Protezione IP statico

Ccinocino · 9 gen 2024

Buonasera, premetto che non sono del settore, mi scuso quindi per l’eventuale ingenuità delle mie domande e vi chiedo gentilmente di rispondere nel modo più semplice possibile.

Ho FTTH con Dimensione con IP statico con router ZTE ZXHN H6645P. Il motivo per cui ho fatto richiesta per un IP statico è che ho un sistema domotico abbastanza avanzato con molti dispositivi connessi da controllare anche da remoto.

Mi chiedo, come potrei proteggermi al meglio? C’è già un firewall preconfigurato nel router? Basta questo, eventualmente, per potermi considerare sufficientemente “al sicuro” o è bene che prenda ulteriori misure? Se sì, quali?

Aggiungo che su uno dei portatili, lo smartphone e l’iPad ho quasi sempre una VPN attiva.

Grazie a tutti in anticipo.

LucaPerazzolo · 9 gen 2024

si ci sta gia un firewall preimpostato a livello medio, alla fine non rischi nulla se sai quello che fai ovviamente e non lo comunichi a nessuno

Matteo_Mabesolani · 9 gen 2024

cinocino Ciao, i dispositivi domotici sono pubblicati su Internet oppure utilizzano il cloud del produttore?

[cancellato] · 9 gen 2024

cinocino C’è già un firewall preconfigurato nel router?

Di solito sì, basta controllare che sia attivo e blocchi tutto il traffico iniziato dall'esterno (salvo la propria VPN ovviamente).

cinocino ho quasi sempre una VPN attiva.

Una VPN è il sistema più sicuro per accedere dall'esterno alla propria LAN - ma una propria VPN terminata sul router (cioè il router è anche il server VPN), una VPN commerciale verso l'esterno serve al massimo ad aggirare i geoblocking e a nascondere del tutto il proprio traffico al proprio ISP (poi lo vede il fornitore VPN e tutto quello che c'è oltre) - ma non protegge la propria connessione internet.

Se invece dai accesso diretto alla domotica allora andrebbe pesantemente protetto per evitare accessi indesiderati, e di una VPN esterna non te ne fai assolutamente nulla.

mircolino · 9 gen 2024

cinocino Ho un sistema domotico abbastanza avanzato con molti dispositivi connessi da controllare anche da remoto. [...] Mi chiedo, come potrei proteggermi al meglio?

Ho sempre trovato la gestione della domotica via VPN estremamente complicata e inconveniente.
Dopo varie prove, alla fine ho optato per Home Assistant:

Open source quindi i tuoi dati non finisco in Cina.
Si appoggia a un cloud quindi non devi aprire porte e non ti serve un VPN
Non ti serve un IP statico

[cancellato] · 9 gen 2024

mircolino

Il cloud rimane sempre il computer di qualcun altro. Con tutto quello che ne consegue. Poi ognuno sceglie quali compromessi accettare fra praticità e sicurezza.

mircolino · 9 gen 2024

[cancellato] Il cloud rimane sempre il computer di qualcun altro

Se sei connesso a Internet, tutto passa per il computer di qualcun altro. Con tutto quello che ne consegue.

Se non sbaglio poi, il router dell'OP non supporta nemmeno le VLANs. Con (presumibilmente) decine di IOT devices sulla LAN principale, tutto il resto IMHO passa in secondo piano.

simonebortolin · 10 gen 2024

mircolino Ho sempre trovato la gestione della domotica via VPN estremamente complicata e inconveniente.

Maaaa in che senso? Perché?

[cancellato] · 10 gen 2024

mircolino Se sei connesso a Internet, tutto passa per il computer di qualcun altro. Con tutto quello che ne consegue.

Se però i dati rimangono sulla dalla LAN e il traffico è in una VPN end-to-end la sicurezza è molto più alta.

mircolino Se non sbaglio poi, il router dell'OP non supporta nemmeno le VLANs.

È però un modello di rischio diverso se accesso e dati sono ristretti alla LAN. Poi ripeto, ognuno fa i compromessi che vuole. Però asserire

mircolino la gestione della domotica via VPN estremamente complicata e inconveniente.

è sicuramente eccessivo - specialmente se non spieghi cosa c'è di "estremamente complicato", manco fosse necessario usare MPLS.

Hhandymenny · 10 gen 2024

mircolino Open source quindi i tuoi dati non finisco in Cina

oddio dipende, immagino che tu stia usando un servizio gestito da terzi, nulla vieta a questi terzi di far passare i tuoi dati dalla cina
Non è certo conoscere il codice sorgente, che ti tutela.

[cancellato] · 10 gen 2024

handymenny

In realtà Home Assistant funziona in locale a meno che non attivi il servizio remoto che offre Nabu Casa. Sono negli USA e non è chiaro se i dati rimangano in EU o no - le informazioni reperibili sul loro sito sono inadeguate, così come la loro privacy policy. Ricordiamo che per due volte gli accordi EU-USA sul trasferimento dei dati sono stati annullati dalla Corte Europea perché gli USA non garantiscono una protezione dei dati adeguata - e chi trasferisce i dati deve ricorrere esplicitamente alle SCC. E vedremo che fine farà il terzo. Il problema non è solo la Cina.

mircolino · 10 gen 2024

[cancellato] Il cloud rimane sempre il computer di qualcun altro. Con tutto quello che ne consegue.

[cancellato] Se però i dati rimangono sulla dalla LAN e il traffico è in una VPN end-to-end la sicurezza è molto più alta.

Ma tu non sei quello che tiene tutto in VPS?
IMHO ci sono molte applicazioni valide per VPN, connettere due uffici, remote working, geo-delocalizzazione, IP hiding etc. La gestione della domotica non mi sembra una di quelle. My 2¢.

[cancellato] se accesso e dati sono ristretti alla LAN

Con decine di IOT devices sulla LAN con unrestricted access a tutti gli altri devices e a Internet e con il firewall del router ZTE?

[cancellato] mircolino la gestione della domotica via VPN estremamente complicata e inconveniente.

è sicuramente eccessivo

In termini di sicurezza, VPN e' chiaramente superiore solo se tutti i dispositivi di domotica che ho in casa usano protocolli strictly local tipo zigbee, zwave o thread, e non wifi con protocolli/app/clouds proprietarie. Presupposto che IMO e' praticamente impossibile.

In termini di convenienza, facciamo un esempio: sono appena uscito di casa, sto guidando, e non mi ricordo se ho chiuso a chiave la porta di casa (a me capita sempre). Android Auto -> Home Assistant: vedo sull'LCD dell'auto l'immagine sotto (simile).

Con VPN? Parcheggio, prendo il telefono, faccio partire il VPN?, lancio il browser e metto l'IP del server? lancio un app?

handymenny oddio dipende, immagino che tu stia usando un servizio gestito da terzi, nulla vieta a questi terzi di far passare i tuoi dati dalla cina

Si, sto' usando NabuCasa che dichiara questo in prima pagina. Quindi se vendono i miei dati infrangono la legge.

handymenny Non è certo conoscere il codice sorgente, che ti tutela.

Sicuramente meglio che non conoscerlo

[cancellato] · 10 gen 2024

mircolino Ma tu non sei quello che tiene tutto in VPS?

La P di VPS è "private" - i termini di servizio sono un po' diversi.
È in Italia
Sulla VPS non c'è tutto quello che c'è in LAN.
Il server VPS non ha accesso ad alcun servizio in LAN
Il server VPS ospita servizi che devono essere accessibili dall'esterno senza VPN (sito web, email)
Il sever VPS isola questi servizi dalla LAN - dove andrebbero messi comunque in DMZ
Per accedere ai dati e ai servizi che ritengo più riservati e che sono solo in LAN accedo da remoto via VPN.

I server VPS anche in questo caso sono un compromesso fra sicurezza, banda a disposizione (ho solo una FTTC) e sicurezza fisica di avere un server sempre acceso a casa. Comunque il server VPS a pagamento è stato scelto per avere una maggiore riservatezza dei dati rispetto ad utilizzare servizi "free" condivisi.

mircolino remote working
mircolino La gestione della domotica non mi sembra una di quelle. My 2¢.

Che differenza c'è fra accedere da remoto per lavorare e accedere da remoto per gestire la domotica?

mircolino Con decine di IOT devices sulla LAN con unrestricted access a tutti gli altri device

Se vedi i miei post noterati come consiglio sempre di avere la domotica su una rete separata. Comunque ridurre la supercifie di attacco è sempre meglio che aumentarla.

mircolino In termini di sicurezza, VPN e' chiaramente superiore solo se tutti i dispositivi di domotica

No, stai facendo una grossa confusione fra due rischi diversi e indipendenti. Puoi cominciare a ridurre uno, e poi pensare all'altro. Se poi la password del tuo WiFi è "password" hai ovviamente altri problemi. Ma non è che ampliando la superficie di attacco risolvi.

Non fare oltre tutto l'errore di credere che "open source" sia sicuro e "proprietario" no - dipende solo dall'implementazione.

mircolino In termini di convenienza, facciamo un esempio

Che sia più conveniente posso anche concordare. Non vedo però l'estrema complicazione della quale parlavi.

In termini di sicurezza, facciamo un esempio - accedono ai dati e aprono il cancello e la porta del garage da remoto... comunque non vedo il problema, come funziona via "cloud" puoi funzionare con una VPN attiva, per un'applicazione è trasparente.

mircolino Si, sto' usando NabuCasa che dichiara questo in prima pagina.

Quella privacy policy fa ridere e non è a norma GDPR. Se succede qualcosa gli fai causa in California?

mircolino Sicuramente meglio che non conoscer

Te lo sei letto tutto? Qualcuno ha fatto un'accurata review di sicurezza? Altrimenti non cambia nulla, devi fidarti di chi l'ha scritto. E nel codice non c'è scritto dove finiscono i tuoi dati e cosa ci fanno dopo.

mircolino · 10 gen 2024

[cancellato]

Visto che hai travisato tutto, che non si capisce piu' nulla e che siamo completamente OT, Io chiudo qua.

MaxBarbero · 10 gen 2024

mircolino Si, sto' usando NabuCasa

L'ho usato anche io per un po', poi quando hanno alzato esponenzialmente i costi di abbonamento, sono andato di cloudflare gratuito. USA per USA, almeno lo configuro come mi pare a me.

simonebortolin · 10 gen 2024

mircolino In termini di sicurezza, VPN e' chiaramente superiore solo se tutti i dispositivi di domotica che ho in casa usano protocolli strictly local tipo zigbee, zwave o thread, e non wifi con protocolli/app/clouds proprietarie. Presupposto che IMO e' praticamente impossibile.

No è superiore anche senza che i dispositivi di domotica che ho in casa usano protocolli strictly local tipo zigbee, zwave o thread in quanto semplicemente le azioni non le ho sui vari device domotici ma bensì su home assistant.

mircolino In termini di convenienza, facciamo un esempio: sono appena uscito di casa, sto guidando, e non mi ricordo se ho chiuso a chiave la porta di casa (a me capita sempre). Android Auto -> Home Assistant: vedo sull'LCD dell'auto l'immagine sotto (simile).

Con VPN? Parcheggio, prendo il telefono, faccio partire il VPN?, lancio il browser e metto l'IP del server? lancio un app?

AllowedIP, questi sconosciuti

Semplicemente io tengo la VPN verso quasi sempre accesa, ma solo per l'accesso ad HA e alla lan, mentre esco con l'operatore mobile. Mica faccio passare tutto il traffico per la VPN.

mircolino Si, sto' usando NabuCasa che dichiara questo in prima pagina. Quindi se vendono i miei dati infrangono la legge.

Male con Wireguard ti costa nulla ed è più sicuro.

A propostio di sicurezza non è pericoloso avere una password per nabucasa, una per home assistant, una per X, una per Y, una per Z, non conviene un SSO domestico con una unica autenticazione per tutto?

mircolino Sicuramente meglio che non conoscerlo

Ti assicuro è meglio non conoscere i codici che stanno dietro ai tuoi soldi. E anzi spera che nessuno li conosca.

mircolino IMHO ci sono molte applicazioni valide per VPN, connettere due uffici, remote working, geo-delocalizzazione, IP hiding etc. La gestione della domotica non mi sembra una di quelle. My 2¢.

Le VPN non sono solo router-to-router o per fare cose losche....

[cancellato] Se vedi i miei post noterati come consiglio sempre di avere la domotica su una rete separata. Comunque ridurre la supercifie di attacco è sempre meglio che aumentarla.

E non solo tu, credo tutti.

mircolino Visto che hai travisato tutto, che non si capisce piu' nulla e che siamo completamente OT, Io chiudo qua.

Solo perché le sue argomentazioni sono corrette?

Hhandymenny · 10 gen 2024

[cancellato] In realtà Home Assistant

lo so, ma lui ha parlato di home assistant in cloud