Il firewall del mio router serve?

RobertoDeusExBordiga

Buongiorno a tutti,
Ho sempre letto che i firewall dei router commerciali hanno di fatto una protezione basica e che di per se basta il solo nat per “proteggere” la lan casalinga.
Ho fatto un esperimento, ho messo in dmz un ip della mia lan senza attivare il firewall e ho lasciato attivo il AIPROTECTION del mio modem asus……a questo link la spiegazione di questa funzionalità https://www.asus.com/Content/AiProtection/ (in pratica dovrebbe essere come un antivirus, ha un database di firme e le confronta con i pacchetti in arrivo è uscita, più o meno 😅)
Cosa è successo?
È successo che il solo ip sotto attacco fosse l’IP in dmz!
Quindi tutte le macchine non direttamente esposte dal dmz sono rimaste al “sicuro”.
Grazie per l’attenzione.

Axo92

RobertoDeusExBordiga il nat non protegge di per sé, rende gli host della tua rete locale non raggiungibili direttamente da internet.
La macchina in dmz per definizione dovrebbe essere esposta in internet senza firewall quindi è "normale" che possa venir attaccata.
Il fatto che il router integri un antivirus non ti mette al riparo da attacchi se disabiliti il firewall (quindi metti un host dietro dmz o fai port forwarding a mano).
Detto questo, quindi non ci vedo nulla di strano nel comportamento.

RobertoDeusExBordiga

Axo92 vorrei solo chiarire che l’AIprotection non è un antivirus ma un ips.
Comunque non riesco a capire come, se io disattivo un firewall per tutta la mia rete solo una macchina (ovviamente in dmz) è bersaglio di una vulnerabilità nota.
Grazie

[cancellato]

Il NAT per sua natura funziona come una regola di firewall DENY ALL implicita. Nel momento in cui imposti un default host (DMZ), questo effetto secondario non funziona più, e senza regole di firewall per pubblicare solo i servizi necessari quella macchina è in pratica completamente e direttamente visibile su internet e verrà facilmente rilevata e attaccata da chi fa scan continui alla ricerca di sistemi vulnerabili.

Anche con il NAT un firewall non è inutile, garantisce un livello di protezione nettamente più elevato in entrata e in uscita. Un firewall è progettato per quel compito, l'effetto secondario del NAT no. Anche se i firewall nei router consumer sono abbastanza semplici vanno bene per esigenze semplici.

Diventa ovviamente necessario in IPv6. Un IPS è un ulteriore livello di protezione, ma è da usare in accoppiata ad un firewall che cominci a bloccare tutto ciò che non deve passare.

giuse56

[cancellato] Ma in ipv6 il nat non c'è, quindi serve il firewall.
Il nat di fatto però non protegge i dispositivi, almeno così mi era stato spiegato tempo fa'

[cancellato]

giuse56 Ma in ipv6 il nat non c'è, quindi serve il firewall.

[cancellato] Diventa ovviamente necessario in IPv6.

giuse56 Il nat di fatto però non protegge i dispositivi, almeno così mi era stato spiegato tempo fa'

Su questo c'è chi fa confusione per motivi di "purismo religioso". Ad essere pragmatici, il NAT "di fatto" come effetto secondario fa da "firewall dei poveri", perché non può accettare connessioni dall'esterno non sapendo dove inoltrarle. Detto ciò, è appunto un effetto di sicurezza secondario e non "by design". Senza questo effetto secondario, non facile da bypassare per gli utenti poco pratici, e data la scarsa qualità del software di molti router consumer, la situazione in passato sarebbe stata molto peggio. Ma non essendo progettato come sistema di sicurezza per sé può essere soggetto a specifici attacchi - tra l'altro soluzioni poi nate per ovviare ai limiti di NAT come ALG e UPnP aprono anche loro vettori di attacco.

Per questo motivo nonostante il NAT è meglio avere attivo un firewall anche in IPv4. È il principio della defense-in-depth, cioè "difesa in profondità", non ci si affida ad un singolo bastione sperando che sia invalicabile, ci si affida ad una serie di protezioni e l'attaccante deve superarle tutte per avere successo - e un firewall è progettato ad hoc per fare sicurezza. Poi ci si possono anche aggiungere IDS, IPS, WAF e chi più ne ha più ne metta se necessario - comunque questo è un classico caso dove la protezione totale che si può raggiungere è più della somma delle singole parti.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile