Ciao a tutti, ho rete fissa Fastweb con fibra ottica FTTH e IP statico e avrei intenzione di metter su un'istanza self-hosted di Nextcloud. Vorrei chiedervi quali sono delle accortezze da seguire quando si vuole esporre dei servizi in rete, senza uso di VPN.

In particolare, la mia principale preoccupazione riguarda l'attrezzatura: possiedo un FastGATE ZXHN H388Q e sostituirlo mi sarebbe difficile in quanto lo utilizzo per collegare il telefono fisso ma anche per evitare problemi con l'assistenza tecnica. Secondo voi è sicuro usare un Home router di questo tipo per esporre servizi ad internet? Non vorrei situazioni spiacevoli come vulnerabilità di un qualche tipo.

Grazie in anticipo

    cidra questo sarebbe proprio il caso in cui servirebbe una vpn

    cidra Non vorrei situazioni spiacevoli come vulnerabilità di un qualche tipo.

    È proprio quello che accade invece: e se pure oggi non c'è una vulnerabilità, domani ci sarà.

    • [cancellato]

    cidra

    Questo è il caso in cui ci vorrebbe almeno un firewall serio - per permettere un accesso controllato da e per quella macchina. Poi in realtà ci vorrebbe:

    • Hardening del web server per ridurre la superficie di attacco - inclusa opportuna configurazione del firewall locale
    • Configurazione corretta di TLS per cifrare la comunicazione (e blocco di HTTP in chiaro)
    • Reverse proxy per aumentare la sicurezza non esponendo direttamente il server web.
    • Deploy in vera DMZ (cioè tra due firewall, frontend e backend) per evitare che se la macchina viene compromessa l'intera LAN è compromessa.

    Si può rinunciare al terzo e quarto punto - ma occorre essere ben consci dei rischi che si corrono - e il tutto va aggiornato costantemente e monitorato per accorgersi presto di eventuali problemi. Poi ci sono zero-day causati da banali SQL injection (nel 2023...) come quello di MoveIT! che compromettono decine e decine di utilizzatori

    Poi ci sarebbero soluzioni ancora più sofisticate (IDS, WAF e compagnia bella...)

    • Cal e cidra hanno risposto a questo messaggio

      [cancellato] (e blocco di HTTP in chiaro)

      No. https://letsencrypt.org/docs/allow-port-80/

      Meglio lasciarla aperta per i redirect e per validare il dominio quando rinnovi il certificato.

      Bloccarla non ti fornisce alcun vantaggio, la superficie d'attacco è identica se esponi http o http e https, stesso software. TLS protegge gli utenti, non la macchina.

        • [cancellato]

        Cal

        Se usi Let's encrypt sul firewall accetti connessioni solo da loro.

        Cal Bloccarla non ti fornisce alcun vantaggio,

        Dipende. Cattive configurazioni potrebbero lasciare un canale non protetto sfruttabile. Visto poi che oggi i browser fanno automaticamente la ridirezione in https, ci sono pochi motivi per lasciare la 80 aperta all'esterno e affidarsi solo sul redirect. HSTS se non lo configuri bene dall'inizio poi produce parecchi grattacapi.

        Se ti serve per bypassare HTTPS in caso di emergenza meglio che sia aperta solo dall'interno. Il concetto di difesa in profondità è proprio quello di mettere più ostacoli possibili sul cammino di un eventuale attaccante.

        • Cal ha risposto a questo messaggio

          [cancellato] Se usi Let's encrypt sul firewall accetti connessioni solo da loro.

          Non puoi. Non ti diranno mai da quali IP si connettono. Al massimo puoi aprire e chiudere quando aspetti i loro robot.

          [cancellato] Se ti serve per bypassare HTTPS in caso di emergenza meglio che sia aperta solo dall'interno.

          No, no. Http aperto sta aperto, ma tutto quello che fa è rispondere 301. Non esponi nextcloud senza TLS, neanche internamente 😃

          Meglio evitare che un utente si colleghi senza specificare il protocollo e si becchi un timeout, i browser non sono tutti così furbi.

            • [cancellato]

            Cal i. Non ti diranno mai da quali IP si connettono

            Se non puoi farlo su IP o URL ci sono altri challenge che puoi usare, l'articolo che hai linkato è del 2019.

            Cal Http aperto sta aperto, ma tutto quello che fa è rispondere 301.

            Il tutto si basa sulla corretta configurazione del redirect e del server web che non lasci inavvertitamente altri servizi attivi su altra porta. Ridurre il numero di configurazioni da fare aiuta a non fare errori.

            • Cal ha risposto a questo messaggio

              [cancellato] certo, puoi usare tls-alpn-01 o dns-01. Più complicati, e soprattutto dns-01 più vulnerabile a configurazioni scassate.

              L'articolo è aggiornato quanto può, o l'avrebbero corretto, fidati.

              Ma se tieni la configurazione pulita, la porta 80 non è un problema. C'è di peggio, tipo la gente che tiene TLS 1.0 e 1.1 accesi.

              cidra

              Secondo voi è sicuro usare un Home router di questo tipo per esporre servizi ad internet? Non vorrei situazioni spiacevoli come vulnerabilità di un qualche tipo.

              No, non è sicuro e se abiliti l'IPv6 è ancora meno sicuro (perché il firewall del Fastgate è una ciofeca). Come nel tuo caso, mi era difficile sostituirlo e ho impostato il client DMZ. Io ci ho messo un router (se vedi il mio profilo, ci ho scritto una guida). Tu che hai esigenze diverse, puoi metterci un firewall o router+firewall, valuta tu.

              [cancellato]

              Sembrano operazioni costose e complesse. Se invece ricorresse a una VPN, cosa sarebbe sufficiente fare?

                cidra vedi come funziona tailscale, dovrebbe essere la cosa migliore per i tuoi usi.

                • Juza ha risposto a questo messaggio

                  Cal visto che ha ip statico pure wireguard

                  • Cal ha risposto a questo messaggio

                    Juza tailscale usa wireguard, e usarlo da solo va bene se ha tutti i servizi su una macchina sola, o ti devi fare il routing da solo.

                    Tinc e tailscale hanno il routing automatico (però tinc è leeeento rispetto a wireguard e tailscale, perché è in userspace invece che nel kernel).

                    • Juza ha messo mi piace.
                    • [cancellato]

                    • Modificato

                    cidra

                    Costose no, visto che si può fare tutto con software open source (a parte sostituire l'hardware del FastGate), complesse un poco, se non si ha l'esperienza necessaria.

                    Usare una VPN è più semplice, va installato un server VPN nella rete di destinazione, aperta la porta (o le porte) necessarie, e installato il client sulle macchine (o sui router) che ci devono accedere con la configurazione necessaria. VPN come OpenVPN o Wireguard sono più semplici da configurare e usare che quelle basate su IPSec/IKEv2.

                    la superficie di attacco di un serveR VPN è più ridotta di quella di un web server e applicazione web. Una volta che la connessione VPN è attiva è come essere nella LAN locale.

                    Lascia perdere VPN che si devono appoggiare a servizi di terze parti. Configurarne una direttamente non è particolarmente difficile.

                      • [cancellato]

                      [cancellato] Lascia perdere VPN che si devono appoggiare a servizi di terze parti. Configurarne una direttamente non è particolarmente difficile.

                      Sono d'accordo con te ma vorrei sottolineare che innanzitutto dipende da molteplici fattori tra i quali l'esperienza dell'utente nel saper gestire il server VPN in tutti gli aspetti.

                      Molti preferiscono avere una VPN pronta all'uso e quindi soluzioni come Tailscale e ZeroTier (e molte altre) possono tornare comode anche per le funzionalità di ACL e condivisione ad altre persone senza esporre la relativa porta.

                      E se l'utente non riesce più a connettersi alla VPN per X motivo e ha urgenza di accedere?
                      Si può usare anche la VPN che offre il router (se presente) però I servizi di terze parti possono tornare utili come connessione di backup ma nessuno si salva se manca, ad esempio, internet.

                      È meglio fare le cose in casa solo se si sa quello che si fa 😉

                      Non conosco @cidra ma è meglio valutare le opzioni a seconda delle conoscenze dell'utente e nella voglia di investire in questo aspetto.

                      Forse questo messaggio è fuori luogo

                        • [cancellato]

                        [cancellato]

                        Come si dice, non ci sono pasti gratis. Usare un sevizio terzo, se non lo paghi sei il prodotto. E oggi c'è il tier free domani chissà.

                        Se proprio vuoi la semplicità, acquista un appliance o un router con funzionalià VPN integrate e una facile UI per configurarla. Se non si sa cosa si sta facendo meglio lasciar perdere, specialmente se si vuol pubblicare un sistema di file sharing.

                        Comunque IMHO una VPN che non è sotto il tuo totale controllo e ha endpoint terzi non è sicura. Poi liberi di wcegliersi quali rischi sono accettabili. Comunque 'sta mania di esternalizzare tutto sta già finendo male (MoveIT! docet...)

                          • [cancellato]

                          [cancellato]

                          Sono assolutamente d'accordo @[cancellato], cerco il più possibile di usare servizi che ho in casa ma certe volte purtroppo non è sempre possibile.

                          Dipende soprattutto dalle esigenze dell'utente/azienda e quanto vuole investire economicamente in quel servizio (ad esempio l'attrezzatura).
                          Ma non soltanto questo!

                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                          P.I. IT16712091004 - info@fibraclick.it

                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile