[cancellato] Puoi probabilmente dare un'occhiata anche a Ubiquiti, DrayTek, e TP-Link serie Omada.

Si, però poi devi sapere dove e come mettere le mani (cosa fa una specifica regola di fw, in quali ordine vanno organizzate le regole, di cosa vuoi tenere traccia, log , dpi o
Ids), se il focus è la sicurezza: un router da 100 sacchi con openwrt ti offre già tutto questo volendo, ma non sostituisce lo studio dietro.

Ubiquiti (che è sempre linux) ti chiede più soldi per fare circa le stesse cose e non sono sicuro che imparare le procedure sulla loro limitata GUI sia più semplice.
Tu conosci Draytek, puoi illuminare me.
Poi ci sono le appliance "dedicate" alla sicurezza, spesso più costose, pfsense / netgate oppure opnsense, che potrebbero bene essere messe in cascata a fare solo da firewall ma non hanno il wifi (quello del fastgate non sarebbe nel perimetro) ed hanno una curva di apprendimento che conosci meglio di me.
Tra queste ultime, diversi utenti parlano bene, proprio per la gestione "aiutata", di Firewalla Gold ma ancora è senza wifi (e comunque è fuori budget, dovrebbe costare sugli 800).

    Se ho tempo domani pubblico una guida su come configurare un router in cascata. Per chi è interessato, potrebbe tornare utile, non dovrebbe essere così complicato replicare le configurazioni su router non OpenWRT.

    • [cancellato]

    mark129 Si, però poi devi sapere dove e come mettere le mani

    D'altronde per imparare a dove mettere le mani hai bisogno di un dispositivo che ti permetta di farlo. Per iniziare IMHO se non devi lavorare come sistemista va bene anche un dispositivo con una GUI che ti guidi a sufficienza.

    Se cerchi la semplicità assoluta ci sono Fritz, Asus e simili - sei però limitato nelle scelte.Se non cerchi altro, vanno bene quelli. Se vuoi cominciare a fare configurazioni un po' più complesse, senza avere però l'esperienza (o la voglia) per usare sistemi come OpenWRT o vyOS allora c'è quella fascia di router prosumer con una UI che guida un po' a fare configurazioni più complesse. Ubiquiti ha una UI sicuramente più amichevole di DrayTek, Omada è nella media.
    pfSense e simili sono anche loro una GUI per semplificare l'uso dei servizi BSD che pilota, però il numero di opzioni può essere intimidatorio per chi ci si avvicina senza concrete basi di networking e una macchina x86 sempre accesa consuma e scalda di più di un sistema ARM.

    Non mi pronuncio su Firewalla che non conosco.

    Sono tutte opzioni alla fine - visto quanto è disposto a spendere l'OP mi sembrava il caso di arricchire il panorama delle possibili scelte oltre i soliti AVM/Asus. Poi dipende cosa cerca e quanto tempo/voglia ha di mettersi a configurare i dispositivi.

      [cancellato] per curiosità i keenetic come difficoltà di gestione come sono messi? Non ho mai avuto occasione di usarli ma dal manuale non mi sembrano proibitivi da quel punto di vista

        • [cancellato]

        Juza

        Mai usato uno, ma immagino che facciano parte di quella classe di dispositivi indirizzati ad una certa semplicità d'uso.

        • Juza ha messo mi piace.

        Ma quindi appena avrò cambiato router e avrò ben settato il Firewall, indipendentemente dal mio tipo di ISP e dal tipo di IP (statico, dinamico, nattato, ect) potrò riattivare l'IPV6? Tanto a quel punto anche gli altri dispositivi come IPhone, TV, ect saranno protetti dal firewall del router rispetto ad ora che sono totalmente scoperti, no? Oppure finchè posso meglio continuare a sfruttare lo strato in più di protezione che dà l'IPV4 Nattato almeno fino al momento in cui si potrà navigare solo con gli IPV6?

        Comunque per quanto riguarda la scelta del router, è vero che ho un discreto budget, ma allo stesso tempo devo fare i conti con la mia ignoranza in materia. C'ho messo una settimana per capire cos'è un NAT, non so configurare un router che a detta di molti è un "giocattolino", non posso "permettermi" di comprare un oggetto in cui non saprei dove mettere le mani.
        Mi servirebbe un qualcosa di efficace ma allo stesso tempo "popolare", dove posso tranquillamente trovare una guida sul web o comunque chiedere aiuto sul forum per essere seguito.
        Ciò che mi domando è: alla fine, il firewall di un router da 80 euro è lo stesso di un router da 300/400 euro? Non vorrei che nel router di 300/400 euro pagassi tutto il "contorno" in più, ossia le altre funzioni a cui non sono interessato ma che appunto lo differenziano dai più economici.

          Crystal vai di Asus

          Crystal fine, il firewall di un router da 80 euro è lo stesso di un router da 300/400 euro?

          A parità di piattaforma, è principalmente una questione di velocità (hardware più potente, più pacchetti processati al secondo): anche in questi termini, parlando di apparati domestici, la differenza raramente è decisiva, sostanziale.

          Quello che cambia tra le piattaforme è la possibilità di gestione / programmazione.
          Alcune sono quasi "immonde" (vedi il tuo Fastgate) ma nel mercato ci sono tante alternative "potabili".
          In generale, maggiore la loro capacità di dettaglio, la "granularità" delle impostazioni, più difficile sarà il gestirli per chi ha difficoltà nel figurarsi il concetto di NAT.
          Anche perché poche volte un firewall domestico ha reali necessità di essere "personalizzato" per gli usi "classici" (navigazione, mail, streaming).

          Hai avuto diverse menzioni di prodotti nella media (migliori del Fastgate): ASUS, Fritzbox, Gl.inet, Keenetic e dovrebbero andare bene più o meno tutti.
          Più sviluppata sarà la community relativa (disponibilità di knowledgebase, wiki, forum), migliori saranno le possibilità di ottenere aiuto ed indicazioni, nel caso necessitino.

          E comunque poi un firewall (qualsiasi) non ti "salva" da problemi tipo questo: https://forum.fibra.click/d/42739-account-google-rubato
          Perché non è il loro compito.

          [cancellato] Non mi pronuncio su Firewalla che non conosco.

          Just a tip: non supporta 6rd, quindi per FW & IPv6 è un no go.

          Crystal Un sistema operativo non dovrebbe avere porte esposte su internet di default e dovrebbe avere un firewall stateful, cioè un firewall che accetta pacchetti in ingresso solo relativi a connessioni già iniziate dall'interno verso l'esterno. Se il tuo sistema operativo opera in questo modo, che il router abbia un firewall è solo uno strato in più.

          Ti basta acquistare un router con firewall stateful funzionante e attivo sia per IPv4 che per IPv6, con sistema operativo non a fine vita per ricevere aggiornamenti di sicurezza. Fatto ciò è infinitamente più probabile che i tuoi computer e account siano violati da un malware e attacchi di phishing che da una porta accidentalmente aperta.

          • Crystal ha risposto a questo messaggio
            • [cancellato]

            Crystal potrò riattivare l'IPV6?

            Sì, se vuoi usarlo.

            Crystal almeno fino al momento in cui si potrà navigare solo con gli IPV6?

            Fa prima a diventare obsoleto qualsiasi router che acquisti ora. Ci vorranno ancora anni prima che si usi solo IPv6.

            Crystal il firewall di un router da 80 euro è lo stesso di un router da 300/400 euro?

            Se sono entrambi basati su qualche *nix, è probabile che il motore sia lo stesso. Qullo che cambia in genere è la capacità di processare regole (in ambito aziendale le regole possono essere parecchie, e processare le regole richiede CPU), e la possibilitò di creare più regole e più complesse - che non significa che sia necessariamente molto più complesso crearle (dipende dal modello).

            Cosa scegliere dipende dai tuoi obbiettivi - se vuoi imparare come funziona il tutto, un router/firewall prosumer ti permette sicuramente di "giocarci" di più. Non è "rocket science", come si dice, con un poco di pazienza e un minimo di conoscenze di TCP/IP e protocolli applicativi si impara. Se invece cerchi qualcosa "fire and forget", cioè semplice da usare, da configurare raramente allora conviene orientarsi su modelli più orientanti al mercato consumer e più "automatizzati", nel bene e nel male.

            Crystal omunque chiedere aiuto sul forum per essere seguito.

            Qui trovi aiuto a diversi livelli.

            • Crystal ha risposto a questo messaggio

              Marco25 No nessuno dei due...volevo sapere come instauri una E2EE con protocolli non convenzionali su risorse comuni accessibili a chiunque con protocolli convenzionali...sennò saremmo tutti al sicuro se HTTPS/TLS fossero le migliori crittografie esistenti (cosa come già detto inesistente)

              [cancellato] Le VPN sono utili se usate correttamente, ma mi sembra che ci sia chi ne approfitta sfruttando un certo grado di paranoia, alimentata dietro lauto compenso da un certo numero di influencer.

              Escludendo il resto che è OT...mi baso solo su quello che leggo e quello che vedo cercando di pesare il marketing e l'effettiva utilità, certo che far passare tutti i dati da aziende la cui sede legale è fuori dall'UE è un grande rischio (e nessuno ha mai detto che è quella la soluzione)...ma oltremodo non c'è la possibilità di utilizzare protocolli che non siano già visionabili ad altri sulla rete...vedi il problema degli ISP

              Anyway...

              Crystal a mio parere ti stai facendo troppe paranoie sulla sicurezza (che non passi che non sia importante, come avrai letto anche dai miei messaggi), ma dopo che hai compreso un minimo di come funziona, come configurare il modem e il relativo accesso sicuro ad internet tramite l'ISP da te scelto con i vari firewall, messo in sicurezza i dispositivi ad esso connessi e configurato tutto ciò che riguarda account, cookies, browser, eventuale VPN e SO secondo me per un utente medio può essere sufficiente no?

              Per quanto riguarda il modem router pienamente d'accordo su tuo pensiero razionale, hai pensato a considerare un Keenetic? Qui sul forum c'è anche un rappresentante che può esserti utile nelle tue domande...di sicuro meglio del fastgate o come siamo abituati a chiamarli qui...scolapasta (relativo alle CPE incluse nei bundle degli ISP)

                Marco25 Un sistema operativo non dovrebbe avere porte esposte su internet di default e dovrebbe avere un firewall stateful, cioè un firewall che accetta pacchetti in ingresso solo relativi a connessioni già iniziate dall'interno verso l'esterno. Se il tuo sistema operativo opera in questo modo, che il router abbia un firewall è solo uno strato in più.

                Aggiorno Windows automaticamente ed ho installato Kaspersky Plus (a pagamento), più di così che fare a livello software? Ogni tanto faccio scansioni con altri programmi free nel caso sfuggisse qualcosa a Kaspersky, ma penso di essere abbastanza coperto... se poi conosci altri software da integrare ti ascolto ben volentieri.

                [cancellato] Se invece cerchi qualcosa "fire and forget", cioè semplice da usare, da configurare raramente allora conviene orientarsi su modelli più orientanti al mercato consumer e più "automatizzati", nel bene e nel male.

                Penso che farò così, a me basta che quel router (oltre a tanti accorgimenti riguardo le precauzioni da prendere) possa difendermi e coprirmi per quanto riguarda il modus operandi della maggior parte degli attaccanti. Se poi a prendermi di mira è un team di hacker russi che entra pure nei server del Cremlino, è chiaro che non posso farci nulla 😅

                [cancellato] Qui trovi aiuto a diversi livelli.

                Ed infatti ne sono davvero grato perchè mi state seguendo passo passo e lo state facendo tutti con estrema educazione e cordialità, cosa assai difficile nel mondo digitale d'oggi inquinato dai socials.
                Tu poi hai una pazienza ... 🤗

                • Marco25 ha risposto a questo messaggio

                  _SCtefanOM4_ volevo sapere come instauri una E2EE con protocolli non convenzionali su risorse comuni accessibili a chiunque con protocolli convenzionali

                  Dipende da quale servizio e contenuto devi criptare, pagine web? messaggi? telefonate? backup? Una intera connessione IP?

                  _SCtefanOM4_ saremmo tutti al sicuro se HTTPS/TLS fossero le migliori crittografie esistenti

                  Ovviamente sicurezza impenetrabile non esiste, siamo comunque vulnerabili a difetti nell'implementazione, autorità di certificazione malevole ma TLS nelle versioni utilizzate attualmente 1.2 e 1.3 è praticamente impossibile da decifrare date le tecnologie attuali e anche future almeno fino all'avvento di computer quantistici.

                  _SCtefanOM4_ (cosa come già detto inesistente)

                  Lo hai detto tu forse.

                  Crystal Aggiorno Windows automaticamente ed ho installato Kaspersky Plus (a pagamento), più di così che fare a livello software? Ogni tanto faccio scansioni con altri programmi free nel caso sfuggisse qualcosa a Kaspersky, ma penso di essere abbastanza coperto... se poi conosci altri software da integrare ti ascolto ben volentieri.

                  Windows Defender, che comprende una componente firewall, è più che sufficiente per utenza domestica. Ogni software in più che installi, e quindi anche ogni antivirus, introduce nuovo codice sul sistema, e dal momento che tutti i programmi hanno difetti di sicurezza, l'installazione aumenta i rischi per la sicurezza.

                  • [cancellato]

                  _SCtefanOM4_ volevo sapere come instauri una E2EE con protocolli non convenzionali su risorse comuni accessibili a chiunque con protocolli convenzionali..

                  Diciamo che oggi la maggior parte dei protocolli offre una versione con cifratura TLS - e oggi molti trasferimenti dati usano comunque sotto HTTP come protocollo che è facilmente usabile con TLS - purché ovviamente sia configurato. Con TLS la cifratura è end-to-end - a meno che no si facciano alcune "porcate" come usare Cloudflare come proxy TLS per non fare la fatica di ottenere un certificato valido. L'ISP (o altri) non possono metterci il naso a meno che la CA non sia compromessa o qualcuno con sufficienti "poteri" possa iniettarti una CA e fare hijacking della connessione TLS. Cosa succede ai dati una volta che sono decifrati a destinazione, e come e dove vanno dipende poi dal gestore del servizio. E non cambia sia che si usi una VPN oppure no.

                  Detto questo ci sono protocolli che potrebbero viaggare in chiaro es. se qualcuno è abbastanza folle da usare direttamente SMB questo di default non è cifrato, e ce ne sono altri che tutt'oggi non sono cifrati, ad esempio il VoIP non è cifrato. Ovviamente se volete usare il VoIP del vostro ISP una VPN non serve a nulla, e anche con servizi VoIP esterni far fare giri eccessivi ai pacchetti serve solo ad aumentare la latenza e peggiorare la qualità della connessione.

                  Certo, c'è il DNS e per questo oggi ci sono DoH e DoT e qualcosa si può anche estrarre dall'inizio di una connessione TLS e ovviamente si vedono gli IP... tutto dipende a chi volete farli vedere, ricordando che se il traffico è in chiaro quando esce dalla VPN torna ad essere in chiaro, e l'uscita della VPN non è certo sulla macchina accanto a quella che volete raggiungere, escludendo le VPN end-to-end dove l'uscita è direttamente nella rete di destinazione, o addirittura sulla macchina. Queste ultime sono appunto la soluzione se devi usare protocolli per i quali non esiste una versione con crittografia.

                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                  P.I. IT16712091004 - info@fibraclick.it

                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile