E' sicura la mia rete?

[gasgas14]

Ciao a tutti.

Ho appena terminato (quasi va'.. visto che non si smette mai di imparare) la configurazione del mio nuovo nas/serverino e dunque della rete LAN che ho a casa.
Viste le necessità di poter accedere ai dati da esterno (tramite Webmin su Ubuntu) mi sorge spontanea una domanda: è sicura la mia rete??

Questa in linea di massima la configurazione:

PC HOME
Vista 64bit SP1
connesso via cavo con riserva indirizzo IP;

NAS
Ubuntu 9.04
connessio via cavo con riserva indirizzo IP;

Portatile
Vista 64bit SP2
collegato via wireless al router Netgear DGN2000 con connessione criptata WPA2 e controllo mac-address;

I due pc con Vista hanno entrambi firewall Comodo ed antivirus Avira Personal Ed; il NAS non ha firewall attivo e nemmeno antivirus, visto che salva solo i dati dei due pc.. (sbaglio? per non sovraccaricarlo troppo).

E' attivo il firewall del ruoter e sono aperte fisse le porte per la gestione da remoto di Ubuntu tramite Webmin (protocollo https, username e password). e delle interfacce Torrent e Mule (a cui si accede tramite username e password).
Il NAS è inoltre gestito a volte, dall'interno della rete, da UltraVNC, e configurato per accettare connessioni in ingresso.
Mi chiedevo se tutte queste "esposizioni" verso l'esterno - in particolare il desktop remoto di Ubuntu - potessero crearmi problemi di sicurezza.
In teoria pero' il firewall del router dovrebbe bloccare le connessioni in ingresso al NAS dall'esterno, no?

Cerco aiuto.
Grazie.

[nuovoUtente86]

Hai pensato ad una DMZ?

[gasgas14]

Quote:

Originariamente inviato da nuovoUtente86

Hai pensato ad una DMZ?

Ehm.. mia piccola lacuna.. intanto che mi informo, se non è lungo da spiegare spendimi un due parole

Grazie.

Comunque con PCFlank ho rilevato che la rete - dovrebbe - essere sicura.. tutte le porte sono nascoste, meno quelle per l'accesso da remoto alla configurazione del router, gestione Torrent tramite interfaccia web, e gestione Linux tramite interfaccia web (Webmin).. sono comunque tutte protette all'accesso da nome utente e password.. quindi dovrei essere abbastanza sicuro.. credo sia normale che non siano nascoste.. altrimenti dall'ufficio ad esempio come farei per vederle?

[gasgas14]

L'interfaccia del mio router dice questo a proposito della DMZ:

Server DMZ predefinito

Specificando un server DMZ predefinito, si potrà impostare un computer o un server utilizzabile da qualsiasi utente di Internet per servizi che non sono stati definiti. Questa operazione implica dei rischi per la sicurezza, pertanto deve essere eseguita soltanto se si opta deliberatamente per un accesso libero. Se non si assegna un server DMZ predefinito, il router ignora qualsiasi richiesta in ingresso di servizi non definiti. Trattandosi di un problema di sicurezza, si consiglia di selezionare questa casella esclusivamente per particolari motivi.

Per assegnare un computer o un server che funga da server DMZ:

1. Fare clic sulla casella di controllo Server DMZ predefinito
2. Inserire l'indirizzo IP per il server.
3. Fare clic su Applica.

[andrew1988]

il dmz serve ad aprire tt le porte su un determinato ip.. questo permette di fare svariate cose.. come configurare un server.... mah oppure io lo vedo + x un utilizzo del tipo.. collego il mio vecchio router con accesso internet (tale da usarlo solo come modem) ad un nuovo che m fa da firewall.. AP.. e quelle cose.. cosi' che uno sul vecchio router mette un dmz sull'ip del nuovo ed e' sicuro che tutto passa e solo il nuovo gestisce..

del resto se hai un server.. t basta fare il forward delle porte che t servono che d certo nn sn tante e fine

[nuovoUtente86]

Quote:

Originariamente inviato da andrew1988

il dmz serve ad aprire tt le porte su un determinato ip.. questo permette di fare svariate cose.. come configurare un server.... mah oppure io lo vedo + x un utilizzo del tipo.. collego il mio vecchio router con accesso internet (tale da usarlo solo come modem) ad un nuovo che m fa da firewall.. AP.. e quelle cose.. cosi' che uno sul vecchio router mette un dmz sull'ip del nuovo ed e' sicuro che tutto passa e solo il nuovo gestisce..

del resto se hai un server.. t basta fare il forward delle porte che t servono che d certo nn sn tante e fine

Concettualmente una DMZ non è questo.
La DMZ costituisce la parte di una lan raggiungibile dall' esterno, in cui collocare appunto i pc che offrono servizio pubblico, isolando da questi gli accessi verso la lan, ovvero se espongo in DMZ un server web questi sarà raggiungibile ovviamente da internet ma anche dalla lan, il percorso inverso invece non deve essere, per mezzo di un firewall, raggiungibile.

[nuovoUtente86]

Quote:

Originariamente inviato da gasgas14

Ehm.. mia piccola lacuna.. intanto che mi informo, se non è lungo da spiegare spendimi un due parole

Grazie.

Comunque con PCFlank ho rilevato che la rete - dovrebbe - essere sicura.. tutte le porte sono nascoste, meno quelle per l'accesso da remoto alla configurazione del router, gestione Torrent tramite interfaccia web, e gestione Linux tramite interfaccia web (Webmin).. sono comunque tutte protette all'accesso da nome utente e password.. quindi dovrei essere abbastanza sicuro.. credo sia normale che non siano nascoste.. altrimenti dall'ufficio ad esempio come farei per vederle?

Anche se le porte fossere fisicamente raggiungibili, non essendoci software in ascolto, a meno di falle intrinseche nel sistema non ci sarebbero problemi.

[nuovoUtente86]

Quote:

Originariamente inviato da gasgas14

L'interfaccia del mio router dice questo a proposito della DMZ:

Server DMZ predefinito

Specificando un server DMZ predefinito, si potrà impostare un computer o un server utilizzabile da qualsiasi utente di Internet per servizi che non sono stati definiti. Questa operazione implica dei rischi per la sicurezza, pertanto deve essere eseguita soltanto se si opta deliberatamente per un accesso libero. Se non si assegna un server DMZ predefinito, il router ignora qualsiasi richiesta in ingresso di servizi non definiti. Trattandosi di un problema di sicurezza, si consiglia di selezionare questa casella esclusivamente per particolari motivi.

Per assegnare un computer o un server che funga da server DMZ:

1. Fare clic sulla casella di controllo Server DMZ predefinito
2. Inserire l'indirizzo IP per il server.
3. Fare clic su Applica.

Questo deriva probabilmente da una traduzione approssimativa che hanno fatto da qualche documento inglese. Il rischio di cui si parla, deriva, ovviamente da esporre un qualsiasi computer ad internet, ma il vantaggio della DMZ è quello di isolarlo dal resto della lan

[andrew1988]

vorrei approfittare del tuo sapere e gentilezza x farti delle domande sul dmz.. quello che ne so io e' solo derivato dalla scarsa esperienza...

hai detto che se si applica un dmz su un ip quell'ip sara' raggiugibile da internet e lan, ma nn viceversa.. in che senso? il server nn riesce a raggiungere gli altri pc? nel senso io pingo un mio pc dal server e nn arriva a destinazione?

per quanto riguarda le porte? supponiamo che sullo stesso router ho un server e un pc.. il server e' in dmz, il pc invece ha il forward della porta X, qualora una connesione e' in ingresso a chi viene dirottata? Caso di un webserver con DMZ applicato e un pc con apache con forward della 80 sul suo ip.. (dovrebbe favorire il webserver) oppure parallelo per torrent (dovrebbe favorire il pc)

[nuovoUtente86]

Quote:

Originariamente inviato da andrew1988

vorrei approfittare del tuo sapere e gentilezza x farti delle domande sul dmz.. quello che ne so io e' solo derivato dalla scarsa esperienza...

hai detto che se si applica un dmz su un ip quell'ip sara' raggiugibile da internet e lan, ma nn viceversa.. in che senso? il server nn riesce a raggiungere gli altri pc? nel senso io pingo un mio pc dal server e nn arriva a destinazione?

esatto. Lo scopo è quello di non consentire ad un attaccante che abbia preso possesso del server di arrivare alla parte protetta della lan.

Quote:

per quanto riguarda le porte? supponiamo che sullo stesso router ho un server e un pc.. il server e' in dmz, il pc invece ha il forward della porta X, qualora una connesione e' in ingresso a chi viene dirottata? Caso di un webserver con DMZ applicato e un pc con apache con forward della 80 sul suo ip.. (dovrebbe favorire il webserver) oppure parallelo per torrent (dovrebbe favorire il pc)

L' utilizzo del port-forwarding è solo un tipo di implementazione per una DMZ. Il problema che ti poni non esiste, perchè il forward deve essere univoco porta-ip.

[andrew1988]

Quote:

Originariamente inviato da nuovoUtente86

L' utilizzo del port-forwarding è solo un tipo di implementazione per una DMZ.

interessante... si riesce a implementare un dmz con port-forwarding? come?

Quote:

Originariamente inviato da nuovoUtente86

Il problema che ti poni non esiste, perchè il forward deve essere univoco porta-ip.

[nuovoUtente86]

Quote:

Originariamente inviato da andrew1988

interessante... si riesce a implementare un dmz con port-forwarding? come?

Non si utilizzano ip pubblici ma privati, ma è in ogni caso indispensabile un firewall che filtri il traffico(almeno fino a livello trasporto).
Un' altra tecnica comune è il "proxy inverso"

[andrew1988]

Quote:

Originariamente inviato da nuovoUtente86

Non si utilizzano ip pubblici ma privati, ma è in ogni caso indispensabile un firewall che filtri il traffico(almeno fino a livello trasporto).

nn capisco cosa centrano gli indirizzi pubblici e privati..
cmq grazie hai dato un nome a un concetto che avevo in mente riguardo al reverse proxy

[nuovoUtente86]

Quote:

Originariamente inviato da andrew1988

nn capisco cosa centrano gli indirizzi pubblici e privati..
cmq grazie hai dato un nome a un concetto che avevo in mente riguardo al reverse proxy

Tipicamente un servente fa binding su un ip pubblico per questioni di lookup. Se questo non è voluto o possibile è possibile adottare una soluzione basata di DMZ, forwardando sulla macchina demilitarizzata l' ip puntanto da un DNS dinamico(questo è solo un ipotetico scenario). Se vogliamo metterci dentro anche il "reverse proxy" possiamo fare diverse considerazioni.
1)Il "reverse proxy" consente un trasparente bilanciamento di carico di lavori tra eventuali serventi.
2)Attraverso un "reverse proxy" è possibile ad esempio attingere dati da sistemi di legacy senza esporli all' accesso diretto da internet.
3)Se prendiamo come comparazione un webServer, l' interfaccia proxy switcha le richieste (solo attraverso HTTP come qualsiasi altro proxy)ai serventi interni alla lan realizzando oltra al balancing, anche la protezione dei dati che risiedono nella zona sicura.

Ovviamente la presenza di un proxy rende necessario implementare firewall più complessi, in quanto alcune tipolologie di traffico devono essere consentite(questo viola il concetto primordiale di DMZ e non è universalmente riconosciuto). IL proxy introduce inoltre overhead elaborativo.

[andrew1988]

ok dopo 20 minuti che leggo la tua risposta ho capito qcs.. dunque tu ipotizzi questo...
la richiesta dall'utente passa verso il dns dinamico (ip publico) il quale restituisce l'ip (privato) che tramite un forwarding si immette in un dmz dove incontra un proxy server, che col reverse proxy (e oppurtune regole di firewalling in quanto dato il dmz gli altri host nn sarebero raggiungibili) distribuisce il carico sui vari host....giusto?? se e' cosi' e' una figata!!!

quando pubblichi un libro??? (cosi' poi lo scarico.. )

[nuovoUtente86]

Quote:

Originariamente inviato da andrew1988

ok dopo 20 minuti che leggo la tua risposta ho capito qcs.. dunque tu ipotizzi questo...
la richiesta dall'utente passa verso il dns dinamico (ip publico) il quale restituisce l'ip (privato) che tramite un forwarding si immette in un dmz dove incontra un proxy server, che col reverse proxy (e oppurtune regole di firewalling in quanto dato il dmz gli altri host nn sarebero raggiungibili) distribuisce il carico sui vari host....giusto?? se e' cosi' e' una figata!!!

quando pubblichi un libro??? (cosi' poi lo scarico.. )

Si, a parte gli errori di battitura che ho fatto (dovuti all' orario), il concetto è proprio quello.
Ovviamente le ipotesi sugli ip erano puramente esemplificative e semplificate (non ho parlato di ip statici, vpn ecc, ma ciò non cambia il succo).
Se leggi fra le righe dei post emergono anche le 2 tipologie di strutturazione DMZ piu utilizzate:
-singolo firewall
-doppio firewall
La prima rispecchia i dictat originali segmetando (a livello rete e trasporto) il traffico locale da quello pubblico.
La seconda (ormai piu utilizzata) ha come cardine far corrispondere ad ogni demone pubblico un corrispettivo (laddove necessario) privato raggiungibile sul minor numero di porte e con il minor numero di protocolli.

[andrew1988]

per demone pub intendi un programma sul firewall che gestisce porte e protocolli e comunica con un demone privato sul server? in questo modo si otterrebbe una comunicazione fatta ad-hoc e le parti sarebbero perfettamente configurabili per ricevere o no connessioni, gestirne eventualmente il flusso su un singolo host (tipo limitazione banda)

[nuovoUtente86]

L' accezione di demone in questo caso è generica ed indica un qualsiasi processo in ascolto sul server, ancor pià ad altro livello un servizio (ftp,smtp,pop....ecc). In realtà con il termine demone si indicano anche i demoni di rete presenti nel kernel (almeno in Solaris è cosi) responsabili dello stack TCP/IP, ma questa è un' altra storia.

[gasgas14]

Scusatemi ma io proprio non ho capito niente! ...
Io comunque ho un Netgear DGN2000..

[nightfly]

Quote:

Originariamente inviato da nuovoUtente86

L' accezione di demone in questo caso è generica ed indica un qualsiasi processo in ascolto sul server, ancor pià ad altro livello un servizio (ftp,smtp,pop....ecc). In realtà con il termine demone si indicano anche i demoni di rete presenti nel kernel (almeno in Solaris è cosi) responsabili dello stack TCP/IP, ma questa è un' altra storia.

Per farla breve, un demone è solitamente un programma eseguito in background che si pone in ascolto su una determinata porta (attraverso una socket) oppure svolge altre mansioni, ad esempio del polling su un database.

Per quanto riguarda la DMZ essa ha come scopo quello di "isolare" gli host esposti direttamente su Internet (es. webserver) dagli host della LAN. Ciò però non implica necessariamente che i dispositivi posizionati nella DMZ non possano essere raggiunti dagli host appartenenti alla LAN. In tal caso, infatti, basterebbe utilizzare un firewall da interporre tra LAN e DMZ, magari che effettui anche del NATTING e che consenta le connessioni degli host della LAN posti sull'interfaccia "trusted" e dirette verso il webserver, ma non viceversa.

Ancora meglio se tra lo screened router usato come gateway per l'accesso ad Internet e la stessa DMZ vi sia un ulteriore firewall, che supporti magari le connessioni VPN da remoto (ove necessario).

Per quanto riguarda le porte in ascolto bisognerebbe limitarne il numero il più possibile, soprattutto se esse si riferiscono a degli applicativi che prevedono l'inserimento di opportune credenziali di acesso (soggetti a bruteforce).

Infine, non bisogna trascurare il fatto che gli host direttamente raggiungibili dall'esterno, ovvero da Internet, sono soggetti ad attacchi basati su buffer overflow, ovvero su vulnerabilità intrinseche relative al codice sorgente delle applicazioni in esecuzione. E' fortemente consigliabile, quindi, aggiornare continuamente i sistemi, soprattutto se le patch sono state sviluppate per arginare alcune falle relative alla sicurezza.