Firewall?

m-toso Un firewall secondo me ti serve nel momento in cui:

• il tuo ISP ti delega una subnet IPv6

Ciao, mi collego qui in quanto e' un dubbio venuto pure a me. Sono in attesa di Dimensione ftth 2,5gb con ipv4 pubblico statico in quanto mi serve arrivare a casa per domotica, nas.
Il loro router non e' male ma la parte firewall potrebbe essere sufficiente per avere una certa sicurezza? Fino ad ora non me lo sono posto il problema, sto con eolo fwa 200/50 e problemi di intrusione mai avute, esposti all' esterno c'è lo stretto necessario con porte non std e pass di certo non come 12345678, ma eolo non mi dava ipv6 e quindi qualsiasi apparato raggiungibile senza apertura di ip/porta.
Grazie

d1ego Che cosa ci faccio con il managed switch? Mi è sufficiente per fare i modo che, per esempio, la videocamera di sorveglianza comunichi soltanto con i nostri 2 o 3 cellulari e nessuno cerchi di prenderne il controllo?

Uno switch managed ti permette di gestire VLAN (virtual LAN). Per esempio puoi creare:

VLAN 1: LAN (192.168.1.x) dove metti tutti i tuoi cellulari e computers
VLAN 2: IOT (192.168.2.x) dove colleghi le telecamere e device vari di domotica

Con appropriate regole nel firewall poi puoi specificare che la rete LAN (i tuoi cellulari) abbia accesso pieno alla rete IOT (le tue telecamere), ma non viceveresa.

d1ego Pensavo che per fare stateful inspection o (Next-generation firewall, che non so neanche bene che cosa sia...) su una connessione da 1Gb/s fosse necessaria tanta potenza di calcolo e RAM (per tabelle?) e forse HD (per cache?).

Ed è così ma in genere in casa non la si fa perché prima di potenza di calcolo occorre conoscenza per sfruttarla: la sicurezza non è un prodotto, è un processo.
Visto che citavi i cd. NGFW, prodotti (esempio) come i Fortinet Fortigate fanno quello ma con ASIC dedicati pur avendo CPU relativamente poco potenti: replicare certe prestazioni con CPU "classiche" è più arduo.

[cancellato] Ehm, no - almeno due, suvvia - o ti castri automaticamente il traffico sulla singola NIC.

Certo, dipende sempre dall'uso che se ne fa'.
L'OP specificava: "FTTH da 1Gb/s, normale uso domestico avanzato, tre persone, un po' di home office, un po' di domotica, un paio di videocamere di sorveglianza...".
Per me una singola NIC I225 sarebbe più che sufficiente, pero' si ovvio, piu porte hai meglio e'.

Il managed switch non gestisce regole, lo fa il firewall.
Semplificando molto in un managed switch puoi decidere che reti assegnare a ciascuna porta.
Esempio: porta 1 per il PC ci assegni la rete (VLAN) principale, porta 2 VLAN ospiti, porta 3 per l'access point gli fai passare sia la VLAN principale che la VLAN ospiti, porta 4 firewall e gli passi tutte le VLAN, porta 5 router VLAN WAN, porta 6 server domotico esposto su internet in VLAN DMZ, etc

d1ego VLAN sul managed switch, poi quelle VLAN dovranno rimanere fisicamente separate quindi mi serviranno, ad esempio, due o tre set di AP

No no, le VLAN non devono rimanere fisicamente separate. L'AP e' connesso alla porta dello switch configurata come una VLAN Trunk (decidi tu quali e quante VLAN farci passare). Poi sull'AP ogni SSID "porta" una VLAN. Quindi non ti serve un AP per ogni VLAN.

Devi pianificare la tua rete domestica e installare un AP in ogni punto dove vuoi WiFi. Poi su ciascun AP decidi tu quali e quante VLAN "farci arrivare".

d1ego Il concetto di VLAN non e' facile da padroneggiare, ma una volta che ci riesci puoi farci cose favolose

d1ego Sicuramente i nostri prodotti sono adatti al tuo uso.

Segmentazione/VLAN sono alla base di Keenetic e sono gestibili direttamente dall'interfaccia grafica, così come il Firewall.
Per qualsiasi dettagli specifico chiedi pure

^L

d1ego poi quelle VLAN dovranno rimanere fisicamente separate

No, l'idea delle Virtual LAN è appunto quella di avere delle reti separate sugli stessi cavi. Un link di "trunk" usa un singolo cavo sul quale passano pacchetti con i diversi tag VLAN, poi ci pensa chi li riceve ad accettarli sulla VLAN indicata o scartarli.

d1ego quindi mi serviranno, ad esempio, due o tre set di AP, uno per cellulari e portatili di casa, uno per IoT, uno per le videocamere

No, però devi a quel punto usare AP che abbiano il supporto per le VLAN. Questo permettono di creare SSID multipli, ognuno assegnato ad una VLAN diversa. Chi si collega ad uno specifico SSID automaticamente si trova sulla VLAN associata. Ad esempio sui miei AP ho 6 SSID associati ad altrettante VLAN - e ogni AP è collegato con un singolo cavo al suo switch.

d1ego e poi magari anche un paio di switch

Idem per gli switch, ci vogliono degli switch (smart)managed layer 2 che siano in grado di gestire le VLAN. Allo stesso switch puoi connettere dispostivi assegnati a VLAN diverse, ci pensa lo switch (opportunamente configurato) a smistare il traffico come necessario, evitando che dispositivi su VLAN diverse si vedano.

Questi dispositivi costano un po' di più di quelli senza supporto VLAN (gli switch smart managed L2 sono ormai piuttosto economici comunque), permettono una sicurezza di gran lunga maggiore. Ad esempio da quando c'è lo smarworking i dispositivi aziendali sono su una rete dedicata che non è visibile dal resto dei dispositivi di casa (e viceversa).

Poi se vuoi che alcune VLAN comunichino con altre - anche con regole specifiche che indichino chi e come - hai bisogno di un router/firewall sempre capace di gestire le VLAN con le opportune regole di routing e firewall.

d1ego un vantaggio di Ubiquiti sarebbe quello di creare il tutto su quello che loro chiamano gateway ed il deployment avviene automaticamente su tutti i dispositivi.

Sì, sono quei sistemi di gestione centralizzata che permettono di controllare tutti i dispositivi da un'unica applicazione, un altro esempio è Omada di TP-Link. Lo svantaggio principale è il lock-in, devi acquistare dispositivi compatibili con quel sistema. IMHO per chi deve gestire decine o centinaia di dispositivi è una manna dal cielo, per chi deve gestirne una manciata è comodo ma non indispensabile.

d1ego

Il numero di switch dipende da quante porte ti servono, e dalla difficoltà di far passare i cavi. Potendo far passare agevolmente i cavi si può anche usare un singolo switch con le porte necessarie. altrimenti tocca usarne più di uno (io ad esempio sono nel secondo caso)

C'è poi da tenere conto che gli switch da 5/8/10 e a volte 16 porte li trovi fanless, specialmente quelli senza PoE. Altrimenti hanno le ventole e possono fare un po' di rumore.

Il numero di AP invece dipende dal volume da coprire, e dagli ostacoli che il segnale incontra.

[cancellato] hai qualche esempio? esistono per i 2.5gb?

DarkJedi

Sì, esistono anche a 2.5G e oltre - quelli che conosco io però sono modelli non proprio economici (DrayTek 1000B e 3910) - ci sono sicuramente di altre marche, ma come detto sopra le hai una macchina pfSense con porte a 2.5G non hai bisogno di un ulteriore router, se vuoi controllare i costi.

[cancellato] qui intendevo i switch smart managed L2

DarkJedi

Mi spiace, solo 2.5G non ho modelli da consigliarti, anche perché a quel punto preferisco modelli multigig (cioè 1/2-5/5/10G), a parte il prezzo personalmente non ritengo vantaggioso a questo punto fare una rete LAN a 2.5 invece di 10G.

[cancellato] scusa la mia ignoranza, ma rete lan da 10G intendi quella interna che non c'entra nulla con internet, giusto??

DarkJedi

Sì, parlando di switch intendo la rete interna (LAN), ovviamente.

[cancellato] allora mi va bene multigig...