Ubiquiti IDS IPS - Scenari reali Home User

agrifoni

Buongiorno,
per chi di voi ha esperienza con l'Intrusion Detection and Prevention in uno scenario tipicolo casalingo (prosumer?), quali attacchi reali avete davvero identificato e bloccato verso la rete di casa?
Personalmente ho una 60ina di device sempre attivi fra pc, laptop, iphone, ipad, TV e streaming boxes e una secchiata di dispositivi IoT.
Il fatto di voler metter su un Firewall è davvero utile o mi sto creando un falso problema?
Il "chiamare a casa" dei mille device smart lo blocco già con un pi-hole.
Un server Wireguard l'ho già tirato su un Gl.Inet router di scorta

Grazie mille
Ciao

MaxBarbero

agrifoni l fatto di voler metter su un Firewall è davvero utile o mi sto creando un falso problema?

Io ho messo anche l'honeypot cosi ti accorgi se qualche Device fa scansioni strane all' interno della rete

gabo_IT

diciamo che se non hai servizi esposti l'utilità non dico sia zero ma quasi

agrifoni

gabo_IT Grazie.
Esempi?

Veehxia

Abitazione con una 40ina di device di cui 30 tra telecamere IP, NVR, sistemi di allarme / domotica.

4 porte esposte (citofono / allarme / nvr / server domotica)

gabo_IT diciamo che se non hai servizi esposti l'utilità non dico sia zero ma quasi

Può tornare leggermente utile anche per dispositivi compromessi, mi è capitato su un'installazione di identificare un PC infetto proprio perché venivano bloccati dei DL che faceva da HK.
Però si, 99.9% degli attacchi sono scansioni dall'esterno.

gabo_IT

agrifoni media server, altri portali http-based, server di gestione remota... questa tipologia di servizi esposti possono beneficiare di IPS
come dicevo, invece un po meno efficace nell'uso domestico per traffico outgoing

la cosa migliore è per iniziare è sicuramente un fail2ban o ban ip di tutti i paesi da cui non ti aspetti ci sia traffico verso di te in caso esponi servizi sopra citati

agrifoni

gabo_IT Grazie. Al momento ho solo un DDNS e un redirect di porta per esporre un wireguard server + jump desktop server (sorta di RDP su Mac)

gabo_IT

agrifoni se il jump server lo raggiungi solo tramite accesso WG ok, altrimenti rimedia subito 🙂

agrifoni

gabo_IT in realtà sfrutto i server di Jump Desktop - a là TeamViewer per capirsi

giuse56

Veehxia hai esposto NVR su internet? Non è rischioso? Non è meglio appunto accederci tramite VPN?

Technetium

Veehxia Può tornare leggermente utile anche per dispositivi compromessi, mi è capitato su un'installazione di identificare un PC infetto proprio perché venivano bloccati dei DL che faceva da HK.

Ma qui solito discorso.... lo devi guardare.
La maggior parte delle persone pensa che funzioni 100% da solo... ma non è così.

gabo_IT

agrifoni basta abbassare la tendina e cliccare il pulsantino wireguard.... e l'app funziona
faccio così per quando devo usare mediaserver, music server etc. e lo sbatti è 0,000001 ....

Veehxia cosa usi per fare IPS ? è crowdsec?

MaxBarbero cosa usi ?

Veehxia

giuse56 Sono della stessa scuola di pensiero, ma non è casa mia e l'impianto NVR non è opera mia, a me è stato solo chiesto di installare la rete.
Per il resto, cosi han voluto, ho spiegato gli eventuali rischi della cosa ma collegarsi in VPN ogni volta era troppo sbattimento.

agrifoni

Grazie a entrambi.
Il problema è che non conosco come i vari sistemi espongano i servizi o "chiamino casa".
Telecamere Ring, Allarme Ajax, Bticino, etc... Sono tutti raggiungibili da fuori via app - i loro server.
Personalmente ho solo esposto la porta del server wireguard

giuse56

agrifoni Beh ma se non hai nulla esposto ed usano il cloud, non dovresti avere alcun problema. Diverso sarebbe stato se avessi esposto tutto su internet, perché in caso di vulnerabilità o mal configurazioni ti entrano ovunque

agrifoni

giuse56 Grazie. Stavo appunto provando a ragionare con voi su cosa potessi aver esposto senza saperlo. Mi posso fare uno scan da solo?

giuse56

agrifoni probabilmente si ma non saprei come. L’unica cosa che ti posso dire è che con l’app Wifiman di ubiquiti puoi scansionarti i singoli device ed il router pure per scoprire quali porte sono aperte e su che dispositivo

MaxBarbero

gabo_IT quello di default di ubiquiti. Ne ho deployati 2, uno per la vlan standard e uno per la IoT.

agrifoni

gabo_IT perdonami non ho capito

gabo_IT

agrifoni scusami ho sbagliato a taggare, mi riferivo alla situazione dei clienti/amici di @Veehxia che hanno "troppo sbatti" nell'abilitare vpn da device mobili per raggiungere telecamere etc

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile