• [cancellato]

  • Messaggio #21

Crystal se un hacker dovesse venire in possesso del mio IP di "facciata" (ossia quello su myip) e tentare qualche attacco, si ritroverebbe a fare un attacco a vuoto.

Quelli basati sull'accesso diretto al sistema dietro l'IP con tutta probabilità sì - ma non pensare così di essere al sicuro al 100%. Ad esempio ci sono diversi tipi di NAT, con quello simmetrico non è possibile sfruttare da un IP diverso le porte aperte da una connessione, con quello full-cone invece sì. Dipende quindi da come funziona il sistema che fa NAT - anche se il tutto è molto dinamico quindi una eventuale "finestra" di attacco è molto ridotta. Poi è possibile che queste macchine che fanno NAT implementino altri meccanismi di sicurezza. NAT non è stato pensato come meccanismo di sicurezza - il suo scopo è condividere un IP con più macchine -, ha questo effetto secondario benevolo, ma la sicurezza vera deve garantirla un firewall.

Crystal Ma ciò non vuol dire che non possa venire in possesso dell'IP del mio router,

Tieni presente che per tutti quelli che hanno IP pubblico, statico o dinamico che sia, l'IP è appunto pubblico e quindi visibile a tutti - perché Internet funziona così, e non ha senso "tenerlo al sicuro". Per la sicurezza ci vuole un firewall che gestisca il traffico in entrata e uscita. Se sei dietro un NAT operatore il tuo IP è un IP privato sulla rete dell'operatore, e un attaccante fuori da quella rete se ne farebbe poco. Se fosse nella rete operatore si torna al punto precedente - per funzionare quell'IP deve essere visibile per essere raggiungibile.

      Brevemente. Con Fastweb si ottiene un indirizzo IPv4 pubblico che è condiviso con altri abbonati. Questo differisce dall'IPv4 assegnato al modem e non c'è possibilità di fare port forwarding (la cosiddetta "apertura delle porte").

      Fastweb fornisce anche IPv6 che è un indirizzo pubblico, quindi c'è possibilità di fare port forwarding su di esso. Se abilitato, a differenza dell'IPv4, ogni dispositivo della rete locale interna avrà un indirizzo IPv6 pubblico differente (inizia con 2001:, si può controllare qui: http://ip6only.me/).

      Contattando l'assistenza, c'è possibilità di farsi assegnare un indirizzo IPv4 pubblico che sarà unico per tutti i dispositivi della rete locale e sarà possibile fare port forwarding.

      Scusate, ma quando dite che l'IPv4 è condiviso con altri utenti, significa che l'IP che vedo su MyIP può essere utilizzato da altri utenti Fastweb?
      Se sì, mettiamo caso che uno di questi utenti faccia qualcosa di illegale, non è che poi ci vanno di mezzo gli altri?
      Sì, ho notato che ho anche IPv6, inizia con 2001 e poi numeri associati a lettere. Quindi dite che questo IPV6 è poco sicuro ed è lì che un attaccante può fare la scansione delle porte aperte e tentare di accedere ai miei dispositivi?
      In questo caso avere l'IP NAT che fa da scudo all'IP del mio router a poco serve, giusto?

      Comunque secondo voi qual è l'indirizzo IP migliore da avere tra le varie combinazioni?

      • IP pubblico e dinamico
      • IP pubblico e statico
      • IP NAT e dinamico
      • IP NAT e statico

        Crystal significa che l'IP che vedo su MyIP può essere utilizzato da altri utenti Fastweb?

        Certo, il rapporto è 1:N cioè con quello stesso IP pubblico si presentano su internet enne IP privati,

        Crystal non è che poi ci vanno di mezzo gli altri?

        Per ogni connessione pubblica è tracciato l'IP privato (quindi lo specifico intestatario del relativo contratto di abbonamento) che l'ha generata.

        Crystal P pubblico e statico

        Per quanto riguarda i miei scenari d'uso il suddetto.

              • [cancellato]

              • Messaggio #25
              • Modificato

              Crystal mettiamo caso che uno di questi utenti faccia qualcosa di illegale, non è che poi ci vanno di mezzo gli altri?

              A livello legale no (vedi risposta di walt), ma se qualche servizio di reputazione mette l'IP in blacklist, potresti avere problemi ad accedere a siti/servizi che usano quella blacklist per bloccare utenti "indesiderati".

              Crystal quando dite che l'IPv4 è condiviso con altri utenti, significa che l'IP che vedo su MyIP può essere utilizzato da altri utenti Fastweb?

              Il NAT serve esattamente a questo. Sulla tua LAN permette a N dispositivi di accedere a Internet con l'IP assegnato al router (altrimenti ogni dispositivo avrebbe bisogno di un IP pubblico), a livello ISP permette a N clienti di accedere utilizzando un singolo IP. Il problema è che gli IPv4 specialmente in Europa sono finiti e gli ISP che non ne hanno a sufficienza per tutti i clienti usano CG-NAT per alleviare il problema. Ci sono altre soluzioni come usare i protocolli MAP per usare IPv4 via IPv6 (usati da Sky e Iliad), ma il risultato è alla fine lo stesso, lo stesso IPv4 condiviso fra N utenti.

              Crystal dite che questo IPV6 è poco sicuro

              No, non è poco sicuro. La sicurezza è equivalente a quella di IPv4. Solo che IPv6 è stato progettato per dare un indirizzo pubblico a ogni dispositivo, anche quelli in LAN. In IPv6 non si usa NAT perché non c'è ne più bisogno (di indirizzi IPv6 ce n'è un numero estremamente alto, a ogni singolo cliente ne sono assegnati minimo 264... fai un po' i conti). Quindi quella piccola protezione che c'è come effetto secondario del NAT non c'è più. È quindi essenziale avere un firewall per proteggere da scansioni ed accessi indesiderati, non solo il router, ma tutti i dispositivi dietro di esso.

              Crystal Comunque secondo voi qual è l'indirizzo IP migliore da avere tra le varie combinazioni?

              Dipende come usi la connessione. In genere pubblico/dinamico permette alla maggior parte degli utenti di usare i servizi più comuni senza grossi problemi. Con l'IP pubblico e statico è più facile accedere dall'esterno quando è necessario (es. VPN), usare protocolli che infilano l'IP nei loro dati (es. VoIP) o pubblicare servizi. Se sei dietro CG-NAT cambia poco che l'IP sia statico o dinamico.

              • Crystal ha risposto a questo messaggio

                        Crystal

                        Quindi dite che questo IPV6 è poco sicuro ed è lì che un attaccante può fare la scansione delle porte aperte e tentare di accedere ai miei dispositivi?

                        Non ricordo come funziona il firewall del Fastgate per quanto riguarda l'IPv6. Io l'ho configurato in DMZ e ho un router in cascata che abilita solo le porte necessarie.

                        Per fare un controllo sulle porte aperte in IPv6, puoi usare questo tool:

                        https://www64.chappell-family.co.uk/cgi-bin6/ipscanjs.cgi

                        Sul test di default mi da alcune su STLTH e altre su RFSD, ovvero porte non aperte.

                        • Crystal ha risposto a questo messaggio

                            [cancellato] A livello legale no (vedi risposta di walt), ma se qualche servizio di reputazione mette l'IP in blacklist, potresti avere problemi ad accedere a siti/servizi che usano quella blacklist per bloccare utenti "indesiderati".

                            Lo stesso ragionamento potrebbe essere fatto per quanto riguarda gli attacchi? Ossia colui che in questo momento ha il mio stesso IP è entrato nel mirino di qualche hacker, ma io rimengo comunque al sicuro perchè abbiamo IP del router diversi, dico bene?

                            [cancellato] È quindi essenziale avere un firewall per proteggere da scansioni ed accessi indesiderati, non solo il router, ma tutti i dispositivi dietro di esso.

                            Io il Firewall al PC ce l'ho, quando navigo con l'Iphone invece no. Sul router non credo sia attivo... Avete per caso qui sul forum una sorta di guida alla sicurezza per il FastGate per utenti principianti?

                            celeste_lightblue Sul test di default mi da alcune su STLTH e altre su RFSD, ovvero porte non aperte

                            Fatto anche io il test, quasi tutte le porte sono gialle RFSD e quelle poche restanti sono verdi STLTH. Dovrei quindi stare sereno, no?
                            Che tu sappia, esiste un programma che faccia una cosa simile per testare ad esempio il router simulando degli attacchi? Per capire se ci sono punti deboli o meno, visto che mi hanno detto che il Fastgate per quanto riguarda la sicurezza è molto debole.

                                    Crystal

                                    Dovrei quindi stare sereno, no?

                                    Almeno sul dispositivo su cui hai eseguito il test, sì.

                                    Che tu sappia, esiste un programma che faccia una cosa simile per testare ad esempio il router simulando degli attacchi?

                                    Non saprei.

                                    Per capire se ci sono punti deboli o meno, visto che mi hanno detto che il Fastgate per quanto riguarda la sicurezza è molto debole.

                                    Se il Fastgate non ti soddisfa a livello di sicurezza, o lo sostituisci (con tutte le problematiche che ne conseguono per quanto riguarda i parametri di connessione da chiedere a Fastweb, la configurazione del voip, quella dell'IPv6, etc...) oppure compri un router con un buon firewall e lo colleghi in cascata al Fastgate.

                                    • Crystal ha risposto a questo messaggio

                                        celeste_lightblue Almeno sul dispositivo su cui hai eseguito il test, sì.
                                        Sì, il testo l'ho eseguito dal Computer. A questo punto dovrei farlo pure con l'Iphone, ma esiste un firewall per proteggere l'Iphone oppure questo si appoggia direttamente al Firewall del router Fastgate?

                                        celeste_lightblue Se il Fastgate non ti soddisfa a livello di sicurezza, o lo sostituisci (con tutte le problematiche che ne conseguono per quanto riguarda i parametri di connessione da chiedere a Fastweb, la configurazione del voip, quella dell'IPv6, etc...) oppure compri un router con un buon firewall e lo colleghi in cascata al Fastgate.

                                        E' una cosa particolarmente difficile collegare i router in cascata? Avere due router collegati comporta una maggiore sicurezza rispetto ad averne uno solo, oppure si possono presentare rischi come perdita di connessione, ect?
                                        Io volevo direttamente sostituirlo il router magari sotto vostro consigli (e magari trovare una buona guida per ignorantoni come me), però se vengono fuori problematiche addio... Già vedete per capire cosa sia un IP nattato c'ho messo due giorni, figuriamoci altro 🙁

                                        celeste_lightblue Se il Fastgate non ti soddisfa a livello di sicurezza, o lo sostituisci (con tutte le problematiche che ne conseguono per quanto riguarda i parametri di connessione da chiedere a Fastweb, la configurazione del voip, quella dell'IPv6, etc...) oppure compri un router con un buon firewall e lo colleghi in cascata al Fastgate.

                                        E' una cosa particolarmente difficile collegare i router in cascata? Avere due router collegati comporta una maggiore sicurezza rispetto ad averne uno solo, oppure si possono presentare rischi come perdita di connessione, ect?
                                        Io volevo direttamente sostituirlo il router magari sotto vostro consigli (e magari trovare una buona guida per ignorantoni come me), però se vengono fuori problematiche addio... Già vedete per capire cosa sia un IP nattato c'ho messo due giorni, figuriamoci altro 🙁

                                        celeste_lightblue Almeno sul dispositivo su cui hai eseguito il test, sì.

                                        Il test l'ho eseguito sul Computer. Dovrei provarlo anche con Iphone, ma non so se Iphone ha un firewall già di per sè oppure se si appoggia al router di casa...

                                        celeste_lightblue

                                        • Marco25 ha risposto a questo messaggio

                                                    Ma perché ti preoccupi tanto? Credi che ci sia qualche hacker a cui interessa il tuo misero router domestico? Per vedere cosa?

                                                      Crystal E' una cosa particolarmente difficile collegare i router in cascata?

                                                      No non è difficile.

                                                      Crystal Avere due router collegati comporta una maggiore sicurezza rispetto ad averne uno solo

                                                      Sì perché avresti un altro livello di NAT e un firewall con ogni probabilità più configurabile/migliore.

                                                      Crystal oppure si possono presentare rischi come perdita di connessione

                                                      Non aumenta il rischio di disconnessioni ma statisticamente aumenta la probabilità di guasti avendo due dispositivi che possono fallire piuttosto che uno, e non sono ridondanti.

                                                      Crystal Dovrei provarlo anche con Iphone

                                                      iPhone non ha un firewall ma dubito fortemente i servizi di sistema accettino connessioni in ingresso da internet.

                                                      Pierre02 Credi che ci sia qualche hacker a cui interessa il tuo misero router domestico? Per vedere cosa?

                                                      Letteralmente l'intera internet scansiona alla rete alla ricerca di host vulnerabili da utilizzare come bot per attacchi DDoS, pasticciare col DNS per reindirizzare l'utente su siti malevoli, creare VPN per attaccare una organizzazione attribuendo l'origine del traffico alla vittima, effettuare chiamate internazionali a prezzi stratosferici, etc.

                                                                • [cancellato]

                                                                • Messaggio #32

                                                                Crystal Lo stesso ragionamento potrebbe essere fatto per quanto riguarda gli attacchi?

                                                                Dipende dal tipo di attacco. Ad esempio dse fanno un DoS su quell'IP ne soffrirrebbero tutti gli utenti che lo condividono. Comunque NON considerare il NAT uno strumento di sicurezza. NON è il suo scopo, è solo un effetto secondario e dipende dalla configurazione usata. Se poi l'hacker compromette un sistema all'interno della rete operatore potrebbe vedere altri sistemi sulla stessa rete, dipende di nuovo da come è configurata quella rete.

                                                                Crystal Io il Firewall al PC ce l'ho, quando navigo con l'Iphone invece no. Sul router non credo sia attivo...

                                                                È meglio avere un firewall perimetrale (sul router) e poi non fa male averlo attivo anche su PC. È il concetto di "difesa in profondità" - non basa superare le "mura esterne" perché ci saranno ulteriori difese interne che essendo anche implementate diversamente non possono essere superate usando le stesse vulnerabilità.

                                                                I router ISP come il FastGate spesso hanno configurazioni semplificate, però sempre meglio di niente. Come minimo un firewall deve fare quello che fa il NAT come effetto secondario: bloccare tutte le connessioni in ingresso che non sono una risposta ad una connessione in uscita. Ma al contrario di alcuni tipi di NAT; un firewall fa un match esatto fra traffico in uscita e in entrata. Poi si possono fare configurazioni più sofisticate per controllare anche il traffico in uscita, e ammettere certi tipi di traffico in entrata, se necessario.

                                                                    Ok ragazzi, sono giunto ad una conclusione.
                                                                    Oltre ad aver capito cosa sia il NAT (più o meno 😃) ho pensato di attivare il Firewall pure sul router Fastgate in attesa di comprarne uno più potente nei prossimi mesi (magari mi consiglierete voi quale prendere).
                                                                    Per caso sul forum c'è qualche guida per rendere più sicuro possibile il Fastgate? Ho provato a fare un po' di ricerche all'interno dello stesso ma non ho trovato niente.

                                                                    Ah, ovviamente ringrazio tutti uno per uno per essere intervenuti!

                                                                    Scusate gente, so che a questo punto sto andando troppo off-topic perchè non si parla più di IP nattato ma di configurazione router FastGate, ma non sapendo se fosse il caso di riaprire un altro thread, provo a scrivere qui.

                                                                    Tra le configurazioen avanzate ho per prima cosa disattivato l'UPnP, ma adesso arrivato sulle voci Firewall, DMZ ed IPV6 su LAN sono bloccato.

                                                                    • Firewall: ho provato sia livello Alto che livello Medio, ma in entrambi i casi mi vengono resi inaccessibili molti siti seppur "https" (quindi a regola sicuri, non parlo di siti pornografici o altro materiale discutibile 😅). Che faccio? Mi tocca tenerlo disattivato?
                                                                    • DMZ: non so nemmeno cosa sia, io per adesso lo tengo disattivato...
                                                                    • IPV6 su LAN: in questo momento è attivato

                                                                    Ah, e nella finestra della Port Mapping è tutto vuoto.

                                                                    Io comunque non vedo l'ora di cambiare router che abbia uno straccio di istruzioni passo passo per acefali come me, ho guardato per tutto il web ma una guida per principianti non l'ho trovata...ed onestamente mi sembra di starne ad approfittare troppo della pazienza di chi aiuta gratuitamente.

                                                                    • matteoc ha risposto a questo messaggio

                                                                      Crystal non sapendo se fosse il caso di riaprire un altro thread, provo a scrivere qui

                                                                      Direi che è opportuna una nuova discussione.

                                                                        La spiegazione più appropriata per DMZ è qui: https://www.tp-link.com/us/support/faq/28/

                                                                        In pratica il dispositivo in DMZ ha tutte le porte aperte (io ci ho messo il router in cascata).

                                                                        L'IPv6 su LAN è la distribuzione degli IPv6 pubblici ai dispositivi collegati (in pratica il fastgate annuncia il prefisso e i dispositivi si generano un suffisso da cui si forma l'indirizzo finale).

                                                                        Comunque, sì, abilitare la DMZ e mettere un router in cascata è la cosa migliore, sia per un firewall sul router più personalizzabile, sia per una copertura migliore del WiFi.

                                                                        un anno dopo

                                                                        Ho pianeta fibra, quindi dovrebbe essere un ip nattato. Cosa comporta nei giochi online (cod) avere un ip nattato? Grazie

                                                                          Luciano_Budau Cosa comporta nei giochi online (cod) avere un ip nattato?

                                                                          Difficoltà nel trovare partite, problemi di chat vocale o di lobby, lobby limitate, errori di connessione.

                                                                              Luciano_Budau giochi online (cod)

                                                                              Sui giochi server-based non cambia cosi tanto.. Nei giochi dove l'host è un membro della lobby allora in certi casi gli altri giocatori possono aver difficoltà a connettersi.

                                                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                P.I. IT16712091004 - info@fibraclick.it

                                                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile