ideandro i comandi PING e TRACEROUTE, sono comunque in grado di raggiungere l'indirizzo IP, ma è giusto così, visto che comunque il supporto tecnico deve poter accedere

Immagino si possa disabilitare la risposta al comando ping dal firewall del router.

Il problema che hai segnalato richiede di poter accedere all'interfaccia web del router: se attualmente, come è giusto che sia, è accessibile solo da LAN, non è così grave (concordo che sarebbe meglio risolvere sempre questi bug di sicurezza).

Ottieni un ulteriore livello di "protezione" (collaterale, come dice @[cancellato], perché il NAT non è un firewall, non smetteremo mai di dirlo) se il provider offre CG-NAT, ma al prezzo di non poter accedere da remoto alla tua rete (un tuo server VPN) e di non aprire le porte (che per alcune applicazioni è ancora necessario).
Ti condivido un link interessante per testare la sicurezza del router (https://www.grc.com/shieldsup), ma devo fare alcune premesse importanti per evitare false preoccupazioni

  • il fatto che risponda o meno ai pacchetti ICMP (ping) non è un problema;
  • non ci sono differenze di sicurezza fra porta stealth e closed (nel primo caso non rispondono proprio, nel secondo caso rispondono dicendo di essere chiuse).
  • questo genere di test non è assolutamente rischioso, verifica solo l'apertura o meno di alcune porte (che potresti fare manualmente da https://www.yougetsignal.com/tools/open-ports/) e verifica che UPnP lato WAN non sia attivo (in alcune versioni di router molto vecchie era possibile aprire porte da remoto, ovviamente questo problema è stato corretto da parecchi anni).

Se le porte 22 (ssh), 23 (telnet), 80 (http), 443 (https) sono chiuse, il tuo router non è raggiungibile dall'esterno sulle porte standard.

Credo che Tiscali usi TR-069 per le autoconfigurazioni, che se configurato bene da parte dell'ISP (autenticazione a chiavi pubbliche, se non sbaglio) è molto sicuro.

      stemax97 Immagino si possa disabilitare la risposta al comando ping dal firewall del router.

      Io siccome lo uso per diagnostica non sopporto quando i clienti toccano il router e disabilitano i pacchetti ICMP.

      Comunque di default è così

      stemax97 Se le porte 22 (ssh), 23 (telnet), 80 (http), 443 (https) sono chiuse, il tuo router non è raggiungibile dall'esterno sulle porte standard.

      Sugli IP dinamici ci sono questi blocchi:

      Traffico bloccato verso le seguenti porte lato utente:
      Protocollo tcp: 23, 25, 135, 137, 138, 139, 445, 2525
      Protocollo udp: 137, 138, 139, 161, 162, 445
      Traffico bloccato dagli utenti verso le seguenti porte:
      Protocollo udp: 137
      Protocollo tcp: 135

      Oltre alla 53 per alcuni IP.
      Il router droppa comunque la GUI da WAN.

      stemax97 Credo che Tiscali usi TR-069 per le autoconfigurazioni, che se configurato bene da parte dell'ISP (autenticazione a chiavi pubbliche, se non sbaglio) è molto sicuro.

              andreagdipaolo Io siccome lo uso per diagnostica non sopporto quando i clienti toccano il router e disabilitano i pacchetti ICMP.

              Condivido, non c'è alcuna protezione aggiuntiva e genera solo problemi di diagnostica.

              andreagdipaolo Il router droppa comunque la GUI da WAN.

              Chiaro. Non so se normalmente l'ISP fa gestione/diagnostica usando SSH (non ho mai avuto un router fornito dall'ISP, ho sempre usato il mio con OpenWRT, ho questa "mania"), per quello chiedevo 😊

              andreagdipaolo Oltre alla 53 per alcuni IP.

              Per tutti gli IP residenziali, immagino, onde evitare open resolver e DNS amplification attacks.

                      stemax97 Per tutti gli IP residenziali

                      Alcune classi. Altre no. Ci ho litigato per mesi per un cliente...

                      stemax97 Chiaro. Non so se normalmente l'ISP fa gestione/diagnostica usando SSH

                      Sì di solito per entrare nella GUI si usa un tunnel SSH che ti fa sbucare nella LAN.
                      L'accesso SSH WAN è ristretto solo a una classe di IP che appartiene al servizio clienti.

                          stemax97 Condivido, non c'è alcuna protezione aggiuntiva e genera solo problemi di diagnostica.

                          Beh, protegge dagli "scanner di internet" facendo credere che l'host non è attivo.

                          Certo che se puoi apri altre porte addio.

                              edofullo Si, volendo basta forzare lo scan e si vedono comunque le porte attive.

                                edofullo

                                Vero, ma non condivido la security-through-obscurity in questo caso.
                                Ritengo ICMP "aperto" accettabile (eventualmente con qualche regola per evitare burst di pacchetti troppo numerosi), mentre non mi piace la regola di REJECT sulle porte chiuse, favorendo DROP (così i SYN vengono ignorati senza generare pacchetti di RST).

                                    stemax97 Vero, ma non condivido la security-through-obscurity in questo caso.

                                    Certo, ma vista la sicurezza di molti apparati (soprattutto quelli vecchi) forse è meglio che non appaiano su shodan.

                                    stemax97 mentre non mi piace la regola di REJECT sulle porte chiuse, favorendo DROP

                                    yep 🙂

                                        • [cancellato]

                                        • Messaggio #29

                                        stemax97 non mi piace la regola di REJECT sulle porte chiuse

                                        Più che altro è come lasciare la luce in camera accesa per sembrare di essere in casa... Alle 4 di mattina.

                                          ideandro

                                          È normale quel messaggio, devi fare i test sotto!!

                                              stemax97 È normale quel messaggio, devi fare i test sotto!!

                                              Calma, calma 😂 si si lo sapevo, conosco la pagina di Gibson, la uso da anni, però sinceramente mi ero scordato di provarla, fatto ora... TUTTO OK!

                                              L'unica avvertenza è questa: "Your system REPLIED to our Ping (ICMP Echo) requests"

                                              Grazie per il consiglio 😉

                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                P.I. IT16712091004 - info@fibraclick.it

                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile