplice purtroppo.
Se vuoi approfondire la mia risposta decisamente troppo coincisa ti posto questo link sull'argomento.
https://www.achab.it/drop-vs-reject-...ioni-tecniche/
ce ne sono di più tecnici ma questo spero chiarisca cosa intendevo.

Vabbè, se fai una ricerca vedrai che non sempre il REJECT è preferibile al DROP.

[Dark345]

Quote:

Originariamente inviato da dlp

Ciao, non è cosi semplice purtroppo.
Se vuoi approfondire la mia risposta decisamente troppo coincisa ti posto questo link sull'argomento.
https://www.achab.it/drop-vs-reject-...ioni-tecniche/
ce ne sono di più tecnici ma questo spero chiarisca cosa intendevo.

vero

ma preferisco comunque il drop.

Comunque linea analogica configurata... ho evitato il cavo a Y dato che avevo già un cavo lan che mi andava dalla scatoletta di derivazione, ho utilizzato i fili verdi...

una bomba

[Joe 69]

Quote:

Originariamente inviato da baron

L'utente medio privato poi non si lamenti di essere finito sul grande fratello, visto i buchi di sicurezza che certe webcam hanno/possono avere.

Stia tranquillo che l'utente medio, proprio per appartenere a questa categoria, non ci andrà mai a finire al grande fratello così come, sempre per stare in questa categoria, non verrà mai spiata attraverso questi tipologie di buchi...solo nell'ambito dei PC e cellulari si attua la pesca a strascico dove poi ci va a finire pure l'utente medio ma non in questi casi dove si pesca con l'amo grazie al l'usare l'esca adatta visto l'importanza che avrà la persona destinata a subire una hackerata del genere...piuttosto, evitiamo i PC per banking online, acquisti online, evitiamo uso di app per operazioni bancarie o postali dai cellulari invece che farsi troppe pippe mentali su certi livelli sicurezze utili per i Vip, persone facoltosi, industriali, manager, proprietari di ville milionari, istituti bancarie, aziende, ecc... ,

[massie]

Quote:

Originariamente inviato da cica88

Ma non posso configurarlo, sotto Telefonia > Propri Numeri,

Assegnalo ad un dispositivo telefonico al posto dell'altro

[Joe 69]

Pare che ci sia un bug presente nel OS 7.25.
Andando nel sito dell'assistenza del 7590 riguardante l'OS 7.25, esce fuori, per quanto riguarda la telefonia, questo bug noto:

https://it.avm.de/assistenza/fritzbo...o-di-FRITZ-OS/

Poi ci sarebbe anche questo :
https://it.avm.de/assistenza/fritzbo...aggiornamento/

[Venturer]

Quote:

Originariamente inviato da Joe 69

evitiamo i PC per banking online, acquisti online, evitiamo uso di app per operazioni bancarie o postali dai cellulari invece che farsi troppe pippe mentali su certi livelli sicurezze utili per i Vip, persone facoltosi, industriali, manager, proprietari di ville milionari, istituti bancarie, aziende, ecc... ,

Senza andare veramente OT che poi si arrabbiano.......se l'utente medio avesse un sistema operativo aggiornato alle ultimissime patch di sicurezza (e prestazionali, sto parlando di Windows....e MacOS anche) ma "soprattutto" un antivirus, nello specifico una suite Total Security "a pagamento" che oltre all'antimalware comprende altri moduli come il firewall software, l'anti ramsomware, il modulo di rilevazione euristica degli exploit 0 day eccetera come possono essere i 2 leader di mercato Bitdefender e Kaspersky (io personalmente preferisco il Bitdefender ma il Kaspersky é equivalente)....e ribadisco "licenziato correttamente" e non craccato come per molti furboni che pensano di risparmiare scaricando soluzioni antimalware craccate e non si rendono conto che la soluzione stessa potrebbe essere un malware.......stai sicuro che di truffe informatiche, phishing, furto di identitá e credenziali bancarie eccetera....ce ne sarebbero pochissime!

Quello che posso notare é che in questo mondo moderno manca davvero la "cultura della sicurezza informatica" ma non biasimo persone di una certa etá che sono nate molto prima dell'era digitale ma i ragazzi giovani!

Chiuso veramente OT!