Guida alla messa in sicurezza router FASTGate

Crystal · 2023-07-22T00:26:16+00:00

Salve a tutti, sotto consiglio del moderatore eccomi qui ad aprire un nuovo thread per quanto riguarda il settaggio del router FASTGate modello DGA4131FWB. P...

[cancellato]

Crystal Per il momento gli unici cambiamenti che ho effettuato per rendere il router più sicuro sono stati

E vanno bene.

Crystal Adesso arriva la parte più complicata, ossia quella del Firewall e DMZ (quest'ultimo proprio non so nemmeno cosa sia, mai sentito nominare).

Sui router consumer la "DMZ" sarebbe da chiamare più propriamente "default host". Qui puoi indicare un IP della LAN al quale viene inviato tutto il traffico in ingresso che non è già gestito dal NAT (perché un altro IP della LAN ha fatto traffico in uscita e quello è il traffico di ritorno) o da una regola esplicita di port forwarding. L'effetto è che quell'IP ha (quasi) tutte le porte aperte ed è direttamente raggiungibile da Internet. Ovviamente se non c'è un firewall a gestire il traffico verso questo IP il rischio è maggiore. Può essere comodo quando si mette un router in cascata, ad esempio.

Una vera "DMZ" sarebbe in realtà una o più reti che si trovano fra due firewall (da qui il nome "zona demilitarizzata", che si trova fra due frontiere), uno esterno (su Internet) e uno interno (davanti alla LAN), ed è una tecnica tipicamente usata per chi deve pubblicare servizi su Internet (es. web, posta elettronica) - così che se una di quelle macchine viene compromessa non è direttamente sulla LAN ma c'è ancora un firewall da superare. Questo non vale per il default host, se quella macchina è compromessa è già sulla LAN.

Crystal Sia a livello medio che a livello alto ho grossi problemi nella navigazione, soprattutto per quanto riguarda l'On Demand e lo streaming. Ma anche siti normalissimi in https, niente quindi di pericoloso.

Bisognerebbe capire che regole applica. Strano che a livello medio ci siano già problemi. Nella UI non c'è scritto nulla di cosa passa per ogni livello? Si può creare un livello personalizzato? Magari, posta qualche schermata che vediamo cosa si può fare. Comunque avere un firewall decente è uno dei principali motivi per NON usare il router fornito dall'operatore.

Crystal Scorrendo più in basso c'è l'opzione "IPV6 su LAN": per adesso è attivo, lo lascio così?

Questo probabilmente significa che assegna indirizzi IPv6 alle macchine in LAN. Se devi disattivare il firewall, disattiva anche questo. IPv6 non usa NAT e quindi non c'è nemmeno quella poca protezione che offre il NAT, senza un firewall. È vero che può non essere facile individuare un IP fra i miliardi disponibili, ma se lo si conosce e no c'è firewall, lo si può contattare.

Crystal In realtà ho già adocchiato il router RT-AX88U Pro

È solo router - non ricordo se sei in FTTC o FTTH, nel primo dovresti metterlo in cascata e sinceramente a quel punto punterei ad eliminare del tutto il Fastgate con un modem/router. In FTTH devono darti un ONT (che è l'equivalente del modem) al quale colleghi il router. Tutto è compatibile con Fastweb se chiedi l'opzione "modem libero", se invece tenti di "clonare" il FastGate senza quell'opzione hai bisogno di un dispositivo che permetta di clonare il MAC address e impostare una specifica opzione DHCP

Crystal se poi voi siete a conoscenza di router migliori

Quelli sono router che hanno un target specialmente di videogiocatori, però ha anche qualche funzione interessante. Non so come sia a livello di firewall, ma visto il target non credo permetta regole sofisticate. Comunque tutto dipende dalle tue esigenze e dal tuo budget.

_SCtefanOM4_ i preoccuperei di proteggermi con una VPN sui dispositivi

Perfettamente inutile, dal punto vista della protezione da un attacco dall'esterno. Una VPN serve a crittografare il traffico fra due dispositivi. Utilissima ad esempio per connettersi alla rete aziendale per lavorare così tutto il traffico è crittografato, anche quello che non lo sarebbe (anche se oggi la maggior parte del traffico è comunque crittografato), ma non protegge il alcun modo il dispositivo sulla quale funziona.

_SCtefanOM4_ se proprio vuoi esagerare prendi un router VPN e ci installi un servizio VPN che cripta tutto il traffico da e verso la tua rete,

Che quando esce dal nodo terminale della VPN se era in chiaro torna in chiaro. Ti proteggi dal tuo ISP e basta. Utile per bypassare un geoblocking, o se sei un Cina - altrimenti serve a poco.

_SCtefanOM4_

[cancellato] Perfettamente inutile, dal punto vista della protezione da un attacco dall'esterno. Una VPN serve a crittografare il traffico fra due dispositivi. Utilissima ad esempio per connettersi alla rete aziendale per lavorare così tutto il traffico è crittografato, anche quello che non lo sarebbe (anche se oggi la maggior parte del traffico è comunque crittografato), ma non protegge il alcun modo il dispositivo sulla quale funziona.

Ho mai detto il contrario? No. Mi basavo su questo...

Crystal soprattutto per uno che come è abbastanza paranoico sotto l'aspetto della sicurezza e della privacy

Le VPN non sono Firewall per le reti, sono due cose ben diverse, e dato che è più probabile che l'utente possa andare incontro a problemi di privacy in rete e non di persone che gli vogliono entrare nella LAN di casa...questo ho consigliato

[cancellato] Che quando esce dal nodo terminale della VPN se era in chiaro torna in chiaro. Ti proteggi dal tuo ISP e basta. Utile per bypassare un geoblocking, o se sei un Cina - altrimenti serve a poco.

Non so se hai letto bene il mio messaggio ma la mia definizione è un'altra cosa, non che le VPN sono firewall. Poi dimmi una VPN tra quelle a pagamento che utilizza nodi di uscita in chiaro...

Rekko

Crystal In realtà ho già adocchiato il router RT-AX88U Pro, sperando che possa riuscirlo a configurare o con l'aiuto di qualche tutorial o magari con il vostro aiuto, ma prima devo sapere se ciò è compatibile con Fastweb...altrimenti mi toccherà disdire e passare con Telecom dove lì posso utilizzare qualsiasi Router io voglia.

Io ti consiglio di usare preferibilmente un keenetic,sopratutto se ci tieni alla privacy,proprio qualche giorno fa ho scritto una guida per usarli su una linea fastweb senza chiedere modem libero

mark129

Crystal e poi utilizzare due router/modem in cascata comprati privatamente?

Nel caso, non dovresti usare due router in cascata ma un modem (che oggi significa o uno Zyxel VMG4005 o un Draytek 16X, sul nuovo) ed un router a tua scelta (come l'ASUS che hai puntato).
Oppure un modem-router con sw avanzato (oggi solo un Keenetic, Hero DSL o Hopper DSL).
L'ultima alternativa (per te credo sufficiente) sarebbe un classico Fritz 7530AX o 7590AX, meno avanzati e flessibili di un apparato con OpenWRT (come i Keenetic) ma senz'altro adatti alla bisogna.

Crystal so solo che si chiama TIM 10GB

Ma quindi hai la FTTH di TIM a disposizione? Perché il Sagemcom 10Gb è solo per FTTH XGSPON, mentre per la FTTC danno il TIM Hub+ (due versioni possibili, ZTE, meno configurabile o Technicolor), entrambi sufficienti per un utilizzo medio (anche per la sicurezza).

Crystal e vorrei la vostra benedizione prima di fare mosse azzardate.

Se hai solo la FTTC ti consiglio di sostituire il Fastgate con un Keenetic Hopper DSL da 100 euro: ha tutto quello che serve per la sicurezza e per la FTTC ha prestazioni sovrabbondanti. Hai già il link alla guida di Rekko per la configurazione con FW.

celeste_lightblue

Ti avevo risposto nell'altra discussione.

Brevemente, cosa ho fatto io con questo modem mediocre.

Firewall disattivato
DMZ attivata con IP che ho impostato come indirizzo della rete esterna (WAN) sul router in cascata: 192.168.x.z
IPv6 su LAN attivo.
Il router in cascata con IP su rete interna: 192.168.y.1
IPv6 abilitato sul router in cascata.

x, y, z scegli i numeri che ti pare. Configuri il firewall sul router in cascata e, se il prodotto è di valore, supera anche la copertura WiFi mediocre del Fastgate.

[cancellato]

celeste_lightblue IPv6 su LAN attivo.
celeste_lightblue IPv6 abilitato sul router in cascata.

E così ti funziona IPv6 sulla LAN del router in cascata?

celeste_lightblue

[cancellato]

Sì, se il router supporta lo Stateless Router Advertisement. Praticamente prende il prefisso IPv6 comunicato dal Fastgate e lo inoltra a tutti i client che si autoconfigurano generandosi da soli i suffissi.

https://networklessons.com/ipv6/stateless-autoconfiguration-for-ipv6

Marco25

_SCtefanOM4_ Le VPN non sono Firewall per le reti, sono due cose ben diverse, e dato che è più probabile che l'utente possa andare incontro a problemi di privacy in rete

Le VPN commerciali sono utili per ottenere un IP condiviso e resolver uguale per tutti in modo da mitigare il fingerprinting sulla base di questi, nonché per nascondere i metadati alla rete locale e ISP, ma nulla di più. Non possono bloccare i metodi di tracciamento stateful (es. cookies, local storage) e stateless (es. fingerprinting sulla base di configurazione hardware e browser) che sono i più invasivi.

[cancellato]

_SCtefanOM4_

Avete una fiducia immotivata nelle VPN. Ripeto, al massimo vi proteggete da un eventuale tracking del vostro ISP, nulla di più. Inoltre rischiate di usare sistemi di aziende in giurisdizioni che possono ignorare il GDPR e che vedono tutto il traffico che fate. Contenti voi... La paranoia è spesso cattiva consigliera, e c'è chi ne approfitta.

Quanto alla prefix delegation, che prefisso può delegare il FastGate se Fastweb assegna una /64? Ammesso che il FastGate sia capace di fare delegation. Perché hai un router in cascata, e quindi deve configurare una rotta fra due subnet IPv6 per funzionare, e per farlo non basta assegnare via SLAAC il prefisso della subnet del FastGate alla WAN del router in cascata, deve essere assegnato anche un prefisso per la subnet. Riesci a navigare in IPv6?

_SCtefanOM4_

Marco25 Le VPN commerciali sono utili per ottenere un IP condiviso e resolver uguale per tutti in modo da mitigare il fingerprinting sulla base di questi, nonché per nascondere i metadati alla rete locale e ISP, ma nulla di più.

Evadere l'IP GeoFence, escludere il tracking dei dati su reti locali pubbliche (anche se non basta solo una VPN per essere sicuri)...ecc.

Marco25 Non possono bloccare i metodi di tracciamento stateful (es. cookies, local storage) e stateless (es. fingerprinting sulla base di configurazione hardware e browser) che sono i più invasivi.

Non so dove l'hai letto nel mio messaggio, ma anche su questo siamo d'accordo.

Per avere un alto livello di sicurezza (e sappiamo probabilmente tutti che la sicurezza perfetta è inesistente per i comuni mortali) dovresti usare un VMOS in una sandbox dove fare girare un buon sistema di protezione dai malware poi ovviamente un browser (per esempio se parliamo di navigazione web) dove puoi aver pieno controllo di tutti i local access che vengono richiesti dai siti. Abbianato a molteplici layer di net-security come firewall, NAT, proxy, VPN, cifratura/crittografia end-to-end ecc.

Ricapitolando... @Crystal non sbatterti troppo ma non abbassare la guardia, tutto si deve conformare alle tue esigenze

_SCtefanOM4_

[cancellato] Avete una fiducia immotivata nelle VPN. Ripeto, al massimo vi proteggete da un eventuale tracking del vostro ISP, nulla di più. Inoltre rischiate di usare sistemi di aziende in giurisdizioni che possono ignorare il GDPR e che vedono tutto il traffico che fate. Contenti voi... La paranoia è spesso cattiva consigliera, e c'è chi ne approfitta.

Per le free-to-use posso capire ma per le VPN a pagamento che ti dicono chiaramente che sono total no-log...poi ripeto la cifratura perfetta non esiste e fortunatamente non siamo in Cina o in Corea del nord

celeste_lightblue

[cancellato]

2001:b07:x:y::/64

x e y fissi, assegnati al cliente, il resto (il suffisso) lo genera l'host. Con la privacy extension attiva, il suffisso cambia a ogni riconnessione alla LAN: https://www.internetsociety.org/resources/deploy360/2014/privacy-extensions-for-ipv6-slaac/

Altrimenti è una SLAAC semplice che è basata sul MAC ed è sconsigliata perché si può risalire all'indirizzo MAC.

Marco25

_SCtefanOM4_ le VPN a pagamento che ti dicono chiaramente che sono total no-log

Eh ma non puoi saperlo con certezza e anche se la VPN stessa non registrasse nulla, il provider dove affittano i server potrebbe farlo su richiesta delle forze dell'ordine avendo rilevato traffico malevolo o crimini transitanti per VPN, con il conseguente coinvolgimento di utenti innocenti usciti dallo stesso server.

_SCtefanOM4_ poi ripeto la cifratura perfetta non esiste

La cifratura perfetta è crittografia autenticata end-to-end. Se ce l'hai, la VPN ti permette di nascondere i metadati. Se non ce l'hai, il traffico in chiaro rimane insicuro anche se passa per la VPN.

[cancellato]

_SCtefanOM4_

E se mentono gli fai causa magari a Panama? Che loro non loggino poi non significa che non permettano l'accesso ad altri... Che garanzie hai oltre a quello che scrivono sul loro sito? Il diavolo può essere nei dettagli.

Comunque come wcritto anche da Marco25 la maggior parte del tracking non è effettuato analizzando i flussi di traffico (avresti bisogno delle risorse del Great Firewall cinese o della NSA), ma utilizzando quello messo a disposizione dai data hoarder - il pixel di Facebbok, l'account Google o Analytics, ecc. Da quelli ci si difende in altro modo.

Ad essere paranoici, forse non è un caso che molti servizi VPN sono stati fortemente pubbilcizzati dopo l'entrata in vigore di GDPR e le sentenze che hanno eliminato Privacy Shield e Safe Harbour che impediscono il trasferimento di dati negli USA e in altre giurisdizioni che non hanno una protezione equivalente a quella europea. Certo che se l'utente fa passare tutto il suo traffico fuori dalla UE, vai a far valere i toui diritti...

Vuoi vedere programmi Netflix che sono geobloccati? Usa una VPN. Sei in uno stato estero noto per bloccate certe destinazioni e/o analizzare il traffico? Usa una VPN (io però la faccio con casa mia o l'azienda). Far passare sempre tutto il proprio traffico in una VPN in una qualche giurisdizione straniera? Ci penserei attentamente.

celeste_lightblue

Come hai assegnato x e y? Da che prefisso li ha presi?

_SCtefanOM4_

Marco25 Eh ma non puoi saperlo con certezza e anche se la VPN stessa non registrasse nulla, il provider dove affittano i server potrebbe farlo su richiesta delle forze dell'ordine avendo rilevato traffico malevolo o crimini transitanti per VPN, con il conseguente coinvolgimento di utenti innocenti usciti dallo stesso server.

Credo che si configurerebbe una situazione più complessa di questa oltremodo ci sarebbero tantissime persone indagate solo per una "falla" del sistema VPN. Poi suppongo che abbiamo delle clausole da rispettare (e dubito che i server siano in affitto e non proprietari, parlo per i grandi servizi di VPN) ambo i lati...

Marco25 La cifratura perfetta è crittografia autenticata end-to-end. Se ce l'hai, la VPN ti permette di nascondere i metadati. Se non ce l'hai, il traffico in chiaro rimane insicuro anche se passa per la VPN.

Si ma il traffico in chiaro è solo sul client e nel server di destinazione (alla fine del tunnel creato dalla VPN) per quello che so, il resto non è visibile...
Spiegami come instauri una connessione E2EE in internet, escludendo le connessioni P2P e tra due PC sotto il proprio controllo

[cancellato] E se mentono gli fai causa magari a Panama? Che loro non loggino poi non significa che non permettano l'accesso ad altri... Che garanzie hai oltre a quello che scrivono sul loro sito? Il diavolo può essere nei dettagli.

Beh direi che se non rispettano le condizioni contrattuali che sia a Panama o Hong Kong sono sempre perseguibili, poi ne va della loro credibilità, penso solo alle grandi aziende che utilizzano protocolli terzi gestiti da questi provider VPN

[cancellato] Comunque come wcritto anche da Marco25 la maggior parte del tracking non è effettuato analizzando i flussi di traffico (avresti bisogno delle risorse del Great Firewall cinese o della NSA), ma utilizzando quello messo a disposizione dai data hoarder - il pixel di Facebbok, l'account Google o Analytics, ecc. Da quelli ci si difende in altro modo.

Si certo lo abbiamo già detto

[cancellato] Ad essere paranoici, forse non è un caso che molti servizi VPN sono stati fortemente pubbilcizzati dopo l'entrata in vigore di GDPR e le sentenze che hanno eliminato Privacy Shield e Safe Harbour che impediscono il trasferimento di dati negli USA e in altre giurisdizioni che non hanno una protezione equivalente a quella europea. Certo che se l'utente fa passare tutto il suo traffico fuori dalla UE, vai a far valere i toui diritti...

Dipende dall'entità del danno

[cancellato] Vuoi vedere programmi Netflix che sono geobloccati? Usa una VPN. Sei in uno stato estero noto per bloccate certe destinazioni e/o analizzare il traffico? Usa una VPN (io però la faccio con casa mia o l'azienda). Far passare sempre tutto il proprio traffico in una VPN in una qualche giurisdizione straniera? Ci penserei attentamente.

Si nessuno infatti vuole far passare tutto il proprio traffico all'interno di un servizio gestito da società terze...fidarsi è bene ma non fidarsi è meglio

celeste_lightblue

[cancellato]

Come hai assegnato x e y? Da che prefisso li ha presi?

Io non assegno nulla. È Fastweb che lo fa.

Fastweb fornisce un prefisso da 64 mentre il suffisso da 64 deve essere autogenerato.

Che io sappia i primi 32 bit sono fissi per tutti i clienti, i secondi 32 (x e y) cambiano da cliente a cliente, i restanti 64 se li generano automaticamente gli host con SLAAC.

[cancellato]

celeste_lightblue

Vedo che non ci stiamo capendo... Ok, Fastweb via 6rd assegna un prefisso al FastGate. E che prefisso assegna al router in cascata? Non può essere lo stesso prefisso che usa la subnet gestita dal FastGate. Se è in modalità router avrà una subnet sulla WAN e una subnet diversa sulla LAN..Altrimenti un pacchetto in ingresso come sa dove andare?

Se è in modalità AP è un altro paio di maniche.

A meno che non stia facendo NAT 66 o NPt, o hai configurto 6rd sul router in cascata.

celeste_lightblue

[cancellato]

No, le subnet diverse sono per l'IPv4. Per l'IPv6 non ce n'è bisogno. Il Fastgate prende il prefisso assegnato dalla rete Fastweb e lo annuncia ai client (in pratica solo al router in cascata, perché c'è solo quello collegato direttamente). Il router in cascata lo memorizza e si genera il proprio IPv6. Poi lo stesso prefisso (che il Fastgate ha annunciato), il router in cascata lo inoltra ai suoi host che si vogliono connettere (fa da relay) e questi si generano gli indirizzi.

Spero di essere stata chiara. Più semplice di così non so spiegarlo.

[cancellato]

celeste_lightblue

Perché ci sarebbe bisogno di creare due subnet in IPv4 e non IPv6? Il concetto di router è quello di collegare subnet diverse, e far passare dall'una all'altra solo il traffico a loro destinato. Mi aspetto che se installo un router faccia questo, e non lo switch.

Se in IPv6 sta facendo da 'relay' si sta appunto comportando da switch, non da router. Con tutto quello che ne consegue in termini di sicurezza.

mark129

celeste_lightblue No, le subnet diverse sono per l'IPv4.

Ma il tuo router in cascata (a proposito, qual è?) ha una subnet v4 distinta da quella del Fastgate?

celeste_lightblue

[cancellato]

Perché l'IPv6 funziona diversamente dall'IPv4 e questa è la soluzione più semplice dato che se imposti il DHCPv6 metà dei dispositivi non funzionano perché non lo supportano. Si aspettano di ricevere il prefisso per la configurazione stateless, dunque si fa prima a dargli quello che annuncia il Fastgate.

La sicurezza la curi con un firewall sul router con specifiche regole per aprire soltanto le porte necessarie a un determinato host, cosa che con il Fastgate non puoi fare limitatamente all'IPv6.

[cancellato]

celeste_lightblue

IPv6 funziona diversamente da IPv4 fino ad un certo punto. I concetti di subnet e routing rimangono gli tessi.

Se metà dei tuoi dispositivi sono Android non supportano DHCPv6, ma questo è un altro paio di maniche. NDP è comunque limitato allo stesso dominio L2 locale.

A questo punto mi viene da pensare che ci sia un proxy NDP che fa bridging fra i due segmenti di rete. È l'equivalente di usare un proxy ARP per unite due segmenti fisici in IPv4 usando la stessa subnet. In questo caso effettivamente funzionerebbe.

Ma se non è stato configurato espressamente mi chiedo perché ci sia di default, visto che non è proprio una configurazione standard per un router.. E a questo punto va capito se il firewall del router in cascata controlla comunque il traffico che passa per l'interfaccia WAN.

Certo che 'sicurezza' e 'router cinese con versione modificata [da chi?] di OpenWRT' - mah!

Edit: a quanto pare è una feature di OpenWRT, se non ottiene un prefisso delegato abilita il proxy automaticamente. Rimane da capire che livello di protezione c'è (https://openwrt.org/docs/guide-user/network/ipv6/configuration)

celeste_lightblue

mark129

Adesso non ricordo il modello. È un router cinese con una versione modificata di OpenWRT. Sì, la subnet IPv4 del router è diversa da quella del Fastgate.

mark129

celeste_lightblue Sì, la subnet IPv4 del router è diversa da quella del Fastgate

Quindi tu hai in v4 2 subnet (2 dhcp server) e ~~doppio NAT~~ owrt in DMZ, mentre in v6 hai la /64 distribuita o direttamente alle interfacce del FastGate via dhcpv6 server o tramite owrt ed il suo dhcpv6 relay ai client di quest'ultimo (ed ovviamente nessun NAT).

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile