Buongiorno,
per chi di voi ha esperienza con l'Intrusion Detection and Prevention in uno scenario tipicolo casalingo (prosumer?), quali attacchi reali avete davvero identificato e bloccato verso la rete di casa?
Personalmente ho una 60ina di device sempre attivi fra pc, laptop, iphone, ipad, TV e streaming boxes e una secchiata di dispositivi IoT.
Il fatto di voler metter su un Firewall è davvero utile o mi sto creando un falso problema?
Il "chiamare a casa" dei mille device smart lo blocco già con un pi-hole.
Un server Wireguard l'ho già tirato su un Gl.Inet router di scorta

Grazie mille
Ciao

    diciamo che se non hai servizi esposti l'utilità non dico sia zero ma quasi

      gabo_IT Grazie.
      Esempi?

      • gabo_IT ha risposto a questo messaggio

          agrifoni media server, altri portali http-based, server di gestione remota... questa tipologia di servizi esposti possono beneficiare di IPS
          come dicevo, invece un po meno efficace nell'uso domestico per traffico outgoing

          la cosa migliore è per iniziare è sicuramente un fail2ban o ban ip di tutti i paesi da cui non ti aspetti ci sia traffico verso di te in caso esponi servizi sopra citati

              gabo_IT Grazie. Al momento ho solo un DDNS e un redirect di porta per esporre un wireguard server + jump desktop server (sorta di RDP su Mac)

              • gabo_IT ha risposto a questo messaggio

                  agrifoni se il jump server lo raggiungi solo tramite accesso WG ok, altrimenti rimedia subito 🙂

                      gabo_IT in realtà sfrutto i server di Jump Desktop - a là TeamViewer per capirsi

                        Abitazione con una 40ina di device di cui 30 tra telecamere IP, NVR, sistemi di allarme / domotica.

                        4 porte esposte (citofono / allarme / nvr / server domotica)

                        gabo_IT diciamo che se non hai servizi esposti l'utilità non dico sia zero ma quasi

                        Può tornare leggermente utile anche per dispositivi compromessi, mi è capitato su un'installazione di identificare un PC infetto proprio perché venivano bloccati dei DL che faceva da HK.
                        Però si, 99.9% degli attacchi sono scansioni dall'esterno.

                            Veehxia hai esposto NVR su internet? Non è rischioso? Non è meglio appunto accederci tramite VPN?

                            • Veehxia ha risposto a questo messaggio

                                giuse56 Sono della stessa scuola di pensiero, ma non è casa mia e l'impianto NVR non è opera mia, a me è stato solo chiesto di installare la rete.
                                Per il resto, cosi han voluto, ho spiegato gli eventuali rischi della cosa ma collegarsi in VPN ogni volta era troppo sbattimento.

                                  Grazie a entrambi.
                                  Il problema è che non conosco come i vari sistemi espongano i servizi o "chiamino casa".
                                  Telecamere Ring, Allarme Ajax, Bticino, etc... Sono tutti raggiungibili da fuori via app - i loro server.
                                  Personalmente ho solo esposto la porta del server wireguard

                                    agrifoni Beh ma se non hai nulla esposto ed usano il cloud, non dovresti avere alcun problema. Diverso sarebbe stato se avessi esposto tutto su internet, perché in caso di vulnerabilità o mal configurazioni ti entrano ovunque

                                        giuse56 Grazie. Stavo appunto provando a ragionare con voi su cosa potessi aver esposto senza saperlo. Mi posso fare uno scan da solo?

                                        • giuse56 ha risposto a questo messaggio

                                            agrifoni probabilmente si ma non saprei come. L’unica cosa che ti posso dire è che con l’app Wifiman di ubiquiti puoi scansionarti i singoli device ed il router pure per scoprire quali porte sono aperte e su che dispositivo

                                              Veehxia Può tornare leggermente utile anche per dispositivi compromessi, mi è capitato su un'installazione di identificare un PC infetto proprio perché venivano bloccati dei DL che faceva da HK.

                                              Ma qui solito discorso.... lo devi guardare.
                                              La maggior parte delle persone pensa che funzioni 100% da solo... ma non è così.

                                                agrifoni l fatto di voler metter su un Firewall è davvero utile o mi sto creando un falso problema?

                                                Io ho messo anche l'honeypot cosi ti accorgi se qualche Device fa scansioni strane all' interno della rete

                                                • gabo_IT ha risposto a questo messaggio

                                                    agrifoni basta abbassare la tendina e cliccare il pulsantino wireguard.... e l'app funziona
                                                    faccio così per quando devo usare mediaserver, music server etc. e lo sbatti è 0,000001 ....

                                                    Veehxia cosa usi per fare IPS ? è crowdsec?

                                                    MaxBarbero cosa usi ?

                                                            gabo_IT quello di default di ubiquiti. Ne ho deployati 2, uno per la vlan standard e uno per la IoT.

                                                              gabo_IT perdonami non ho capito

                                                              • gabo_IT ha risposto a questo messaggio

                                                                  agrifoni scusami ho sbagliato a taggare, mi riferivo alla situazione dei clienti/amici di @Veehxia che hanno "troppo sbatti" nell'abilitare vpn da device mobili per raggiungere telecamere etc

                                                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                    P.I. IT16712091004 - info@fibraclick.it

                                                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile