Guida alla messa in sicurezza router FASTGate

CCrystal · 22 lug 2023

Salve a tutti, sotto consiglio del moderatore eccomi qui ad aprire un nuovo thread per quanto riguarda il settaggio del router FASTGate modello DGA4131FWB.
Premesso che non ho mai aggiornato il firmware: non c'è alcuna opzione per farlo, quindi chissà, potrebbe essersi aggiornato da sè?

Per il momento gli unici cambiamenti che ho effettuato per rendere il router più sicuro sono stati:

Modifica nome utente e password
Protezione WP2A-PSK
UPnP disattivato

Adesso arriva la parte più complicata, ossia quella del Firewall e DMZ (quest'ultimo proprio non so nemmeno cosa sia, mai sentito nominare).
Per il Firewall ho giusto tre opzioni: disattivazione, attivazione a livello medio, attivazione a livello alto.
Sia a livello medio che a livello alto ho grossi problemi nella navigazione, soprattutto per quanto riguarda l'On Demand e lo streaming. Ma anche siti normalissimi in https, niente quindi di pericoloso.
A questo punto che fare? Lasciarlo disattivato oppure c'è un modo per consentire l'accesso, un po' come succede, un po' come succede con i Firewall installati sul PC dove è possibile intervenire e dare l'ok per l'accesso?

Scorrendo più in basso c'è l'opzione "IPV6 su LAN": per adesso è attivo, lo lascio così? Anche nel profilo Fastweb dove mi viene mostrato il tipo di contratto posso attivare o disattivare l'IPV6: per adesso è attivato, che dite lascio tutto attivo?

Per il momento questo è quanto. So benissimo che questo Router non va bene soprattutto per uno che come è abbastanza paranoico sotto l'aspetto della sicurezza e della privacy, ma per il momento voglio cercare di sistemare questa faccenda in attesa di cambiarlo.
In realtà ho già adocchiato il router RT-AX88U Pro, sperando che possa riuscirlo a configurare o con l'aiuto di qualche tutorial o magari con il vostro aiuto, ma prima devo sapere se ciò è compatibile con Fastweb...altrimenti mi toccherà disdire e passare con Telecom dove lì posso utilizzare qualsiasi Router io voglia.
Considerando che quel router costa sui 300€uro, devo sapere bene a cosa vado incontro (se poi voi siete a conoscenza di router migliori, io assolutamente sono qui ad ascoltarvi).

Grazie a chiunque risponderà.

__SCtefanOM4_ · 22 lug 2023

Crystal La DMZ (De-militarized Zone) non la devi toccare se non sai a che serve e da qui sappiamo che non ne hai bisogno...come da significato "Zona Demilitarizzata" serve ad isolare in una determinata sottorete un dispositivo/più dispositivi e aprire tutte le porte senza andare manualmente a farlo ma non serve solo a quello...comunque non ti serve se già non la conosci...

Sei un po' come me ti piace spulciare un po' tutti i setting e cercare di trovare la configurazione migliore, ma se non sai dove mettere le mani hai fatto bene a scrivere qui...

Non conosco il fastgate ma a rigor di logica come un po' tutte le reti con i Technicolor gli viene pushato dal server FW quindi ad ogni boot verrà verificata la versione e se disponibile una nuova verrà aggiornato in automatico e in base ai led di stato dovresti accorgertene (credo che escludendo il nexxt e forse anche gli extender non stiano più rilasciando aggiornamenti sostanziali)

Solitamente il firewall interno è di default impostato su medio come per tutti i Technicolor e quella genericamente è la configurazione più appropriata per tutti gli utenti medi...

Io invece di preoccuparmi di un attacco diretto alla tua rete mi preoccuperei di proteggermi con una VPN sui dispositivi o se proprio vuoi esagerare prendi un router VPN e ci installi un servizio VPN che cripta tutto il traffico da e verso la tua rete, proteggendo la tua privacy (chiaramente deve essere un servizio affidabile e possibilmente a pagamento)

Se non hai necessità di avere l'IPv6 spegni tutto sia per l'accesso Wan Fastweb che per la rete LAN interna

Ma in conclusione rilassati, stai sereno sei di per sé al sicuro, tutto sta nel saper capire dove navigare e dove forse è meglio di no

[cancellato] · 22 lug 2023

Crystal Per il momento gli unici cambiamenti che ho effettuato per rendere il router più sicuro sono stati

E vanno bene.

Crystal Adesso arriva la parte più complicata, ossia quella del Firewall e DMZ (quest'ultimo proprio non so nemmeno cosa sia, mai sentito nominare).

Sui router consumer la "DMZ" sarebbe da chiamare più propriamente "default host". Qui puoi indicare un IP della LAN al quale viene inviato tutto il traffico in ingresso che non è già gestito dal NAT (perché un altro IP della LAN ha fatto traffico in uscita e quello è il traffico di ritorno) o da una regola esplicita di port forwarding. L'effetto è che quell'IP ha (quasi) tutte le porte aperte ed è direttamente raggiungibile da Internet. Ovviamente se non c'è un firewall a gestire il traffico verso questo IP il rischio è maggiore. Può essere comodo quando si mette un router in cascata, ad esempio.

Una vera "DMZ" sarebbe in realtà una o più reti che si trovano fra due firewall (da qui il nome "zona demilitarizzata", che si trova fra due frontiere), uno esterno (su Internet) e uno interno (davanti alla LAN), ed è una tecnica tipicamente usata per chi deve pubblicare servizi su Internet (es. web, posta elettronica) - così che se una di quelle macchine viene compromessa non è direttamente sulla LAN ma c'è ancora un firewall da superare. Questo non vale per il default host, se quella macchina è compromessa è già sulla LAN.

Crystal Sia a livello medio che a livello alto ho grossi problemi nella navigazione, soprattutto per quanto riguarda l'On Demand e lo streaming. Ma anche siti normalissimi in https, niente quindi di pericoloso.

Bisognerebbe capire che regole applica. Strano che a livello medio ci siano già problemi. Nella UI non c'è scritto nulla di cosa passa per ogni livello? Si può creare un livello personalizzato? Magari, posta qualche schermata che vediamo cosa si può fare. Comunque avere un firewall decente è uno dei principali motivi per NON usare il router fornito dall'operatore.

Crystal Scorrendo più in basso c'è l'opzione "IPV6 su LAN": per adesso è attivo, lo lascio così?

Questo probabilmente significa che assegna indirizzi IPv6 alle macchine in LAN. Se devi disattivare il firewall, disattiva anche questo. IPv6 non usa NAT e quindi non c'è nemmeno quella poca protezione che offre il NAT, senza un firewall. È vero che può non essere facile individuare un IP fra i miliardi disponibili, ma se lo si conosce e no c'è firewall, lo si può contattare.

Crystal In realtà ho già adocchiato il router RT-AX88U Pro

È solo router - non ricordo se sei in FTTC o FTTH, nel primo dovresti metterlo in cascata e sinceramente a quel punto punterei ad eliminare del tutto il Fastgate con un modem/router. In FTTH devono darti un ONT (che è l'equivalente del modem) al quale colleghi il router. Tutto è compatibile con Fastweb se chiedi l'opzione "modem libero", se invece tenti di "clonare" il FastGate senza quell'opzione hai bisogno di un dispositivo che permetta di clonare il MAC address e impostare una specifica opzione DHCP

Crystal se poi voi siete a conoscenza di router migliori

Quelli sono router che hanno un target specialmente di videogiocatori, però ha anche qualche funzione interessante. Non so come sia a livello di firewall, ma visto il target non credo permetta regole sofisticate. Comunque tutto dipende dalle tue esigenze e dal tuo budget.

_SCtefanOM4_ i preoccuperei di proteggermi con una VPN sui dispositivi

Perfettamente inutile, dal punto vista della protezione da un attacco dall'esterno. Una VPN serve a crittografare il traffico fra due dispositivi. Utilissima ad esempio per connettersi alla rete aziendale per lavorare così tutto il traffico è crittografato, anche quello che non lo sarebbe (anche se oggi la maggior parte del traffico è comunque crittografato), ma non protegge il alcun modo il dispositivo sulla quale funziona.

_SCtefanOM4_ se proprio vuoi esagerare prendi un router VPN e ci installi un servizio VPN che cripta tutto il traffico da e verso la tua rete,

Che quando esce dal nodo terminale della VPN se era in chiaro torna in chiaro. Ti proteggi dal tuo ISP e basta. Utile per bypassare un geoblocking, o se sei un Cina - altrimenti serve a poco.

Rekko · 22 lug 2023

Crystal In realtà ho già adocchiato il router RT-AX88U Pro, sperando che possa riuscirlo a configurare o con l'aiuto di qualche tutorial o magari con il vostro aiuto, ma prima devo sapere se ciò è compatibile con Fastweb...altrimenti mi toccherà disdire e passare con Telecom dove lì posso utilizzare qualsiasi Router io voglia.

Io ti consiglio di usare preferibilmente un keenetic,sopratutto se ci tieni alla privacy,proprio qualche giorno fa ho scritto una guida per usarli su una linea fastweb senza chiedere modem libero

Cceleste_lightblue · 22 lug 2023

Ti avevo risposto nell'altra discussione.

Brevemente, cosa ho fatto io con questo modem mediocre.

Firewall disattivato
DMZ attivata con IP che ho impostato come indirizzo della rete esterna (WAN) sul router in cascata: 192.168.x.z
IPv6 su LAN attivo.
Il router in cascata con IP su rete interna: 192.168.y.1
IPv6 abilitato sul router in cascata.

x, y, z scegli i numeri che ti pare. Configuri il firewall sul router in cascata e, se il prodotto è di valore, supera anche la copertura WiFi mediocre del Fastgate.

[cancellato] · 22 lug 2023

celeste_lightblue IPv6 su LAN attivo.
celeste_lightblue IPv6 abilitato sul router in cascata.

E così ti funziona IPv6 sulla LAN del router in cascata?

__SCtefanOM4_ · 22 lug 2023

[cancellato] Perfettamente inutile, dal punto vista della protezione da un attacco dall'esterno. Una VPN serve a crittografare il traffico fra due dispositivi. Utilissima ad esempio per connettersi alla rete aziendale per lavorare così tutto il traffico è crittografato, anche quello che non lo sarebbe (anche se oggi la maggior parte del traffico è comunque crittografato), ma non protegge il alcun modo il dispositivo sulla quale funziona.

Ho mai detto il contrario? No. Mi basavo su questo...

Crystal soprattutto per uno che come è abbastanza paranoico sotto l'aspetto della sicurezza e della privacy

Le VPN non sono Firewall per le reti, sono due cose ben diverse, e dato che è più probabile che l'utente possa andare incontro a problemi di privacy in rete e non di persone che gli vogliono entrare nella LAN di casa...questo ho consigliato

[cancellato] Che quando esce dal nodo terminale della VPN se era in chiaro torna in chiaro. Ti proteggi dal tuo ISP e basta. Utile per bypassare un geoblocking, o se sei un Cina - altrimenti serve a poco.

Non so se hai letto bene il mio messaggio ma la mia definizione è un'altra cosa, non che le VPN sono firewall. Poi dimmi una VPN tra quelle a pagamento che utilizza nodi di uscita in chiaro...

MMarco25 · 22 lug 2023

_SCtefanOM4_ Le VPN non sono Firewall per le reti, sono due cose ben diverse, e dato che è più probabile che l'utente possa andare incontro a problemi di privacy in rete

Le VPN commerciali sono utili per ottenere un IP condiviso e resolver uguale per tutti in modo da mitigare il fingerprinting sulla base di questi, nonché per nascondere i metadati alla rete locale e ISP, ma nulla di più. Non possono bloccare i metodi di tracciamento stateful (es. cookies, local storage) e stateless (es. fingerprinting sulla base di configurazione hardware e browser) che sono i più invasivi.

__SCtefanOM4_ · 23 lug 2023

Marco25 Le VPN commerciali sono utili per ottenere un IP condiviso e resolver uguale per tutti in modo da mitigare il fingerprinting sulla base di questi, nonché per nascondere i metadati alla rete locale e ISP, ma nulla di più.

Evadere l'IP GeoFence, escludere il tracking dei dati su reti locali pubbliche (anche se non basta solo una VPN per essere sicuri)...ecc.

Marco25 Non possono bloccare i metodi di tracciamento stateful (es. cookies, local storage) e stateless (es. fingerprinting sulla base di configurazione hardware e browser) che sono i più invasivi.

Non so dove l'hai letto nel mio messaggio, ma anche su questo siamo d'accordo.

Per avere un alto livello di sicurezza (e sappiamo probabilmente tutti che la sicurezza perfetta è inesistente per i comuni mortali) dovresti usare un VMOS in una sandbox dove fare girare un buon sistema di protezione dai malware poi ovviamente un browser (per esempio se parliamo di navigazione web) dove puoi aver pieno controllo di tutti i local access che vengono richiesti dai siti. Abbianato a molteplici layer di net-security come firewall, NAT, proxy, VPN, cifratura/crittografia end-to-end ecc.

Ricapitolando... @Crystal non sbatterti troppo ma non abbassare la guardia, tutto si deve conformare alle tue esigenze

Cceleste_lightblue · 23 lug 2023

[cancellato]

Sì, se il router supporta lo Stateless Router Advertisement. Praticamente prende il prefisso IPv6 comunicato dal Fastgate e lo inoltra a tutti i client che si autoconfigurano generandosi da soli i suffissi.

https://networklessons.com/ipv6/stateless-autoconfiguration-for-ipv6

[cancellato] · 23 lug 2023

_SCtefanOM4_

Avete una fiducia immotivata nelle VPN. Ripeto, al massimo vi proteggete da un eventuale tracking del vostro ISP, nulla di più. Inoltre rischiate di usare sistemi di aziende in giurisdizioni che possono ignorare il GDPR e che vedono tutto il traffico che fate. Contenti voi... La paranoia è spesso cattiva consigliera, e c'è chi ne approfitta.

Quanto alla prefix delegation, che prefisso può delegare il FastGate se Fastweb assegna una /64? Ammesso che il FastGate sia capace di fare delegation. Perché hai un router in cascata, e quindi deve configurare una rotta fra due subnet IPv6 per funzionare, e per farlo non basta assegnare via SLAAC il prefisso della subnet del FastGate alla WAN del router in cascata, deve essere assegnato anche un prefisso per la subnet. Riesci a navigare in IPv6?

__SCtefanOM4_ · 23 lug 2023

[cancellato] Avete una fiducia immotivata nelle VPN. Ripeto, al massimo vi proteggete da un eventuale tracking del vostro ISP, nulla di più. Inoltre rischiate di usare sistemi di aziende in giurisdizioni che possono ignorare il GDPR e che vedono tutto il traffico che fate. Contenti voi... La paranoia è spesso cattiva consigliera, e c'è chi ne approfitta.

Per le free-to-use posso capire ma per le VPN a pagamento che ti dicono chiaramente che sono total no-log...poi ripeto la cifratura perfetta non esiste e fortunatamente non siamo in Cina o in Corea del nord

Cceleste_lightblue · 23 lug 2023

[cancellato]

2001:b07:x:y::/64

x e y fissi, assegnati al cliente, il resto (il suffisso) lo genera l'host. Con la privacy extension attiva, il suffisso cambia a ogni riconnessione alla LAN: https://www.internetsociety.org/resources/deploy360/2014/privacy-extensions-for-ipv6-slaac/

Altrimenti è una SLAAC semplice che è basata sul MAC ed è sconsigliata perché si può risalire all'indirizzo MAC.

MMarco25 · 23 lug 2023

_SCtefanOM4_ le VPN a pagamento che ti dicono chiaramente che sono total no-log

Eh ma non puoi saperlo con certezza e anche se la VPN stessa non registrasse nulla, il provider dove affittano i server potrebbe farlo su richiesta delle forze dell'ordine avendo rilevato traffico malevolo o crimini transitanti per VPN, con il conseguente coinvolgimento di utenti innocenti usciti dallo stesso server.

_SCtefanOM4_ poi ripeto la cifratura perfetta non esiste

La cifratura perfetta è crittografia autenticata end-to-end. Se ce l'hai, la VPN ti permette di nascondere i metadati. Se non ce l'hai, il traffico in chiaro rimane insicuro anche se passa per la VPN.

[cancellato] · 23 lug 2023

_SCtefanOM4_

E se mentono gli fai causa magari a Panama? Che loro non loggino poi non significa che non permettano l'accesso ad altri... Che garanzie hai oltre a quello che scrivono sul loro sito? Il diavolo può essere nei dettagli.

Comunque come wcritto anche da Marco25 la maggior parte del tracking non è effettuato analizzando i flussi di traffico (avresti bisogno delle risorse del Great Firewall cinese o della NSA), ma utilizzando quello messo a disposizione dai data hoarder - il pixel di Facebbok, l'account Google o Analytics, ecc. Da quelli ci si difende in altro modo.

Ad essere paranoici, forse non è un caso che molti servizi VPN sono stati fortemente pubbilcizzati dopo l'entrata in vigore di GDPR e le sentenze che hanno eliminato Privacy Shield e Safe Harbour che impediscono il trasferimento di dati negli USA e in altre giurisdizioni che non hanno una protezione equivalente a quella europea. Certo che se l'utente fa passare tutto il suo traffico fuori dalla UE, vai a far valere i toui diritti...

Vuoi vedere programmi Netflix che sono geobloccati? Usa una VPN. Sei in uno stato estero noto per bloccate certe destinazioni e/o analizzare il traffico? Usa una VPN (io però la faccio con casa mia o l'azienda). Far passare sempre tutto il proprio traffico in una VPN in una qualche giurisdizione straniera? Ci penserei attentamente.

celeste_lightblue

Come hai assegnato x e y? Da che prefisso li ha presi?

Cceleste_lightblue · 23 lug 2023

[cancellato]

Come hai assegnato x e y? Da che prefisso li ha presi?

Io non assegno nulla. È Fastweb che lo fa.

Fastweb fornisce un prefisso da 64 mentre il suffisso da 64 deve essere autogenerato.

Che io sappia i primi 32 bit sono fissi per tutti i clienti, i secondi 32 (x e y) cambiano da cliente a cliente, i restanti 64 se li generano automaticamente gli host con SLAAC.

[cancellato] · 23 lug 2023

celeste_lightblue

Vedo che non ci stiamo capendo... Ok, Fastweb via 6rd assegna un prefisso al FastGate. E che prefisso assegna al router in cascata? Non può essere lo stesso prefisso che usa la subnet gestita dal FastGate. Se è in modalità router avrà una subnet sulla WAN e una subnet diversa sulla LAN..Altrimenti un pacchetto in ingresso come sa dove andare?

Se è in modalità AP è un altro paio di maniche.

A meno che non stia facendo NAT 66 o NPt, o hai configurto 6rd sul router in cascata.

Cceleste_lightblue · 23 lug 2023

[cancellato]

No, le subnet diverse sono per l'IPv4. Per l'IPv6 non ce n'è bisogno. Il Fastgate prende il prefisso assegnato dalla rete Fastweb e lo annuncia ai client (in pratica solo al router in cascata, perché c'è solo quello collegato direttamente). Il router in cascata lo memorizza e si genera il proprio IPv6. Poi lo stesso prefisso (che il Fastgate ha annunciato), il router in cascata lo inoltra ai suoi host che si vogliono connettere (fa da relay) e questi si generano gli indirizzi.

Spero di essere stata chiara. Più semplice di così non so spiegarlo.

[cancellato] · 23 lug 2023

celeste_lightblue

Perché ci sarebbe bisogno di creare due subnet in IPv4 e non IPv6? Il concetto di router è quello di collegare subnet diverse, e far passare dall'una all'altra solo il traffico a loro destinato. Mi aspetto che se installo un router faccia questo, e non lo switch.

Se in IPv6 sta facendo da 'relay' si sta appunto comportando da switch, non da router. Con tutto quello che ne consegue in termini di sicurezza.

Cceleste_lightblue · 23 lug 2023

[cancellato]

Perché l'IPv6 funziona diversamente dall'IPv4 e questa è la soluzione più semplice dato che se imposti il DHCPv6 metà dei dispositivi non funzionano perché non lo supportano. Si aspettano di ricevere il prefisso per la configurazione stateless, dunque si fa prima a dargli quello che annuncia il Fastgate.

La sicurezza la curi con un firewall sul router con specifiche regole per aprire soltanto le porte necessarie a un determinato host, cosa che con il Fastgate non puoi fare limitatamente all'IPv6.