Porte aperte e sicurezza con router

[Kohai]

Avevo trovato anche questo... mi piace allargare il campo di vedute

-> http://telemat.die.unifi.it/book/Int...l/fwfw.htm#dmz

[Roby_P]

Quote:

Originariamente inviato da nuovoUtente86

Peccato che il significato di DMZ non sia questo: la DMZ è una zona "demilitarizzata", ovvero una zona entro cui confinare gli hosts pubblici ovvero quelli che espongono servizi che devono essere raggiungibili dall' esterno.Confinarli nella DMZ vuol dire evitare che tali hosts, se attaccati possono consentire l' accesso alla LAN, il che si traduce con il traffico LAN-DMZ consentito, ma non al contrario.
Per chi fosse interessato all' argomento ne ho parlato ampiamente nella seguente discussione.
http://www.hwupgrade.it/forum/showth...&highlight=dmz

Ciao nuovoUtente86
Molto interessante, grazie per il link

Quote:

Originariamente inviato da nuovoUtente86

ma in realtà una porta è nascosta perchè a nessuno interessa intercettarne le connessioni entranti, ed è quello che fa un router senza forward o particolari regole di firewalling. Una porta è chiusa se non vi è nessun servizio in ascolto e quindi viene segnalata tale situazione. Con un router si hanno gia le porte (tranne quelle per cui esiste una regola di loopback sull' interfaccia wan)in stealth.

Ora capisco perchè io, che non ho toccato quasi niente delle impostazioni di default del router, ho tutte le porte stealthed, mentre Kohai che è uno smanettone ( ) ha problemi.

Ciao ciao

[Kohai]

Del router non ho toccato assolutamente nulla, impostate solo le porte per emule e messo ip statico.
Ho solo eseguito la configurazione automatica per la prima connessione e basta...

[Roby_P]

Io scherzavo

Parli della configurazione automatica che ti aiuta ad impostare i parametri della connessione del tuo gestore?
Se hai fatto solo quella, allora decisamente ho smanettato più io

Notte Kohai

[Maddoctor]

Quote:

Originariamente inviato da nuovoUtente86

Peccato che il significato di DMZ non sia questo: la DMZ è una zona "demilitarizzata", ovvero una zona entro cui confinare gli hosts pubblici ovvero quelli che espongono servizi che devono essere raggiungibili dall' esterno.Confinarli nella DMZ vuol dire evitare che tali hosts, se attaccati possono consentire l' accesso alla LAN, il che si traduce con il traffico LAN-DMZ consentito, ma non al contrario.
Per chi fosse interessato all' argomento ne ho parlato ampiamente nella seguente discussione.
http://www.hwupgrade.it/forum/showth...&highlight=dmz

Verissimo , nulla da eccepire.
Però dse contestualizziamo il termine, sui router di solito con la funzione DMZ si specifica un indirizzo IP a cui fare forward di tutto il traffico in ingresso nel router.

Ciao

[nuovoUtente86]

Quote:

Originariamente inviato da Maddoctor

Verissimo , nulla da eccepire.
Però dse contestualizziamo il termine, sui router di solito con la funzione DMZ si specifica un indirizzo IP a cui fare forward di tutto il traffico in ingresso nel router.

Ciao

Non c'è nulla da contestualizzare: quella che implementano i router è una DMZ pura, come spiegato nel link che ho postato.

Quote:

La funzione DMZ viene usata da chi possiede un device (anche computer) firewall da porre tra il router e la LAN.

non ha nulla di specifico rispetto al concetto di DMZ.

Quote:

Tutto il traffico viene passato al firewall, il quale risulta configurato nei più svariati modi , e quindi non serve a chi a solo un PC dietro il router !!!!

Il firewall può anche gestire connessioni con IP multipli , destinando un IP alla navigazione tramite NAT, altri IP per altri servizi in hosting facendo mapping a livello di porte e/o a livello di IP.

anche questo è spiegato nel link, ma è anche indicato come in tal caso sia un abuso del termine DMZ.

[Kohai]

Siamo li' li....

-> http://www.hwupgrade.it/forum/showthread.php?t=2088779

Ho visto che c'e' un upgrade del firmware per il mio router (D-Link DIR 300), ma non son convinto di farlo per paura di incasinare il tutto...

[nuovoUtente86]

Allora facciamo chiarezza una volta per tutte: mettere un pc in DMZ è una cosa insicura e di certo non aumenta la sicurezza.

[Kohai]

Quote:

Originariamente inviato da nuovoUtente86

Allora facciamo chiarezza una volta per tutte: mettere un pc in DMZ è una cosa insicura e di certo non aumenta la sicurezza.

Scusami ma non ho capito una cosa: se un pc lo si mette in dmz (imho), verra' bypassato il firewall del router o comunque la sicurezza che questo offre, giusto?
Quindi l'unica barriera che si interporrebbe fra il pc in questione e internet, sarebbero i software di sicurezza installati sulla macchina, giusto?

[nuovoUtente86]

si è cosi.

[Maddoctor]

Quote:

Originariamente inviato da nuovoUtente86

Non c'è nulla da contestualizzare: quella che implementano i router è una DMZ pura, come spiegato nel link che ho postato.


non ha nulla di specifico rispetto al concetto di DMZ.


anche questo è spiegato nel link, ma è anche indicato come in tal caso sia un abuso del termine DMZ.

Sembra che stiamo a dire la stessa cosa ma non ci capiamo

Ciao

[nuovoUtente86]

Quote:

Originariamente inviato da Maddoctor

Sembra che stiamo a dire la stessa cosa ma non ci capiamo

Ciao

non credo proprio

[Kohai]

Quote:

Originariamente inviato da nuovoUtente86

si è cosi.

Perfetto, mi hai dissolto il dubbio, grazie
Era quello che mi interessava sapere

[Maddoctor]

Quote:

Tutto il traffico viene passato al firewall, il quale risulta configurato nei più svariati modi , e quindi non serve a chi a solo un PC dietro il router !!!!

Il firewall può anche gestire connessioni con IP multipli , destinando un IP alla navigazione tramite NAT, altri IP per altri servizi in hosting facendo mapping a livello di porte e/o a livello di IP.
anche questo è spiegato nel link, ma è anche indicato come in tal caso sia un abuso del termine DMZ.

Scusami se vorrei spiegarmi.

Io suggerivo il metodo di utilizzo che tu giustamente indichi come abuso del termine DMZ. Non ho mai detto che DMZ significhi qualcosa di diverso da quello che tutto il mondo sostiene.

In cosa "non credi proprio" che stiamo a dire la stessa cosa ?

Grazie in anticipo per la spiegazione.

[nuovoUtente86]

Quote:

Originariamente inviato da Maddoctor

Scusami se vorrei spiegarmi.

Io suggerivo il metodo di utilizzo che tu giustamente indichi come abuso del termine DMZ. Non ho mai detto che DMZ significhi qualcosa di diverso da quello che tutto il mondo sostiene.

In cosa "non credi proprio" che stiamo a dire la stessa cosa ?

Grazie in anticipo per la spiegazione.

In queste quattro parole

Quote:

Tutto il traffico viene passato al firewall

nell' implementazione letteraria della DMZ, il firewall divide unicamente il segmento LAN da quello DMZ solo nel verso DMZ-LAN e non analizza, ne filtra il resto del traffico pubblico.
Esistono diverse implementazioni come la Double-firewalled ma non sono DMZ pure.

[Maddoctor]

Quote:

nell' implementazione letteraria della DMZ, il firewall divide unicamente il segmento LAN da quello DMZ solo nel verso DMZ-LAN e non analizza, ne filtra il resto del traffico pubblico.

Esistono diverse implementazioni come la Double-firewalled ma non sono DMZ pure.

Sarà che per tutte le DMZ che conosco/uso/imposto .... applico regole di filtraggio anche tra WAN e DMZ in ingresso, tanto il traffico attraversa il firewall, quindi blocchiamo tutto quello che non server. Seguo il principio ... demilitarizzate si, ma mai reti completamente aperte .... non so io ... io non lo faccio e non lo consiglio a nessuno. Aumenti la attack surface senza motivo.

Faccio un esempio .... server WEB linux ..... IP dedicato .... io farei passare solo le connessioni sulla porta 80 e 443 .... la 22 la eviterei con cura. Sarà protetto SSH, ma se evito connessioni dall'esterno sono più tranquillo.

Ciao

[Kohai]

Provato stamattina a scollegare il router ed effettuare una connessione col solo modem: test pcflank e shields up superati brillantemente, compreso il comodo test...

Purtroppo ragazzi di connessioni, router e compagnia bella ne capisco poco, anche se da 2 giorni mi sto facendo una scorpacciata di guide... il problema pero' permane... se a miei due amici collegati col router le porte risultano stealth a prescindere, non capisco perche' il mio router debba rispondere e far vedere la porta... il guaio peggiore e' che non son sempre le stesse ma variano, ad ogni nuovo test effettuato su shieldsup le porte visibili non son sempre le stesse ma variano in continuazione. E' questo comportamento che non riesco a capire..

Due son le cose:
- o rifaccio la configurazione per la connessione ad internet oppure
- effettuo la guida per una connessione wireless e metterci le pasword anche se questo tipo di connessione non la uso, difatti non ho nemmeno messo l'antennina sul router

Ho provato anche usando la funzione dmz senza alcun risultato, o meglio, le porter visibili erano nettamente inferiori ma persistevano....

Ringrazio tutti comunque.

[nuovoUtente86]

Quote:

Originariamente inviato da Maddoctor

Sarà che per tutte le DMZ che conosco/uso/imposto .... applico regole di filtraggio anche tra WAN e DMZ in ingresso, tanto il traffico attraversa il firewall, quindi blocchiamo tutto quello che non server. Seguo il principio ... demilitarizzate si, ma mai reti completamente aperte .... non so io ... io non lo faccio e non lo consiglio a nessuno. Aumenti la attack surface senza motivo.

Faccio un esempio .... server WEB linux ..... IP dedicato .... io farei passare solo le connessioni sulla porta 80 e 443 .... la 22 la eviterei con cura. Sarà protetto SSH, ma se evito connessioni dall'esterno sono più tranquillo.

Ciao

fai bene a proteggere il server, ma il come lo proteggi non è parte integrante della DMZ e della sua topologia.

[nuovoUtente86]

Quote:

Originariamente inviato da Kohai

Provato stamattina a scollegare il router ed effettuare una connessione col solo modem: test pcflank e shields up superati brillantemente, compreso il comodo test...

Purtroppo ragazzi di connessioni, router e compagnia bella ne capisco poco, anche se da 2 giorni mi sto facendo una scorpacciata di guide... il problema pero' permane... se a miei due amici collegati col router le porte risultano stealth a prescindere, non capisco perche' il mio router debba rispondere e far vedere la porta... il guaio peggiore e' che non son sempre le stesse ma variano, ad ogni nuovo test effettuato su shieldsup le porte visibili non son sempre le stesse ma variano in continuazione. E' questo comportamento che non riesco a capire..

Due son le cose:
- o rifaccio la configurazione per la connessione ad internet oppure
- effettuo la guida per una connessione wireless e metterci le pasword anche se questo tipo di connessione non la uso, difatti non ho nemmeno messo l'antennina sul router

Ho provato anche usando la funzione dmz senza alcun risultato, o meglio, le porter visibili erano nettamente inferiori ma persistevano....

Ringrazio tutti comunque.

Credo che questa discussione stia scadendo nel ridicolo: stare dietro router senza alcun forward ti crea un firewall hardware naturale, fatti bastare questo: che poi un test ti dica nascosta o chiusa poco importa.

[Kohai]

Di ridicolo c'e' il comportamento del router.